Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: W32/Sality!mem Trojaner - HJT Logfile

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 13.10.2008, 11:41   #1
marcusvox
 
W32/Sality!mem Trojaner - HJT Logfile - Standard

W32/Sality!mem Trojaner - HJT Logfile



Liebes Trojaner-Board-Team!
Ich habe mir gestern den im Titel genannten Trojaner eingefangen. Ich denke auf jeden Fall, dass ich den hab, "Stinger" hat ihn so bezeichnet. Der Trojaner macht sich mit einem "System Alert" rechts unten in der Taskleiste bemerkbar und will mich dazu auffordern Antispyware-Software oder ähnliches zu kaufen.
Ich hab auch schon entdeckt, dass jemand im Forum diesen Trojaner hatte. Das Problem ist nur, dass ich mich mit PCs viel zu wenig auskenne um nachzuvollziehen, was man aus einem HiJackThis-Logfile herauslesen kann und was genau dann zu tun ist bzw. welche Einträge ich dann fixen muss.
Deshalb hoffe ich, dass mir hier geholfen werden kann.
Ich schicke schon mal ein herzliches Dankeschön vorraus und hoffe, dass ich bald eine Antwort bekomme.
Lieben Gruß
Marcus

P.S.: Falls ich bei meinem Post einen Fehler gemacht habe, also z.B. irgendeine wichtige Angabe vergessen habe, bitte ich darum meinen Post nicht gleich zu schließen oder zu löschen, sondern mich darauf hinzuweisen, damit ich das schnellstmöglich editieren kann. Wie gesagt, ich kenne mich nicht wirklich aus. Vielen Dank!

HiJackThis-Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:02:39, on 13.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Class - {A7939976-24C6-9140-AC56-2B1D314B6E0C} - C:\WINDOWS\kueld1.dll (file missing)
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute Lite Edition\vrie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute Lite Edition\vrie.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3700DB82-7AB8-4E77-B407-35C6385DF37D}: NameServer = 195.34.133.21,195.34.133.22
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: euphuize - {da75fab1-136e-4ead-834d-0e04fbd6edc1} - C:\WINDOWS\system32\eivrbsi.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 7570 bytes
         

Geändert von marcusvox (13.10.2008 um 11:54 Uhr)

Alt 13.10.2008, 19:48   #2
Tayk
 

W32/Sality!mem Trojaner - HJT Logfile - Standard

W32/Sality!mem Trojaner - HJT Logfile



Lade folgende Datei/Dateien bei Virustotal hoch und poste den Vollständigen bericht mit MD5 Hash usw.

Lasse Dabei auch versteckte Ordner und Dateien anzeigen!

Zitat:
C:\WINDOWS\system32\eivrbsi.dll
Scanne danach mit Malwarebytes Antimalware und poste den Vollständigen bericht, auch wenn nichts gefunden wird!

Und Jetzt noch ein Rootkitscan!

Deaktiviere Während des Rootkitscanns alle Virenscanner und Programme!
Poste die logs auch wenn deiner Ansicht nach nichts gefunden wurde!


1.MBR Scannen lassen
Lade dir bitte mbr detector herunter und führe ihn aus.
Poste das Ergebnis dann hier, die log datei liegt im gleichen ordner in dem du die mbr.exe gepeichert hast!

2.Gmer scannen lassen
Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

3.Blacklight scannen lassen
Lade dir Blackligt herunter und führe ihn aus.
Poste das Ergebnis dann hier.


PS:Wenn es Sality ist dann hast du einen Keylogger pass auf und log dich so wenig wie möglich in dingen ein führe kein onlinebanking, etc. am besten nichts online machen was iwi kosten verursachen kann!
__________________


Geändert von Tayk (13.10.2008 um 19:53 Uhr)

Alt 13.10.2008, 22:08   #3
marcusvox
 
W32/Sality!mem Trojaner - HJT Logfile - Standard

W32/Sality!mem Trojaner - HJT Logfile



Lieber Tayk!
Du bist mein Held! Es scheint alles funktioniert zu haben, der Trojaner scheint zumindest nicht mehr auf und seit ich die Malwarebytes Antimalware hab scannen lassen und die Funde gelöscht habe, können die anderen Programme, die du mir gesagt hast, nichts mehr finden!
DANKE DANKE DANKE vielmals!

