spoolsv.exe im Tempverzeichnis

lippo · 05.12.2008, 16:19

Moin,
nachdem ich nun auf etlichen Wegen versucht habe meinem Trojanerbefall Herr zu werden, gebe ich nun auf und erhoffe mir Hilfe.

Aufgefallen ist mir das vermeintliche Problem, als aus heiterm Himmel Viren/Trojaner (weiß leider nicht mehr welche) im TempVerzeichnis gefunden wurden. Ich dachte mir zunächst nicht viel dabei und rechnete damit, dass diese wohl von irgendeiner Website dorthingelangt sind - aber ja von AVG entdeckt und vernichtet wurden.
Misstrauisch wurde ich dann jedoch, als sich die Funde häuften. Ich schaute mir das TempVerzeichnis einmal an und fand dort eine spoolsv.exe und einen Odner "~tmp" welcher als SystemDatei markiert war und somit versteckt wurde. Darin befinden sich Ordner mit kryptischen Namen (zB lvprf07) mit Programmen, die unscheinbare Namen (zB csrss.exe) tragen.

Ich machte mich daran alle mir merkwürdig vorkommenden Prozesse zu beenden und löschte das TempVerzeichnis. Außerdem durchsuchte ich den Autostart. Leider tauchte der Ordner (~tmp) und die spoolsv.exe immer wieder auf. Dann überwachte ich den TempOrdner einmal mit dem Sysinternals Filemon und musste feststellen, dass ganz normale Anwendungen von mir (zB RocketDock oder UltraVNC) scheinbar auf den Ordner zugreifen.

Habe deswegen noch folgende Tools zur Hilfe genommen, leider hat bis heute nichts an dem Erscheinen vom Ordner geändert:

AVG free komplett scan (keine Befunde)
a-squared Free 3.5 Scan (Trace.Registry Einträge gefunden und entfernt)
Blacklight Rootkit Scan (keine Befunde)
Simply Super Software Torjan Remover (verdächte und versteckte Starteinträge gefunden und entfernt)

Nun habe ich auch einmal HijackThis darüberlaufen lassen:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:16, on 05.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Sicherheit\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\SICHER~1\AVG8\avgwdsvc.exe
C:\Sicherheit\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\oodag.exe
C:\SICHER~1\AVG8\avgrsx.exe
C:\Benutzer\***\LOKALE~1\Temp\spoolsv.exe
C:\System Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\SICHER~1\AVG8\avgtray.exe
C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Sicherheit\TrueCrypt\TrueCrypt.exe
C:\Office\Microsoft ActiveSync\Wcescomm.exe
C:\System Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\System Programme\Copy Handler\ch.exe
C:\Office\MICROS~1\rapimgr.exe
C:\Treiber\Logitech\SetPoint\SetPoint.exe
C:\Treiber\USBKVM Switcher\USBKVM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Sicherheit\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
F3 - REG:win.ini: load=C:\Benutzer\***\ANWEND~1\mstinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Office\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Sicherheit\AVG8\avgssie.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CB} - C:\Benutzer\***\LOKALE~1\Temp\mrtdgs5.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\System Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\SICHER~1\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [TrueCrypt] "C:\Sicherheit\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Office\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\System Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Copy Handler] C:\System Programme\Copy Handler\ch.exe
O4 - HKLM\..\Policies\Explorer\Run: [Spool] C:\Benutzer\***\LOKALE~1\Temp\spoolsv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\comrepl.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Treiber\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: USBKVM Switcher.lnk = C:\Treiber\USBKVM Switcher\USBKVM.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Office\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Office\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208078997812
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Sicherheit\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Sicherheit\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\SICHER~1\AVG8\avgwdsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Sicherheit\Cisco VPN Client\cvpnd.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 9713 bytes

Gerade bin ich durch das Forum noch auf Malwarebytes Anti-Malware gestoßen, dass werde ich auch noch einmal drüberlaufen lassen. Ansonsten dachte ich noch an einen Knoopcillin-Scan und im Notfall bleibt wohl nur eine Reinstallation vom System ... meine arme Zeit!

john.doe · 05.12.2008, 18:54

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\Benutzer\***\LOKALE~1\Temp\spoolsv.exe
C:\Benutzer\***\ANWEND~1\mstinit.exe
C:\Benutzer\***\LOKALE~1\Temp\mrtdgs5.dll

Die Tilden durch die vollständigen Namen ersetzen.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

lippo · 05.12.2008, 21:00

Oh klasse ... viel zu tun

... ich war allerdings in der Zeit nicht untätig und habe Anti-Malware durchlaufen lassen, wobei einige Sachen gefunden wurden (siehe Log, habe bis jetzt noch kein weiteres mal durchlaufen lassen - dauert ja 1 1/2 Stunden je Run) ... außerdem habe ich mir mittels Sysinternals Autoruns einmal den Startup angeschaut und einen Autostart auf die spoolsv.exe im Tempverzeichnis entfernt.
Leider habe ich vor deinem Post bereits die fraglichen Dateien gelöscht und konnte sie somit nicht mehr hochladen. Allerdings überwache ich seit dem auch mittels Filemon mein Tempverzeichnis und muss sagen, dass sich dieses, bis jetzt, nicht mit uminösen Dateien gefüllt hat. Allerdings versuchten einige Anwendungen auf die spoolsv.exe im Temp Verzeichnis zuzugreifen. Hier einmal Ausschnitte aus dem Log:

Code:

ATTFilter

3	18:32:51	procexp.exe:3372	OPEN	C:\BENUTZER\LIPPO\LOKALE EINSTELLUNGEN\TEMP\SPOOLSV.EXE	NOT FOUND	Options: Open  Access: 00000081	
4	18:32:51	procexp.exe:3372	OPEN	C:\BENUTZER\LIPPO\LOKALE~1\TEMP\~TMP\SHBDCHK15\SMSS.EXE	PATH NOT FOUND	Options: Open  Access: 00000081	

269	18:33:01	svchost.exe:1624	QUERY INFORMATION	C:\BENUTZER\LIPPO\LOKALE EINSTELLUNGEN\TEMP\SPOOLSV.EXE	NOT FOUND	Attributes: Error	
270	18:33:01	svchost.exe:1624	OPEN	C:\BENUTZER\LIPPO\LOKALE EINSTELLUNGEN\TEMP\SPOOLSV.EXE	NOT FOUND	Options: Open  Access: 00020088	
271	18:33:01	svchost.exe:1624	QUERY INFORMATION	C:\BENUTZER\LIPPO\LOKALE~1\TEMP\SPOOLSV.EXE	NOT FOUND	Attributes: Error	
272	18:33:01	svchost.exe:1624	QUERY INFORMATION	C:\BENUTZER\LIPPO\LOKALE~1\TEMP\~TMP\SHBDCHK15\SMSS.EXE	PATH NOT FOUND	Attributes: Error	
273	18:33:01	svchost.exe:1624	OPEN	C:\BENUTZER\LIPPO\LOKALE~1\TEMP\~TMP\SHBDCHK15\SMSS.EXE	PATH NOT FOUND	Options: Open  Access: 00020088	

399	20:14:32	fsbl.exe:1380	QUERY INFORMATION	C:\Benutzer\lippo\LOKALE~1\Temp\spoolsv.exe	NOT FOUND	Attributes: Error	

418	20:16:41	fsbl.exe:2156	QUERY INFORMATION	C:\Benutzer\lippo\LOKALE~1\Temp\spoolsv.exe	NOT FOUND	Attributes: Error

Jedenfalls bin ich gerade sehr zuversichtlich, den Trojaner bereits losgeworden zu sein.

Aber die angeforderten Logs habe ich natürlich noch gemacht ^^

MBR-Tool

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

BlackLight

Code:

ATTFilter

12/05/08 20:16:32 [Info]: BlackLight Engine 2.2.1092 initialized
12/05/08 20:16:32 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/05/08 20:16:32 [Note]: 7019 4
12/05/08 20:16:32 [Note]: 7005 0
12/05/08 20:16:41 [Note]: 7006 0
12/05/08 20:16:41 [Note]: 7011 932
12/05/08 20:16:41 [Note]: 7035 0
12/05/08 20:16:41 [Note]: 7026 0
12/05/08 20:16:41 [Note]: 7026 0
12/05/08 20:16:42 [Note]: FSRAW library version 1.7.1024
12/05/08 20:21:38 [Note]: 2000 1012
12/05/08 20:21:49 [Note]: 7007 0

Anti-Malware

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1463
Windows 5.1.2600 Service Pack 3

05.12.2008 17:56:29
mbam-log-2008-12-05 (17-56-25).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 213900
Laufzeit: 1 hour(s), 30 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{40205287-e793-41ac-b95c-d8d064ba33cb} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{40205287-e793-41ac-b95c-d8d064ba33cb} (Trojan.BHO.H) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\comrepl (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\Benutzer\lippo\Lokale Einstellungen\Temp\mrtdgs5.dll (Trojan.BHO.H) -> No action taken.
C:\WINDOWS\comrepl.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\system\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

der Silentrunner kommt einfach in einen extra Post

HiJackThis

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:23, on 05.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\SICHER~1\AVG8\avgwdsvc.exe
C:\Sicherheit\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\SICHER~1\AVG8\avgrsx.exe
C:\System Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Sicherheit\TrueCrypt\TrueCrypt.exe
C:\Office\Microsoft ActiveSync\Wcescomm.exe
C:\System Programme\RocketDock\RocketDock.exe
C:\Office\MICROS~1\rapimgr.exe
C:\System Programme\Copy Handler\ch.exe
C:\Treiber\Logitech\SetPoint\SetPoint.exe
C:\Treiber\USBKVM Switcher\USBKVM.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Benutzer\***\Desktop\Filemon\Filemon.exe
C:\Internet\Mozilla Firefox\firefox.exe
C:\System Programme\Notepad++\notepad++.exe
C:\Sicherheit\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Office\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Sicherheit\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\System Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\SICHER~1\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKCU\..\Run: [TrueCrypt] "C:\Sicherheit\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Office\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\System Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Copy Handler] C:\System Programme\Copy Handler\ch.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Treiber\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: USBKVM Switcher.lnk = C:\Treiber\USBKVM Switcher\USBKVM.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Office\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Office\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208078997812
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Sicherheit\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\SICHER~1\AVG8\avgwdsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Sicherheit\Cisco VPN Client\cvpnd.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 8798 bytes

Ich hoffe, dass ich nichts vergessen habe ... wegen dem HiJackThis, da habe ich jedoch erst einmal meine installierte Version genommen. War mir nicht ganz sicher, wie ich genau verfahren soll. Runterladen, umbenennen, ausführen? bzw. warum diese Version der Installierten überhaupt vorzuziehen ist?

