Backdoor.Win32.Breolab.bv

Fotoanke · 30.07.2009, 00:39

Code:

ATTFilter

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: ABB15000
Module End: ABB2D000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS
Service Name: ---
Module Base: BAE00000
Module End: BAE02000
Hidden: Yes

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\tracking.log
Status: Access denied

Object: C:\System Volume Information\_restore{53D7E144-F428-4E31-9174-0AC2184AC022}
Status: Access denied

*hechelhechel*

Fotoanke · 30.07.2009, 15:28

Zitat:

Zitat von john.doe

Hast du bei Malwarebytes auch löschen lassen, so wie es in der Anleitung steht? Dort steht No action taken.

So, jetzt hab ich noch mal neu drüberlaufen lassen.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2527
Windows 5.1.2600 Service Pack 3

30.07.2009 15:36:23
mbam-log-2009-07-30 (15-36-23).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 220601
Laufzeit: 37 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Gipsy\lokale einstellungen\Temp\TMP2F.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Gipsy\lokale einstellungen\Temp\TMP40.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Gipsy\lokale einstellungen\Temp\TMP82.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Gipsy\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

Gruß
Anke

john.doe · 30.07.2009, 16:36

Die Funde von Malwarebytes waren zum Glück nur Reste.

1.) Deinstalliere/lösche alle Programme, die wir eingesetzt haben.

2.) Deinstalliere:

ESET Online Scanner v3
Java(TM) 6 Update 13
Java(TM) 6 Update 7
Kaspersky Online Scanner
Mozilla Firefox (3.0.12)
Panda ActiveScan 2.0
Trojan Remover 6.7.9
Trojancheck 6
VideoLAN VLC media player 0.8.6i

3.) Falls du möchtest, kann ich dein System noch mit Avenger oder ComboFix aufräumen. Das ist aber deine Entscheidung.

4.) Installiere (Toolbars immer abwählen, Haken weg):

5.) Poste ein neues HJT-Log.

ciao, andreas

Fotoanke · 30.07.2009, 17:08

Punkte 1 + 2 erledigt.

Zu Punkt 3) Kann ja wohl nicht falsch => also machen

Gruß
Anke

john.doe · 30.07.2009, 17:19

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Fotoanke · 30.07.2009, 17:59

beim wieder hochfahren haben sich der virusscanner + noch ein Programm (Autostart) mitgeladen? Tragisch?

Code:

ATTFilter

ComboFix 09-07-29.04 - Anke 30.07.2009 18:42.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1478 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Anke\Desktop\cofi.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((   Dateien erstellt von 2009-06-28 bis 2009-07-30  ))))))))))))))))))))))))))))))
.

2009-07-30 16:29 . 2009-07-30 16:29	--------	d-----w-	c:\programme\CCleaner
2009-07-29 22:12 . 2009-07-29 22:12	--------	d-----w-	C:\rsit
2009-07-29 21:15 . 2009-07-29 21:15	--------	d-----w-	c:\dokumente und einstellungen\Anke\Anwendungsdaten\Malwarebytes
2009-07-29 21:15 . 2009-07-29 21:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-29 21:15 . 2009-07-30 15:57	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-07-29 19:58 . 2009-07-29 19:58	--------	d-----w-	c:\programme\Trend Micro
2009-07-28 16:27 . 2009-07-28 16:27	604140	--sha-w-	c:\windows\system32\drivers\ISwift3.dat
2009-07-28 16:25 . 2009-07-28 16:25	94643	----a-w-	c:\windows\system32\drivers\klick.dat
2009-07-28 16:25 . 2009-07-28 16:25	105395	----a-w-	c:\windows\system32\drivers\klin.dat
2009-07-28 16:25 . 2009-07-28 16:25	--------	d-----w-	c:\programme\Kaspersky Lab
2009-07-28 16:10 . 2009-07-28 16:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-07-28 13:35 . 2009-07-30 16:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-27 16:48 . 2009-06-28 12:48	8186	----a-w-	c:\dokumente und einstellungen\Gipsy\Anwendungsdaten\Mozilla\Firefox\Profiles\u7x68qdh.default\extensions\exif_viewer@mozilla.doslash.org\content\check2.bat
2009-07-27 16:48 . 2009-06-28 12:48	16327	----a-w-	c:\dokumente und einstellungen\Gipsy\Anwendungsdaten\Mozilla\Firefox\Profiles\u7x68qdh.default\extensions\exif_viewer@mozilla.doslash.org\content\check1.bat
2009-07-27 16:48 . 2009-06-28 10:59	16	----a-w-	c:\dokumente und einstellungen\Gipsy\Anwendungsdaten\Mozilla\Firefox\Profiles\u7x68qdh.default\extensions\exif_viewer@mozilla.doslash.org\content\check.bat
2009-07-27 14:41 . 2009-07-29 23:20	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-27 14:40 . 2009-07-27 14:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2009-07-27 11:42 . 2008-12-03 23:25	120832	----a-w-	c:\dokumente und einstellungen\Anke\Anwendungsdaten\Mozilla\Firefox\Profiles\nbs0ivx0.default\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9}\plugins\npietab.dll
2009-07-27 11:42 . 2009-06-28 12:48	8186	----a-w-	c:\dokumente und einstellungen\Anke\Anwendungsdaten\Mozilla\Firefox\Profiles\nbs0ivx0.default\extensions\exif_viewer@mozilla.doslash.org\content\check2.bat
2009-07-27 11:42 . 2009-06-28 12:48	16327	----a-w-	c:\dokumente und einstellungen\Anke\Anwendungsdaten\Mozilla\Firefox\Profiles\nbs0ivx0.default\extensions\exif_viewer@mozilla.doslash.org\content\check1.bat
2009-07-27 11:42 . 2009-06-28 10:59	16	----a-w-	c:\dokumente und einstellungen\Anke\Anwendungsdaten\Mozilla\Firefox\Profiles\nbs0ivx0.default\extensions\exif_viewer@mozilla.doslash.org\content\check.bat
2009-07-09 16:29 . 2009-07-09 16:29	64072	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2010 9.0.0.463\German\setup.exe
2009-07-03 13:48 . 2009-07-03 13:48	219664	----a-w-	c:\windows\system32\klogon.dll
2009-07-03 13:45 . 2009-07-03 13:45	27507	----a-w-	c:\windows\system32\drivers\klopp.dat

