Browser biegt beim surfen zu Primosearch ab, Sicherheitsseiten werden blockiert

wechselbalg · 01.12.2009, 11:09

Hi, zweiteres war der Fall. In userinit.exe stand der Verweis zu pxk_ als Debugger. Den Debugger-Eintrag hab ich jetzt gelöscht (vorher die Registry exportiert).

Mir fallen zwei Dinge auf. Erstens: In diesem Registrierungsverzeichnis (IFEO) tauchen opera.exe, safari.exe und chrome.exe auf. Alle mit Eintrag: Debugger C:\Programme\Internet Explorer\iexplorer.exe
Ich weiß ganz genau, dass ich keinerlei alternativen Browser angefasst habe. Im Zweitrechner gibts solche Einträge nicht.

Dafür werd ich hier gerade auch beim Zweitrechner schon ganz wuschig: Beim Öffnen der Registry im Zweitrechner zeigt mir diese genau HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options !!!!!!!
Als wär das das gängigste Verzeichnis in der Registry....das kann doch kein Zufall sein!?!

Zweitens: In beiden Registries ist in dem Schlüsselzweig noch ein Eintrag namens mngreg.exe; Unterschlüssel:
Standard (Wert nicht gesetzt)
und
ApplicationGoo mit nem langem Reg_Binary Wert.
Googelt man unter mngreg32.exe, kommen nur Treffer von Leuten mit verseuchten Systemen.

PS: hochfahren geht jetzt wieder normal.

cosinus · 01.12.2009, 11:42

Zitat:

Zitat von wechselbalg

Ich weiß ganz genau, dass ich keinerlei alternativen Browser angefasst habe. Im Zweitrechner gibts solche Einträge nicht.

Dann lösch die Schlüssel. Wahrscheinlich sollte mit diesen Einträgen sichergestellt werden, dass Du immer den IE startest, egal welchen Browser Du öffnest.

Zitat:

Als wär das das gängigste Verzeichnis in der Registry....das kann doch kein Zufall sein!?!

Da dürften schon "von Haus" aus einige Schlüssel drin stehen. Erst wenn im Schlüssel noch ein "Debugger" steht und der den Wert einer anderen Datei hat, dann wird quasi umgelenkt => Image File Execution Options

Zitat:

Googelt man unter mngreg32.exe, kommen nur Treffer von Leuten mit verseuchten Systemen.

Den Schlüssel hab ich aber auch drin.Scheint ne MS-Office-Geschichte zu sein...

Zitat:

PS: hochfahren geht jetzt wieder normal.

Sehr schön!

Biegt der Browser noch ab? Sicherheitsseiten noch blockiert?

wechselbalg · 01.12.2009, 19:24

Habe jetzt die Schlüssel aus der Registry entfernt, die den iexplore.exe als Debugger drin hatten (Chrome, Safari...), ferner die Registry nochmal nach "pxkuz" durchsucht (keine Treffer). Edit: das bringt wohl offenbar nix, "notep" als Suchwort bringt auch keine Treffer, obwohl ich weiß, dass es Schlüssel gibt, die das Wort notepad enthalten). Dann neu hochgefahren.

Aaaber: Den IE aufgemacht, in Google "fantastic" eingegeben. Zweiter Treffer ist irgendsone Filmwerbung von Kinowelt. Anklicken führt auf einem sauberen Rechner direkt zu Kinowelt, auf meinem Rechner zu h++p://bcczzoot.com/in.cgi&parameter=fantastic&ur=1&HTTP_REFERER=31201
und zwar als untere Seite in einem Frameset.

Malwarebytes startet das Update, das wird dann aber in der Hälfte abgebrochen. Malwarebytes wird ebenfalls nach ein paar Sekunden abgeschossen. Man kann genau auf Scan klicken, dann geht das Fenster zu.

Gruß, wechselbalg.

