|
Plagegeister aller Art und deren Bekämpfung: TR/Spy.Banker.vk.1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.03.2009, 09:10 | #1 |
| TR/Spy.Banker.vk.1 Hallo zusammen. Mein Bruder war gestern auf der Google-Bildersuche und als er ein Bild anklickte, sprang AntiVir an und behauptete dreist, den Trojaner TR/Spy.Banker.vk.1 im Firefox-Browser-Cache gefunden zu haben. Sofort wurde die Verbindung (Router) gekappt, alle Stecker gezogen und erstmal mit AntiVir das ganze System gescannt. Dabei fand AntiVir zwar keinen Trojaner mehr, aber diesen Schädling: HTML/PicFrame.Gen und zwar in einer 3 Jahre alten jpg-Datei auf meinem Rechner. Fehlalarm? Ich setze alle Sicherheitsvorschläge dieser Seite um (surfen mit eingeschränktem Konto, unnötige Dienste ausschalten, immer die neuesten Software- und Microsoft-Sicherheitsupdates...etc. etc.), Brain.exe natürlich auch aktiviert. Das System habe ich mittlerweile mit Malwarebyte's Anti-Malware, AntiVir, Microsofts-Malware-Removetool, einem Rootkitscanner und Adaware gescannt und dabei ist nichts rausgekommen. Habe auch bei heise.de meine Ports scannen lassen und alles ist dicht. Nun wäre es nett, wenn sich mal die Spezialisten meinen Hijack-This-Log von heute morgen mal ansehen könnten. Ich finde zwar nichts ungewöhliches, aber das muss nichts heissen. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:23:25, on 06.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\SLEE401.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\Brmfl05a\BrStDvPt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\internet\Zone Labs\ZoneAlarm\zlclient.exe D:\Handy\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe D:\Sicherheit\HiJackThis\pruefcom.exe O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [LanguageShortcut] d:\Multimedia\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\internet\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Handy\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Google Update Service (gupdate1c995efc16e3a5e) (gupdate1c995efc16e3a5e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE401.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6016 bytes Im Vorraus recht vielen Dank für Eure Arbeit und Mühe. Grüße Nez_Perces |
06.03.2009, 16:58 | #2 |
| TR/Spy.Banker.vk.1 Sollten Angaben fehlen oder man der Meinung sein, dass sich der Post der näheren Betrachtung nicht lohnt, dann würden 1-2 Sätze schon reichen.
__________________Ich bin mir nur nicht sicher, wie sicher mein System nun ist, da ich irgendwo mal gelesen habe, dass dieser Trojaner über eine Backdoor-Funktion verfügen soll (tun das nicht alle Trojaner??). Danke. Nez_Perces PS: Das ich den I-Explorer 6 noch drauf habe, weiss ich auch, aber ich surfe nicht mit ihm und verbiete ihm über die Firewall auch alle Aktivitäten ins Weltnetz. Dürfte also kein Problem sein, denke ich. PPS: Hier der Pfad unter welchem der vermeindliche Trojaner entdeckt wurde: 'C:\Dokumente und Einstellungen\W-W-W\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\m6r5lnhb.default\Cache\2F60B116d01' Geändert von Nez_Perces (06.03.2009 um 17:32 Uhr) |
06.03.2009, 18:08 | #3 |
| TR/Spy.Banker.vk.1 Dein Java ist wohl veraltet, lade dir die neueste Version runter. Und der Internet Explorer sollte dennoch immer aktuell gehalten werden.
