Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Worm.KoobFace in C:\Windows

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 23.11.2009, 14:43   #1
yihaa
 
Worm.KoobFace in C:\Windows - Standard

Worm.KoobFace in C:\Windows



Hallo,

ich habe hier den PC einer Bekannten vor mir weil AntiVir eine Infizierung mit Worm/KoobFace meldete.
Als Betriebssystem lief XP Pro SP2, welches ich nun erstmal auf SP3 upgedatet habe.

Ich habe nun CCleaner, Malwarebytes-Anti-Malware und RSIT laufen lassen.
Der PC läuft nun fehlerfrei und ohne Meldungen. Kann bitte trotzdem jemand folgende bzw. angehängte Logfiles ansehen ob der PC nun tatsächlich sauber ist!?

AntiVir meldete folgende Infizierungen:
TR/REG.Koobface.89 in C:\3.reg
WORM/Koobface.cci in C:\WINDOWS\rdr_1258667803.exe
TR/Dldr.Small.anlx in C:\WINDOWS\rdr_1258667863.exe
TR/Dldr.Ag.41472.AA in C:\WINDOWS\ld15.exe
TR/Dldr.Ag.41472.AA in C:\System Volume Information\...\A0037346.exe
TR/VTool-Obfuscator.HL in C:\WINDOWS\tag14.exe

Logfile Malwarebytes:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3198
Windows 5.1.2600 Service Pack 3

20.11.2009 11:42:40
mbam-log-2009-11-20 (11-42-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 321417
Laufzeit: 1 hour(s), 50 minute(s), 2 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicherprozesse:
C:\WINDOWS\mstre23.exe (Worm.KoobFace) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysmstray (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\mstre23.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\tag14.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\rdr_1258617268.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\rdr_1258617517.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\rdr_1258656703.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\010112010146116101.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465150.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465249.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465250.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465349.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465355.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465548.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465649.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\tgm2.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\010112010146101105.rx (Malware.Trace) -> Quarantined and deleted successfully.

RIST log.txt und info.txt im Anhang


Vielen Dank im voraus!

yihaa

Alt 24.11.2009, 09:44   #2
kira
/// Helfer-Team
 
Worm.KoobFace in C:\Windows - Standard

Worm.KoobFace in C:\Windows



Hallo und Herzlich Willkommen!

Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Das heißt, eine Sichere Lösung wäre doch bestimmt die Neuinstallation
auf jeden Fall: Ändere deine Passworte und Zugangsdaten überall! - am besten von einem anderen, nicht-infizierten Rechner aus!
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Ccleaner starten→ dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren
- oder das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow
__________________


Alt 24.11.2009, 18:32   #3
yihaa
 
Worm.KoobFace in C:\Windows - Standard

Worm.KoobFace in C:\Windows



Hallo Coverflow,

vielen Dank, dass du dich meines Problems annimmst!

1. Stimmt, die Neuinstallation wäre bestimmt der sicherste und einfachste Weg. Da meine Bekannte allerdings (noch) keinerlei Backups ihrer Daten hat und einige Matheprogramme installiert hat, möchte ich den PC nicht neu aufsetzen.

2. Passwörter wurden geändert

3. Hier das filelist-log mit den Einträgen ab Juni 09:

4. Folgend die installierten Programme:
Code:
ATTFilter
Ad-Aware 2007
Adobe Acrobat 8.1.0 Professional
Adobe Color Common Settings
Adobe ExtendScript Toolkit 2
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop CS3
Agere Systems AC'97 Modem
Apple Mobile Device Support
Apple Software Update
ArcSoft PhotoStudio 5.5
ATI - Dienstprogramm zur Deinstallation der Software
Avira AntiVir Personal - Free Antivirus
Broadcom NetXtreme Ethernet Controller
Canon MP Navigator 2.0
Canon MP150
Canon Utilities Easy-PhotoPrint
CCleaner
Content Transfer
Digital Camera Driver
Easy-WebPrint
EVEREST Home Edition v2.20
FileZilla Client 3.2.0
HijackThis 2.0.2
HP BIOS Configuration for ProtectTools 1.00 C1
HP Customer Participation Program 7.0
HP Imaging Device Functions 7.0
HP Integrated Module with Bluetooth wireless technology
HP OrderReminder
HP Photosmart Essential
HP Photosmart, Officejet and Deskjet 7.0.A
HP ProtectTools Security Manager 1.00 C3
HP Software Update
HP Solution Center 7.0
HP Wireless Assistant
Intel(R) PROSet/Wireless Software
iTunes
J2SE Runtime Environment 5.0
LaserJet 1018
Malwarebytes' Anti-Malware
Maple 11
MATLAB R2007a
Media Manager for WALKMAN 1.2
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Enterprise 2007
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
MiKTeX 2.6
Mozilla Firefox (3.0.15)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
Nero 7 Ultra Edition
OCR Software by I.R.I.S 7.0
OmniPage SE
PHP 5.2.9-2
POV-Ray for Windows v3.6.1c
PowerDVD
Quick Launch Buttons 5.10 B5
QuickTime
R for Windows 2.7.0
Roxio PhotoSuite 5
Skype™ 3.5
SoulSeek Client 156c
SoundMAX
SpeedTouch USB Software
Synaptics Pointing Device Driver
Texas Instruments PCIxx21/x515 drivers.
TeXnicCenter Version 1 Beta 7.01 (Greengrass)
tsWebEditor 20060920
Winamp (remove only)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinRAR archiver
         