PS: Kann man die Registry dahingehend untersuchen, dass man alle Schlüssel aufgelistet bekommt, in denen ein Debugger vorkommt?

cosinus · 01.12.2009, 19:29

Wir sollten uns jetzt nicht zu sehr auf die Image File Executions konzentrieren und alles andere außer acht lassen.

Es wird Zeit für Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

wechselbalg · 01.12.2009, 20:49

Da bin ich wieder. Combofix lief durch. Hat so weit ich das überblicke nur den popcaploader gefunden. Hier das Log:

Code:

ATTFilter

ComboFix 09-12-01.01 - Admin 01.12.2009 19:57.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.531 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\CombFi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Downloaded Program Files\popcaploader.dll
c:\windows\Downloaded Program Files\popcaploader.inf

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


(((((((((((((((((((((((   Dateien erstellt von 2009-11-01 bis 2009-12-01  ))))))))))))))))))))))))))))))
.

2009-12-01 18:20 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-01 18:20 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-30 22:58 . 2008-04-14 02:22	70144	----a-w-	c:\windows\system32\pxkuzuwjb.exe
2009-11-27 14:13 . 2009-11-27 14:15	--------	d-----w-	C:\rsit
2009-11-27 01:17 . 2009-11-27 01:17	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2009-11-27 01:16 . 2009-11-27 01:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-21 10:54 . 2009-11-21 10:54	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche47.exe.pif
2009-11-14 12:32 . 2009-11-14 12:32	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche46.exe.pif
2009-11-07 07:40 . 2009-11-07 07:40	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche45.exe.pif
2009-11-07 07:40 . 2009-11-07 07:40	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche45.exe.pif

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-27 00:33 . 2006-04-03 07:51	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-11-27 00:30 . 1979-12-31 22:00	80314	----a-w-	c:\windows\system32\perfc007.dat
2009-11-27 00:30 . 1979-12-31 22:00	449390	----a-w-	c:\windows\system32\perfh007.dat
2009-11-21 10:54 . 2006-11-25 12:48	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche47.exe.pif
2009-11-20 00:00 . 2007-01-01 19:46	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Skype
2009-11-14 12:32 . 2006-11-18 12:37	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche46.exe.pif
2009-10-31 11:22 . 2009-10-31 11:22	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche44.exe.pif
2009-10-31 11:22 . 2008-11-01 14:34	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche44.exe.pif
2009-10-24 10:32 . 2009-10-24 10:32	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche43.exe.pif
2009-10-24 10:32 . 2009-10-24 10:32	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche43.exe.pif
2009-10-03 11:08 . 2009-10-03 11:08	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche40(2009-10-03,13-01).exe.pif
2009-10-03 11:08 . 2009-10-03 11:08	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche40(2009-10-03,13-01).exe.pif
2009-10-03 11:02 . 2009-10-03 11:02	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche40.exe.pif
2009-10-03 11:02 . 2007-10-06 16:57	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche40.exe.pif
2009-09-26 11:22 . 2009-09-26 11:22	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche39.exe.pif
2009-09-26 11:22 . 2008-09-27 09:42	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche39.exe.pif
2009-09-25 05:35 . 1979-12-31 22:00	672768	----a-w-	c:\windows\system32\wininet.dll
2009-09-25 05:35 . 1979-12-31 22:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-09-12 12:44 . 2009-09-12 12:44	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche37.exe.pif
2009-09-12 12:44 . 2009-09-12 12:44	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche37.exe.pif
2009-09-11 14:17 . 1979-12-31 22:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-11 10:07 . 2009-09-11 10:07	34	----a-w-	c:\windows\system32\BD8860DN.DAT
2009-09-05 17:10 . 2009-09-05 17:10	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche36.exe.pif
2009-09-05 17:10 . 2009-09-05 17:10	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche36.exe.pif
2009-09-04 21:03 . 1979-12-31 22:00	58880	----a-w-	c:\windows\system32\msasn1.dll
2009-09-03 21:05 . 2009-09-03 21:05	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche34(2009-08-22,13-14).exe.pif
2009-09-03 21:05 . 2009-09-03 21:05	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche34(2009-08-22,13-13).exe.pif
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_8 -reboot 1" [X]
"PC Suite Tray"="e:\programme\Tools\nokia\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cssauth"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe silent" [X]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-14 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-14 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-14 118784]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2005-11-17 237568]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2005-12-15 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-12-15 925696]
"LPManager"="c:\progra~1\THINKV~2\PrdCtr\LPMGR.exe" [2005-11-23 106496]
"PDService.exe"="c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-11-15 49152]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2005-11-29 196696]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-04-17 409600]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-04-17 98304]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2005-12-06 151552]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-12-06 208896]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-11-05 98304]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"TrackPointSrv"="tp4serv.exe" - c:\windows\system32\tp4serv.exe [2005-07-13 94208]
"TpShocks"="TpShocks.exe" - c:\windows\system32\TpShocks.exe [2005-11-07 106496]
"TP4EX"="tp4ex.exe" - c:\windows\system32\TP4EX.exe [2005-10-16 65536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - e:\programme\Tools\Adobe Acrobat Reader\Programm\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
2003-05-29 09:00	8704	----a-w-	c:\windows\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2005-12-08 12:59	39936	----a-w-	c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 21:45	28672	----a-w-	c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 18:16	24576	----a-w-	c:\windows\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi9"=c:\windows\rfj.old 2yKOEBOFFO

