| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor WIN32.IRCBot.glo!A2Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.03.2009, 15:43
| #1 |
 |  Backdoor WIN32.IRCBot.glo!A2 Hallo! Ich habe ein Problem! Unzwar habe ich gestern Abend mit a-sqared Free einen vollständigen Detailscan durchgeführt! Es wurden 5 Dateien gefunden, 3 davon (hohes Risiko). Als der Scan abgeschlossen war, teilte mir a-sqared free mit, das 3 sehr schädliche Sachen auf meinem Rechner sind, und ich die in Quarantäne schieben soll, damit sie gelöscht werden können! Habe ich gemacht, jedoch hinterher komplett gelöscht! Das waren: Backdoor WIN32.IRCBot.glo!A2,(Er sitzt auf C/Programme/Net Meeting) Und hat sich trotz des löschens wieder selber hergestellt)!!!! Und Backdoor.Win32.Rbot.kos!A2! Habe im Internet gelesen, das man sein System neu aufspielen soll, und seine Festplatte formatieren! Hier das Ergebnis von Anti-Malware Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1894 Windows 5.1.2600 Service Pack 3 25.03.2009 12:11:10 mbam-log-2009-03-25 (12-11-08).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|) Durchsuchte Objekte: 92786 Laufzeit: 30 minute(s), 33 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINXP\explorer.backup (Heuristics.Reserved.Word.Exploit) -> No action taken. Hier Ergebnis von ComboFix: ComboFix 09-03-23.01 - Administrator 2009-03-25 12:18:25.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1279.635 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator.BIE.000\Desktop\ComboFix.exe AV: Avira Premium Security Suite *On-access scanning disabled* (Updated) AV: Avira Premium Security Suite *On-access scanning enabled* (Outdated) FW: Avira Firewall *disabled* * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\winxp\system32\mpg4c32.dll c:\winxp\system32\sysdm.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-02-25 bis 2009-03-25 )))))))))))))))))))))))))))))) . 2009-03-25 11:37 . 2009-03-25 11:38 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-25 11:37 . 2009-02-11 10:19 38,496 --a------ c:\winxp\system32\drivers\mbamswissarmy.sys 2009-03-25 11:37 . 2009-02-11 10:19 15,504 --a------ c:\winxp\system32\drivers\mbam.sys 2009-03-25 11:33 . 2009-03-25 11:33 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator.BIE.000\IECompatCache 2009-03-25 11:31 . 2009-03-25 11:31 <DIR> d-------- c:\programme\CCleaner 2009-03-25 10:29 . 2009-03-25 10:29 <DIR> d-------- C:\fsaua.data 2009-03-25 10:19 . 2009-03-25 10:19 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator.BIE.000\PrivacIE 2009-03-25 10:17 . 2009-03-25 10:17 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-03-25 10:17 . 2009-03-25 10:17 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache 2009-03-25 10:16 . 2009-03-25 10:16 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator.BIE.000\IETldCache 2009-03-25 10:12 . 2009-03-25 10:12 <DIR> d-------- c:\winxp\ie8updates 2009-03-25 10:09 . 2009-03-25 10:11 <DIR> d--h-c--- c:\winxp\ie8 2009-03-25 10:09 . 2009-02-28 05:55 105,984 -----c--- c:\winxp\system32\dllcache\iecompat.dll 2009-03-22 15:03 . 2009-03-08 22:27 102,664 --a------ c:\winxp\system32\drivers\tmcomm.sys 2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\winxp\VistaMizer ExpansionPack 2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\WinFlip 2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\VSE7 2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\VisualTaskTips 2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\VistaDriveIcon 2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\TrueTransparency 2009-03-22 13:29 . 