|
Plagegeister aller Art und deren Bekämpfung: Problem mit SilentBanker TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.03.2009, 12:52 | #1 |
| Problem mit SilentBanker Trojaner Hallo zusammen, ich bin neu hier und hab auch gleich ne Nuss in Form eines SilentBanker Trojaners vor mir, die ich einfach nicht geknackt bekomme bzw. der zwar von Avira erkannt wird, aber scheinbar nicht gelöscht werden kann. Ich hab auch gleich mal eure Anleitung befolgt und hoffe ihr könnt mir mit Hilfe der nachfolgenden Logfiles helfen das Teil von meinem System zu entfernen. Malwarebytes' Anti-Malware: Code:
ATTFilter Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1825 Windows 5.1.2600 Service Pack 3 07.03.2009 12:35:57 mbam-log-2009-03-07 (12-35-52).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 218318 Laufzeit: 1 hour(s), 6 minute(s), 19 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 9 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\NETWOR~1\ANWEND~1\MACROM~1\Common\297d80241.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\NETWOR~1\ANWEND~1\MACROM~1\Common\297d80241.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\NETWOR~1\ANWEND~1\MACROM~1\Common\297d80241.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\NETWOR~1\ANWEND~1\MACROM~1\Common\297d80241.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\297d80241.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\NETWOR~1\ANWEND~1\MACROM~1\Common\297d80241.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\NETWOR~1\ANWEND~1\MACROM~1\Common\297d80241.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\NETWOR~1\ANWEND~1\MACROM~1\Common\297d80241.dll) Good: (wdmaud.drv) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Hijackthis Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:38:11, on 07.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe c:\programme\lenovo\system update\suservice.exe C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe C:\WINDOWS\System32\TPHDEXLG.EXE C:\WINDOWS\system32\TpKmpSVC.exe C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\TpShocks.exe C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe C:\Programme\Lenovo\Client Security Solution\cssauth.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe C:\Program Files\Digital Line Detect\DLG.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\Programme\Notepad++\notepad++.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\Acrobat.exe C:\DOKUME~1\xxxxxx\LOKALE~1\Temp\Adobelm_Cleanup.0001 C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe C:\DOKUME~1\xxxxxx\LOKALE~1\Temp\Adobelm_Cleanup.0001 C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.lenovo.com/welcome/thinkpad R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.lenovo.com/welcome/thinkpad R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: ThinkVantage Password Manager - {F040E541-A427-4CF7-85D8-75E3E0F476C5} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe O4 - HKLM\..\Run: [cssauth] "C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\297d80241.dll"" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Digital Line Detect.lnk = ? O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll O9 - Extra 'Tools' menuitem: ThinkVantage Password Manager... - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: System Update - {DA320635-F48C-4613-8325-D75A933C549E} - C:\Programme\Lenovo\System Update\sulauncher.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.lenovo.com/welcome/thinkpad O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing) O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: System Update (SUService) - - c:\programme\lenovo\system update\suservice.exe O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - C:\Programme\Tomcat 5.5\bin\tomcat5.exe O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe O23 - Service: tvtnetwk - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe -- End of file - 14816 bytes Uninstall List von Hijackthis: Code:
ATTFilter <oXygen/> XML Editor 8.2 7-Zip 4.57 Access Help Ad-Aware Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) Adobe Bridge 1.0 Adobe Common File Installer Adobe Creative Suite 2 Adobe Flash Player 10 Plugin Adobe Flash Player ActiveX Adobe Help Center 1.0 Adobe Reader 8.1.2 - Deutsch Adobe Stock Photos 1.0 AnyDVD Apache Tomcat 5.5 (remove only) Apple Mobile Device Support Apple Software Update AVI2MPEG Avira AntiVir Personal - Free Antivirus BitComet FLV Converter 1.0 Bonjour CCleaner (remove only) CDex extraction audio Cimaware OfficeFIX 6 Client Security Solution DesignPro 5 Dienstprogramm 'ThinkPad-Tastaturanpassung' Diskeeper Lite DVDFab Platinum 3.2.0.0 Ghosthunter release ElsterFormular 2008/2009 Ergänzung zu Productivity Center für ThinkPad FileZilla Client 3.0.5.2 Firebird SQL Server - MAGIX Edition 2.0.0.1 (D) Funktion "TrackPoint-Eingabehilfen" GTK+ Runtime 2.12.8 rev a (nur entfernen) Help Center HijackThis 2.0.2 Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix für Windows Internet Explorer 7 (KB947864) Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB952287) Intel(R) Graphics Media Accelerator Driver Intel(R) PROSet/Wireless Software InterVideo WinDVD InterVideo WinDVD Creator 3 IrfanView (remove only) iTunes J2SE Development Kit 5.0 Update 15 J2SE Runtime Environment 5.0 Update 15 J2SE Runtime Environment 5.0 Update 6 Java(TM) 6 Update 7 MagicDraw UML 15.0 sp1 MAGIX Online Druck Service MAGIX Video deluxe 2006 e-version (D) Malwarebytes' Anti-Malware mCore mDriver Message Center Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft .NET Framework 2.0 Service Pack 1 Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Office Professional Edition 2003 Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Visual C++ 2005 Redistributable mMHouse MozBackup 1.4.7 Mozilla Firefox (3.0.7) Mozilla Sunbird (0.8) Mozilla Thunderbird (2.0.0.19) mPfMgr mProSafe MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) mWlsSafe mXML Nero 7 Ultra Edition Notepad++ Nvu 1.0 PC-Doctor 5 für Windows Pidgin PS3 Video 9 2.25 QuickTime Rescue and Recovery Sibelius Scorch (all browsers) Sicherheitsupdate für Step by Step Interactive Training (KB923723) Sicherheitsupdate für Windows Internet Explorer 7 (KB938127) Sicherheitsupdate für Windows Internet Explorer 7 (KB950759) Sicherheitsupdate für Windows Internet Explorer 7 (KB953838) Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player 10 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB960715) SoundMAX Spybot - Search & Destroy SSH Secure Shell Stylus Studio 2008 XML Enterprise Suite Release 2 Suite Specific System Migration Assistant System Update ThinkPad Bluetooth with Enhanced Data Rate Software ThinkPad Energie-Manager ThinkPad FullScreen Magnifier ThinkPad Modem ThinkPad PC Card Power Policy ThinkPad Power Management Driver ThinkPad UltraNav Driver ThinkPad-Konfiguration ThinkPad-Präsentationsdirektor ThinkPad-UltraNav-Assistent ThinkVantage Access Connections ThinkVantage Productivity Center ThinkVantage System für aktiven Festplattenschutz ThinkVantage System Update Toolbar Button for IE ThinkVantage Technologies Welcome Message Trillian TuneUp Utilities 2006 TV-Browser 2.7.1 UltraCompare Professional UltraEdit-32 Update für Windows XP (KB951072-v2) Update für Windows XP (KB951978) Update für Windows XP (KB955839) Update für Windows XP (KB967715) VideoLAN VLC media player 0.8.6f Winamp Windows Media Connect Windows Media Format 11 runtime Windows Media Format 11 runtime Windows Media Player 11 Windows Media Player 11 Windows XP Service Pack 3 Xilisoft AVI MPEG Converter XP Themes Viele Grüße, Masipulami |
07.03.2009, 14:07 | #2 |
| Problem mit SilentBanker Trojaner Hier mal noch ein Auszug ausm Avira-Log:
__________________Code:
ATTFilter C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP265\A0064734.dll [FUND] Ist das Trojanische Pferd TR/Silentbanker.P [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP265\A0064757.dll [FUND] Ist das Trojanische Pferd TR/Silentbanker.P [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP265\A0064758.dll [FUND] Ist das Trojanische Pferd TR/Silentbanker.P [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\297d80241.dll [FUND] Ist das Trojanische Pferd TR/Silentbanker.P [HINWEIS] Die Datei wurde gelöscht. |
07.03.2009, 14:13 | #3 |
| Problem mit SilentBanker Trojaner Hallo und