Ach genau ... danke für die freundliche Begrüßung und vor allem für die schnelle Hilfe!

lippo · 05.12.2008, 21:01

Silentrunner

Code:

ATTFilter

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"TrueCrypt" = ""C:\Sicherheit\TrueCrypt\TrueCrypt.exe" /q preferences" ["TrueCrypt Foundation"]
"H/PC Connection Agent" = ""C:\Office\Microsoft ActiveSync\Wcescomm.exe"" [MS]
"RocketDock" = ""C:\System Programme\RocketDock\RocketDock.exe"" [null data]
"Copy Handler" = "C:\System Programme\Copy Handler\ch.exe" [" "]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NotebookHardwareControl" = ""C:\System Programme\Notebook Hardware Control\nhc.exe" -quiet" [null data]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"AVG8_TRAY" = "C:\SICHER~1\AVG8\avgtray.exe" ["AVG Technologies CZ, s.r.o."]
"Copy Handler" = "(empty string)" [file not found]
"Kernel and Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech, Inc."]
"Corel File Shell Monitor" = "C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe" ["Corel, Inc."]
"ATIPTA" = "C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE" ["ATI Technologies, Inc."]

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
                                        \StubPath   = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
                                        \StubPath   = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\(Default) = "WormRadar.com IESiteBlocker.NavFilter"
  -> {HKLM...CLSID} = "AVG Safe Search"
                   \InProcServer32\(Default) = "C:\Sicherheit\AVG8\avgssie.dll" ["AVG Technologies CZ, s.r.o."]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Conversion Toolbar Helper"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
  -> {HKLM...CLSID} = "7-Zip Shell Extension"
                   \InProcServer32\(Default) = "C:\System Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG8 Shell Extension"
  -> {HKLM...CLSID} = "AVG8 Shell Extension Class"
                   \InProcServer32\(Default) = "C:\Sicherheit\AVG8\avgse.dll" ["AVG Technologies CZ, s.r.o."]
"{49BF5420-FA7F-11cf-8011-00A0C90A8F78}" = "Mobile Device"
  -> {HKLM...CLSID} = "Mobiles Gerät"
                   \InProcServer32\(Default) = "C:\Office\MICROS~1\Wcesview.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
  -> {HKLM...CLSID} = "Microsoft Office Outlook"
                   \InProcServer32\(Default) = "C:\Office\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\Office\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Office\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
  -> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
  -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" = "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"
  -> {HKLM...CLSID} = "ImageExtractorShellExt Class"
                   \InProcServer32\(Default) = "C:\Office\Microsoft Office\Office12\VISSHE.DLL" [MS]
"{D66DC78C-4F61-447F-942B-3FB6980118CF}" = "{D66DC78C-4F61-447F-942B-3FB6980118CF}"
  -> {HKLM...CLSID} = "CInfoTipShellExt Class"
                   \InProcServer32\(Default) = "C:\Office\Microsoft Office\Office12\VISSHE.DLL" [MS]
"{22061966-0307-0804-1705-200203000001}" = "FontExpertShellExt Class"
  -> {HKLM...CLSID} = "FontExpertShellExt Class"
                   \InProcServer32\(Default) = "C:\Office\FontExpert\FontExpertExt.dll" ["Proxima Software"]
"{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension"
  -> {HKLM...CLSID} = "KbLogiExt Class"
                   \InProcServer32\(Default) = "C:\Treiber\Logitech\SetPoint\kbcplext.dll" ["Logitech, Inc."]
"{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension"
  -> {HKLM...CLSID} = "LogiExt Class"
                   \InProcServer32\(Default) = "C:\Treiber\Logitech\SetPoint\mcplext.dll" ["Logitech, Inc."]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
  -> {HKLM...CLSID} = "Acrobat Elements Context Menu"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{E81FFB23-40E2-431C-A041-76AEA0E4B04C}" = "Nameext"
  -> {HKLM...CLSID} = "Enterprise-Projekte"
                   \InProcServer32\(Default) = "C:\Office\MICROS~2\Office12\NAMEEXT.DLL" [MS]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Office\OpenOffice\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Office\OpenOffice\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Office\OpenOffice\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Office\OpenOffice\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"OODBS" ["O&O Software GmbH"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]
<<!>> LBTWlgn\DLLName = "c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll" ["Logitech, Inc."]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Office\OpenOffice\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
  -> {HKLM...CLSID} = "7-Zip Shell Extension"
                   \InProcServer32\(Default) = "C:\System Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
  -> {HKLM...CLSID} = "Acrobat Elements Context Menu"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
AVG8 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
  -> {HKLM...CLSID} = "AVG8 Shell Extension Class"
                   \InProcServer32\(Default) = "C:\Sicherheit\AVG8\avgse.dll" ["AVG Technologies CZ, s.r.o."]
chext\(Default) = "{E7A4C2DA-F3AF-4145-AC19-E3B215306A54}"
  -> {HKLM...CLSID} = "MenuExt Class"
                   \InProcServer32\(Default) = "C:\System Programme\Copy Handler\chext.dll" [null data]
Notepad++\(Default) = "{120B94B5-2E6A-4F13-94D0-414BCB64FA0F}"
  -> {HKLM...CLSID} = "Notepad++"
                   \InProcServer32\(Default) = "C:\System Programme\Notepad++\nppcm.dll" ["Burgaud.com"]
WinMerge\(Default) = "{4E716236-AA30-4C65-B225-D68BBA81E9C2}"
  -> {HKLM...CLSID} = "WinMergeShell Class"
                   \InProcServer32\(Default) = "C:\Entwicklung\WinMerge\ShellExtensionU.dll" ["http://winmerge.org"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
  -> {HKLM...CLSID} = "7-Zip Shell Extension"
                   \InProcServer32\(Default) = "C:\System Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
chext\(Default) = "{E7A4C2DA-F3AF-4145-AC19-E3B215306A54}"
  -> {HKLM...CLSID} = "MenuExt Class"
                   \InProcServer32\(Default) = "C:\System Programme\Copy Handler\chext.dll" [null data]
WinMerge\(Default) = "{4E716236-AA30-4C65-B225-D68BBA81E9C2}"
  -> {HKLM...CLSID} = "WinMergeShell Class"
                   \InProcServer32\(Default) = "C:\Entwicklung\WinMerge\ShellExtensionU.dll" ["http://winmerge.org"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
AVG8 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
  -> {HKLM...CLSID} = "AVG8 Shell Extension Class"
                   \InProcServer32\(Default) = "C:\Sicherheit\AVG8\avgse.dll" ["AVG Technologies CZ, s.r.o."]
chext\(Default) = "{E7A4C2DA-F3AF-4145-AC19-E3B215306A54}"
  -> {HKLM...CLSID} = "MenuExt Class"
                   \InProcServer32\(Default) = "C:\System Programme\Copy Handler\chext.dll" [null data]
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Sicherheit\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Sicherheit\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ForceClassicControlPanel" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"NoLowDiskSpaceChecks" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"ForceStartMenuLogoff" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"NoSMConfigurePrograms" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"ClearRecentDocsOnExit" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"StartMenuLogOff" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"EnableLUA" = (REG_DWORD) dword:0x00000000
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Run All Administrators In Admin Approval Mode}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Eigene Dateien\Eigene Bilder\wallpapers\***.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Benutzer\***\Eigene Dateien\Eigene Bilder\wallpapers\***.bmp"