5. Das Log von GMER:
Code:
ATTFilter
GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-24 14:26:42
Windows 5.1.2600 Service Pack 3
Running: 270qpmpm.exe; Driver: C:\DOKUME~1\Lena\LOKALE~1\Temp\uwlcapob.sys


---- System - GMER 1.0.15 ----

SSDT            F7C97966                                                                                                             ZwCreateKey
SSDT            F7C9795C                                                                                                             ZwCreateThread
SSDT            F7C9796B                                                                                                             ZwDeleteKey
SSDT            F7C97975                                                                                                             ZwDeleteValueKey
SSDT            sptd.sys                                                                                                             ZwEnumerateKey [0xF73F6FB2]
SSDT            sptd.sys                                                                                                             ZwEnumerateValueKey [0xF73F7340]
SSDT            F7C9797A                                                                                                             ZwLoadKey
SSDT            sptd.sys                                                                                                             ZwOpenKey [0xF73F10B0]
SSDT            F7C97948                                                                                                             ZwOpenProcess
SSDT            F7C9794D                                                                                                             ZwOpenThread
SSDT            sptd.sys                                                                                                             ZwQueryKey [0xF73F7418]
SSDT            sptd.sys                                                                                                             ZwQueryValueKey [0xF73F7298]
SSDT            F7C97984                                                                                                             ZwReplaceKey
SSDT            F7C9797F                                                                                                             ZwRestoreKey
SSDT            F7C97970                                                                                                             ZwSetValueKey
SSDT            F7C97957                                                                                                             ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?               C:\WINDOWS\system32\drivers\sptd.sys                                                                                 Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text           USBPORT.SYS!DllUnload                                                                                                F691F8AC 5 Bytes  JMP 86D1A770 
init            C:\WINDOWS\system32\drivers\tifm21.sys                                                                               entry point in "init" section [0xF66E83BF]
init            C:\WINDOWS\system32\DRIVERS\gtipci21.sys                                                                             entry point in "init" section [0xF66ACA80]
?               System32\Drivers\a6bbo7z2.SYS                                                                                        Das System kann den angegebenen Pfad nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                   [F73F1AD4] sptd.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                           [F73F1C1A] sptd.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [F73F1B9C] sptd.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [F73F2748] sptd.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [F73F261E] sptd.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                   [F740729A] sptd.sys

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                               86FD01E8

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                              SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                              EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                              SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                              EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company)

Device          \Driver\usbuhci \Device\USBPDO-0                                                                                     86D371E8
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                            86F651E8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                              86F651E8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                 86F651E8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                                86F651E8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                     86D371E8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                     86D371E8
Device          \Driver\usbehci \Device\USBPDO-3                                                                                     86CF11E8
Device          \Driver\PCI_NTPNP6868 \Device\00000056                                                                               sptd.sys
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                               86FD21E8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                               86FD21E8
Device          \Driver\Cdrom \Device\CdRom0                                                                                         86CAF1E8
Device          \Driver\Cdrom \Device\CdRom1                                                                                         86CAF1E8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                   [F7326B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                                          [F7326B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                                          [F7326B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\NetBT \Device\NetBT_Tcpip_{6CE05725-A617-43BC-8C3B-1DCC1AC01E53}                                             86BCB650
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                              86BCB650
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                     86BCB650
Device          \Driver\usbuhci \Device\USBFDO-0                                                                                     86D371E8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                     86D371E8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    86DDE520
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                     86D371E8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          86DDE520
Device          \Driver\usbehci \Device\USBFDO-3                                                                                     86CF11E8
Device          \Driver\Ftdisk \Device\FtControl                                                                                     86FD21E8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{5C456280-D051-4925-9A93-137B07C69F40}                                             86BCB650
Device          \Driver\a6bbo7z2 \Device\Scsi\a6bbo7z21Port1Path0Target0Lun0                                                         86D721E8
Device          \Driver\a6bbo7z2 \Device\Scsi\a6bbo7z21                                                                              86D721E8
Device          \FileSystem\Cdfs \Cdfs                                                                                               86A2C5F8