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli psqlpwd

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\ThinkPad\\ConnectUtilities\\ACMainGUI.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"e:\\Programme\\Tools\\PC-Anywhere\\awrem32.exe"=
"e:\\Programme\\Tools\\PC-Anywhere\\Winaw32.exe"=
"e:\\Programme\\Tools\\PC-Anywhere\\awhost32.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programme\\Internet\\Skype\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5661:TCP"= 5661:TCP:PC-Anywhere
"5632:UDP"= 5632:UDP:PC-Anywhere

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
"AllowInboundTimestampRequest"= 1 (0x1)
"AllowInboundMaskRequest"= 1 (0x1)
"AllowInboundRouterRequest"= 1 (0x1)

R2 PrivateDisk;PrivateDisk;c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys [15.11.2005 12:11 46142]
R2 smi2;smi2;c:\programme\SMI2\smi2.sys [21.12.2005 15:45 3968]
R2 smihlp;SMI helper driver;c:\programme\ThinkVantage Fingerprint Software\smihlp.sys [08.12.2005 13:44 3328]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [31.12.1979 23:00 13840]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [16.06.2009 17:35 15104]
.
Inhalt des "geplante Tasks" Ordners

2009-12-01 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2006-04-03 23:12]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.comdirect.de
uInternet Settings,ProxyServer = 192.168.1.33:
uInternet Settings,ProxyOverride = fritz.box
IE: &Google-Suche - c:\programme\Google\GoogleToolbar1.dll/cmsearch.html
IE: &Ins Deutsche übersetzen - c:\programme\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: Im Cache gespeicherte Seite - c:\programme\Google\GoogleToolbar1.dll/cmcache.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Verweisseiten - c:\programme\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Ähnliche Seiten - c:\programme\Google\GoogleToolbar1.dll/cmsimilar.html
TCP: {4F4DE277-C8CE-49D0-B82F-D8C6714B8B56} = 192.168.178.2,192.168.178.1
DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} - hxxp://www.tradesignalonline.com/wpa/tsb/2.7.0.45/components/tsbt-2-7-0-45.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Terminkalender - e:\programme\Tools\Kalender\bitwerk\Terminkalender\Terminkalender.exe
HKCU-Run-TomTomHOME.exe - e:\programme\Tools\TOMTOM home\TomTom HOME 2\TomTomHOMERunner.exe
Notify-ACNotify - ACNotify.dll
Notify-NavLogon - (no file)
AddRemove-TrueCrypt - e:\programme\Tools\verschlüsseln\TrueCrypt6.2a\TrueCrypt Setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-01 20:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(944)
c:\windows\system32\tvt_gina.dll
c:\programme\ThinkPad\ConnectUtilities\ACGina.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\Res\GR\ACGinaRes.dll
c:\windows\system32\vrlogon.dll
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\windows\system32\biologon.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\remote.dll
c:\programme\ThinkVantage Fingerprint Software\crypto.dll
c:\windows\system32\tphklock.dll