2009-03-22 17:34 <DIR> d-------- c:\programme\Thoosje Vista Sidebar 2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\QTAddressBar 2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\glass2k 2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\Blaero Start Orb 2009-03-22 13:24 . 2009-03-22 13:24 8,294,454 --a------ c:\winxp\startup.bmp 2009-03-22 13:18 . 2009-03-22 13:24 <DIR> d-------- c:\winxp\VistaMizer 2009-03-22 12:53 . 2009-03-22 12:57 <DIR> d-------- c:\winxp\VCP_TEMP 2009-03-22 12:53 . 2009-03-22 12:53 <DIR> d-------- c:\winxp\VCP_SAVE 2009-03-22 12:53 . 2009-03-22 12:53 <DIR> d-------- c:\programme\Wallpapers 2009-03-22 12:53 . 2009-03-22 12:53 <DIR> d-------- c:\programme\Fonts 2009-03-22 12:53 . 2005-09-28 02:31 49,152 --a------ c:\winxp\system32\icon.exe 2009-03-22 12:17 . 2009-03-22 12:17 <DIR> d-------- c:\programme\Stardock 2009-03-22 10:51 . 2009-03-22 10:51 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Styler 2009-03-22 10:46 . 2009-03-22 10:52 <DIR> d-------- c:\programme\Styler 2009-03-22 10:44 . 2008-04-14 13:00 219,136 --a------ c:\winxp\system32\uxtheme.uxtender 2009-03-22 10:34 . 2009-03-25 09:41 <DIR> d-------- c:\programme\AskBarDis 2009-03-22 10:34 . 2009-03-22 10:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus 2009-03-22 10:34 . 2009-03-25 00:25 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Azureus 2009-03-22 10:33 . 2009-03-22 10:33 <DIR> d-------- c:\programme\Vuze 2009-03-22 10:30 . 2009-03-22 10:29 73,728 --a------ c:\winxp\system32\javacpl.cpl 2009-03-21 21:07 . 2009-03-22 10:19 <DIR> d-------- c:\programme\BearShare 2009-03-21 19:05 . 2009-03-21 19:05 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Media Player Classic 2009-03-21 19:04 . 2009-03-21 19:05 <DIR> d-------- c:\programme\K-Lite Codec Pack 2009-03-21 19:04 . 2004-10-14 08:33 2,024,448 --a------ c:\winxp\system32\divx.dll 2009-03-21 17:20 . 2009-03-21 21:05 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\eMule 2009-03-20 21:06 . 2009-03-20 21:06 <DIR> d-------- c:\programme\Win7codecs 2009-03-20 21:05 . 2009-03-20 21:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Win7codecs 2009-03-20 20:46 . 2009-03-20 20:46 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\DivX 2009-03-13 20:46 . 2009-03-24 23:11 <DIR> d-------- c:\programme\a-squared Free 2009-03-11 07:10 . 2008-04-14 13:00 221,184 --a------ c:\winxp\system32\wmpns.dll 2009-03-08 22:27 . 2009-03-25 11:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\.housecall6.6 2009-03-08 19:51 . 2009-03-08 21:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip 2009-03-08 14:29 . 2009-03-08 14:29 1,302,528 --------- c:\winxp\system32\ieframe.dll.mui 2009-03-08 14:29 . 2009-03-08 14:29 57,344 --------- c:\winxp\system32\msrating.dll.mui 2009-03-08 14:28 . 2009-03-08 14:28 2,560 --------- c:\winxp\system32\mshta.exe.mui 2009-03-08 14:27 . 2009-03-08 14:27 81,920 --------- c:\winxp\system32\iedkcs32.dll.mui 2009-03-08 14:27 . 2009-03-08 14:27 4,096 --------- c:\winxp\system32\ie4uinit.exe.mui 2009-03-08 14:09 . 2009-03-08 14:09 638,816 -----c--- c:\winxp\system32\dllcache\iexplore.exe 2009-03-08 14:09 . 2009-03-08 14:09 391,536 -----c--- c:\winxp\system32\dllcache\iedkcs32.dll 2009-03-08 11:30 . 2009-03-08 11:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\3A3D8 2009-03-08 04:41 . 2009-03-08 04:41 5,937,152 -----c--- c:\winxp\system32\dllcache\mshtml.dll 2009-03-08 04:34 . 2009-03-08 04:34 1,469,440 -----c--- c:\winxp\system32\dllcache\inetcpl.cpl 2009-03-08 04:34 . 2009-03-08 04:34 1,206,784 -----c--- c:\winxp\system32\dllcache\urlmon.dll 2009-03-08 04:34 . 