Virustotal:
Code:
ATTFilter
MD5:  	5e96db7ec17e5c4720a938b89cc1e451
First received: 	2008.10.13 12:04:33 (CET)
Datum 	2008.10.13 12:20:51 (CET) [<1D]
Ergebnisse 	4/36
Permalink: 	analisis/1443721e561dedd5aee29bd50ad0cb3a


 Datei eivrbsi.dll empfangen 2008.10.13 12:20:02 (CET)
Status: Beendet
Ergebnis: 4/36 (11.11%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.10.13.0 	2008.10.13 	-
AntiVir 	7.8.1.34 	2008.10.13 	-
Authentium 	5.1.0.4 	2008.10.13 	-
Avast 	4.8.1248.0 	2008.10.12 	-
AVG 	8.0.0.161 	2008.10.12 	-
BitDefender 	7.2 	2008.10.13 	-
CAT-QuickHeal 	9.50 	2008.10.13 	-
ClamAV 	0.93.1 	2008.10.13 	-
DrWeb 	4.44.0.09170 	2008.10.13 	-
eSafe 	7.0.17.0 	2008.10.12 	-
eTrust-Vet 	31.6.6141 	2008.10.10 	-
Ewido 	4.0 	2008.10.12 	-
F-Prot 	4.4.4.56 	2008.10.12 	-
F-Secure 	8.0.14332.0 	2008.10.13 	-
Fortinet 	3.113.0.0 	2008.10.13 	-
GData 	19 	2008.10.13 	-
Ikarus 	T3.1.1.34.0 	2008.10.13 	-
K7AntiVirus 	7.10.491 	2008.10.11 	-
Kaspersky 	7.0.0.125 	2008.10.13 	-
McAfee 	5403 	2008.10.11 	New Malware.al!enc
Microsoft 	1.4005 	2008.10.13 	TrojanDownloader:Win32/Renos.AC
NOD32 	3517 	2008.10.13 	Win32/TrojanDownloader.FakeAlert.LX
Norman 	5.80.02 	2008.10.10 	-
Panda 	9.0.0.4 	2008.10.13 	-
PCTools 	4.4.2.0 	2008.10.12 	-
Prevx1 	V2 	2008.10.13 	-
Rising 	20.66.02.00 	2008.10.13 	-
SecureWeb-Gateway 	6.7.6 	2008.10.13 	-
Sophos 	4.34.0 	2008.10.13 	Mal/FakeAlert-A
Sunbelt 	3.1.1719.1 	2008.10.13 	-
Symantec 	10 	2008.10.13 	-
TheHacker 	6.3.1.0.108 	2008.10.11 	-
TrendMicro 	8.700.0.1004 	2008.10.13 	-
VBA32 	3.12.8.6 	2008.10.12 	-
ViRobot 	2008.10.13.1417 	2008.10.13 	-
VirusBuster 	4.5.11.0 	2008.10.12 	-
weitere Informationen
File size: 15360 bytes
MD5...: 5e96db7ec17e5c4720a938b89cc1e451
SHA1..: ab29d76fc6b632ab2b34c234b026c64fdbd7da17
SHA256: 6c75bef97bb8580a7d116e9b979b455676bdebf989e3607dcdc7b2f8e7f9b6e4
SHA512: 40f08c6c0abff9564aa393c61efe23db57d15e9b668bd5c1e001e637b7d29f8e
6279d2739768a9966dd268b7a50faa578421887fc481e71e64370dcd48b047f2
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ 4.x (85.8%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
Win16/32 Executable Delphi generic (1.3%)
Generic Win/DOS Executable (1.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001982
timedatestamp.....: 0x48f0844b (Sat Oct 11 10:47:39 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x143e 0x1600 5.47 d11728e10444a73a068515c06dd82d6e
.rdata 0x3000 0x715 0x800 4.58 a50e44b2afc0f5b94661f2cd3f79c8fb
.data 0x4000 0x810 0x600 4.69 6654ae6ff8d4031743519848026f731e
.rsrc 0x5000 0xfa8 0x1000 4.50 695f8e496fa43ec890b786847c7f2475
.reloc 0x6000 0x24a 0x400 4.22 437e9a49758ad74962e84c409dc7e791