- - - - - - - > 'lsass.exe'(1000)
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll

- - - - - - - > 'explorer.exe'(3552)
c:\windows\system32\PROCHLP.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\brss01a.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\System32\TPHDEXLG.EXE
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
c:\programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\UStorSrv.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\lenovo\system update\suservice.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32\wscntfy.exe
c:\programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
c:\windows\system32\rundll32.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclBCBTSrv.exe
c:\programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-01 20:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-12-01 19:19

Vor Suchlauf: 1,181,442,048 Bytes frei
Nach Suchlauf: 1,745,510,400 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

- - End Of File - - B748026FFF8019034C5A8776BE6F935B

Nicht von den MWochexx / Wochexx-Dateien ablenken lassen, das ist das wöchentliche Update meiner Börsendaten von Lenz&Partner (selbstentpackende Archive). Da keine entsprechende Warnung oder Entschuldigung auf deren Homepage veröffentlicht wurde, waren die Files höchstwahrscheinlich clean.

Kleine Anmerkung am Rande: nachdem Combofix runtergefahren hatte, war der Screen nach dem automatischen Neustart erstmal komplett schwarz mit weißem Mauszeiger. Im Zweiten Anlauf (normales Starten, nicht Wiederherstellung) startete der Rechner dann normal.

CCleaner ist ebenfalls durchgelaufen. Der hat die Registry um rund 300 Einträge gekürzt.

Die Probleme bei Malwarebytes sind unverändert. Internet Explorer habbich nicht getestet.

cosinus · 01.12.2009, 21:17

Code:

ATTFilter

2009-11-30 22:58 . 2008-04-14 02:22	70144	----a-w-	c:\windows\system32\pxkuzuwjb.exe

Die Datei ist wieder/noch (?) da! Oder ist das die umbenannte notepad.exe?

Code:

ATTFilter

c:\windows\system32\BD8860DN.DAT
c:\windows\rfj.old

Bei Virustotal auswerten lassen und Ergebnislinks posten.

wechselbalg · 01.12.2009, 22:48

das pxku_File ist definitiv das umbenannte Notepad. Habs jetzt gelöscht.

Die BD8860DN-dat hat nur 1 KB, Check ergab: sauber.

rfj.old hingegen ist der nächste Treffer:
AVG 8.5.0.426 2009.12.01 Delf.NLP
BitDefender 7.2 2009.12.01 Gen:Trojan.Kates.lG8@ayeDK6hi
ClamAV 0.94.1 2009.12.01 -
DrWeb 5.0.0.12182 2009.12.01 Trojan.Packed.194
eSafe 7.0.17.0 2009.12.01 -
Fortinet 4.0.14.0 2009.12.01 -
GData 19 2009.12.01 Gen:Trojan.Kates.lG8@ayeDK6hi
K7AntiVirus 7.10.906 2009.11.27 -
McAfee-GW-Edition 6.8.5 2009.12.01 Trojan.PSW.Kates.CA.3
Microsoft 1.5302 2009.12.01 Trojan:Win32/Daonol.gen!A
Norman 6.03.02 2009.12.01 -
Panda 10.0.2.2 2009.12.01 Trj/KillAV.FJ
PCTools 7.0.3.5 2009.12.01 Trojan-PSW.Daonol
VBA32 3.12.12.0 2009.11.30 Trojan-PSW.Win32.Kates.q
VirusBuster 5.0.21.0 2009.12.01 -

Hier die Übersicht

cosinus · 01.12.2009, 23:23

Die rfj.old bitte wieder bei uns hochladen. Das wäre schon wichtig wenn Du das machst, damit möglichst schnell möglichst viele AV-Labs Signaturen für diesen wohl noch recht neuen Schädling erstellen können.

