| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Infected! Bei jedem download ein upload peak ca. 1/5 bis 1/2 der dl rateWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
20.01.2010, 16:10
| #1 |
| |  Infected! Bei jedem download ein upload peak ca. 1/5 bis 1/2 der dl rate Bin ziemlich sicher infiziert zu sein. Wäre toll, wenn Ihr mir helfen oder mich beruhigen könnt. Habe grosse Datenmengen die ich beruflich brauche. Hoffentlich brauche ich keine Totalformatierung! Folgendes: z.Zt. mit Surfstick an der Workstation (somit keine rooterfirewall) und habe xampp zur lokalen Webentwicklung installiert (auch recht unsicher) Vor einigen Tagen habe ich meine emails runtergeladen und mir viel auf, dass einige MB mitkamen, aber keins der wenigen mails ein attachment besass. Erst seitdem beginnt mein surfstick bei jedem DL (browsen jeder browser, FTP und downloads) in etwa proportional 1/5 bis 1/2 zum DL upzuloaden. Kaspersky 2010 NetMonitor zeigt seitdem, dass meine lokale xampp webCM Installation sich extern svchost.exe 2x mit ip 10.77.192.76 meldet. Sonst zeigt Kasp. keine auffälligen Verbindungen. ABER: Netstat zeigte eine lange liste von obskuren offenen http verbindungen. Nach CCleaner u. Malwarebytes plus neustart bleigen noch diese 2 welche keine validen adressen nach whois sind: Active Connections Proto Local Address Foreign Address State TCP urdesign-ufr:2367 www.assoc-amazon.de:http ESTABLISHED TCP urdesign-ufr:2374 hb-in-f154.1e100.net:http ESTABLISHED TCP urdesign-ufr:2376 hb-in-f102.1e100.net:http ESTABLISHED TCP urdesign-ufr:2400 hb-in-f157.1e100.net:http ESTABLISHED TCP urdesign-ufr:1110 urdesign-ufr:2366 ESTABLISHED TCP urdesign-ufr:1110 urdesign-ufr:2373 ESTABLISHED TCP urdesign-ufr:1110 urdesign-ufr:2375 ESTABLISHED TCP urdesign-ufr:1110 urdesign-ufr:2399 ESTABLISHED TCP urdesign-ufr:1110 urdesign-ufr:2403 TIME_WAIT TCP urdesign-ufr:1110 urdesign-ufr:2408 TIME_WAIT TCP urdesign-ufr:1138 urdesign-ufr:1110 CLOSE_WAIT TCP urdesign-ufr:1370 urdesign-ufr:1110 CLOSE_WAIT TCP urdesign-ufr:2366 urdesign-ufr:1110 ESTABLISHED TCP urdesign-ufr:2373 urdesign-ufr:1110 ESTABLISHED TCP urdesign-ufr:2375 urdesign-ufr:1110 ESTABLISHED TCP urdesign-ufr:2399 urdesign-ufr:1110 ESTABLISHED TCP urdesign-ufr:5152 urdesign-ufr:1911 CLOSE_WAIT Habe auch HijackThis laufenlassen, aber RSIT bricht ab mit Fehler "Line -1: Error: Variable used without being declared" Lasst euch von den keygen programmen nicht irritieren. Haben sich mit den Jahren halt angesammelt... und die aufgeführten habe ich sicher nie laufenlassen. Seitdem alles so ist seit einigen Tagen zeigt Kaspersky gar keine Treffer oder Sicherheitslücken mehr ansonsten hatte es immer mal was zu maulen. Eines noch: Bei einem Programmcrash kann ich keine Meldung an MS mehr senden. WinXP64 erzeugt zwar den Bericht, dann bricht es aber ab weil angeblich keine Internetverbindung obwohl ich online bin. Es folgen die Berichte von Malwarebytes und HijackThis: Vielen Dank im vorraus! Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3601 Windows 5.2.3790 Service Pack 2 Internet Explorer 8.0.6001.18702 20.01.2010 14:54:31 mbam-log-2010-01-20 (14-54-31).txt Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|I:\|) Durchsuchte Objekte: 830528 Laufzeit: 2 hour(s), 13 minute(s), 18 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 2 Infizierte Dateien: 8 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\Local Page (Hijack.SearchPage) -> Bad: (htt***p://www.iesearch.com/) Good: (htt***p://www.Google.com/) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Program Files (x86)\RelevantKnowledge (Spyware.MarketScore) -> Quarantined and deleted successfully. C:\Documents and Settings\Uwe F. Reitter\Start Menu\Programs\BitDownload (Trojan.Swizzor) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Documents and Settings\Uwe F. Reitter\Installer\__Keymaker\Autodesk.Keygens\AutoCAD Civil 3D 2009\XF-ACIVIL3D2k9-KG.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Program Files (x86)\Utilities\Overclocking\super_pi_mod.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully. G:\Torrent Downloads\Adobe All Products Keymaker v1.02 By ChattChitto\Adobe All Products Keymaker v1.02.exe (Trojan.Downloader) -> Quarantined and deleted successfully. G:\Torrent Downloads\Adobe CS4 Master Collection Keygen - Shadeyman\adobe-master-cs4-keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully. G:\Torrent Downloads\Adobe.All.Products.v1.02.Keymaker.Only.CORE-Deantjah\Keygen\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Program Files (x86)\RelevantKnowledge\rlservice.exe (Spyware.MarketScore) -> Quarantined and deleted successfully. C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe (Spyware.MarketScore) -> Quarantined and deleted successfully. C:\Documents and Settings\Uwe F. Reitter\Desktop\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:17:37, on 20.01.2010 Platform: Windows 2003 SP2 (WinNT 5.02.3790) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files (x86)\Autodesk\Data Management Server 2008\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe C:\Program Files (x86)\Common Files\Autodesk Shared\Service\AdskScSrv.exe C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe C:\Program Files (x86)\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\crypserv.exe C:\Program Files (x86)\Java\jre6\bin\jqs.exe C:\Program Files (x86)\MagicTune Premium\MagicTuneEngine.exe C:\Program Files (x86)\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\Program