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-30 16:47 . 2008-07-28 19:24	--------	d-----w-	c:\dokumente und einstellungen\Anke\Anwendungsdaten\WTablet
2009-07-30 16:47 . 2008-07-28 19:34	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\WTablet
2009-07-30 15:56 . 2008-07-14 16:34	--------	d-----w-	c:\programme\VideoLAN
2009-07-30 15:54 . 2008-11-11 11:43	--------	d-----w-	c:\programme\Panda Security
2009-07-30 12:09 . 2008-07-28 19:34	--------	d-----w-	c:\dokumente und einstellungen\Gipsy\Anwendungsdaten\WTablet
2009-07-28 16:21 . 2008-05-16 09:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-02 10:30 . 2008-05-16 11:10	--------	d-----w-	c:\programme\ADAC TourPlaner® 2006 2007
2009-06-26 16:49 . 2006-03-04 03:34	672256	----a-w-	c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2004-08-04 10:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-06-16 14:36 . 2004-08-04 10:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2004-08-04 10:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-15 12:01 . 2009-06-15 12:01	128016	----a-w-	c:\windows\system32\drivers\kl1.sys
2009-06-03 19:09 . 2004-08-04 10:00	1296896	----a-w-	c:\windows\system32\quartz.dll
2009-05-16 18:59 . 2009-05-16 18:59	19472	----a-w-	c:\windows\system32\drivers\klmouflt.sys
2009-05-13 15:46 . 2009-05-13 15:46	31760	----a-w-	c:\windows\system32\drivers\klim5.sys
2009-05-11 13:43 . 2008-12-16 15:23	410984	----a-w-	c:\windows\system32\deploytk.dll
2009-05-07 15:32 . 2004-08-04 10:00	348160	----a-w-	c:\windows\system32\localspl.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Elements 6.0\apdproxy.exe" [2007-09-10 67488]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-07-09 570664]
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" [2009-07-03 303376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-26 16132608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
ANT 4 MailChecking.lnk - c:\programme\ANT 4 MailChecking\ant4mc.exe [2002-8-19 596480]
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2008-5-15 679936]

c:\dokumente und einstellungen\Anke\Startmen\Programme\Autostart\
WISO Urteilsmonitor.lnk - c:\programme\WISO\Sparbuch 2008\urteilsmonitor.exe [2008-7-25 409600]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ANT 4 MailChecking.lnk - c:\programme\ANT 4 MailChecking\ant4mc.exe [2002-8-19 596480]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15.12.2008 20:41 33808]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [11.09.2007 00:45 124832]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [16.05.2008 11:15 84992]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.05.2009 17:46 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16.05.2009 20:59 19472]
S3 SysProtDrv.sys;SysProtDrv.sys;\??\c:\dokumente und einstellungen\Anke\Desktop\SysProtDrv.sys --> c:\dokumente und einstellungen\Anke\Desktop\SysProtDrv.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2009-07-30 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-28 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe"
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-30 18:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ASFWHide]
"ImagePath"="\??\c:\dokume~1\ADMINI~1\LOKALE~1\Temp\ASFWHide"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\Tablet.exe
c:\windows\system32\WTablet\TabUserW.exe
c:\windows\system32\Tablet.exe
c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-30 18:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-07-30 16:52

Vor Suchlauf: 10 Verzeichnis(se), 263.804.764.160 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 264.847.450.112 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

146	--- E O F ---	2009-07-30 10:11

Gruß
Anke

john.doe · 30.07.2009, 18:23

Arbeitest du mit mehreren Konten? Dieses Script musst du von deinem Administrator-Konto laufen lassen.