Danach müssen wir scripten:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi9"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

File::
c:\windows\system32\BD8860DN.DAT
c:\windows\rfj.old

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe bzw. cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

wechselbalg · 02.12.2009, 01:55

ok, die rfj.old-Datei ist bei Euch.

Combofix blieb beim Runterfahren hängen: ich hatte einen leeren Desktop vor mir, Maus ließ sich noch bewegen, also hab ich mittels Task-Manager -> neuer Task -> "explorer" für eine Arbeitsumgebung gesorgt. Kein Logfile gesehen, also Neustart. Aber auch jetzt wird kein Logfile eingeblendet. Hm, aber dafür gibts was anderes Interessantes zu beobachten:

Auf der Suche nach dem Combofix-Log (nicht gefunden in C:\Combofix.txt, also gesucht in C:\CombFi\*) wird dieser Ordner als "Unter-"Arbeitsplatz angezeigt, womit sich die im Bild zu sehende Endlos-Kaskade bilden lässt. Netter Effekt

Auch das Durchsuchen der Festplatte führt in eine Endlosschleife. Fürchte, wir müssen ohne das Log auskommen...naja, schaun wir mal weiter:
die dat-Datei ist aus \system32\ verschwunden, aber die rfj.old ist noch da - aber: sie hat nur noch 100 kB, vorher warens 179 kB.

Virustotal sagt zu dieser veränderten Datei folgendes:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.01 Trojan-PWS.Win32.Kates!IK
AhnLab-V3 5.0.0.2 2009.12.01 -
AntiVir 7.9.1.88 2009.12.01 TR.PSW.Kates.CA.3
Antiy-AVL 2.0.3.7 2009.12.01 Trojan/Win32.Kates.gen
Authentium 5.2.0.5 2009.12.01 W32/Pws.BNTH
Avast 4.8.1351.0 2009.12.01 -
AVG 8.5.0.426 2009.12.01 -
BitDefender 7.2 2009.12.02 -
CAT-QuickHeal 10.00 2009.12.01 -
ClamAV 0.94.1 2009.12.01 -
Comodo 3103 2009.12.01 -
DrWeb 5.0.0.12182 2009.12.01 -
eSafe 7.0.17.0 2009.12.01 -
eTrust-Vet 35.1.7151 2009.12.01 -
F-Prot 4.5.1.85 2009.12.01 W32/Pws.BNTH
F-Secure 9.0.15370.0 2009.11.29 -
Fortinet 4.0.14.0 2009.12.01 -
GData 19 2009.12.02 -
Ikarus T3.1.1.74.0 2009.12.01 Trojan-PWS.Win32.Kates
Jiangmin 11.0.800 2009.12.01 Trojan/PSW.Kates.bv
K7AntiVirus 7.10.906 2009.11.27 -
Kaspersky 7.0.0.125 2009.12.02 -
McAfee 5819 2009.12.01 potentially unwanted program Corrupt-07!0D5EF96FE6E5
McAfee+Artemis 5819 2009.12.01 potentially unwanted program Corrupt-07!0D5EF96FE6E5
McAfee-GW-Edition 6.8.5 2009.12.01 Trojan.PSW.Kates.CA.3
Microsoft 1.5302 2009.12.01 -
NOD32 4653 2009.12.02 -
Norman 6.03.02 2009.12.01 -
nProtect 2009.1.8.0 2009.11.28 Trojan/W32.Daonol.Gen
Panda 10.0.2.2 2009.12.01 -
PCTools 7.0.3.5 2009.12.02 -
Prevx 3.0 2009.12.02 -
Rising 22.24.01.09 2009.12.01 -
Sophos 4.48.0 2009.12.02 -
Sunbelt 3.2.1858.2 2009.12.02 -
Symantec 1.4.4.12 2009.12.02 -
TheHacker 6.5.0.2.083 2009.12.01 -
TrendMicro 9.100.0.1001 2009.12.01 -
VBA32 3.12.12.0 2009.11.30 -
ViRobot 2009.12.1.2065 2009.12.01 -
VirusBuster 5.0.21.0 2009.12.01 -

Hier der Link dazu

...also schon erheblich weniger Treffer als im Urzustand.

