|
Plagegeister aller Art und deren Bekämpfung: System Defender - Seite "safebuy"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.12.2009, 22:11 | #1 |
| System Defender - Seite "safebuy" Guten Abend und hallo zusammen, leider ist mein erstes Posting in diesem Forum keinem guten Thema gewidmet. Zuerstmal: Ich wollte eigentlich bereits ein neues Thema öffnen, als ich sah, dass es hier schon mindestens zwei Threads zum selben Thema gibt. Daher klinke ich mich einfach in dieses Thema ein, hoffe, das ist Ok. Ansonsten bitte melden, dann öffne ich ein weiteres. OS: Windows XP SP3, aktuellste Updates. Folgendes Problem: Gestern Abend ging plötzlich und vollkommen unvermittelt der bereits genannte System Defender (Bild habe ich unten verlinkt) auf. Der war deratig gut gefaket, dass ich auch fast drauf reingefallen bin. Als dann der IE aufging und ich auf eine Seite "safebuy" geschickt wurde, hab ich das gleich als Malware erkannt. LAN Kabel umgehend entfernt, man weis ja nie. Unmittelbar davor stürzte bereits Firefox ab, als ich den neu öffnete das selbe. Danach ging etwa alle fünf Minuten der System Defender auf. Die Kerndatei habe ich recht schnell ausfindig gemacht und den Zugriff über die Sicherheitseinstellungen entzogen. Da war allerdings alles schon zu spät. Da ich nicht mehr an den Taskmanager rankam und normales Arbeiten nur noch schwer möglich war, habe ich das Teil zum Absturz gebracht und die Kerndateien verschoben, dann hatte ich zumindest erstmal Ruhe. Hijackthis konnte erst nicht scannen, weil "hosts" nicht vorhanden war. Die Datei habe ich dann über cmd im bekannten Ort system32\drivers\etc gefunden (war ne versteckte systemdatei) und habe sie gelöscht und mit einer Originaldatei von Windows überschrieben. Einträge wurden in 1a-Malware-Manie auf dubiose Seiten/URLs weitergeleitet. Daher wird mein Hijackfile nichts der artiges mehr enthalten. Der Taskmanager funktioniert nicht und ich habe das subjektive Gefühl, dass der Rechner seitdem etwas langsamer geworden ist. Kaspersky holte einige Zeit lang keine Updates mehr, das scheint jetzt aber vorbei. Malwarebytes habe ich bereits zweimal laufen lassen: Die eigentliche Kern-Datei wurde als nicht infektiös betrachtet, dagegen wurde eine net.net in system32 gefunden. Beim zweiten Scan wurden erneut dubiose Dateien gefunden. Beide Logfiles habe ich angehängt. Die Kerndateien habe ich gezippt an einen anderen Ort verschoben, falls die jemand noch benötigen sollte. Ansonsten betreibe ich momentan aufräumarbeiten und finde leider immer wieder an verschiedensten Stellen Dateien dieser Malware. Nun kommt das eigentlich dubiose: Ich habe Kaspersky 2009 (aktuellster Stand), den das ganze in keinster Weise interessiert. Ich habe heute morgen einen vollständigen Scan laufen lassen, der nichts ergab, außer einer Malware im Restore meiner ext. HDD. Das die Malware daherkommt ist unwahrscheinlich, dann wäre auch ein anderer PC infiziert. Auch ist es für mich ein Rätsel, woher das Ding kommt. Ich besuche keine dubiosen Seiten, von Spams müssen wir nicht reden. Auch Malwarebytes erkennt die Software nicht. Ein Onlinescanner hat das Teil als "FakeVimes" erkannt. Ich würde mich nun sehr freuen wenn sich jemand die Logfiles ansehen könnte und mir sagen könnte, ob es dort etwas auffälliges gibt. Alles, was noch benötigt werden sollte, liefere ich umgehend nach. Meine größte Sorge gilt aber etwas anderem: Ich habe im Netz noch einen Server (Linux mit Samba) hängen. Ist es möglich, dass auch dieser über meinen PC infiziert wurde? Wie sieht es allgemein mit der Sicherheit meines Netzwerkes und meiner Rechner aus. Könnte der Rechner bzw. das Netzwerk kompromittiert sein? Bekomme ich das Teil