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

CDBurnerXP\
"Provider" = "CDBurnerXP"
"InvokeProgID" = "CDBurnerXPOpen"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\CDBurnerXPOpen\shell\open\command\(Default) = ""C:\System Programme\CDBurnerXP\cdbxpp.exe"" [null data]

Corel Paint Shop Pro Photo X2ShowPicturesOnArrivalHandler\
"Provider" = "Corel Paint Shop Pro Photo X2"
"InvokeProgID" = "PaintShopProPhotoX2.Image"
"InvokeVerb" = "Überprüfung"
HKLM\SOFTWARE\Classes\PaintShopProPhotoX2.Image\shell\Überprüfung\command\(Default) = ""C:\Multimedia\Paint Shop Pro Photo X2\Corel Paint Shop Pro Photo.exe" /Review "%1"" ["Corel, Inc."]

HPS1119-38\
"Provider" = "HPS1119-38"
"InvokeProgID" = "HPS1119-38.BestShow"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\HPS1119-38.BestShow\shell\import\command\(Default) = ""C:\Internet\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "-i %L"" [null data]

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
  -> {HKLM...CLSID} = "WPDShextAutoplay"
                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

PDVD8PlayCDAudioOnArrival\
"Provider" = "PowerDVD 8"
"InvokeProgID" = "AudioCD"
"InvokeVerb" = "PlayWithPowerDVD8"
HKLM\SOFTWARE\Classes\AudioCD\shell\PlayWithPowerDVD8\Command\(Default) = ""C:\Multimedia\PowerDVD8\PowerDVD8\PowerDVD8.exe" "%L"" ["CyberLink Corp."]

PDVD8PlayDVDMovieOnArrival\
"Provider" = "PowerDVD 8"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerDVD8"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD8\Command\(Default) = "C:\Multimedia\PowerDVD8\PowerDVD8\PowerDVD8.exe  "%L"" ["CyberLink Corp."]

PDVD8PlayVCDMovieOnArrival\
"Provider" = "PowerDVD 8"
"InvokeProgID" = "VCD"
"InvokeVerb" = "PlayWithPowerDVD8"
HKLM\SOFTWARE\Classes\VCD\shell\PlayWithPowerDVD8\Command\(Default) = "C:\Multimedia\PowerDVD8\PowerDVD8\PowerDVD8.exe  "%L"" ["CyberLink Corp."]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Multimedia\VLC Player\vlc.exe --started-from-file cdda://%1" ["the VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Multimedia\VLC Player\vlc.exe --started-from-file dvd://%1" ["the VideoLAN Team"]


Startup items in "***" & "All Users" startup folders:
-------------------------------------------------------

C:\Benutzer\All Users\Startmenü\Programme\Autostart
"Logitech SetPoint" -> shortcut to: "C:\Treiber\Logitech\SetPoint\SetPoint.exe" ["Logitech, Inc."]
"USBKVM Switcher" -> shortcut to: "C:\Treiber\USBKVM Switcher\USBKVM.exe" ["UNICLASS"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 24
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
  -> {HKLM...CLSID} = "Adobe PDF"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]
"{AF83E43C-DD2B-4787-826B-31B17DEE52ED}" = "QTBreadcrumbs"
  -> {HKLM...CLSID} = "QT Breadcrumbs Address Bar"
                   \InProcServer32\(Default) = "mscoree.dll" [MS]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Office\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_07"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_07"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll" ["Sun Microsystems, Inc."]