Was machen wir denn da? Hm, auch auf die Gefahr hin, dass ich jetzt verhauen werde, ich habe einfach nochmal Combofix durchlaufen lassen (ohne Parameter). Jetzt lief es durch. Hier das Log:

Code:

ATTFilter

ComboFix 09-12-01.01 - Admin 02.12.2009  2:05.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.568 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\CombFi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\rfj.old
.
---- Vorheriger Suchlauf -------
.
c:\windows\rfj.old
c:\windows\system32\BD8860DN.DAT

.
(((((((((((((((((((((((   Dateien erstellt von 2009-11-02 bis 2009-12-02  ))))))))))))))))))))))))))))))
.

2009-12-01 18:20 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-01 18:20 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-27 14:13 . 2009-11-27 14:15	--------	d-----w-	C:\rsit
2009-11-27 01:17 . 2009-11-27 01:17	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2009-11-27 01:16 . 2009-11-27 01:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-21 10:54 . 2009-11-21 10:54	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche47.exe.pif
2009-11-14 12:32 . 2009-11-14 12:32	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche46.exe.pif
2009-11-07 07:40 . 2009-11-07 07:40	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche45.exe.pif
2009-11-07 07:40 . 2009-11-07 07:40	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche45.exe.pif

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-27 00:33 . 2006-04-03 07:51	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-11-27 00:30 . 1979-12-31 22:00	80314	----a-w-	c:\windows\system32\perfc007.dat
2009-11-27 00:30 . 1979-12-31 22:00	449390	----a-w-	c:\windows\system32\perfh007.dat
2009-11-21 10:54 . 2006-11-25 12:48	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche47.exe.pif
2009-11-20 00:00 . 2007-01-01 19:46	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Skype
2009-11-14 12:32 . 2006-11-18 12:37	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche46.exe.pif
2009-10-31 11:22 . 2009-10-31 11:22	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche44.exe.pif
2009-10-31 11:22 . 2008-11-01 14:34	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche44.exe.pif
2009-10-24 10:32 . 2009-10-24 10:32	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche43.exe.pif
2009-10-24 10:32 . 2009-10-24 10:32	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche43.exe.pif
2009-10-03 11:08 . 2009-10-03 11:08	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche40(2009-10-03,13-01).exe.pif
2009-10-03 11:08 . 2009-10-03 11:08	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche40(2009-10-03,13-01).exe.pif
2009-10-03 11:02 . 2009-10-03 11:02	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche40.exe.pif
2009-10-03 11:02 . 2007-10-06 16:57	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche40.exe.pif
2009-09-26 11:22 . 2009-09-26 11:22	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche39.exe.pif
2009-09-26 11:22 . 2008-09-27 09:42	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche39.exe.pif
2009-09-25 05:35 . 1979-12-31 22:00	672768	------w-	c:\windows\system32\wininet.dll
2009-09-25 05:35 . 1979-12-31 22:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-09-12 12:44 . 2009-09-12 12:44	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche37.exe.pif
2009-09-12 12:44 . 2009-09-12 12:44	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche37.exe.pif
2009-09-11 14:17 . 1979-12-31 22:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-05 17:10 . 2009-09-05 17:10	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche36.exe.pif
2009-09-05 17:10 . 2009-09-05 17:10	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche36.exe.pif
2009-09-04 21:03 . 1979-12-31 22:00	58880	----a-w-	c:\windows\system32\msasn1.dll
2009-09-03 21:05 . 2009-09-03 21:05	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Mwoche34(2009-08-22,13-14).exe.pif
2009-09-03 21:05 . 2009-09-03 21:05	2855	----a-w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Woche34(2009-08-22,13-13).exe.pif
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="e:\programme\Tools\nokia\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cssauth"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe silent" [X]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-14 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-14 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-14 118784]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2005-11-17 237568]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2005-12-15 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-12-15 925696]
"LPManager"="c:\progra~1\THINKV~2\PrdCtr\LPMGR.exe" [2005-11-23 106496]
"PDService.exe"="c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-11-15 49152]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2005-11-29 196696]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-04-17 409600]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-04-17 98304]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2005-12-06 151552]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-12-06 208896]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-11-05 98304]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"TrackPointSrv"="tp4serv.exe" - c:\windows\system32\tp4serv.exe [2005-07-13 94208]
"TpShocks"="TpShocks.exe" - c:\windows\system32\TpShocks.exe [2005-11-07 106496]
"TP4EX"="tp4ex.exe" - c:\windows\system32\TP4EX.exe [2005-10-16 65536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - e:\programme\Tools\Adobe Acrobat Reader\Programm\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
2003-05-29 09:00	8704	----a-w-	c:\windows\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2005-12-08 12:59	39936	----a-w-	c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 21:45	28672	----a-w-	c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 18:16	24576	----a-w-	c:\windows\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli psqlpwd

