| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.Poison.ajnsWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.07.2009, 20:11
| #1 |
 |  Backdoor.Win32.Poison.ajns Liebe Kompetenzler, ich habe seit einigen Tagen das Problem, dass Mozilla ständig abstürzt, das selbe passiert mit dem IE - bzw. abstürzen ist das falsche Wort - die Internetverbindung steht, aber die Browser sind dann plötzlich zeitweise offline und finden die angewählten Server nicht. Ich pflege meinen PC extremst! Halte regelmäßig alles aktuell mit Secunia OSI. Surfe nur in Sandbox, benutze regelmässig CCleaner, Malwarebytes und SUPERAntiSpyware sowie diverse Online-Scanner. Ich verwende auch zeitweise Knoppicillin und F-Secure-Boot-CD. ALLES war bisher immer sauber in den letzten Monaten. Mein Kaspersky meldete am 15.07.09 diesen Backdoor wie in der Überschrift genannt, und zwar auf dem Pfad: programme\electronic arts\die sims3\game\bin\ts3.exe. Hier handelt es sich allerdings um ein mir bekanntes Programm und zwar "Sims 3" (im Handel als CD gekauft). Bis dato hatte ich den dazugehörigen Downloadmanager nie benutzt (erschien mir suspekt), machte aber an diesem Tag ein Update über diesen, da die Spiel-CD-Anwendung komischerweise plötzlich beschädigt war. Durch googeln glaubte ich mich auf der sicheren Seite, da es evtl. ein false positive sein könnte. Was meint Ihr dazu? Habt Ihr davon schon was gehört? Kaspersky hat es angeblich auch desinfiziert, aber so ein richtiger Backdoor wäre ja resistent gegen alles oder? Also Fazit: Ich weiß, man soll das nicht tun, aber es wäre nicht das erste Mal. Also jedenfalls - ich habe Combofix runtergeladen (ging übrigens partout nicht über bleepingcomputer! habs dann von forospyware geholt). Tatsächlich hat Combofix einige Dateien gefunden und gelöscht. Nun würde ich mich freuen, wenn jemand mal das Log anschauen könnte, ob hier noch ein Skript notwendig wäre.... Code:
ATTFilter
ComboFix 09-07-28.01 - *** 28.07.2009 19:58.4.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.894.592 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\Installer\14b8348.msp
c:\windows\Installer\14b8393.msp
c:\windows\Installer\16f13a.msp
c:\windows\Installer\7e6491.msp
c:\windows\Installer\907a5.msp
.
((((((((((((((((((((((( Dateien erstellt von 2009-06-28 bis 2009-07-28 ))))))))))))))))))))))))))))))
.
2009-07-27 17:09 . 2009-07-27 17:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-15 15:22 . 2009-07-15 15:22 -------- d-----w- c:\windows\system32\wbem\Repository
2009-07-14 11:29 . 2009-07-14 11:29 3775176 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-28 18:05 . 2008-10-19 08:25 852000 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-07-28 18:05 . 2008-10-19 08:25 3992 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-07-28 18:05 . 2008-10-19 08:25 3781152 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-07-28 18:05 . 2008-10-19 08:25 30620 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-07-28 11:57 . 2008-10-19 08:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-27 17:18 . 2008-12-20 15:49 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-21 08:23 . 2006-01-21 15:48 9582 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\wklnhst.dat
2009-07-15 15:57 . 2008-01-29 16:29 33808 ----a-w- c:\windows\system32\drivers\klbg.sys
2009-07-15 15:57 . 2008-10-19 08:26 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-07-15 15:57 . 2008-10-19 08:26 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-07-15 15:57 . 2009-02-05 16:03 33808 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\klbg.sys
2009-07-15 15:57 . 2008-10-19 08:51 213520 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\XP\klif.sys
2009-07-15 15:57 . 2008-10-19 08:51 861448 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\updater.dll
2009-07-15 09:24 . 2008-09-12 15:48 -------- d-----w- c:\programme\Windows Live Safety Center
2009-07-14 11:42 . 2009-03-22 09:27 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-13 18:17 . 2009-06-01 10:58 117760 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-07-13 11:36 . 2009-06-28 14:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-28 12:35 . 2008-09-27 19:05 44440 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-17 09:27 . 2009-06-28 14:37 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-16 14:36 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2004-08-04 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-14 11:30 . 2009-06-14 11:28 -------- d-----w- c:\programme\QuickTime
2009-06-14 11:28 . 2009-06-14 11:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-06-14 11:27 . 2009-06-14 11:27 -------- d-----w- c:\programme\Apple Software Update
2009-06-14 11:27 . 2009-06-14 11:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-06-07 16:24 . 2005-11-25 09:26 96492 ----a-w- c:\windows\system32\perfc007.dat
2009-06-07 16:24 . 2005-11-25 09:26 485730 ----a-w- c:\windows\system32\perfh007.dat
2009-06-05 17:09 . 2009-06-05 17:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-06-05 17:07 . 2009-06-05 16:44 -------- d-----w- c:\programme\Electronic Arts
2009-06-05 17:04 . 2009-06-05 17:04 10134 ----a-r- c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-06-05 17:04 . 2009-06-05 17:04 -------- d-----w- c:\programme\Microsoft WSE
2009-06-05 16:44 . 2005-11-25 17:33 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-06-05 16:39 . 2009-04-05 16:02 -------- d-----w- c:\programme\Maxis
2009-06-03 19:09 . 2004-08-04 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-06-03 19:08 . 2006-03-12 12:19 1340 -c--a-w- c:\windows\eReg.dat
2009-06-01 10:56 . 2009-04-18 12:50 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-06-01 10:56 . 2008-10-22 12:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-06-01 10:55 . 2006-02-13 16:28 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-31 10:46 . 2008-11-01 10:27 -------- d-----w- c:\programme\a-squared Free
2009-05-30 13:16 . 2009-05-30 12:39 -------- d-----w- c:\programme\Yahoo!