( 5 imports )
> user32.dll: LoadIconA, PostQuitMessage, RegisterClassExA, LoadCursorA, SetWindowPos, SetWindowTextA, TranslateAcceleratorA, TranslateMessage, LoadAcceleratorsA, SetTimer, KillTimer, GetMessageA, EndPaint, DispatchMessageA, DefWindowProcA, CreateWindowExA, BeginPaint, wsprintfA
> kernel32.dll: lstrcpynA, WritePrivateProfileStructA, WaitForSingleObject, TerminateProcess, RtlZeroMemory, LoadLibraryA, GetVersionExA, GetTempPathA, GetTempFileNameA, GetProcAddress, GetModuleFileNameW, ClearCommError, CloseHandle, CopyFileExA, CopyFileExW, CreateThread, DefineDosDeviceA, DeleteFileA, ExitProcess, GetLastError, GetLongPathNameA, GetModuleFileNameA
> msvcrt.dll: fscanf, strlen, strcpy, strcmp, strcat, fwrite, fseek, fread, fopen, fclose, atoi, _strlwr, _wfopen
> shlwapi.dll: PathFileExistsA, StrStrA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegOpenKeyA, RegDeleteKeyA, RegCreateKeyA, RegCloseKey

( 6 exports )
aab, aal, allert2, fgllert, qoad, windows
         

MalwareBytes Antimalware:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1266
Windows 5.1.2600 Service Pack 2

13.10.2008 22:22:12
mbam-log-2008-10-13 (22-22-05).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 117220
Laufzeit: 24 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\eivrbsi.dll (Trojan.Zlob) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{da75fab1-136e-4ead-834d-0e04fbd6edc1} (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\multimediaControls.chl (Trojan.Zlob) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{da75fab1-136e-4ead-834d-0e04fbd6edc1} (Trojan.Zlob) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\eivrbsi.dll (Trojan.Zlob) -> No action taken.
         
Rootkit (hab ich das was auf der GMER seite war genommen, aber ich glaub GMER macht einen rootkit scan, oder?):
Code:
ATTFilter
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
         
Musste die Antwort leider aufteilen...
__________________

Alt 13.10.2008, 22:11   #4
marcusvox
 
W32/Sality!mem Trojaner - HJT Logfile - Standard

W32/Sality!mem Trojaner - HJT Logfile



Teil 2:

Gmer:
Code:
ATTFilter
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-13 22:42:13
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT    sptd.sys                                                                                                            ZwCreateKey [0xF738DAC8]
SSDT    F7C6A87C                                                                                                            ZwCreateThread
SSDT    sptd.sys                                                                                                            ZwEnumerateKey [0xF738DC22]
SSDT    sptd.sys                                                                                                            ZwEnumerateValueKey [0xF738DF9A]
SSDT    \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                                   ZwMapViewOfSection [0xF78658D0]
SSDT    sptd.sys                                                                                                            ZwOpenKey [0xF738D98E]
SSDT    F7C6A868                                                                                                            ZwOpenProcess
SSDT    F7C6A86D                                                                                                            ZwOpenThread
SSDT    sptd.sys                                                                                                            ZwQueryKey [0xF738E064]
SSDT    sptd.sys                                                                                                            ZwQueryValueKey [0xF738DEFC]
SSDT    sptd.sys                                                                                                            ZwSetValueKey [0xF738E0EC]
SSDT    \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                                   ZwShutdownSystem [0xF7865E70]
SSDT    F7C6A877                                                                                                            ZwTerminateProcess
SSDT    F7C6A872                                                                                                            ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

?       qwtpnze.sys                                                                                                         Das System kann die angegebene Datei nicht finden. !
?       C:\WINDOWS\system32\drivers\sptd.sys                                                                                Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
?       C:\WINDOWS\System32\Drivers\SPTD4813.SYS                                                                            Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text   dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7                                                                         F6BB74F0 16 Bytes  [ 53, B0, 3B, E3, 81, 94, 89, ... ]
.text   dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11                                                                    F6BB7501 31 Bytes  [ 60, BB, F6, C4, F1, FF, 44, ... ]
?       C:\WINDOWS\System32\Drivers\dtscsi.sys                                                                              Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text   wanarp.sys                                                                                                          F7791402 2 Bytes  [ 90, 90 ]
?       C:\DOKUME~1\****\LOKALE~1\Temp\mbr.sys                                                                            Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT     atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [F7389AD2] sptd.sys
IAT     atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [F7389C0E] sptd.sys
IAT     atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                 [F7389B96] sptd.sys
IAT     atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                         [F738A76C] sptd.sys
IAT     atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                 [F738A642] sptd.sys
IAT     \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                  [F73AC056] sptd.sys
IAT     \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                                 [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                           [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                                             [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                            [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                 [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                              [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                   [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                  [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                             [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                 [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                  [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                           [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                   [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                               [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                    [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                              [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                   [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                  [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                                 [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                                           [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                                             [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                             [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                           [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                                 [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT     \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Devices - GMER 1.0.14 ----