Files (x86)\Gadwin Systems\PrintScreen\PrintScreen.exe c:\program files (x86)\steam\steam.exe C:\WINDOWS\SysWOW64\ctfmon.exe C:\Program Files (x86)\TuneUp Utilities 2009\MemOptimizer.exe C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe C:\Program Files (x86)\Analog Devices\SoundMAX\Smax4.exe C:\Program Files (x86)\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Program Files (x86)\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe C:\Program Files (x86)\Java\jre6\bin\jusched.exe C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe C:\Program Files (x86)\o2 Verbindungsmanager\CManager.exe C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe C:\program files (x86)\mozilla firefox\firefox.exe C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt***p://www.daemon-search.com/startpage R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt***p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt***p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt***p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt***p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files (x86)\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files (x86)\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files (x86)\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe" O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avp] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Gadwin PrintScreen] C:\Program Files (x86)\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash O4 - HKCU\..\Run: [Steam] "c:\program files (x86)\steam\steam.exe" -silent O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files (x86)\TuneUp Utilities 2009\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Uwe F. Reitter\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [3DxAssociateFileExts] C:\Program Files\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer64\register.exe "FileExts" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [3DxAssociateFileExts] C:\Program Files\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer64\register.exe "FileExts" (User 'Default user') O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Service Manager.lnk = C:\Program Files (x86)\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O15 - ESC Trusted Zone: htt***p://runonce.msn.com O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files (x86)\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://htt***p://update.microsoft.co...?1222437342011 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://htt***p://fpdownload2.macrome...nt/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{51DBF07C-B2C1-4643-9A75-8FD81A5A5B3C}: NameServer = 193.189.244.225 193.189.244.206 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: acaptuser32.dll,C:\PROGRA~2\KASPER~1\KASPER~2\mzvkbd3.dll O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Autodesk Data Management Job Dispatch - Autodesk - C:\Program Files (x86)\Autodesk\Data Management Server 2008\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files (x86)\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe O23 - Service: BandLuxe Service (BandLuxe_Service) - BandRich Inc. - C:\Program Files (x86)\o2 Verbindungsmanager\BRService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe O23 - Service: Crypkey License - Unknown owner - crypserv.exe (file missing) O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing) O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing) O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files (x86)\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: IIS Admin Service (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe (file missing) O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing) O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files (x86)\Java\jre6\bin\jqs.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe O23 - Service: MagicTuneEngine - Unknown owner - C:\Program Files (x86)\MagicTune Premium\MagicTuneEngine.exe O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 64-bit 64-bit (mi-raysat_3dsMax2009_64) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_64server.exe O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing) O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - C:\Program Files\nHancer\nHancerService.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc64.exe (file missing) O23 - Service: O&O Defrag - Unknown owner - C:\WINDOWS\system32\oodag.exe (file missing) O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing) O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing) O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP3\RpcAgentSrv.exe O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe (file missing) O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - Unknown owner - C:\WINDOWS\System32\TuneUpDefragService.exe (file missing) O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - Unknown owner - C:\WINDOWS\System32\TUProgSt.exe (file missing) O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing) O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing) O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing) -- End of file - 14127 bytes Geändert von uweR (20.01.2010 um 16:46 Uhr) |
|
20.01.2010, 17:32
| #2 |
| | Infected! Bei jedem download ein upload peak ca. 1/5 bis 1/2 der dl rate Da ich bisserl im Zeitdruck bin gehe ich, auch ohne bisherige antwort mal parallel zum Nachbarthread "Trojaner auf dem Rechner?! Brauche dringend Hilfe!" vor.