vollständig entfernt und alle Probleme behoben, ohne den Laptop neu aufsetzen zu müssen? Prinzipiell rate ich anderen grundsätzlich zu diesem Schritt, allerdings habe ich meinen Rechner so gut konfiguriert, dass mir vor einer Neuinstallation graut und ich das als letzte Lösung durchziehen möchte. Im Falle, dass dies doch notwendig sein sollte: Kann ich meine Dateien wie Firefoxprofil, Thunderbird-Mails, iTunes-Musik, Eigene Dateien, sorgenfrei in eine Neuinstallation kopieren? Für Lösungsvorschläge bin ich allen Beteiligten äußerst dankbar! aktuelles HijackThis-Protokoll vor zwei Stunden: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:33:08, on 03.12.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\LANCOM\Advanced VPN Client\ncpclcfg.exe C:\Programme\LANCOM\Advanced VPN Client\ncprwsnt.exe C:\Programme\LANCOM\Advanced VPN Client\ncpsec.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Nuance\PDF Create! 5\pdfcreate5hook.exe C:\Programme\LANCOM\Advanced VPN Client\NcpBudgetGui.exe C:\Programme\LANCOM\Advanced VPN Client\rwsrsu.exe C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe C:\Programme\LANCOM\Advanced VPN Client\rwsrsu.exe C:\WINDOWS\system32\tcpsvcs.exe C:\Programme\TomTom HOME 2\TomTomHOMEService.exe C:\WINDOWS\system32\vmnat.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\Launch Manager\WisLMSvc.exe C:\Programme\Tools\Malwarebytes\mbam.exe C:\Dokumente und Einstellungen\###\Desktop\HighMyFiles.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: ZeonIEEventHelper Class - {DA986D7D-CCAF-47B2-84FE-BFA1549BEBF9} - C:\Programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll O3 - Toolbar: Nuance PDF - {E3286BF1-E654-42FF-B4A6-5E111731DF6B} - C:\Programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe" O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [Wbutton] C:\Programme\Launch Manager\WButton.exe O4 - HKLM\..\Run: [PDFHook] C:\Programme\Nuance\PDF Create! 5\pdfcreate5hook.exe O4 - HKLM\..\Run: [PDF5 Registry Controller] C:\Programme\Nuance\PDF Create! 5\RegistryController.exe O4 - HKLM\..\Run: [Nuance PDF Create! 5-reminder] "C:\Programme\Nuance\PDF Create! 5\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance\PDF Create! 5\Ereg\Ereg.ini" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [NcpBudgetGui] "C:\Programme\LANCOM\Advanced VPN Client\NcpBudgetGui.exe" -start O4 - HKLM\..\Run: [NcpPopup] "C:\Programme\LANCOM\Advanced VPN Client\ncppopup.exe" noerrmsg O4 - HKLM\..\Run: [NcpMonitor] "C:\Programme\LANCOM\Advanced VPN Client\ncpmon.exe" autorun O4 - HKLM\..\Run: [NcpRsuGui] "C:\Programme\LANCOM\Advanced VPN Client\rwsrsu.exe" -gui O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Tools\Malwarebytes\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: An vorhandene PDF-Datei anhängen - res://C:\Programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML O8 - Extra context menu item: Inhalt der ausgewählten Links an vorhandene PDF-Datei anhängen - res://C:\Programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML O8 - Extra context menu item: Linkinhalt an vorhandene PDF-Datei anhängen - res://C:\Programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: PDF-Datei aus Linkinhalt erstellen - res://C:\Programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML O8 - Extra context menu item: PDF-Datei erstellen - res://C:\Programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML O8 - Extra context menu item: PDF-Dateien aus den ausgewählten Links erstellen - res://C:\Programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll O15 - Trusted IP range: 192.168.###.36 O15 - Trusted IP range: 192.168.###.37 O15 - Trusted IP range: 192.168.