Device  \FileSystem\Ntfs \Ntfs                                                                                              86FDAA40
Device  \Driver\Tcpip \Device\Ip                                                                                            wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device  \Driver\00000038 \Device\00000050                                                                                   sptd.sys
Device  \Driver\NetBT \Device\NetBT_Tcpip_{3700DB82-7AB8-4E77-B407-35C6385DF37D}                                            85C207F8
Device  \Driver\dmio \Device\DmControl\DmIoDaemon                                                                           86F92A40
Device  \Driver\dmio \Device\DmControl\DmConfig                                                                             86F92A40
Device  \Driver\dmio \Device\DmControl\DmPnP                                                                                86F92A40
Device  \Driver\dmio \Device\DmControl\DmInfo                                                                               86F92A40
Device  \Driver\Tcpip \Device\Tcp                                                                                           wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device  \Driver\Ftdisk \Device\HarddiskVolume1                                                                              86F92C78
Device  \Driver\Ftdisk \Device\HarddiskVolume2                                                                              86F92C78
Device  \Driver\Cdrom \Device\CdRom0                                                                                        86FDA808
Device  \FileSystem\Rdbss \Device\FsWrap                                                                                    85BF97F8
Device  \Driver\Ftdisk \Device\HarddiskVolume3                                                                              86F92C78
Device                                                                                                                      ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation)
Device  \Driver\Ftdisk \Device\HarddiskVolume4                                                                              86F92C78
Device  \Driver\NetBT \Device\NetBt_Wins_Export                                                                             85C207F8
Device  \Driver\NetBT \Device\NetbiosSmb                                                                                    85C207F8
Device  \Driver\Tcpip \Device\Udp                                                                                           wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device  \Driver\Tcpip \Device\RawIp                                                                                         wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device  \Driver\Disk \Device\Harddisk0\DR0                                                                                  86FDAC78
Device  \Driver\Disk \Device\Harddisk1\DR1                                                                                  86FDAC78
Device  \Driver\NetBT \Device\NetBT_Tcpip_{76114D7E-167B-46E2-AAED-BBB3C27AF17F}                                            85C207F8
Device  \Driver\nvatabus \Device\NvAta0                                                                                     86FDA0E8
Device  \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                   85C037F8
Device  \Driver\Tcpip \Device\IPMULTICAST                                                                                   wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device  \FileSystem\MRxSmb \Device\LanmanRedirector                                                                         85C037F8
Device  \FileSystem\Npfs \Device\NamedPipe                                                                                  85C7A7F8
Device  \Driver\Ftdisk \Device\FtControl                                                                                    86F92C78
Device  \FileSystem\Msfs \Device\Mailslot                                                                                   8695D6A0
Device  \Driver\si3114r5 \Device\Scsi\si3114r51Port5Path3Target1fLun0                                                       86F92550
Device  \Driver\si3114r5 \Device\Scsi\si3114r51                                                                             86F92550
Device  \Driver\si3114r5 \Device\Scsi\si3114r51Port5Path0Target10Lun0                                                       86F92550
Device  \Driver\dtscsi \Device\Scsi\dtscsi1                                                                                 86E435F0
Device  \FileSystem\Cdfs \Cdfs
         
Gmer muss ich leider auch aufteilen...

Alt 13.10.2008, 22:13   #5
marcusvox
 
W32/Sality!mem Trojaner - HJT Logfile - Standard

W32/Sality!mem Trojaner - HJT Logfile



Teil 3:

Code:
ATTFilter
---- Registry - GMER 1.0.14 ----

Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                        
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                     D:\Programme\DAEMON Tools\
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                     0
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0xFB 0xFB 0xF1 0x60 ...
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                               
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                         0x48 0x1B 0x3C 0x0B ...
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                         
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                   0xA7 0x99 0x4C 0x33 ...
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                         
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                   0x83 0x2D 0x0F 0x84 ...
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42                         
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh                   0xD9 0x13 0x00 0x98 ...
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                        
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                     D:\Programme\DAEMON Tools\
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                     0
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0xFB 0xFB 0xF1 0x60 ...
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                               
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                         0xD4 0x20 0x7F 0xE5 ...
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                         
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                   0x8C 0x19 0x74 0xDE ...
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                         
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                   0xB9 0xB9 0x5A 0x83 ...
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42                         
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh                   0xBA 0x66 0x4B 0x54 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0                                                                  1786089410
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  -984829291
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  507875643
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                    
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                 D:\Programme\DAEMON Tools\
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                 0
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                              0xFB 0xFB 0xF1 0x60 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                           
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                     0xD4 0x20 0x7F 0xE5 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                     
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh               0x8C 0x19 0x74 0xDE ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                     
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh               0xB9 0xB9 0x5A 0x83 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42                     
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh               0xBA 0x66 0x4B 0x54 ...
Reg     HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                   
Reg     HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                    Apartment
Reg     HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg     HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b  0xE2 0x63 0x26 0xF1 ...
Reg     HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                   
Reg     HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                    Apartment
Reg     HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg     HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b  0x6A 0x9C 0xD6 0x61 ...
Reg     HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                   
Reg     HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                    Apartment
Reg     HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg     HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016  0x25 0xDA 0xEC 0x7E ...
Reg     HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                   
Reg     HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                    Apartment
Reg     HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg     HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48  0x86 0x8C 0x21 0x01 ...
Reg     HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                   
Reg     HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                    Apartment
Reg     HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg     HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472  0xF5 0x1D 0x4D 0x73 ...
Reg     HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                   
Reg     HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                    Apartment
Reg     HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg     HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d  0xDF 0x20 0x58 0x62 ...
Reg     HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                   
Reg     HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                    Apartment
Reg     HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg     HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b  0xFB 0xA7 0x78 0xE6 ...
Reg     HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                   
Reg     HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                    Apartment
Reg     HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg     HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d  0x83 0x6C 0x56 0x8B ...
Reg     HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                   
Reg     HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                    Apartment
Reg     HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg     HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3  0x51 0xFA 0x6E 0x91 ...
Reg     HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                   
Reg     HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                    Apartment
Reg     HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg     HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b  0xB1 0xCD 0x45 0x5A ...
Reg     HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                   
Reg     HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                    Apartment
Reg     HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg     HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6  0xE3 0x0E 0x66 0xD5 ...
Reg     HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                   
Reg     HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                    Apartment
Reg     HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg     HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2  0x6C 0x43 0x2D 0x1E ...

---- EOF - GMER 1.0.14 ----
         
Blacklight:
Code:
ATTFilter
10/13/08 22:43:29 [Info]: BlackLight Engine 1.0.67 initialized
10/13/08 22:43:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/13/08 22:43:29 [Note]: 7019 4
10/13/08 22:43:29 [Note]: 7005 0
10/13/08 22:43:36 [Note]: 7006 0
10/13/08 22:43:36 [Note]: 7011 180
10/13/08 22:43:37 [Note]: 7026 0
10/13/08 22:43:37 [Note]: 7026 0
10/13/08 22:43:38 [Note]: FSRAW library version 1.7.1024
10/13/08 22:45:21 [Note]: 2000 1012
10/13/08 22:46:23 [Note]: 7007 0
         
So, ich denke das sind alle Berichte!
Nochmals 1000 Dank für die absolut kompetente und schnelle Hilfe!
Das Board hier ist echt einsame Spitze!
Lieben Gruß
Marcus


Alt 13.10.2008, 22:17   #6
Tayk
 

W32/Sality!mem Trojaner - HJT Logfile - Standard

W32/Sality!mem Trojaner - HJT Logfile



Zitat:
Lieber Tayk!
Du bist mein Held! Es scheint alles funktioniert zu haben, der Trojaner scheint zumindest nicht mehr auf und seit ich die Malwarebytes Antimalware hab scannen lassen und die Funde gelöscht habe, können die anderen Programme, die du mir gesagt hast, nichts mehr finden!
DANKE DANKE DANKE vielmals!
Also deine Logs sehen leider nicht so gut aus! Du hast den Zlob, Zlob läd dateien aus dem internet und infiziert das system mit anderen viren usw. und deswegen kann man nie sicher sein was sich noch alles auf deinem Rechner tummelt! Eine Manuelle Bereinigung ist zwar möglich aber garantieren das alles weg ist kann dir niemand! Deswegen würde ich dir das Neuaufsetzen empfehlen so leid es mir tut!