__________________Ich hoffe, du hast das hier gelesen: Silent Banker: Online-Bankraub in aller Stille - PC-WELT Eine Neuinstallation ist schneller und sicherer. Falls du es doch versuchen möchtest, dann: 1.) Deinstalliere (Start=> Systemsteuerung=>Software) folgende Programme:
2.) Entfernen von Windows Bonjour (mdnsresponder.EXE) mit Bonjour Au revoir 3.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Wozu nutzt du Apache Tomcat? ciao, andreas |
07.03.2009, 15:13 | #4 | |||
| Problem mit SilentBanker Trojaner Vielen Dank erst mal für die schnelle Hilfe! Zitat:
Ich hab bisher alle Tools der Anleitung laufen lassen und auch nen kompletten Scan mit Avira und seit dem hat mir Avira den Virus nicht mehr angezeigt. Vorher z.B. immer beim Systemstart und zwischendurch beim Surfen. Zitat:
Zitat: Ok, hier das entsprechende Log: Code:
ATTFilter ComboFix 09-03-06.02 - xxxxxx 2009-03-07 14:57:26.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1014.485 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\xxxxxx\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\xxxxxx\Anwendungsdaten\inst.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-02-07 bis 2009-03-07 )))))))))))))))))))))))))))))) . 2009-03-07 14:50 . 2009-03-07 14:50 <DIR> d-------- c:\programme\Bonjour 2009-03-07 12:38 . 2009-03-07 12:38 <DIR> d-------- c:\programme\Trend Micro 2009-03-07 11:28 . 2009-03-07 11:28 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-07 11:28 . 2009-03-07 11:28 <DIR> d-------- c:\dokumente und einstellungen\xxxxxx\Anwendungsdaten\Malwarebytes 2009-03-07 11:28 . 2009-03-07 11:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-07 11:28 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-07 11:28 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-07 11:15 . 2009-03-07 11:15 <DIR> d-------- c:\programme\CCleaner 2009-02-10 21:33 . 2009-02-10 21:33 <DIR> d-------- c:\programme\Sphinx 2009-02-10 20:11 . 2009-02-10 20:11 <DIR> d-------- c:\dokumente und einstellungen\xxxxxx\ElsterFormular 2009-02-10 20:10 . 2009-02-10 20:10 <DIR> d-------- c:\programme\ElsterFormular . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-07 13:45 --------- d-----w c:\programme\Mozilla Thunderbird 2009-03-07 13:32 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-03-07 13:31 --------- d--h--w c:\programme\InstallShield Installation Information 2009-03-07 13:26 --------- d-----w c:\programme\Lavasoft 2009-03-07 12:32 --------- d-----w c:\programme\Trillian 2009-03-07 10:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-01 17:15 --------- d-----w c:\dokumente und einstellungen\xxxxxx\Anwendungsdaten\Vso 2009-03-01 17:04 --------- d-----w c:\dokumente und einstellungen\xxxxxx\Anwendungsdaten\FileZilla 2009-02-23 20:21 --------- d-----w c:\programme\Mozilla Sunbird 2009-02-01 11:55 --------- d--h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ 2008-06-07 10:13 47,360 ----a-w c:\dokumente und einstellungen\xxxxxx\Anwendungsdaten\pcouffin.sys 2008-09-20 11:23 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008092020080921\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-05-25 151552] "BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2006-05-25 208896] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000] "TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-07-25 94208] "SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696] "igfxtray"="c:\windows\system32\igfxtray.exe" [2006-07-25 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-07-25 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2006-07-25 118784] "ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-08-25 409600] "ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-08-25 110592] "cssauth"="c:\programme\Lenovo\Client Security Solution\cssauth.exe" [2006-07-14 2341632] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497] "LPManager"="c:\progra~1\THINKV~2\PrdCtr\LPMGR.exe" [2006-07-04 110592] "TpShocks"="TpShocks.exe" [2006-03-15 c:\windows\system32\TpShocks.exe] "TP4EX"="tp4ex.exe" [2005-10-17 c:\windows\system32\TP4EX.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-05-02 24576] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify] 2006-08-25 23:17 32768 c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus] 2006-04-25 18:20 40448 c:\windows\system32\psqlpwd.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2] 2005-07-05 15:45 28672 c:\windows\system32\notifyf2.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey] 2005-11-30 12:16 24576 c:\windows\system32\tphklock.