###.38 O15 - Trusted IP range: 192.168.###.39 O15 - Trusted IP range: 192.168.###.201 O15 - Trusted IP range: 192.168.###.202 O15 - Trusted IP range: 192.168.###.33 O15 - Trusted IP range: 192.168.###.31 O15 - Trusted IP range: 192.168.###.21 O15 - Trusted IP range: 192.168.###.203 O15 - Trusted IP range: 192.168.###.34 O15 - Trusted IP range: 192.168.###.35 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1215103435000 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: ncpclcfg - NCP engineering GmbH - C:\Programme\LANCOM\Advanced VPN Client\ncpclcfg.exe O23 - Service: ncprwsnt - NCP Engineering GmbH - C:\Programme\LANCOM\Advanced VPN Client\ncprwsnt.exe O23 - Service: NcpSec - Unknown owner - C:\Programme\LANCOM\Advanced VPN Client\ncpsec.exe O23 - Service: RwsRsu (rwsrsu) - Unknown owner - C:\Programme\LANCOM\Advanced VPN Client\rwsrsu.exe O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-ufad.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: WisLMSvc - Wistron Corp. - C:\Programme\Launch Manager\WisLMSvc.exe -- End of file - 10019 bytes \\Update: 22:54 Uhr: nach der letzten Malwarebytes-Durchsuchung und einer Stunde Leerlauf beim Abendessen funktioniert plötzlich der Task-Manager wieder sowie das Kaspersky-Update. Komisch ist nur, dass der Task-Manager IMMER im Vordergrund bleibt. Kann mich nicht erinnern, dass das normal ist, oder doch? Geändert von Niob (03.12.2009 um 22:56 Uhr) |
04.12.2009, 19:14 | #2 |
| System Defender - Seite "safebuy" Erstmal danke, dass ihr diesen Beitrag in ein eigenes Thema verschoben habt.
__________________In den Foren, die ich kenne, habe ich Beiträge, die inhaltlich bzw. thematisch zu bereits bestehenden Themen passten, dort reingeschrieben, um eine gewissen Übersichtlichkeit zu bewahren. Daher habe ich das hier auch gemacht. Leider ist die Stunde, in der man Beiträge editieren kann, bereits vorbei. Heute Nachmittag ist mir dann allerdings eine weitere Unregelmäßigkeit aufgefallen, die ich nun noch ergänzend hinzufügen möchte: Durch Zufall habe ich in Firefox auf eines meiner Lesezeichen geklickt. Dort wurde ich wider erwarten nicht zu google.de, sondern zu einer vollkommen anderen Seite geleitet. Der Laptop war zum Glück immer noch vom LAN getrennt. In einer VM mit Opensuse habe ich diese Seite dann mal geladen (h**p://www3.iamwired.net, dahinter noch ne Menge Parameter): 1A-Malware. Vielleicht kennt ihr diese Seite ja bereits. Die Bookmarks in Firefox ansich weisen allerdings keinerlei Änderungen auf. Die etc/hosts ist weiterhin unberührt, und über die URLs kann ich Webseiten weiterhin aufrufen. Falls niemand ad hoc weis, wie man das wieder rückgängig macht, werde ich einfach ein etwa vier Wochen altes Backup wieder einspielen. |
05.12.2009, 13:44 | #3 |
| System Defender - Seite "safebuy" Ich hoffe, es ist in Ordnung, wenn ich nach und nach schreibe, wenn ich etwas neues herausgefunden habe oder ein Problem sich erledigt hat. Schließlich möchte ich nicht, dass jemand unnötig nach Lösungen zu nicht mehr existenten Problemen sucht - und vielleicht hat ja jemand das selbe Problem wie ich.
__________________Das Firefox-Problem hat sich zum Glück erledigt: im Programmordner Mozilla Firefox befand sich im Verzeichnis components eine Library namens "NckN--p0_-.dll". Sobald eine Webseite nicht erreicht werden konnte, wurde ich automatisch auf die unten genannte Seite weitergeleitet. Also Datei entfernt --> alles wieder reibungslos. Mein Firefox Profil wurde also wahrscheinlich nicht manipuliert. |
Themen zu System Defender - Seite "safebuy" |
avp.exe, hkus\s-1-5-18, internet security, launch, malwarebytes anti-malware, net.net, neu aufsetzen, nicht vorhanden, pdf-datei, system defender |