Zitat:
aber ich glaub GMER macht einen rootkit scan, oder?
Gmer und Blacklight suchen nach Rootkits und MBR durchsucht den Master Boot Record

Es ist wichtig das du mir noch den MBR log postest denn nur dann kann ich erkennen ob im MBR etwas sitzt!

Alt 14.10.2008, 01:02   #7
marcusvox
 
W32/Sality!mem Trojaner - HJT Logfile - Standard

W32/Sality!mem Trojaner - HJT Logfile



oh mann!
da hab ich mich dann wohl zu früh gefreut!
schade, dass es da wirklich keine möglichkeit gibt das neu aufsetzen zu umgehen.
aber trotzdem auf jeden fall nochmal 1000 dank! finds wirklich sehr cool, dass man hier so schnell hilfe bekommt!!!
lieben gruß
marcus


p.s.: stimmt mbr hab ich vergessen zu posten!

MBR:
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Alt 14.10.2008, 16:44   #8
Tayk
 

W32/Sality!mem Trojaner - HJT Logfile - Standard

W32/Sality!mem Trojaner - HJT Logfile



MBR sieht gut aus du kannst neuaufsetzen!

Antwort

Themen zu W32/Sality!mem Trojaner - HJT Logfile
0 bytes, ad-aware, adobe, alert, antivir, avira, bho, browser, excel, explorer, fehler, firefox, firewall, helper, hijack, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, pdf, plug-in, problem, system, taskleiste, trojaner, urlsearchhook, vielen dank, windows, windows xp




Ähnliche Themen: W32/Sality!mem Trojaner - HJT Logfile


  1. Die Plage Sality und Abuse Sperre vom Provider
    Plagegeister aller Art und deren Bekämpfung - 18.08.2015 (3)
  2. Nach Sality Infizierung über Combofix: Wie externe Festplatte behandeln?
    Plagegeister aller Art und deren Bekämpfung - 23.05.2014 (5)
  3. W32/Sality.Y Virus Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 03.05.2013 (5)
  4. W32.Sality!dr u. W32.Sality.AE sowie Malware.Packer.Gen
    Plagegeister aller Art und deren Bekämpfung - 08.01.2013 (7)
  5. win32/sality und co. tipps zur beseitigung
    Antiviren-, Firewall- und andere Schutzprogramme - 27.05.2012 (0)
  6. Win32-Sality Virus Computer laggt und dreht durch !Schon mehrere Programme benutzt
    Plagegeister aller Art und deren Bekämpfung - 05.04.2012 (5)
  7. "Bitte nehmt das Sality-Botnetz nicht vom Netz"
    Nachrichten - 28.03.2012 (0)
  8. Protokoll und Port für w32.sality.gen.e
    Plagegeister aller Art und deren Bekämpfung - 26.08.2010 (7)
  9. Flohbeutel - Sality, DRmIRC, Generic17 und andere
    Log-Analyse und Auswertung - 01.04.2010 (8)
  10. Win32.Sality entfernen
    Plagegeister aller Art und deren Bekämpfung - 18.03.2010 (2)
  11. NOTFALL! W32/Sality.M
    Antiviren-, Firewall- und andere Schutzprogramme - 06.02.2010 (3)
  12. Windows-Virus W32/Sality.Y
    Plagegeister aller Art und deren Bekämpfung - 14.09.2009 (18)
  13. TR/Dropper.Gen, W32/Sality.Y und TR/Crypt.XPACK.Gen,
    Plagegeister aller Art und deren Bekämpfung - 30.03.2009 (2)
  14. W32/sality.y
    Plagegeister aller Art und deren Bekämpfung - 11.12.2008 (11)
  15. Befahlenes System mit W32/Sality.Y
    Mülltonne - 10.12.2008 (2)
  16. W32/Sality.Y, was kann ich tun?
    Mülltonne - 23.11.2008 (0)
  17. Die Geister die ich rief werd ich nun nicht los, W32/Sality mit Trojaner
    Plagegeister aller Art und deren Bekämpfung - 16.06.2008 (3)

Zum Thema W32/Sality!mem Trojaner - HJT Logfile - Liebes Trojaner-Board-Team! Ich habe mir gestern den im Titel genannten Trojaner eingefangen. Ich denke auf jeden Fall, dass ich den hab, "Stinger" hat ihn so bezeichnet. Der Trojaner macht sich - W32/Sality!mem Trojaner - HJT Logfile...
Archiv
Du betrachtest: W32/Sality!mem Trojaner - HJT Logfile auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.