| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal weg? Ist da noch mehr?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.10.2009, 13:14
| #1 |
| |  BOO/Sinowal weg? Ist da noch mehr? Hallo Leute, nach intensiver Lektüre Eures tollen Boards habe ich doch schon einiges vorbereiten können. Nach der Benutzung von "mbr.exe", "Gmer", "CCleaner", "Malwarebyte´s Antimalware" und "RSIT" konnte ich meinen PC doch einigermaßen wieder aufräumen. Trotzdem habe ich bei "Gmer" in der Registry noch etwas gefunden, was ich nicht wegbekomme. Auch "CCLeaner" bekommt es nicht weg. Und zwar befindet sich das alles in "HKEY_CURRENT_USER/Software/Microsoft/Protected Storage System Provider“ Vielleicht hat von Euch noch jemand eine Idee, wie ich da sauber machen kann? Was kann/ soll/ muß ich hier alles einstellen, damit ihr mir helfen könnt? Schöne Grüße, Sierrakiller |
|
02.10.2009, 08:06
| #2 |
| | BOO/Sinowal weg? Ist da noch mehr? Guten Morgen zusammen,
__________________so ich habe gestern noch ein paar Berichte zusammengestellt, die ich jetzt versuche, hier rein zu stellen. Im übrigen habe ich seit gestern das kuriose Phänomen, daß mein Internetbrowser (Opera 9.61) beim ersten öffnen schreibt, der Server meiner Startseite wäre nicht verfügbar. Beim aktualisieren ist die Seite aber sofort da. So, die Berichte meiner Suchprogramme: GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-10-01 14:10:30 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- SSDT sptd.sys ZwCreateKey [0xB7ECE0B0] SSDT sptd.sys ZwEnumerateKey [0xB7ED3A92] SSDT sptd.sys ZwEnumerateValueKey [0xB7ED3E20] SSDT sptd.sys ZwOpenKey [0xB7ECE090] SSDT sptd.sys ZwQueryKey [0xB7ED3EF8] SSDT sptd.sys ZwQueryValueKey [0xB7ED3D78] SSDT sptd.sys ZwSetValueKey [0xB7ED3F8A] ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload B656862C 5 Bytes JMP 8B0FA1C8 ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7ECEAB4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7ECEBFA] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7ECEB7C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7ECF728] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7ECF5FE] sptd.sys IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B7EE1C5A] sptd.sys ---- User IAT/EAT - GMER 1.0.15 ---- IAT c:\windows\explorer.exe[1768] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [01232F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj19.dll (Camera Helper Library./Logitech Inc.) IAT c:\windows\explorer.exe[1768] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [01232C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj19.dll (Camera Helper Library./Logitech Inc.) IAT c:\windows\explorer.exe[1768] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [01232CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj19.dll (Camera Helper Library./Logitech Inc.) IAT c:\windows\explorer.exe[1768] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [01232CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj19.dll (Camera Helper Library./Logitech Inc.) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8B3021E8 AttachedDevice \Driver\Tcpip \Device\Ip NVTcp.sys (NVIDIA Networking Protocol Driver./NVIDIA Corporation) Device \Driver\usbohci \Device\USBPDO-0 8B0F91E8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8B3041E8 Device \Driver\dmio \Device\DmControl\DmConfig 8B3041E8 Device \Driver\dmio \Device\DmControl\DmPnP 8B3041E8 Device \Driver\dmio \Device\DmControl\DmInfo 8B3041E8 Device \Driver\usbehci \Device\USBPDO-1 8B0F81E8 Device \Driver\usbohci \Device\USBPDO-2 8B0F91E8 Device \Driver\usbohci \Device\USBPDO-3 8B0F91E8 Device \Driver\usbohci \Device\USBPDO-4 8B0F91E8 AttachedDevice \Driver\Tcpip \Device\Tcp NVTcp.sys (NVIDIA Networking Protocol Driver./NVIDIA Corporation) Device \Driver\Ftdisk \Device\HarddiskVolume1 8B2991E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8B2991E8 Device \Driver\Cdrom \Device\CdRom0 8AFF2748 Device \Driver\Cdrom \Device\CdRom1 8AFF2748 Device \Driver\Ftdisk \Device\HarddiskVolume3 8B2991E8 Device \Driver\ubohci \Device\C1394 UB1394.SYS (FireAPI® 1394 Class Driver (XP)/Unibrain S.A.) Device \Driver\Ftdisk \Device\HarddiskVolume4 8B2991E8 Device \Driver\nvata \Device\00000074 8B3031E8 Device \Driver\nvata \Device\00000074 AnyDVD.sys (AnyDVD Filter Driver/SlySoft, Inc.) Device \Driver\Ftdisk \Device\HarddiskVolume5 8B2991E8 Device \Driver\nvata \Device\00000075 8B3031E8 Device \Driver\nvata \Device\00000075 AnyDVD.sys (AnyDVD Filter Driver/SlySoft, Inc.) Device \Driver\Ftdisk \Device\HarddiskVolume6 8B2991E8 Device \Driver\nvata \Device\00000077 8B3031E8 Device \Driver\nvata \Device\00000077 AnyDVD.sys (AnyDVD Filter Driver/SlySoft, Inc.) Device \Driver\usbohci \Device\USBFDO-0 8B0F91E8 Device \Driver\usbehci \Device\USBFDO-1 8B0F81E8 Device \Driver\nvata \Device\NvAta0 8B3031E8 Device \Driver\nvata \Device\NvAta0 AnyDVD.sys (AnyDVD Filter Driver/SlySoft, Inc.) Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89CCB1E8 Device \Driver\usbohci \Device\USBFDO-2 8B0F91E8 Device \Driver\nvata \Device\NvAta1 8B3031E8 Device \Driver\nvata \Device\NvAta1 AnyDVD.sys (AnyDVD Filter Driver/SlySoft, Inc.) Device \FileSystem\MRxSmb \Device\LanmanRedirector 89CCB1E8 Device \Driver\usbohci \Device\USBFDO-3 8B0F91E8 Device \Driver\nvata \Device\NvAta2 8B3031E8 Device \Driver\nvata \Device\NvAta2 AnyDVD.sys (AnyDVD Filter Driver/SlySoft, Inc.) Device \Driver\usbohci \Device\USBFDO-4 8B0F91E8 Device \Driver\Ftdisk \Device\FtControl 8B2991E8 Device \FileSystem\Cdfs \Cdfs 8AE204A0 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF4 0xCA 0xAC ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF4 0xCA 0xAC ... Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb@group file system Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb@imagepath \systemroot\system32\drivers\kbiwkmdjvpbhri.sys Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main@aid 10437 Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main@sid 0 Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main@cmddelay 14400 Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main\delete Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main\injector Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main\injector@* kbiwkmwsp8.dll Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main\tasks Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules@kbiwkmrk.sys \systemroot\system32\drivers\kbiwkmdjvpbhri.sys Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules@kbiwkmcmd.dll \systemroot\system32\kbiwkmvvqckbns.dll Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules@kbiwkmlog.dat \systemroot\system32\kbiwkmofmqwoov.dat Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules@kbiwkmwsp.dll \systemroot\system32\kbiwkmqyhchvsl.dll Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules@kbiwkm.dat \systemroot\system32\kbiwkmepekejgw.dat Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules@kbiwkmwsp8.dll \systemroot\system32\kbiwkmrilcreql.dll Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF4 0xCA 0xAC ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 698863506 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -413717385 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF4 0xCA 0xAC ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF4 0xCA 0xAC ... Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Appilpt_Dlls nvrtm Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{386BD8CF-BADE-1DE5-82E2-6E2BEEFCD116} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{386BD8CF-BADE-1DE5-82E2-6E2BEEFCD116}@jahmpbfjcobfipojjpgo 0x6B 0x61 0x6C 0x6C ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{386BD8CF-BADE-1DE5-82E2-6E2BEEFCD116}@iabmbcgmhbaeamhbnn 0x6B 0x61 0x6C 0x6C ... ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\system32\fsync.log (size mismatch) 1812471/1808487 bytes ---- EOF - GMER 1.0.15 ---- |
|
02.10.2009, 08:11
| #3 |
| | BOO/Sinowal weg? Ist da noch mehr? So, das war der eine! Die rot markierten Zeilen gibt mir GMER auch so aus, wenn ich in der "registry"- Karte alles einzeln durchsuche.
__________________Nun der nächste Report: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2775 Windows 5.1.2600 Service Pack 2 01.10.2009 13:07:55 mbam-log-2009-10-01 (13-07-55).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|) Durchsuchte Objekte: 211759 Laufzeit: 22 minute(s), 15 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 1 Infizierte Dateien: 13 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Generic.Bot.H) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89ANIJE3\install_cr[1].exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\HelpAssistant\Anwendungsdaten\run_setup.exe (Worm.P2P) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\******\Anwendungsdaten\run_setup.exe (Worm.P2P) -> Quarantined and deleted successfully. C:\WINDOWS\system32\f1fhk.sc (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\f3g4.ge (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\f4hm.es (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fefe1.an (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fio0.bbv (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fvht.pa (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\kbiwkmepekejgw.dat (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\kbiwkmofmqwoov.dat (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\kbiwkmqyhchvsl.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. So, ich hoffe, dies könnte zur Hilfe meines Problems beitragen. Ich wünsche allen Helferlein einen schönen Tag; Sierrakiller |
Linear-Darstellung