2009-03-08 04:34 914,944 -----c--- c:\winxp\system32\dllcache\wininet.dll 2009-03-08 04:34 . 2009-03-08 04:34 236,544 -----c--- c:\winxp\system32\dllcache\webcheck.dll 2009-03-08 04:34 . 2009-03-08 04:34 193,536 -----c--- c:\winxp\system32\dllcache\msrating.dll 2009-03-08 04:34 . 2009-03-08 04:34 109,568 -----c--- c:\winxp\system32\dllcache\occache.dll 2009-03-08 04:34 . 2009-03-08 04:34 105,984 -----c--- c:\winxp\system32\dllcache\url.dll 2009-03-08 04:34 . 2009-03-08 04:34 43,008 -----c--- c:\winxp\system32\dllcache\licmgr10.dll 2009-03-08 04:33 . 2009-03-08 04:33 759,296 -----c--- c:\winxp\system32\dllcache\VGX.dll 2009-03-08 04:33 . 2009-03-08 04:33 726,528 -----c--- c:\winxp\system32\dllcache\jscript.dll 2009-03-08 04:33 . 2009-03-08 04:33 420,352 -----c--- c:\winxp\system32\dllcache\vbscript.dll 2009-03-08 04:33 . 2009-03-08 04:33 229,376 -----c--- c:\winxp\system32\dllcache\ieaksie.dll 2009-03-08 04:33 . 2009-03-08 04:33 125,952 -----c--- c:\winxp\system32\dllcache\ieakeng.dll 2009-03-08 04:33 . 2009-03-08 04:33 25,600 -----c--- c:\winxp\system32\dllcache\jsproxy.dll 2009-03-08 04:33 . 2009-03-08 04:33 18,944 -----c--- c:\winxp\system32\dllcache\corpol.dll 2009-03-08 04:32 . 2009-03-08 04:32 611,840 -----c--- c:\winxp\system32\dllcache\mstime.dll 2009-03-08 04:32 . 2009-03-08 04:32 173,056 -----c--- c:\winxp\system32\dllcache\ie4uinit.exe 2009-03-08 04:32 . 2009-03-08 04:32 163,840 -----c--- c:\winxp\system32\dllcache\ieakui.dll 2009-03-08 04:32 . 2009-03-08 04:32 128,512 -----c--- c:\winxp\system32\dllcache\advpack.dll 2009-03-08 04:32 . 2009-03-08 04:32 94,720 -----c--- c:\winxp\system32\dllcache\inseng.dll 2009-03-08 04:32 . 2009-03-08 04:32 72,704 -----c--- c:\winxp\system32\dllcache\admparse.dll 2009-03-08 04:32 . 2009-03-08 04:32 71,680 -----c--- c:\winxp\system32\dllcache\iesetup.dll 2009-03-08 04:32 . 2009-03-08 04:32 55,808 -----c--- c:\winxp\system32\dllcache\iernonce.dll 2009-03-08 04:31 . 2009-03-08 04:31 1,638,912 -----c--- c:\winxp\system32\dllcache\mshtml.tlb 2009-03-08 04:31 . 2009-03-08 04:31 348,160 -----c--- c:\winxp\system32\dllcache\dxtmsft.dll 2009-03-08 04:31 . 2009-03-08 04:31 216,064 -----c--- c:\winxp\system32\dllcache\dxtrans.dll 2009-03-08 04:31 . 2009-03-08 04:31 183,808 -----c--- c:\winxp\system32\dllcache\iepeers.dll 2009-03-08 04:31 . 2009-03-08 04:31 66,560 -----c--- c:\winxp\system32\dllcache\mshtmled.dll 2009-03-08 04:31 . 2009-03-08 04:31 48,128 -----c--- c:\winxp\system32\dllcache\mshtmler.dll 2009-03-08 04:31 . 2009-03-08 04:31 46,592 -----c--- c:\winxp\system32\dllcache\pngfilt.dll 2009-03-08 04:31 . 2009-03-08 04:31 45,568 -----c--- c:\winxp\system32\dllcache\mshta.exe 2009-03-08 04:31 . 2009-03-08 04:31 34,816 -----c--- c:\winxp\system32\dllcache\imgutil.dll 2009-03-08 04:30 . 2009-03-08 04:30 66,560 -----c--- c:\winxp\system32\dllcache\tdc.ocx 2009-03-08 04:24 . 2009-03-08 04:24 68,608 -----c--- c:\winxp\system32\dllcache\hmmapi.dll 2009-03-08 04:22 . 2009-03-08 04:22 156,160 -----c--- c:\winxp\system32\dllcache\msls31.dll 2009-03-05 13:29 . 2009-03-08 22:19 <DIR> d-------- c:\programme\Common Files 2009-03-05 13:22 . 2009-03-08 22:28 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\tor 2009-03-02 19:10 . 2009-03-02 19:10 67,584 --a------ c:\winxp\system32\ff_vfw.dll 2009-03-02 12:29 . 2009-03-02 12:29 505,128 --a------ c:\winxp\system32\msvcp71.dll 2009-03-02 12:29 . 2009-03-02 12:29 353,576 --a------ c:\winxp\system32\msvcr71.