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Create Mobile Favorite"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
  -> {HKLM...CLSID} = "Create Mobile Favorite"
                   \InProcServer32\(Default) = "C:\Office\MICROS~1\INetRepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
  -> {HKLM...CLSID} = "Create Mobile Favorite"
                   \InProcServer32\(Default) = "C:\Office\MICROS~1\INetRepl.dll" [MS]

{4C826F10-D34B-4BA8-B609-1FB8C6482A05}\
"ButtonText" = "Europa Casino"
"MenuText" = "Europa Casino"
"Exec" = "C:\Spiele\Europa Casino\casino.exe" [null data]

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG8 WatchDog, avg8wd, "C:\SICHER~1\AVG8\avgwdsvc.exe" ["AVG Technologies CZ, s.r.o."]
Cisco Systems, Inc. VPN Service, CVPND, ""C:\Sicherheit\Cisco VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]
O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]
avm:\Driver = "avmprmon.dll" ["AVM Berlin GmbH"]
hpzsnt09\Driver = "hpzsnt09.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2008-12-05 20:46:09)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 48 seconds, including 26 seconds for message boxes)

john.doe · 05.12.2008, 21:23

Zitat:

Leider habe ich vor deinem Post bereits die fraglichen Dateien gelöscht und konnte sie somit nicht mehr hochladen.

Macht nichts. Da sind schon wieder Neue. Also nochmal mit diesen Dateien:

Code:

ATTFilter

C:\WINDOWS\sessmgr.exe
C:\Spiele\Europa Casino\casino.exe

Man könnte fast den Eindruck bekommen, als wenn jemand bei dir auf dem Rechner ist.

Zitat:

Jedenfalls bin ich gerade sehr zuversichtlich, den Trojaner bereits losgeworden zu sein.

Du irrst dich.

Zitat:

C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> No action taken.

Du musst löschen, so steht es auch in der Anleitung.

Zitat:

War mir nicht ganz sicher, wie ich genau verfahren soll. Runterladen, umbenennen, ausführen?

Runterladen, ausführen.

Wir müssen schwerere Geschütze auffahren:
1.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

2.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

3.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

lippo · 05.12.2008, 22:30

Hmmm ... bevor ich mich an ComboFix mache ... ich habe noch einmal einen Anti-Malware-Durchlauf gemacht ... und dieser hat keinen Befund mehr gebracht:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1463
Windows 5.1.2600 Service Pack 3

05.12.2008 22:22:38
mbam-log-2008-12-05 (22-22-38).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 212841
Laufzeit: 1 hour(s), 18 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Soll ich trotzdem noch mit ComboFix loslegen?

john.doe · 05.12.2008, 22:34

Lass zuerst die Dateien überprüfen und mache die anderen Listings. Wichtig ist auch ein neues HJT-Log. Danach sehen wir weiter.

ciao, andreas

lippo · 05.12.2008, 23:25

Die Casino.exe ist clean (habe ich auch irgendwann mal installiert, um mir das mal anzuschauen ^^).

Die andere ist jedoch scheinbar infiziert:

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.12.6.0	2008.12.05	-
AntiVir	7.9.0.42	2008.12.05	-
Authentium	5.1.0.4	2008.12.05	-
Avast	4.8.1281.0	2008.12.04	-
AVG	8.0.0.199	2008.12.05	-
BitDefender	7.2	2008.12.05	-
CAT-QuickHeal	10.00	2008.12.05	-
ClamAV	0.94.1	2008.12.05	-
Comodo	682	2008.12.04	-
DrWeb	4.44.0.09170	2008.12.05	-
eSafe	7.0.17.0	2008.12.04	-
eTrust-Vet	31.6.6245	2008.12.05	-
Ewido	4.0	2008.12.05	-
F-Prot	4.4.4.56	2008.12.04	-
F-Secure	8.0.14332.0	2008.12.05	-
Fortinet	3.117.0.0	2008.12.05	-
GData	19	2008.12.05	-
Ikarus	T3.1.1.45.0	2008.12.05	Trojan.Win32.Tervemoy.A
K7AntiVirus	7.10.545	2008.12.05	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2008.12.05	Heur.Trojan.Generic
McAfee	5455	2008.12.05	Generic.dx
McAfee+Artemis	5455	2008.12.05	Generic.dx
Microsoft	1.4205	2008.12.05	Trojan:Win32/Tervemoy.A
NOD32	3667	2008.12.05	-
Norman	5.80.02	2008.12.05	-
Panda	9.0.0.4	2008.12.05	Suspicious file
PCTools	4.4.2.0	2008.12.05	-
Prevx1	V2	2008.12.05	Cloaked Malware
Rising	21.06.43.00	2008.12.05	-
SecureWeb-Gateway	6.7.6	2008.12.05	-
Sophos	4.36.0	2008.12.05	-
Sunbelt	3.1.1832.2	2008.12.01	-
Symantec	10	2008.12.05	-
TheHacker	6.3.1.2.176	2008.12.05	-
TrendMicro	8.700.0.1004	2008.12.05	-
VBA32	3.12.8.10	2008.12.05	-
ViRobot	2008.12.5.1502	2008.12.05	-
VirusBuster	4.5.11.0	2008.12.05	-
weitere Informationen
File size: 86016 bytes
MD5...: 3c35921112eb22b6d26fb1ece6439fc4
SHA1..: 80e01d90347c52e056fa8ac8831e9597de5167ca
SHA256: 21c0f4085e95d55434ca935828579dfb7e13a9a610dc10b594e12df67b9ad5da
SHA512: e3f4837b25c46432e8f5528e25b79d5a9870068a364d7d84719f21c12c4df213
7e88a6eba3fb1d6927e8533c5e7185a82d578cf9dbda9f95b7bf888781f1e3c7
ssdeep: 1536:0wKxaNmJRzqbPWGHs9gdS+JtIDgdgk0GioR1wQAWob7QCt:0wKgmzklS+SG
gkdK0Ct
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40aba6
timedatestamp.....: 0x48d27ce6 (Thu Sep 18 16:08:06 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf42f 0x10000 6.20 b833e26752ed64cc6916e70c461f5bd1
.rdata 0x11000 0x2002 0x3000 4.09 9583665ecde78f0895632fb19f917dcb
.data 0x14000 0x3798 0x1000 1.46 5c46dbb429244d793f829a243c123cdc