__________________Nutzt du NoScript für den Firefox? Wenn nicht solltest du dieses Addon installieren. Zum Abschluss kannst du ja noch SUPERAntiSpyware laden, es updaten und im abgesicherten Modus scannen lassen. Hier sind noch Infos zum Spy.Banker.vk.1 --> http://www.avira.com/de/threats/section/fulldetails/id_vir/2754/tr_spy.banker.vk.1.html Ps.: Malwarebytes und auch andere Programme am besten als Administrator updaten lassen, denn ich habe bei mir festgestellt, das Malwarebytes die Updates nicht korrekt macht, wenn ich mit eingeschränkten Rechten update. Er sagt dann, dass er erfolgreich von 1822 auf 1822 geupdatet hat (nur als Beispiel). |
06.03.2009, 18:44 | #4 |
| TR/Spy.Banker.vk.1 Danke für Deine Antwort, Kaos. :-) NoScript für den Firefox nutze ich schon lange, da bin ich gleich auf Nummer sicher gegangen. Das mit Malwarebytes habe ich auch herausgefunden und lade mir die neuesten Updates auch nur noch mit Admin-Rechten. Den Avira-Link kenne ich und habe aber in meiner Registry keine der dort beschriebenen Änderungen entdecken können. SUPERAntiSpyware habe ich mir jetzt runtergeladen und werde es dann mal durchlaufen lassen. Das Ergebnis werde ich hier posten. Java und den Explorer werde ich auch updaten. Nochmals vielen Dank für Deine Antwort/Hilfe. :-) |
09.03.2009, 08:36 | #5 |
| TR/Spy.Banker.vk.1 Nachdem SuperAntiMalware zwar die beiden obengenannten Schädlinge nicht gefunden hat, dafür aber einen anderen Trojaner, habe ich mich entschlossen das System platt zu machen. Da dies nun geschehen ist und ich am Neuaufsetzen bin, kann dieser Thread geschlossen werden. Nochmals ein Dankeschön an Kaos für die Hilfe. |
11.03.2009, 11:01 | #6 |
| TR/Spy.Banker.vk.1 Wäre unser Leben nicht so stark vom PC und Internet bestimmt, dann wäre einiges einfacher.... Mein System ist neu aufgesetzt und alle Programme, die ich bisher installiert habe, stammen aus sicheren Quellen (CHIP-Internetseite oder PC-Magazin-Heft-DVD). Mittels CHIP-Updater habe ich alle notwendigen Sicherheits-Patches von Microsoft heruntergeladen und installiert. Dann habe ich AntiVir und Malwarebytes Antimalware ge-updated, durchlaufen lassen und mit HijackThis und GMER mal ein Scan gemacht. Hier die Log-Files: HiJackThis Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:07:48, on 11.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\winsys2.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\WINDOWS\RTHDCPL.EXE D:\Internet\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\SearchProtocolHost.exe D:\Sicherheit\HiJackThis\pruefcom.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] d:\Drucker\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Internet\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] d:\Sicherheit\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Sicherheit\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O20 - Winlogon Notify: !SASWinLogon - D:\Sicherheit\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4503 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1749 Windows 5.1.2600 Service Pack 3 11.03.2009 07:07:12 mbam-log-2009-03-11 (07-07-07).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 90707 Laufzeit: 11 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\XXX\services.reg (Heuristics.Reserved.Word.Exploit) -> No action taken. Code:
ATTFilter GMER 1.0.14.14116 - http://www.gmer.net Rootkit scan 2009-03-11 07:15:28 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwConnectPort [0xB04E88C0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateFile [0xB04E56D0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateKey [0xB04F24C0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreatePort [0xB04E8E80] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateProcess [0xB04EFC70] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateProcessEx [0xB04EFE80] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateSection [0xB04F3D80] SSDT BAF8BAA4 ZwCreateThread SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateWaitablePort [0xB04E8F70] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwDeleteFile [0xB04E5C60] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwDeleteKey [0xB04F2D40] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwDeleteValueKey [0xB04F2AF0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwDuplicateObject [0xB04EF5F0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwLoadKey [0xB04F3260] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwLoadKey2 [0xB04F32E0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwOpenFile [0xB04E5AC0] SSDT BAF8BA90 ZwOpenProcess SSDT BAF8BA95 ZwOpenThread SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwRenameKey [0xB04F39A0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwReplaceKey [0xB04F3400] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwRequestWaitReplyPort [0xB04E84E0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwRestoreKey [0xB04F37F0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwSecureConnectPort [0xB04E8A90] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwSetInformationFile [0xB04E5E90] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwSetValueKey [0xB04F2830] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwSystemDebugControl [0xB04F0570] SSDT \??\D:\Sicherheit\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB0473F20] SSDT BAF8BA9A ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2C7C 80504518 12 Bytes [ 80, 8E, 4E, B0, 70, FC, 4E, ... ] ? srescan.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.14 ---- .text C:\WINDOWS\system32\SearchIndexer.exe[652] kernel32.dll!WriteFile 7C810E17 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation) ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ---- Devices - GMER 1.0.14 ---- Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.14 ---- Der Fund von Malwarebytes AntiMalware macht mich stutzig, aber vor allem das Log-File von GMER schockt mich richtig. Leider reichen meine Kenntnisse nicht aus, es richtig zu deuten, aber wie kann das sein, dass so viele Einträge bei einem frisch aufgesetzten System vorhanden sind?? Ich hoffe, Ihr könnt mir, wie schon so oft, helfen. Vielen Dank für Eure Mühe und Arbeit im Vorraus. Nez_Perces PS: Bin jetzt daheim schon seit Tagen ohne funktionierenden Rechner, da ich nur Abends mich ans Neuaufsetzen machen kann. |
11.03.2009, 11:36 | #7 |
| TR/Spy.Banker.vk.1 Update mal Malwarebytes, lass dann noch mal laufen....wir sind nämlich bereits bei 1835 |
11.03.2009, 11:42 | #8 |
| TR/Spy.Banker.vk.1 Hallo Redwulf, Danke für Deine Antwort. Malwarebytes habe ich eigentlich kurz vor dem Scan, im Admin-Modus, ge-updated. Dachte, dass würde so ok sein. Ich werde es nochmal updaten. Bloss bin ich im Moment bei der Arbeit und komme erst in der Mittagspause dazu. Kann mir vielleicht jemand die vielen Einträge beim gmer-Scan erklären? Verstehe das nicht. Danke. PS: Den CCleaner hatte ich vor den Scans auch ausgeführt. Die Liste aller auf meinem Rechner installierten Programme werde ich nach der Mittagspause nachreichen. Manchmal könnte ich den Rechner einfach aus dem Fenster werfen...... Geändert von Nez_Perces (11.03.2009 um 12:13 Uhr) |
11.03.2009, 12:27 | #9 |
| TR/Spy.Banker.vk.1 Passiert offensichtlich beim Quick Scan. Ich erinnere mich, dass dies mal bei Malwarebytes diskutiert wurde. Passiert wenn Mlawarebytes in Ordner guckt in die es nicht gucken sollte, in deinem Fall wohl in die Uninstall ordner? Vieleicht gibts heir ne andere Meinung noch dazu, aber ich würd sagen Fehlalarm....... Mach mal nen Vollscan |
11.03.2009, 12:33 | #10 |
| TR/Spy.Banker.vk.1 Das dachte ich mir auch schon. Übrigends habe ich eben gesehen, dass ich letztes Jahr einen ähnlichen Fall hatte, wo Malwarebytes mir "services.reg" moniert hatte. In meinem Nachrichtenordner hier ist noch ein Schriftwechsel mit myrtille, die mir damals sehr geholfen hat (ein großes Dankeschön an Dich, myrtille, nochmals! ), wo es um das Problem mit der "service.reg" ging. Ok, dann könnte das ein Fehlalarm gewesen sein. Ich werde später trotzdem nochmal einen Scan mit Malwarebytes machen und den Log hier posten. Hoffentlich kann mir noch jemand etwas zum gmer-Log sagen. *piep* Rechner! |