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\ThinkPad\\ConnectUtilities\\ACMainGUI.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"e:\\Programme\\Tools\\PC-Anywhere\\awrem32.exe"=
"e:\\Programme\\Tools\\PC-Anywhere\\Winaw32.exe"=
"e:\\Programme\\Tools\\PC-Anywhere\\awhost32.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programme\\Internet\\Skype\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5661:TCP"= 5661:TCP:PC-Anywhere
"5632:UDP"= 5632:UDP:PC-Anywhere

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
"AllowInboundTimestampRequest"= 1 (0x1)
"AllowInboundMaskRequest"= 1 (0x1)
"AllowInboundRouterRequest"= 1 (0x1)

R2 PrivateDisk;PrivateDisk;c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys [15.11.2005 12:11 46142]
R2 smi2;smi2;c:\programme\SMI2\smi2.sys [21.12.2005 15:45 3968]
R2 smihlp;SMI helper driver;c:\programme\ThinkVantage Fingerprint Software\smihlp.sys [08.12.2005 13:44 3328]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [31.12.1979 23:00 13840]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [16.06.2009 17:35 15104]
.
Inhalt des "geplante Tasks" Ordners

2009-12-02 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2006-04-03 23:12]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.comdirect.de
uInternet Settings,ProxyServer = 192.168.1.33:
uInternet Settings,ProxyOverride = fritz.box
IE: &Google-Suche - c:\programme\Google\GoogleToolbar1.dll/cmsearch.html
IE: &Ins Deutsche übersetzen - c:\programme\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: Im Cache gespeicherte Seite - c:\programme\Google\GoogleToolbar1.dll/cmcache.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Verweisseiten - c:\programme\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Ähnliche Seiten - c:\programme\Google\GoogleToolbar1.dll/cmsimilar.html
TCP: {4F4DE277-C8CE-49D0-B82F-D8C6714B8B56} = 192.168.178.2,192.168.178.1
DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} - hxxp://www.tradesignalonline.com/wpa/tsb/2.7.0.45/components/tsbt-2-7-0-45.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-02 02:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(952)
c:\windows\system32\tvt_gina.dll
c:\programme\ThinkPad\ConnectUtilities\ACGina.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\Res\GR\ACGinaRes.dll
c:\windows\system32\vrlogon.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\windows\system32\biologon.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\remote.dll
c:\windows\system32\tphklock.dll
c:\programme\ThinkVantage Fingerprint Software\crypto.dll

- - - - - - - > 'lsass.exe'(1008)
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll

- - - - - - - > 'explorer.exe'(3408)
c:\windows\system32\PROCHLP.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\brss01a.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\System32\TPHDEXLG.EXE
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
c:\programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\UStorSrv.exe
c:\programme\lenovo\system update\suservice.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32\wscntfy.exe
c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
c:\programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
c:\windows\system32\rundll32.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclBCBTSrv.exe
c:\programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-02 02:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-12-02 01:18
ComboFix2.txt  2009-12-01 19:19

Vor Suchlauf: 2,030,809,088 Bytes frei
Nach Suchlauf: 1,994,145,792 Bytes frei

- - End Of File - - DDD00F930718331A40024A6835F74FE3

cosinus · 02.12.2009, 09:35

Ist die rfj.old nun weg? Lässt Malwarebytes sich nun starten?

wechselbalg · 02.12.2009, 12:41

Malwarebytes ließ sich updaten und starten. Hier das Log:

Zitat:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3275
Windows 5.1.2600 Service Pack 3

02.12.2009 12:19:47
mbam-log-2009-12-02 (12-19-17).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|R:\|)
Durchsuchte Objekte: 266900
Laufzeit: 1 hour(s), 30 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP748\A0123424.exe (Trojan.JSRedir.M) -> No action taken.
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP766\A0130666.exe (Trojan.Banker) -> No action taken.

Habe MBAM angewiesen, diese beiden Dateien zu löschen.
Frage dazu: die Dateien liegen da in den Wiederherstellungspunkten (die ich nie benutzt habe) rum. Was hat der In-die-Welt-Setzer davon, wenn sie nicht gestartet werden? Oder ist das ein Indiz dafür, dass zum Zeitpunkt dieses Wiederherstellungspunktes der jeweilige Trojaner gerade auf dem Rechner wirkte?

Textpad lässt sich wieder ausführen.
Edit: Surfen geht auch wieder, ohne dass der IE in unerwünschte Richtungen abdriftet.

cosinus · 02.12.2009, 12:44

Ich würde sicherheitshalber die Wiederherstellunsgpunkte löschen.
Mein Standardtext dazu

:

Zitat:

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Ist dieser Kaskadierungseffekt durch Combofix nopch da? Sowas hab ich noch nie erlebt

Hast Du mit dem CCleaner auch alle Temdateien gelöscht? Im listing.txt waren noch etliche Uralte Tempdateien zu sehen.

wechselbalg · 02.12.2009, 13:03

Nach dem erneuten Hochfahren gestern Nacht war der ulkige Kaskadierungseffekt weg. Muss mit dem Absturz in ComboFix zusammengehangen haben. Mit Absicht können das nur wenige...

Im Moment läuft gerade Avira Antivir durch. Und die Datenträgerbereinigung ist nach dem Deaktivieren der Systemwiederherstellung auch angesprungen.
Wenn der Rechner wieder Land sieht, gucke ich nochmal, was mit den Temp-Dateien los ist (hatte in CCleaner eigentlich alle Haken gesetzt).

Hat Eure Kaffeekasse eine Kontoverbindung oder einen Paypal-Account?

cosinus · 02.12.2009, 13:06

Zitat:

Hat Eure Kaffeekasse eine Kontoverbindung oder einen Paypal-Account?

Nein aber Du kann meine Kontonummer + BLZ bekommen

wechselbalg · 02.12.2009, 14:47

So, Avira Antivir hat noch ein faules Ei entdeckt:
in C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KH87MWPP

war eine Datei namens Win32[1].exe, die als TR/Inject.M identifiziert wurde.

CCleaner habe ich auch nochmal laufen lassen.

02.12.2009, 09:35	#25
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Browser biegt beim surfen zu Primosearch ab, Sicherheitsseiten werden blockiert Ist die rfj.old nun weg? Lässt Malwarebytes sich nun starten? __________________ Logfiles bitte immer in CODE-Tags posten

Browser biegt beim surfen zu Primosearch ab, Sicherheitsseiten werden blockiert

Log-Analyse und Auswertung: Browser biegt beim surfen zu Primosearch ab, Sicherheitsseiten werden blockiert