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli psqlpwd ACGina [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "AMSG"=c:\programme\ThinkVantage\AMSG\Amsg.exe "TPKMAPHELPER"=c:\programme\ThinkPad\Utilities\TpKmapAp.exe -helper "SunJavaUpdateSched"=c:\programme\Java\jre1.5.0_06\bin\jusched.exe "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "ISUSPM Startup"=c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup "PDService.exe"="c:\programme\Lenovo\SafeGuard PrivateDisk\pdservice.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Trillian\\trillian.exe"= "c:\\Programme\\IDM Computer Solutions\\UltraEdit-32\\uedit32.exe"= "c:\\Programme\\eclipse\\eclipse.exe"= "c:\\Programme\\Java\\jre1.5.0_06\\bin\\javaw.exe"= "c:\\Programme\\Java\\jdk1.5.0_15\\bin\\javaw.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R0 Shockprf;Shockprf;c:\windows\system32\drivers\shockprf.sys [2008-05-02 88576] R1 ANC;ANC;c:\windows\system32\drivers\ANC.sys [2008-05-02 11520] R1 IBMTPCHK;IBMTPCHK;c:\windows\system32\drivers\IBMBLDID.sys [2008-05-02 6016] R1 ShockMgr;ShockMgr;c:\windows\system32\drivers\ShockMgr.sys [2008-05-02 4736] R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\TPPWRIF.SYS [2008-05-02 4442] R2 PrivateDisk;PrivateDisk;c:\programme\Lenovo\SafeGuard PrivateDisk\privatediskm.sys [2006-03-13 58368] R2 smi2;smi2;c:\programme\SMI2\smi2.sys [2006-07-14 3968] R2 smihlp;SMI helper driver;c:\programme\ThinkVantage Fingerprint Software\smihlp.sys [2006-04-25 3456] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2008-05-04 1527900] S3 Tomcat5;Apache Tomcat;c:\programme\Tomcat 5.5\bin\tomcat5.exe [2008-01-28 57344] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38069003-6bcc-11dd-8900-0018de9e2bae}] \Shell\AutoRun\command - F:\USBSuite.exe . Inhalt des "geplante Tasks" Ordners 2009-02-21 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [] 2009-03-07 c:\windows\Tasks\PMTask.job - c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2006-05-25 17:13] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.lenovo.com/welcome/thinkpad IE: Convert link target to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert link target to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Convert selected links to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Convert selection to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert selection to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm FF - ProfilePath - c:\dokumente und einstellungen\xxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\iv74mfgt.default\ FF - prefs.js: browser.startup.homepage - www.google.de/ig FF - component: c:\dokumente und einstellungen\xxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\iv74mfgt.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\platform\WINNT_x86-msvc\components\SSSLauncher.dll FF - component: c:\dokumente und einstellungen\xxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\iv74mfgt.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll FF - plugin: c:\dokumente und einstellungen\xxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\iv74mfgt.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp07076007.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.h**p.max-connections-per-server - 8 FF - user.js: network.h**p.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 FF - user.js: browser.xul.error_pages.enabled - false . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2009-03-07 15:01:35 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1340) c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll c:\windows\system32\psqlpwd.dll c:\programme\ThinkVantage Fingerprint Software\infra.dll c:\programme\ThinkVantage Fingerprint Software\homefus2.dll c:\windows\system32\biologon.dll c:\programme\ThinkVantage Fingerprint Software\homepass.dll c:\programme\ThinkVantage Fingerprint Software\bio.dll c:\programme\ThinkVantage Fingerprint Software\remote.dll c:\programme\ThinkVantage Fingerprint Software\ps2css.dll c:\windows\system32\tphklock.dll c:\programme\ThinkVantage Fingerprint Software\crypto.dll - - - - - - - > 'lsass.exe'(1396) c:\windows\system32\psqlpwd.dll c:\programme\ThinkVantage Fingerprint Software\infra.dll c:\programme\ThinkVantage Fingerprint Software\homefus2.dll c:\programme\ThinkPad\ConnectUtilities\ACGina.dll c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ibmpmsvc.exe c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe c:\programme\Diskeeper Corporation\Diskeeper\DkService.