Zitat:

beim wieder hochfahren haben sich der virusscanner + noch ein Programm (Autostart) mitgeladen? Tragisch?

Nein. Es sind jetzt einige Einstellungen auf Windowsstandard umgestellt worden. D.h. falls du jetzt eine Änderung bemerkst, wurde die von ComboFix verursacht. Die musst du nur einmal wieder einstellen, so wie du sie haben möchtest, dann ist die Sache gegessen.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
SysProtDrv.sys
Bonjour Service
gusvc

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"NeroFilterCheck"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ASFWHide]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E33CF602-D945-461A-83F0-819F76A199F8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

File::
c:\windows\Tasks\WGASetup.job

Folder::
C:\Programme\Google\Common\Google Updater
C:\Programme\Trojancheck 6
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software
C:\Dokumente und Einstellungen\Anke\Anwendungsdaten\Simply Super Software
C:\Programme\Trojan Remover
C:\Programme\ESET
c:\dokume~1\ADMINI~1\LOKALE~1\Temp
c:\Programme\Bonjour
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
C:\rsit
c:\programme\Lavasoft
c:\programme\Panda Security
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
DirLook::
C:\Dokumente und Einstellungen\Gipsy\Anwendungsdaten
C:\WINDOWS\Downloaded Program Files

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Edit: Das Log wird sehr groß, du kannst es bei einem Filehoster hochladen (z.B. www.materialordner.de) und hier den Link posten.

Fotoanke · 30.07.2009, 19:23

Ist mit Adminrechten gemacht

Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Gruß
Anke

john.doe · 30.07.2009, 19:36

Das sieht jetzt sauber aus.

1.) Start => Ausführen => combofix /u => OK

2.) Wie geht es dem Rechner? Gibt es noch Auffälligkeiten oder Meldungen?

3.) Poste noch ein aktuelles HJT-Log.

ciao, andreas

Fotoanke · 30.07.2009, 19:59

1) erledigt (ich auch

)

2) Da hat sich nichts mehr getan

3)

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:51:45, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O4 - Global Startup: ANT 4 MailChecking.lnk = C:\Programme\ANT 4 MailChecking\ant4mc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210865269515
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 5143 bytes

Eine Frage hätte ich noch... Meine Mituser der HP, sollten die sich hier vielleicht auch mal melden? Und wenn sie es dann tuen hier auf den Thread verweisen? Dann würde ich denen das mitteilen.

Gruß
Anke

john.doe · 30.07.2009, 20:10

Zitat:

Meine Mituser der HP, sollten die sich hier vielleicht auch mal melden?

Ja.

Zitat:

Und wenn sie es dann tuen hier auf den Thread verweisen?

Noch wichtiger ist dieser Link => http://www.trojaner-board.de/95173-b...es-posten.html

Zitat:

Dann würde ich denen das mitteilen.

Ich werde dich nicht davon abhalten.

Du hast ja noch den uralten MSIE. Auch wenn du ihn nicht benutzt, muss er aktuell gehalten werden.

1.) Starte HJT => Do a system scan only => Markiere

Code:

ATTFilter

Alle R1, O8, O9 und O16-Einträge

=> Fix checked

2.) LspFix

Lade LSPFix auf den Desktop
Nach dem Start siehst du folgendes Bild (Danke an den gesperrten Argus)

Haken setzen bei I know what I'm doing
Den Eintrag mdnsnsp.dll markieren
Doppelpfeil nach rechts anklicken
Finish anklicken
Rechner neustarten

3.) Poste ein letztes HJT-Log.

ciao, andreas

Fotoanke · 30.07.2009, 20:20

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:49, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ANT 4 MailChecking\ant4mc.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O4 - Global Startup: ANT 4 MailChecking.lnk = C:\Programme\ANT 4 MailChecking\ant4mc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 3436 bytes

john.doe · 30.07.2009, 20:27

Da habe ich doch glatt einen übersehen.

Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

=> Fix checked

Du bist entlassen.

ciao, andreas

Fotoanke · 30.07.2009, 20:33

Hi Andreas,

vielen Dank

dafür das du mir geholfen hast :aplaus: Ich schieb dir mal einen virtuellen Kasten Bier rüber

Gruß
Anke

Backdoor.Win32.Breolab.bv

Log-Analyse und Auswertung: Backdoor.Win32.Breolab.bv