2009-05-30 12:39 . 2009-05-30 12:39 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Yahoo!
2009-05-07 15:32 . 2004-08-04 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-07-15 21:31 . 2008-12-15 17:20 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
.
------- Sigcheck -------
[-] 2008-11-06 18:43 24064 C3A2915C71AE6F225EB906C25CCD29B5 c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-11-06 18:43 24064 C3A2915C71AE6F225EB906C25CCD29B5 c:\windows\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"PCSuiteTrayApplication"=c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"PowerManager"=c:\programme\Power Manager\PM.exe
"SandboxieControl"="c:\programme\Sandboxie\SbieCtrl.exe"
"ATIPTA"=REM "c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"RTHDCPL"=REM RTHDCPL.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SMSERIAL"=sm56hlpr.exe
"SunJavaUpdateSched"=REM "c:\programme\Java\jre6\bin\jusched.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\UMTS USB Modem Manager\\UMTS USB Modem Manager.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [28.12.2008 11:34 28544]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [26.05.2009 10:05 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [26.05.2009 10:05 72944]
R3 EKBfltr;ENE Keyboard Controller;c:\windows\system32\drivers\EKBfltr.sys [25.11.2005 11:33 5504]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 19:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [25.03.2008 20:07 24592]
R3 SbieDrv;SbieDrv;c:\programme\Sandboxie\SbieDrv.sys [05.01.2009 16:39 103936]
S2 spupdsvc;Windows Service Pack Installer update service;c:\windows\system32\spupdsvc.exe [25.11.2005 19:08 26144]
S3 fixustor;fixustor;c:\windows\system32\drivers\fixustor.sys [25.11.2005 19:33 9216]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [26.05.2009 10:05 7408]
S4 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\c:\dokume~1\KUBILA~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys --> c:\dokume~1\KUBILA~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys [?]
.
Inhalt des "geplante Tasks" Ordners
2009-07-28 c:\windows\Tasks\User_Feed_Synchronization-{17B8DB1A-542D-4B1A-AA60-13250967D7F2}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 16:36]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = about:blank
IE: &ICQ Toolbar Search
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\gv36p0rm.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.***.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "***s://www.google.com/loc/json");
.
**************************************************************************
creating catchme.sys error: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, ***://www.gmer.net
Rootkit scan 2009-07-28 20:09
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-3762956348-2271885587-451582532-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(448)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll
- - - - - - - > 'explorer.exe'(5932)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\logishrd\LVMVFM\LVPrcSrv.exe
c:\programme\Sandboxie\SbieSvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-28 20:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-28 18:13
ComboFix2.txt 2009-05-30 14:08
Vor Suchlauf: 29 Verzeichnis(se), 46.430.982.144 Bytes frei
Nach Suchlauf: 29 Verzeichnis(se), 46.406.701.056 Bytes frei
229 --- E O F --- 2009-07-15 15:39
Hier ist noch ein Log von HijackThis nach dem Combofix-Scan (sieht genauso aus wie immer, ich kenn es schon auswendig) Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:25:13, on 28.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\Sandboxie\SbieSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\explorer.exe C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Sandboxie\SbieCtrl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Sandboxie\SandboxieRpcSs.exe C:\Programme\Sandboxie\SandboxieDcomLaunch.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe" O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{54C93FD3-FEE9-46C4-A1DE-ADAAEA925764}: NameServer = 212.23.97.2 212.23.97.3 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O24 - Desktop Component AutorunsDisabled: (no name) - (no file) -- End of file - 4441 bytes Mozilla funktioniert jetzt scheinbar wieder. Das Problem scheint behoben, jedoch wie gesagt, vielleicht muss man aufgrund des Combofix-Logs noch irgendwelche Scripts eingeben? Oder gar neu aufsetzen, worauf ich absolut nicht scharf bin. Dazu bräuchte ich dringend die Hilfe einer Eurer Kompetenzler und wäre hierfür sehr dankbar. Bitte sollte ich einen formalen Fehler begangen haben, bitte nicht mein Thema rauswerfen, ich weiß, Ihr seid hier sehr streng diesbezüglich... Ganz lieben Dank im voraus! eelaa |
|
28.07.2009, 20:20
| #2 |
| | Backdoor.Win32.Poison.ajns Editieren ging irgendwie nicht:
__________________Ich habe Windows XP, SP 3 und Kaspersky Internet Security. Ach und die Browser stürzen DOCH leider wieder ab! Vielleicht könnte auch das Modem defekt sein...? Gruß und danke, eelaa |
|
| Themen zu Backdoor.Win32.Poison.ajns |
| abstürzen, avp, backdoor, bho, browser, combofix, components, desktop, dringend, error, fehler, firefox, hijack, hijackthis, home, internet security, jusched.exe, kaspersky, laufende prozesse, logon.exe, malwarebytes' anti-malware, mmc.exe, mozilla, neu aufsetzen, origin, plug-in, problem, prozess, richtlinie, secunia, security, server, sigcheck, software, solution, suchlauf, suspekt, system, windows, windows xp, windows\temp |
Linear-Darstellung