( 6 imports )
> USER32.dll: LoadImageA
> ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegGetKeySecurity, RegOpenKeyExA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, LookupAccountSidA, GetTokenInformation, OpenProcessToken
> WS2_32.dll: -, -
> WININET.dll: InternetReadFile, h**pQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA
> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree
> KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect, GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP, GetSystemDirectoryA, GetProcessPriorityBoost, GetFileTime, CreateDirectoryA, OpenProcess, GetFileType, GetVolumeInformationA, GetStartupInfoA, OpenMutexA, CreateMutexA, CloseHandle, GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError, GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess, SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree, CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA, GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind, GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree, SetFilePointer, LoadLibraryA, InterlockedExchange, VirtualQuery, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, VirtualAlloc

( 0 exports )
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=AB2C12160096C55E50F30123A364C90029A91720' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=AB2C12160096C55E50F30123A364C90029A91720</a>
CWSandbox info: <a href='h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=3c35921112eb22b6d26fb1ece6439fc4' target='_blank'>h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=3c35921112eb22b6d26fb1ece6439fc4</a>

Dann habe ich noch einmal den Silentrunner beschäftigt und auch die listing8.cmd ausgeführt und die Ergebnisse auf meinem Webspace abgelegt:
http://home.arcor.de/psycho_lippo/listing.txt
http://home.arcor.de/psycho_lippo/silentrunner.txt

Und zu guter Letzt noch ein einmal das HijackThisLog:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:38:03, on 05.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\SICHER~1\AVG8\avgwdsvc.exe
C:\Sicherheit\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\SICHER~1\AVG8\avgrsx.exe
C:\System Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Sicherheit\TrueCrypt\TrueCrypt.exe
C:\Office\Microsoft ActiveSync\Wcescomm.exe
C:\System Programme\RocketDock\RocketDock.exe
C:\Office\MICROS~1\rapimgr.exe
C:\System Programme\Copy Handler\ch.exe
C:\Treiber\Logitech\SetPoint\SetPoint.exe
C:\Treiber\USBKVM Switcher\USBKVM.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Benutzer\lippo\Desktop\Filemon\Filemon.exe
C:\Benutzer\lippo\Desktop\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Office\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Sicherheit\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\System Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\SICHER~1\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKCU\..\Run: [TrueCrypt] "C:\Sicherheit\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Office\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\System Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Copy Handler] C:\System Programme\Copy Handler\ch.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Treiber\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: USBKVM Switcher.lnk = C:\Treiber\USBKVM Switcher\USBKVM.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Office\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Office\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208078997812
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Sicherheit\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\SICHER~1\AVG8\avgwdsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Sicherheit\Cisco VPN Client\cvpnd.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 8710 bytes

john.doe · 05.12.2008, 23:45

Es gefällt mir nicht, das MAM den nicht erkannt hat. Selbst wenn kein Antivirenprogramm angesprungen wäre, das muss einer sein. Auf die Schnelle hab ich auch nichts dazu gefunden.

Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'Default user')

=> Fix checked

Neustart => Kontrolliere ob sie weg sind. Die Listings schaue ich mir gleich noch an.

Mache in der Zwischenzeit mal zwei Onlinescans bei:

Kaspersky Online-Scanner und
Prevx CSI - FREE Malware Scanner

Poste die Logs!

ciao, andreas

john.doe · 06.12.2008, 00:31

Kann es sein, dass du um 18:30 Uhr ein Windowsupdate gefahren hast? Es geht mir um diese Datei: nhcdriver.sys

Lass folgende Dateien bei Virustotal überprüfen:

Code:

ATTFilter

C:\Benutzer\lippo\Anwendungsdaten\cmstp.exe
C:\Benutzer\lippo\Anwendungsdaten\mstinit.exe
C:\WINDOWS\system32\KGyGaAvL.sys

und poste die Ergebnisse.

ciao, andreas

lippo · 06.12.2008, 10:16

Guten Morgen,
ich bin doch ehrlich gesagt etwas schockiert, dass sich diese Biester so tief bei mir eingegraben haben. Sind ja überall ...