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-13 20:36 --------- d-----w c:\programme\Google 2009-03-09 16:11 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-08 17:44 --------- d--h--w c:\programme\InstallShield Installation Information 2009-03-08 17:43 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2009-02-19 17:00 --------- d-----w c:\programme\Windows Live 2009-02-19 16:59 --------- d-----w c:\programme\Windows Live SkyDrive 2009-02-04 17:36 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Leadertech 2009-02-04 17:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Downloaded Installations 2009-02-04 09:41 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Nokia Multimedia Player 2009-02-03 14:43 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Datalayer 2009-02-03 14:41 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Nokia 2009-02-03 14:37 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\AdobeUM 2009-02-03 14:29 --------- d-----w c:\programme\DIFX 2009-02-03 14:29 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite 2009-02-03 14:29 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\PC Suite 2008-12-28 19:12 737,280 ----a-w c:\winxp\iun6002.exe 2008-06-04 17:25 84,418 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat 2008-06-03 11:33 16,384 --sha-w c:\winxp\system32\config\systemprofile\Cookies\index.dat 2008-06-03 11:33 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat 2008-06-03 11:33 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat 2008-06-03 11:33 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008060320080604\index.dat . ------- Sigcheck ------- 2008-04-14 13:00 589312 bf517c3fa60065df6d97744648602957 c:\winxp\system32\user32.dll 2008-04-14 13:00 580096 b0050cc5340e3a0760dd8b417ff7aebd c:\winxp\VistaMizer\old\user32.dll 2008-04-14 13:00 552448 ad37df3fb8f168e42c09b77b487f6812 c:\winxp\system32\winlogon.exe 2008-04-14 13:00 513024 f09a527b422e25c478e38caa0e44417a c:\winxp\VistaMizer\old\winlogon.exe 2008-08-14 19:22 2068352 c789b5aea9ab71c5bef6dd568f744842 c:\winxp\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe 2008-08-14 14:19 2068352 326c258774eb791e78fea8a9e14d5c3e c:\winxp\Driver Cache\i386\ntkrnlpa.exe 2008-08-14 14:19 2325632 a076cfede0cf47fa54ea053d854541cd c:\winxp\system32\ntkrnlpa.exe 2008-08-14 14:19 2068352 326c258774eb791e78fea8a9e14d5c3e c:\winxp\VistaMizer\old\ntkrnlpa.exe 2008-08-14 19:22 2191488 59282efe7147c011530e51ff92ba86ac c:\winxp\$hf_mig$\KB956841\SP3QFE\ntoskrnl.exe 2008-08-14 14:19 2191488 934fbea25f8de017abfc6169b8446d94 c:\winxp\Driver Cache\i386\ntoskrnl.exe 2008-08-14 14:19 2448768 e9a2ba9155ea7a7b19e6130dbe9e629b c:\winxp\system32\ntoskrnl.exe 2008-08-14 14:19 2191488 934fbea25f8de017abfc6169b8446d94 c:\winxp\VistaMizer\old\ntoskrnl.exe 2008-04-14 13:00 1555456 8715ec841e2b29fb2f2c03f47360e99b c:\winxp\explorer.exe 2008-04-14 13:00 1036800 418045a93cd87a352098ab7dabe1b53e c:\winxp\VCP_SAVE\explorer.exe 2008-04-14 13:00 4922880 5c68baa6d3a3a4e8892abb1a878eacf9 c:\winxp\VCP_TEMP\explorer.exe 2008-04-14 13:00 4922880 5c68baa6d3a3a4e8892abb1a878eacf9 c:\winxp\VistaMizer\old\explorer.exe 2008-04-14 13:00 25088 7270f0b822cb67f0c32bef7fb00ca4d4 c:\winxp\system32\ctfmon.exe 2008-04-14 13:00 15360 01b4e6e990b6c5ea8856d96c7fd044b2 c:\winxp\VistaMizer\old\ctfmon.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-26 68856] "ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 25088] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408] "VisualTaskTips"="c:\programme\VisualTaskTips\VisualTaskTips.exe" [2008-06-22 65536] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-22 148888] "DrvIcon"="c:\programme\VistaDriveIcon\DrvIcon.exe" [2008-04-13 49152] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] c:\dokumente und einstellungen\Administrator.BIE.000\Startmen\Programme\Autostart\ Styler.lnk - c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe [2009-03-22 15086] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.3iv2"= 3ivxVfWCodec.dll "VIDC.HFYU"= huffyuv.dll "VIDC.VP31"= vp31vfw.