11.03.2009, 14:42 | #11 |
| TR/Spy.Banker.vk.1 So, ich war in der Mittagspause daheim und habe Malwarebytes AntiMalware ge-updated. Auch mit der aktuellen Version fand es in der Datei "services.reg" den (Heuristics.Reserved.Word.Exploit). Ich habe die Datei bei virustotal.com hochgeladen und deren Scan hat keinen Treffer ergeben. Die Datei wurde erstellt, als ich das Script zum abschalten unnötiger Windows-Dienste ausgeführt hatte. Also denke ich, dass es sich hier um einen Fehlalarm handelt. Was allerdings die vielen Einträge beim Gmer-Log sollen, verstehe ich immer noch nicht. Hoffentlich kann mir da einer helfen. Hier noch die HiJackThis-Liste meiner installierten Programme: Code:
ATTFilter 7-Zip 4.65 Avira AntiVir Personal - Free Antivirus Brother MFL-Pro Suite CCleaner (remove only) CHIP Update-Manager HijackThis 2.0.2 Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix for Windows XP (KB915800-v4) Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB952287) Hotfix für Windows XP (KB961118) IrfanView (remove only) Malwarebytes' Anti-Malware Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU Microsoft .NET Framework 3.0 German Language Pack Microsoft .NET Framework 3.0 German Language Pack Microsoft .NET Framework 3.0 Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU Microsoft .NET Framework 3.5 Language Pack SP1 - deu Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 SP1 Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Word 2000 Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket Mozilla Firefox (3.0.7) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) MSXML 6.0 Parser Nero 7 Essentials NVIDIA Drivers PaperPort Realtek High Definition Audio Driver Sicherheitsupdate für Step by Step Interactive Training (KB898458) Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2) Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows Media Player 9 (KB911565) Sicherheitsupdate für Windows Media Player 9 (KB917734) Sicherheitsupdate für Windows XP (KB923789) Sicherheitsupdate für Windows XP (KB938464-v2) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960715) SpeedCommander 7 SUPERAntiSpyware Free Edition Update für Windows XP (KB943729) Update für Windows XP (KB951978) Update für Windows XP (KB955839) Update für Windows XP (KB967715) VC 9.0 Runtime Wichtiges Update für Windows Media Player 11 (KB959772) Windows Imaging Component Windows Internet Explorer 7 Windows Media Format 11 runtime Windows Media Format 11 runtime Windows Media Format SDK Hotfix - KB891122 Windows Media Player 11 Windows Media Player 11 Windows Presentation Foundation Windows Presentation Foundation Language Pack (DEU) Windows Search 4.0 Windows XP Service Pack 3 XML Paper Specification Shared Components Language Pack 1.0 ZoneAlarm Danke für Euer Verständnis. |
11.03.2009, 17:08 | #12 |
| TR/Spy.Banker.vk.1 Es ist alles ok, du durchlebst grad eine harte Zeit und wirst neurotisch.... Ist mir auch so ergangen,,,, Die GMER Einträge sind auch vollkommen ok,dir jetzt die Einträge alle im einzelnen zu erklären würde voraussichtlich bis morgen früh dauern. Ich persönlich würde die Zonealarm Firewall nicht nutzen. Die von Windows reicht vollkommen aus. |
11.03.2009, 18:10 | #13 |
| TR/Spy.Banker.vk.1Eine tolle Nachricht! Danke für Deine Hilfe! Ja, ich reagiere wirklich schnell neurotisch, wenn es um die "Sauberkeit" meines Systems geht. Aber besser ich bin etwas neurotisch als, dass mein Rechner als Teil eines Botnetzes endet. |
11.03.2009, 18:16 | #14 |
| TR/Spy.Banker.vk.1 Recht hast du...viel Glück Zum Abschluß möchte ich dir die gutgemeinten Hinweise in diesem Board ans Herz legen. Admin wir sind fertig |
11.03.2009, 18:31 | #15 |
| TR/Spy.Banker.vk.1 Fettich....... |
Themen zu TR/Spy.Banker.vk.1 |
antivir, avira, bho, button, controlcenter, dateien, dll, explorer, fehlalarm, google update, gupdate, hijackthis, hkus\s-1-5-18, internet, internet explorer, nvidia, ports, programme, rootkitscanner, router, rundll, schädling, seite, solution, sp3, surfen, system, system32, trojaner, windows, windows xp |