Erst einmal habe ich mich daran gemacht die sessmgr und die Breadcrumps Adressbar Einträge zu entfernen ... nach einem Neustart sind sie auch nicht wieder aufgetaucht, wie das Log zeigt:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:46:28, on 06.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\SICHER~1\AVG8\avgwdsvc.exe
C:\Sicherheit\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\oodag.exe
C:\SICHER~1\AVG8\avgrsx.exe
C:\System Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\SICHER~1\AVG8\avgtray.exe
C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Sicherheit\TrueCrypt\TrueCrypt.exe
C:\Office\Microsoft ActiveSync\Wcescomm.exe
C:\System Programme\RocketDock\RocketDock.exe
C:\System Programme\Copy Handler\ch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Treiber\Logitech\SetPoint\SetPoint.exe
C:\Office\MICROS~1\rapimgr.exe
C:\Treiber\USBKVM Switcher\USBKVM.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Benutzer\lippo\Desktop\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Office\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Sicherheit\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\System Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\SICHER~1\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKCU\..\Run: [TrueCrypt] "C:\Sicherheit\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Office\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\System Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Copy Handler] C:\System Programme\Copy Handler\ch.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Treiber\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: USBKVM Switcher.lnk = C:\Treiber\USBKVM Switcher\USBKVM.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Office\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Office\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208078997812
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Sicherheit\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\SICHER~1\AVG8\avgwdsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Sicherheit\Cisco VPN Client\cvpnd.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 8674 bytes

Danach habe ich mich daran gemacht die Dateien bei Virustotal zu scannen. Die cmstp und msinit sind beide infiziert ... wie soll ich mit solchen Dateien eigentlich verfahren? Löschen? Die C:\WINDOWS\sessmgr.exe gibt es ja auch noch.

cmstp.exe

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.12.6.0	2008.12.06	-
AntiVir	7.9.0.42	2008.12.05	-
Authentium	5.1.0.4	2008.12.06	-
Avast	4.8.1281.0	2008.12.06	-
AVG	8.0.0.199	2008.12.05	-
BitDefender	7.2	2008.12.06	-
CAT-QuickHeal	10.00	2008.12.06	-
ClamAV	0.94.1	2008.12.06	-
Comodo	692	2008.12.05	-
DrWeb	4.44.0.09170	2008.12.06	-
eSafe	7.0.17.0	2008.12.04	-
eTrust-Vet	31.6.6246	2008.12.05	-
Ewido	4.0	2008.12.05	-
F-Prot	4.4.4.56	2008.12.04	-
F-Secure	8.0.14332.0	2008.12.06	-
Fortinet	3.117.0.0	2008.12.06	-
GData	19	2008.12.06	-
Ikarus	T3.1.1.45.0	2008.12.06	Trojan.Win32.Tervemoy.A
K7AntiVirus	7.10.545	2008.12.05	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2008.12.06	Heur.Trojan.Generic
McAfee	5455	2008.12.05	Generic.dx
McAfee+Artemis	5455	2008.12.05	Generic.dx
Microsoft	1.4205	2008.12.06	Trojan:Win32/Tervemoy.A
NOD32	3668	2008.12.06	-
Norman	5.80.02	2008.12.05	-
Panda	9.0.0.4	2008.12.05	Suspicious file
PCTools	4.4.2.0	2008.12.05	-
Prevx1	V2	2008.12.06	Cloaked Malware
Rising	21.06.50.00	2008.12.06	-
SecureWeb-Gateway	6.7.6	2008.12.06	-
Sophos	4.36.0	2008.12.06	-
Sunbelt	3.1.1832.2	2008.12.01	-
Symantec	10	2008.12.06	-
TheHacker	6.3.1.2.178	2008.12.06	-
TrendMicro	8.700.0.1004	2008.12.05	-
VBA32	3.12.8.10	2008.12.05	-
ViRobot	2008.12.6.1503	2008.12.06	-
VirusBuster	4.5.11.0	2008.12.05	-
weitere Informationen
File size: 86016 bytes
MD5...: 3c35921112eb22b6d26fb1ece6439fc4
SHA1..: 80e01d90347c52e056fa8ac8831e9597de5167ca
SHA256: 21c0f4085e95d55434ca935828579dfb7e13a9a610dc10b594e12df67b9ad5da
SHA512: e3f4837b25c46432e8f5528e25b79d5a9870068a364d7d84719f21c12c4df213
7e88a6eba3fb1d6927e8533c5e7185a82d578cf9dbda9f95b7bf888781f1e3c7
ssdeep: 1536:0wKxaNmJRzqbPWGHs9gdS+JtIDgdgk0GioR1wQAWob7QCt:0wKgmzklS+SG
gkdK0Ct
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40aba6
timedatestamp.....: 0x48d27ce6 (Thu Sep 18 16:08:06 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf42f 0x10000 6.20 b833e26752ed64cc6916e70c461f5bd1
.rdata 0x11000 0x2002 0x3000 4.09 9583665ecde78f0895632fb19f917dcb
.data 0x14000 0x3798 0x1000 1.46 5c46dbb429244d793f829a243c123cdc

( 6 imports )
> USER32.dll: LoadImageA
> ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegGetKeySecurity, RegOpenKeyExA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, LookupAccountSidA, GetTokenInformation, OpenProcessToken
> WS2_32.dll: -, -
> WININET.dll: InternetReadFile, h**pQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA
> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree
> KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect, GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP, GetSystemDirectoryA, GetProcessPriorityBoost, GetFileTime, CreateDirectoryA, OpenProcess, GetFileType, GetVolumeInformationA, GetStartupInfoA, OpenMutexA, CreateMutexA, CloseHandle, GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError, GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess, SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree, CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA, GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind, GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree, SetFilePointer, LoadLibraryA, InterlockedExchange, VirtualQuery, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, VirtualAlloc

( 0 exports )
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=AB2C12160096C55E50F30123A364C90029A91720' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=AB2C12160096C55E50F30123A364C90029A91720</a>
CWSandbox info: <a href='h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=3c35921112eb22b6d26fb1ece6439fc4' target='_blank'>h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=3c35921112eb22b6d26fb1ece6439fc4</a>

Zu dem Windowsupdate, dass ist ein interessanter Punkt. Ich habe das automatische Update nämlich deaktiviert, da ich Probleme damit hatte - eine svhost hatte 99% wenn er updaten wollte. Dachte es handle sich dabei um ein Problem von Windows und wollte dies mit WindowsFixes beseitigen (gibt hierzu ja ein bekanntes Problem). Hat jedoch nichts geholfen, deswegen habe ich es immer manuell angestoßen ... wenn updates auf meinem anderen Rechner waren.