__________________Hier mein GMER Log: GMER sagte "System hat Rootkit aktivity" !!!! Komischer weise lässt sich bei mir in GMER nur Services Registry und Files anchecken und nicht die ganze Liste. GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-20 17:24:51 Windows 5.2.3790 Service Pack 2 Running: wrsynxct.exe ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\services.exe? (*** hidden *** ) [AUTO] Eventlog <-- ROOTKIT !!! Service C:\WINDOWS\system32\msdtc.exe? (*** hidden *** ) [MANUAL] MSDTC <-- ROOTKIT !!! Service C:\WINDOWS\system32\lsass.exe? (*** hidden *** ) [MANUAL] Netlogon <-- ROOTKIT !!! Service C:\WINDOWS\system32\lsass.exe? (*** hidden *** ) [MANUAL] NtLmSsp <-- ROOTKIT !!! Service C:\WINDOWS\system32\services.exe? (*** hidden *** ) [AUTO] PlugPlay <-- ROOTKIT !!! Service C:\WINDOWS\system32\lsass.exe? (*** hidden *** ) [MANUAL] PolicyAgent <-- ROOTKIT !!! Service C:\WINDOWS\system32\lsass.exe? (*** hidden *** ) [AUTO] ProtectedStorage <-- ROOTKIT !!! Service C:\WINDOWS\system32\sessmgr.exe? (*** hidden *** ) [MANUAL] RDSessMgr <-- ROOTKIT !!! Service C:\WINDOWS\system32\lsass.exe? (*** hidden *** ) [AUTO] SamSs <-- ROOTKIT !!! Service C:\WINDOWS\system32\drivers\scsiport.sys? (*** hidden *** ) ScsiPort <-- ROOTKIT !!! Service C:\WINDOWS\system32\tlntsvr.exe? (*** hidden *** ) [MANUAL] TlntSvr <-- ROOTKIT !!! Service C:\WINDOWS\System32\vds.exe? (*** hidden *** ) [MANUAL] vds <-- ROOTKIT !!! Service C:\WINDOWS\System32\vssvc.exe? (*** hidden *** ) [MANUAL] VSS <-- ROOTKIT !!! Service C:\WINDOWS\system32\wbem\wmiapsrv.exe? (*** hidden *** ) [MANUAL] WmiApSrv <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\AmdK8@EventMessageFile %SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\drivers\AmdK8.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\AmdK8@TypesSupported 7 Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\nvata64@EventMessageFile %SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\drivers\nvata64.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\nvata64@TypesSupported 7 Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\RTLWUSB@EventMessageFile %SystemRoot%\System32\netevent.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\RTLWUSB@TypesSupported 7 Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\SI3132@EventMessageFile %SystemRoot%\System32\IoLogMsg.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\SI3132@TypesSupported 7 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files (x86)\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x11 0xBB 0x8D 0x7C ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x6F 0xEA 0x2D 0x60 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x26 0x6B 0x17 0x87 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xAF 0x41 0x45 0xCD ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x9B 0xE0 0x94 0xE1 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x55 0x15 0x27 0x51 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x9E 0x2A 0xEB 0x96 ... Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\AmdK8@EventMessageFile %SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\drivers\AmdK8.sys Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\AmdK8@TypesSupported 7 Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\nvata64@EventMessageFile %SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\drivers\nvata64.sys Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\nvata64@TypesSupported 7 Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\RTLWUSB@EventMessageFile %SystemRoot%\System32\netevent.dll Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\RTLWUSB@TypesSupported 7 Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\SI3132@EventMessageFile %SystemRoot%\System32\IoLogMsg.dll Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\SI3132@TypesSupported 7 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files (x86)\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x11 0xBB 0x8D 0x7C ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x6F 0xEA 0x2D 0x60 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x26 0x6B 0x17 0x87 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xAF 0x41 0x45 0xCD ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x9B 0xE0 0x94 0xE1 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x55 0x15 0x27 0x51 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x9E 0x2A 0xEB 0x96 ... ---- EOF - GMER 1.0.15 ---- |
|
21.01.2010, 17:51
| #3 |
| | Infected! Bei jedem download ein upload peak ca. 1/5 bis 1/2 der dl rate Ich freue mich DRINGENDST darauf dass mir einer von euch helfen kann.