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" silent [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "BearShare"="c:\programme\BearShare\BearShare.exe" /pause [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINXP\\system32\\sessmgr.exe"= "c:\\Programme\\Alice Software\\AliceEinwahl.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:*isabled:@xpsp2res.dll,-22009 R1 avfwot;avfwot;c:\winxp\system32\drivers\avfwot.sys [2008-07-22 71592] R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;c:\programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-07-22 344321] R2 AntiVirMailService;Avira Premium Security Suite MailGuard;c:\programme\Avira\Avira Premium Security Suite\avmailc.exe [2008-07-22 164097] R2 antivirwebservice;Avira Premium Security Suite WebGuard;c:\programme\Avira\Avira Premium Security Suite\avwebgrd.exe [2008-07-22 258305] R2 ASKService;ASKService;c:\programme\AskBarDis\bar\bin\AskService.exe [2009-03-22 464264] R2 ASKUpgrade;ASKUpgrade;c:\programme\AskBarDis\bar\bin\ASKUpgrade.exe [2009-03-22 234888] R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;c:\programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-07-22 41217] R3 avfwim;AvFw Packet Filter Miniport;c:\winxp\system32\drivers\avfwim.sys [2008-07-22 71464] S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe --> c:\programme\NOS\bin\getPlus_HelperSvc.exe [?] S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;"c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" --> c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [?] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\winxp\system32\rundll32.exe" "c:\winxp\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{201f27d4-3704-41d6-89c1-aa35e39143ed} - c:\programme\AskBarDis\bar\bin\askBar.dll BHO-{74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - c:\programme\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll Toolbar-{3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\programme\AskBarDis\bar\bin\askBar.dll HKCU-Run-TuneUp MemOptimizer - c:\programme\TuneUp Utilities 2009\MemOptimizer.exe HKCU-Run-PcSync - c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe HKCU-Run-Vidalia - c:\programme\Vidalia Bundle\Vidalia\vidalia.exe HKCU-Run-ICQ - c:\programme\ICQLite\ICQ.exe HKLM-Run-Adobe Photo Downloader - c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe HKLM-Run-BearShare - c:\programme\BearShare\BearShare.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://search.bearshare.com/de/ uInternet Connection Wizard,ShellNext = iexplore LSP: avsda.dll TCP: {0244F007-DB83-4C2A-BB9F-E2ADB6B2A270} = 213.191.74.11 213.191.92.82 DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab FF - ProfilePath - c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Mozilla\Firefox\Profiles\3dpdnlqm.default\ FF - prefs.js: browser.search.selectedEngine - Ask FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q= FF - plugin: c:\programme\Win7codecs\rm\browser\plugins\nppl3260.dll FF - plugin: c:\programme\Win7codecs\rm\browser\plugins\nprpjplug.dll ---- FIREFOX Richtlinien ---- . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-25 12:23:26 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1214440339-2146953373-1547161642-500\Software\Microsoft\Internet Explorer\User Preferences] @Denied: (2) (Administrator) "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b4,c5,cb,56,d2,33,42,45,ac,33,0b,\ "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b4,c5,cb,56,d2,33,42,45,ac,33,0b,\ [HKEY_USERS\S-1-5-21-1214440339-2146953373-1547161642-500\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID] @Denied: (Full) (LocalSystem) . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1224) c:\winxp\system32\SETUPAPI.dll c:\winxp\system32\sfc_os.dll c:\winxp\system32\COMRes.dll c:\winxp\system32\cscui.dll - - - - - - - > 'lsass.exe'(1304) c:\winxp\system32\SETUPAPI.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\Avira Premium Security Suite\sched.exe c:\programme\a-squared Free\a2service.exe c:\programme\Avira\Avira Premium Security Suite\avguard.exe c:\programme\Java\jre6\bin\jqs.exe c:\winxp\system32\WgaTray.exe c:\programme\Styler\Styler.exe c:\winxp\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-03-25 12:25:50 - PC wurde neu gestartet [Administrator] ComboFix-quarantined-files.txt 2009-03-25 11:25:46 Vor Suchlauf: 12 Verzeichnis(se), 67.633.278.976 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 67,756,871,680 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINXP [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 288 --- E O F --- 2009-03-13 14:02:07 |
|
25.03.2009, 15:44
| #2 |
| | Backdoor WIN32.IRCBot.glo!A2 Hier das Ergebnis HJT:
__________________Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:33:48, on 25.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\Avira Premium Security Suite\sched.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\Avira Premium Security Suite\avguard.exe C:\Programme\AskBarDis\bar\bin\AskService.exe C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINXP\system32\WgaTray.exe C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE C:\WINXP\System32\svchost.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\VistaDriveIcon\DrvIcon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\VisualTaskTips\VisualTaskTips.exe C:\Programme\Styler\Styler.exe C:\WINXP\explorer.exe C:\Programme\Alice Software\AliceEinwahl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll (file missing) O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [VisualTaskTips] "C:\Programme\VisualTaskTips\VisualTaskTips.exe" noTrayIcon O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Startup: Styler.lnk = ? O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0244F007-DB83-4C2A-BB9F-E2ADB6B2A270}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe O23 - Service: getPlus(R) Helper - Unknown owner - C:\Programme\NOS\bin\getPlus_HelperSvc.exe (file missing) O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Unknown owner - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 7241 bytes |
|
25.03.2009, 17:04
| #3 |
| | Backdoor WIN32.IRCBot.glo!A2 Kann mir denn keiner helfen? Ich muss dringend Online Banking machen, was ich jetzt bestimmt nicht tun werde!
__________________ |
|
| Themen zu Backdoor WIN32.IRCBot.glo!A2 |
| 0 bytes, administrator, avira, backdoor, combofix, components, content.ie5, desktop, downloader, einstellungen, festplatte, festplatte formatieren, firefox, firewall, helper, heuristics.reserved.word.exploit, installation, internet, internet explorer, jusched.exe, laufende prozesse, mozilla, neu, opera, photoshop, preferences, problem, registrierungsschlüssel, richtlinie, rundll, security, security suite, sigcheck, software, suchlauf, system, system neu, windows recovery, windows xp, wmp |
Linear-Darstellung