Als mir das aufgefallen ist, habe ich natürlich auch die svhost auf einen Virus überprüft (bei Virustotal), habe aber nichts gefunden.

Werde mich dann mal daran machen die OnlineScanner zu mobilisieren.

undoreal · 06.12.2008, 11:06

Halli hallo.

@ john.doe: Ist dir eigentlich klar was du hier grade versuchst zu bereinigen?
Ich denke nicht oder?
Du versuchst einen SdBot zu beseitigen der über IRC Kanäle wahrscheinlich die ganze Zeit munter mit seinem Schöpfer kommuniziert.
Ich tippe auf einen W32/Tilebot der mitlerweile fleißig Malware nachgeladen hat.
Wenn man sich traut sowas zu bereinigen dann sollte man das ganze etwas anders angehen..

@ lippo: Ich empfehle dir dringend deinen Rechner physikalisch vom Internet zu trennen! Das heisst LAN-Kabel ziehen! Der Schädling spioniert dich nämlich grade fleißig aus...

Danach ist die einzig sichere Variante den Rechner platt zu machen. Alles andere wäre ziemlich sinnfrei und mit einem hohen Risiko behaftet.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

lippo · 06.12.2008, 12:34

Bis eben dachte ich, dass ich heute Nachmittag endlich wieder arbeiten könnte. Jetzt klingt es jedoch mehr nach, dass mein WE für die Neuinstallation draufgehen wird. Denn leider habe ich viele wichtige Dateien auf dem Rechner, die ich natürlich erst mal sichern (und laut Anleitung auch noch scannen müsste).

Ich habe gerade das MBR-Tool über die Batch-Datei gestartet und folgendes Log herausbekommen:

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Gibt es den die Möglichkeit meinen Rechner von einem Livesystem zu scannen, um herauszufinden was gerade so auf meinem Rechner vorgeht? Außerdem gäbe es doch auch die Möglichkeit den Netzwerkverkehr zu überwachen oder?

Ach so ... den Kaspersky Scanner kriege ich nicht zum Laufen, der sagt immer das meine Lizenz abgelaufen sei und beim anderen Link, dort finde ich nur einen Scanner zum Download.

Und ich glaube mittlerweile auch nicht, dass ein Rootkit auf dem Rechner ist - immerhin meldet Blacklight nichts.

undoreal · 06.12.2008, 12:50

Zitat:

Ich habe gerade das MBR-Tool über die Batch-Datei gestartet und folgendes Log herausbekommen:

gut, dann kannst du weitermachen das System neuaufzusetzen..

Zitat:

dass ich heute Nachmittag endlich wieder arbeiten könnte. Jetzt klingt es jedoch mehr nach, dass mein WE für die Neuinstallation draufgehen wird.

Neuaufsetzen geht schneller als den Müll zu bereinigen!

Zitat:

Gibt es den die Möglichkeit meinen Rechner von einem Livesystem zu scannen, um herauszufinden was gerade so auf meinem Rechner vorgeht?

Die gibt es; wird aber nichts bringen.

Zitat:

Außerdem gäbe es doch auch die Möglichkeit den Netzwerkverkehr zu überwachen oder?

Wie und womit? Wenn das so einfach wäre...
Die Schädlinge Tunneln die Überwachung oder arbeiten über eine reverse Connection.

Zitat:

Ach so ... den Kaspersky Scanner kriege ich nicht zum Laufen, der sagt immer das meine Lizenz abgelaufen sei und beim anderen Link, dort finde ich nur einen Scanner zum Download.

Brauchst du eh nicht mehr... Der online Scanner taugt sowieso nicht viel...

Zitat:

Und ich glaube mittlerweile auch nicht, dass ein Rootkit auf dem Rechner ist - immerhin meldet Blacklight nichts.

Blacklight findet vllt. 10% aller Rootkits!

Und selbst mächtige Tools wie GMER können hintergangen werden...

Übrigens glaube ich auch nicht, dass bei dir ein Rootkit läuft...

lippo · 06.12.2008, 13:04

Zitat:

Die gibt es; wird aber nichts bringen.

Ok ... du bist der Profi ^^ ... allerdings würde mich die Analyse trotzdem reizen, da ich im Netzwerk (in dem sich auch der infizierte Laptop befindet), noch zwei weitere Rechner habe (unter anderem, der von dem ich schreibe) und diese dann doch auch gerne einmal checken würde.

Zitat:

Wie und womit? Wenn das so einfach wäre...
Die Schädlinge Tunneln die Überwachung oder arbeiten über eine reverse Connection.

Ich dachte hier erst einmal an Wireshark, wobei es natürlich schwierig ist vom versuchten System aus damit zu agieren. Alternativ könnte ich im ProzessExplorer einmal schauen welche Prozesse nach draußen funken. Weil sich so ein Trojaner ja nicht ohne Rootkit als Prozess verstecken kann - oder?

spoolsv.exe im Tempverzeichnis

Log-Analyse und Auswertung: spoolsv.exe im Tempverzeichnis