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                   771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                   285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                   1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  C:\Programme\DAEMON Tools\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0x71 0x02 0x70 0x5E ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x4B 0xFE 0x0F 0x0B ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x67 0xD9 0x49 0x3F ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x71 0x02 0x70 0x5E ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x4B 0xFE 0x0F 0x0B ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x67 0xD9 0x49 0x3F ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x71 0x02 0x70 0x5E ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x4B 0xFE 0x0F 0x0B ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x67 0xD9 0x49 0x3F ...

---- EOF - GMER 1.0.15 ----
         
Vielen Dank.

Gruß
yihaa
__________________

Alt 25.11.2009, 14:20   #4
kira
/// Helfer-Team
 
Worm.KoobFace in C:\Windows - Standard

Worm.KoobFace in C:\Windows



hi

1.
Bevor wir beginnen:
Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw)
Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, aber besser auf externe Festplatten oder/und USB-Sticks
Mache das jetzt bitte!


2.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

3.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Alt 25.11.2009, 21:02   #5
yihaa
 
Worm.KoobFace in C:\Windows - Standard

Worm.KoobFace in C:\Windows



Hallo,

1. Eine externe FP wurde schon gekauft und bin dabei die Daten zu sichern.

2. Hier das Log von SUPERAntiSpyware:
Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/25/2009 at 04:24 PM

Application Version : 4.31.1000

Core Rules Database Version : 4310
Trace Rules Database Version: 2175

Scan type       : Complete Scan
Total Scan Time : 00:45:11

Memory items scanned      : 677
Memory threats detected   : 0
Registry items scanned    : 7075
Registry threats detected : 0
File items scanned        : 24783
File threats detected     : 1

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Lena\Cookies\lena@doubleclick[2].txt
         
3. Hier das Log von Kaspersky Online Scanner:
Code:
ATTFilter
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
 Wednesday, November 25, 2009
 Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
 Kaspersky Online Scanner version: 7.0.26.13
 Last database update: Wednesday, November 25, 2009 15:23:58
 Records in database: 3289631
--------------------------------------------------------------------------------

Scan settings:
	scan using the following database: extended
	Scan archives: yes
	Scan e-mail databases: yes

Scan area - My Computer:
	C:\
	D:\
	E:\
	G:\

Scan statistics:
	Objects scanned: 197907
	Threats found: 0
	Infected objects found: 0
	Suspicious objects found: 0
	Scan duration: 03:11:48

No threats found. Scanned area is clean.

Selected area has been scanned.
         
Ist der PC nun schon sauber?

Gruß

yihaa


Alt 26.11.2009, 09:50   #6
kira
/// Helfer-Team
 
Worm.KoobFace in C:\Windows - Standard

Worm.KoobFace in C:\Windows



hi

1.
** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

2.
Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:
Code:
ATTFilter
HijackThis/Trend Micro
filelist
CCleaner
         
Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
  • `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
  • `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

5.
Zum Schluss, scanne dein Sytem mit mindestens 3 Onlinescanner (Externe Sachen bitte anschliessen) :
- Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern
Code:
ATTFilter
bitdefender
emsisoft
ESET Online Scanner 
f-secure
         

Geändert von kira (26.11.2009 um 10:00 Uhr)

Alt 03.12.2009, 16:06   #7
yihaa
 
Worm.KoobFace in C:\Windows - Standard

Worm.KoobFace in C:\Windows



Hallo Coverflow,

habe deine Punkte nun abgearbeitet und auch drei Online-Scanner laufen lassen.