__________________Derweilst bereite ich mich mal aufs neuauflegen meienes systems vor. Frage: Sollte ich danach meinen Surfstick austauschen? Die auf der Festplatte installierten sticktreiber waren infiziert und hab ich schon mal neuinstalliert, was aber nichts brachte. Das rootkit kann doch sicher auch in den Stickchip schreiben? |
|
21.01.2010, 18:19
| #4 | ||
| /// Helfer-Team   | Infected! Bei jedem download ein upload peak ca. 1/5 bis 1/2 der dl rate Hallo Uwe und  Code:
ATTFilter C:\Documents and Settings\Uwe F. Reitter\Installer\__Keymaker\Autodesk.Keygens\AutoCAD Civil 3D 2009\XF-ACIVIL3D2k9-KG.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
G:\Torrent Downloads\Adobe All Products Keymaker v1.02 By ChattChitto\Adobe All Products Keymaker v1.02.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
G:\Torrent Downloads\Adobe CS4 Master Collection Keygen - Shadeyman\adobe-master-cs4-keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
G:\Torrent Downloads\Adobe.All.Products.v1.02.Keymaker.Only.CORE-Deantjah\Keygen\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
Damit hast du dich leider selbst disqualifiziert. Für dich geht es hier weiter: http://www.trojaner-board.de/51262-a...sicherung.html Cracks, Keygens und co. sind heutzutage eigentlich immer infiziert. Du siehts ja jetzt, was das Zeugs angerichtet hat. Außerdem machst du dich durch die Benutzung strafbar und wir, wenn wir bei diesem Fall supporten würden, auch. Zitat:
Zitat:
Gruß Handball10
__________________ Lustige Rechtschreibfehler des Trojanischen Pferdes "Trojan.Win32.FraudPack.ajn" Lustige Rechtschreibfehler von "XP Deluxe Protector" - Neu !! |
|
21.01.2010, 19:41
| #5 |
| | Infected! Bei jedem download ein upload peak ca. 1/5 bis 1/2 der dl rate puhhh, is aber ok wenn ihr nicht anders könnt. Speziell die angeführten cracks habe ich aber wirklich nie benutzt, da mir die gefahr klar war. Damals hatte ich neu kabel-inet und hab bittorrent ausprobiert, konnt ich mir einfach nicht verkneifen. Hatte nie daran gedacht dies zu löschen da main AV nie was meldete. Ich benutze intensiev computer seit 1984 und ich finde schon dass sich sowas über die Jahre mal ansammeln kann. Schade... da ich frühestens nächste woche neu aufsetzten kann... vielleicht noch ein kleiner Hinweis von dir... Meinst du ich kann in der zwischenzeit sicher Arbeiten? Ist mein 1. Auftrag seit einem Jahr und deshalb lebenswichtig. |
|
22.01.2010, 22:05
| #6 | |
| /// Helfer-Team | Infected! Bei jedem download ein upload peak ca. 1/5 bis 1/2 der dl rate Hallo Uwe, Zitat:
Das wichtigste wird sein, dass du den Rechner offline verwendest! Also PC physikalisch (Lan-Kabel raus) trennen. Wenn du bei dem Neuaufsetzen Daten sicherst und anschließend neuaufsetzt, lass anschließend die gesicherten Daten von einem AntiViren-Programm überprüfen. Bspw. durch Malwarebytes Anti-Malware. Viel Erfolg! Gruß Handball10
__________________ --> Infected! Bei jedem download ein upload peak ca. 1/5 bis 1/2 der dl rate |
|
| Themen zu Infected! Bei jedem download ein upload peak ca. 1/5 bis 1/2 der dl rate |
| 64-bit, adobe, bho, bonjour, browse, browser, c:\windows\system32\services.exe, error, excel, explorer, extern, fehler, firefox, ftp, heuristics.reserved.word.exploit, hijack, hijack.displayproperties, hijack.searchpage, hijackthis, hkus\s-1-5-18, hängen, installation, internet security, jeder browser, kaspersky, keine internetverbindung, monitor, mozilla, mssql, netstat, pdf-datei, performance, plug-in, policyagent, registrierungsschlüssel, security, server, services.exe, software, spyware.marketscore, start menu, super, surfstick, svchost.exe, system, syswow64, tastatur, trojan.downloader, uploads |
Linear-Darstellung