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\programme\Lenovo\System Update\SUService.exe c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe c:\windows\system32\TPHDEXLG.exe c:\windows\system32\TpKmpSvc.exe c:\programme\Lenovo\Client Security Solution\tvttcsd.exe c:\programme\Lenovo\Rescue and Recovery\rrservice.exe c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe c:\programme\Lenovo\Rescue and Recovery\ADM\IUService.exe c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe c:\programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe c:\programme\Windows Media Player\wmpnetwk.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe c:\windows\system32\rundll32.exe c:\programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe c:\programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-03-07 15:04:27 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-03-07 14:04:24 Vor Suchlauf: 8.108.281.856 Bytes frei Nach Suchlauf: 8,077,328,384 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 223 --- E O F --- 2009-02-25 06:29:29 |
07.03.2009, 15:42 | #5 | |
| Problem mit SilentBanker TrojanerZitat:
Falls nicht, dann 1.) Lade dir Javara und entferne alle alten Javaversionen. 2.) Installiere Download der Java-Software von Sun Microsystems 3.) SuperAntiSpyware scannen lassen und Log posten. 4.) GMER - Rootkit Detection
5.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. ciao, andreas |
07.03.2009, 15:47 | #6 |
| Problem mit SilentBanker Trojaner Ja, ich hab die alten Versionen drauf weil einer unserer Kunden genau diese alten Versionen auf seinem Server installiert hat. Ich werd die beiden Logs gleich posten. |
07.03.2009, 16:40 | #7 |
| Problem mit SilentBanker Trojaner Ich habe mir nocheinmal deine Softwareliste angeschaut. Mit Programmen, wie:
Deinstalliere Spybot und TuneUp Utilities. Die MTools und Thinkpadtreiber können auch erheblich ausgedünnt werden. Warum hast du 4 Mediaplayer installiert? Einer reicht: [2008/12/22] The KMPlayer 2.9.4.1434 Release - The KMPlayer's Forums Solltest du den PC Doctor 5 nicht nutzen, dann deinstalliere ihn. ciao, andreas |
07.03.2009, 16:47 | #8 |
| Problem mit SilentBanker Trojaner OK, hier der Log von SuperAntSpyware (noch ein anderer Trojaner gefunden): Code:
ATTFilter SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 03/07/2009 at 04:30 PM Application Version : 4.25.1014 Core Rules Database Version : 3788 Trace Rules Database Version: 1745 Scan type : Complete Scan Total Scan Time : 00:36:14 Memory items scanned : 636 Memory threats detected : 0 Registry items scanned : 6180 Registry threats detected : 0 File items scanned : 22554 File threats detected : 1 Trojan.VXGame-Variant/D C:\DOKUMENTE UND EINSTELLUNGEN\xxxxxx\EIGENE DATEIEN\TOOLS\MAGIX VIDEO DELUXE 2006\MAGIX_VIDEO_DELUXE_2006_V5.5.0.31_EVERSION_GERMAN_INCL_KEYMAKER_BY_CORE\MAGIX.VIDEO.DELUXE.2006.V5.5.0.31.E-VERSION.GERMAN.INCL.KEYMAKER-CORE\KEYGEN.EXE Und hier der Tralala-Log: http://www.materialordner.de/RGSCttJxF4X72G76UPBQuyT29gVXQXEw.html Alles klar. Auch da werd ich ein bisschen ausdünnen. Ist nicht mein Firmennotebook, sondern mein Privates. Von daher dürfen die Programme ruhig drauf sein. |
07.03.2009, 16:57 | #9 | |
| Problem mit SilentBanker TrojanerZitat:
Klick auf Suche => Erweiterte Suche => Schlüsselwörter: keygen => Benutzername: john.doe Folge allen von mir gesetzten Links. http://www.trojaner-board.de/51262-a...sicherung.html Ich bin raus, andreas |
Themen zu Problem mit SilentBanker Trojaner |
ad-aware, antivir, antivirus, avira, bho, bonjour, converter, druck, excel, festplatte, firefox, flash player, gservice, hijack.startmenu, hijackthis, hijackthis log, hkus\s-1-5-18, internet explorer, lenovo, magix, malwarebytes' anti-malware, mozilla, object, problem, registrierungsschlüssel, registry, security, security update, senden, server, software, solution, studio, system, thinkvantage registry monitor service, trojane, trojaner, video deluxe, vlc media player, windows internet, windows internet explorer, windows xp |