Hier die Logfiles:

bitdefender:
Code:
ATTFilter
*BitDefender Online Scanner*

*Bericht erstellt am: Wed, Dec 02, 2009 - 14:13:23*

* *

*Zu prüfender Pfad: *C:\;D:\;

* *

*Statistik*

Zeit
00:43:58

Dateien
139232

Ordner
18043

Boot-Sektoren
0

Archive
1794

Komprimierte Dateien
18055

*Ergebnisse*

Erkannte Viren
0

Infizierte Dateien
0

verdächtige Dateien
0

Warnungen
0

Desinfiziert
0

Gelöscht
0

*Engine-Info*

Virensignaturen
4675547

Engine info
AVCORE v2.1 Windows/i386 11.0.0.26 (Oct 20 2009)

Prüf-Plugins
17

Archiv-Plugins
44

Extraktions-Plugins
8

E-Mail-Plugins
6

System-Plugins
4

*Prüfeinstellungen*

Primäre Aktion
Desinfizieren

Sekundäre Aktion
Lschen

Heuristik
Ja

Warnungen aktivieren
Ja

Zu prüfende Erweiterungen
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Auszuschließende Erweiterungen

E-Mails prüfen
Ja

Archive prüfen
Ja

Komprimierte Dateien prüfen
Ja

Dateien prüfen
Ja

Boot-Sektoren prüfen
Ja

*Geprüfte Dateien*

* Status*

Keine Viren gefunden

* *
* *
         
ESET Online Scanner: ließ sich kein Log speichern, hat aber nichts gefunden

F-Secure:
Code:
ATTFilter
  Scanning Report


    Thursday, December 3, 2009 14:52:50 - 15:52:49

Computer name: MAGDALENA
Scanning type: Scan system for malware, spyware and rootkits
Target: C:\ D:\

------------------------------------------------------------------------


    1 malware found

TrackingCookie.Doubleclick
<http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Doubleclick&orig='disk'>
(spyware)

    * System (Disinfected) 

------------------------------------------------------------------------


    Statistics

Scanned:

    * Files: 74617
    * System: 3832
    * Not scanned: 7 

Actions:

    * Disinfected: 1
    * Renamed: 0
    * Deleted: 0
    * Not cleaned: 0
    * Submitted: 0 

Files not scanned:

    * C:\PAGEFILE.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
    * C:\WINDOWS\SYSTEM32\CONFIG\SAM
    * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
    * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
    * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
    * C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE 

------------------------------------------------------------------------


    Options

Scanning engines:

Scanning options:

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT
      VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM
      ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK
      WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML
      PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT
      MIF PHP POT SWF WMF NWS TAR
    * Use advanced heuristics

------------------------------------------------------------------------


                  Copyright © 1998-2009 Product support
                  <http://support.f-secure.com/> | Send virus sample to
                  F-Secure
                  <http://support.f-secure.com//enu/home/virusproblem/sample/>


                  F-Secure assumes no responsibility for material
                  created or published by third parties that F-Secure
                  World Wide Web pages have a link to. Unless you have
                  clearly stated otherwise, by submitting material to
                  any of our servers, for example by E-mail or via our
                  F-Secure's CGI E-mail, you agree that the material you
                  make available may be published in the F-Secure World
                  Wide Pages or hard-copy publications. You will reach
                  F-Secure public web site by clicking on underlined
                  links. While doing this, your access will be logged to
                  our private access statistics with your domain name.
                  This information will not be given to any third party.
                  You agree not to take action against us in relation to
                  material that you submit. Unless you have clearly
                  stated otherwise, by submitting material you warrant
                  that F-Secure may incorporate any concepts described
                  in it in the F-Secure products/publications without
                  liability.
         
Somit sollte der Rechner nun sauber sein, oder?

Vielen Dank für deine Hilfe!

Gruß
yihaa

Alt 04.12.2009, 07:17   #8
kira
/// Helfer-Team
 
Worm.KoobFace in C:\Windows - Standard

Worm.KoobFace in C:\Windows



hi

Alte Java-Versionen entfernen:
- Lade Dir JavaRa von prm753 herunter
- auf dem Desktop entpacken
- die JavaRa.exe per Doppelklick starten
- wähle "Remove Older Versions" und klicke auf "Yes
- wird ein Log erstellt, kannst Du speichern (posten nicht nötig)
- Installiere dann die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url]

- Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:
Code:
ATTFilter
HijackThis/Trend Micro
CCleaner
         
Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

Empfehlungen/Vorschläge:
1.
Wie lange dauert die Startvorgang?
- Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben
- Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen.
"Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK"
it-academy.cc
pqtuning.de
Laden von Programmen beim Start von Windows Vista verhindern
- Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart...
- Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten`
(Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.)
- Falls Du mal brauchst, kannst manuell auch starten
- Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*):
Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
ATTFilter
Du solltest nicht deaktivieren :
Grafiktreibers
Firewall
Antivirenprogramm
Sound
         
Da es ist immer Benutzerspezifisch, ein allgemein gültiges Rezept gibt es nicht, finde über Google die Grundfunktionen der einzelnen Programme heraus!
Gleich ein paar Vorschläge:
Code:
ATTFilter
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
         
2.
mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
ATTFilter
08-09-18 Einträge - alle
         
3.
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten:
Code:
ATTFilter
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
         
- unter `Systemsteuerung - Verwaltung - Dienste oder "Ausführen"-> gibst Du in das Dialogfenster den Befehl services.msc -> Ok
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt.
- auf keinen Fall Grafiktreibers, Firewall und Anti-Viren-Programmen abschalten!!



Lesestoff:
Zitat:
Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -
wünsch Dir alles Gute

Geändert von kira (04.12.2009 um 07:52 Uhr)

Antwort

Themen zu Worm.KoobFace in C:\Windows
anhang, antivir, backdoor.bot, betriebssystem, c:\system volume information\..., c:\windows, ccleaner, dateien, folge, folgende, information, logfiles, malware.trace, melde, microsoft, minute, pc läuft, process, registrierungsschlüssel, rsit, service, software, sp2, sp3, system volume information, trojan.agent, version, volume, windows, worm.koobface




Ähnliche Themen: Worm.KoobFace in C:\Windows


  1. C:\Windows\System32\drivers\PDRV.sys - Worm.KoobFace - Designänderung Vista
    Log-Analyse und Auswertung - 16.04.2013 (22)
  2. Worm.Koobface - bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 04.02.2011 (32)
  3. Worm.KoobFace --> HJT-Logfile
    Log-Analyse und Auswertung - 30.12.2010 (17)
  4. Koobface-Abkömmling als Trojaner für Mac OS X
    Nachrichten - 28.10.2010 (0)
  5. Mein PC meldet: Infizierung mit C:\windows\system32rasautou.exe, worm.koobFace
    Log-Analyse und Auswertung - 28.07.2010 (2)
  6. Nachricht von der Koobface-Gang
    Nachrichten - 18.05.2010 (0)
  7. WORM/Koobface.csa und TR/Crypt.XPACK.Gen gefunden
    Log-Analyse und Auswertung - 08.12.2009 (3)
  8. WORM/Koobface.cc u.a. gefunden
    Log-Analyse und Auswertung - 06.12.2009 (43)
  9. Worm.KoobFace, Trojan.BHO auf dem System :(
    Plagegeister aller Art und deren Bekämpfung - 05.12.2009 (17)
  10. Fund von TR/REG.koobface.89
    Plagegeister aller Art und deren Bekämpfung - 20.11.2009 (4)
  11. Mit Trojaner (Worm.KoobFace) über Facebook infiziert/Trojaner verschwunden?
    Plagegeister aller Art und deren Bekämpfung - 14.11.2009 (1)
  12. lost+found: Rookitschutz, Koobface, Windows 7, Gumblar
    Nachrichten - 10.11.2009 (0)
  13. Worm/Koobface.cif
    Log-Analyse und Auswertung - 28.10.2009 (1)
  14. ld11.exe (Worm.Koobface) bitte um logauswertung
    Log-Analyse und Auswertung - 15.07.2009 (6)
  15. Wurm = Net-Worm.Koobface.ze
    Plagegeister aller Art und deren Bekämpfung - 06.07.2009 (0)
  16. TR/Dldr.AGENT.bhhd.1 und WORM/KOObface.CN geplagt
    Plagegeister aller Art und deren Bekämpfung - 14.02.2009 (3)
  17. Koobface Wurm eingefangen
    Mülltonne - 01.01.2009 (0)

Zum Thema Worm.KoobFace in C:\Windows - Hallo, ich habe hier den PC einer Bekannten vor mir weil AntiVir eine Infizierung mit Worm/KoobFace meldete. Als Betriebssystem lief XP Pro SP2, welches ich nun erstmal auf SP3 upgedatet - Worm.KoobFace in C:\Windows...
Archiv
Du betrachtest: Worm.KoobFace in C:\Windows auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.