TDSS - TR/Crypt.XPACK.Gen - Swisyn

artischoke · 04.02.2010, 00:41

Hi,

vor 10 Tagen hats angefangen mit den Virusmeldungen. Ich hab dann im ersten Schwung einige dll's gelöscht/in Quarantäne gesteckt (von virustotal ua. als boaxxe und krap.ag bezeichnet), aber nach ein paar Tagen Ruhe fingen 2 Symptome wieder an: 1. Öffnete der Firefox immer wieder eigenständig Fenster, die mit meiner Aktivität zu tun hatten. Ich hatte zB "abc" gegooglet, und er öffnet ein paar Minuten später eine ask.com suche nach abc. Zweitens wurde exakt alle 5 Minuten ein Ordner in C:\Windows\Temp angelegt mit einem namen der aus 4 zufälligen Buchstaben +.tmp besteht. Antivir meldete jedes Mal eine Datei svchost.exe in diesem Ordner als TR/Crypt.XPACK.Gen. Ich hab Malware Bytes, Combofix und den kaspersky TDSSKiller laufen lassen (in der Reihenfolge), wobei letzerer nichts mehr fand. Das war heute abend, die letzte Stunde bin ich symptomfrei gewesen. Zur atapi.sys Datei die Combofix ersetzt hat sagt virustotal das hier: http://www.virustotal.com/de/analisis/e763144c1d7be16ec603171f9a903c62f106730a761e371233a312b959b0b597-1265235811 (ich glaub die url kann man dauerhaft einsehen?)

Für Hilfestellung wär ich logischerweise dankbar

Malware Bytes Log (abgesicherter Modus):

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3685
Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 7.0.6001.18000

03/02/2010 21:40:32
mbam-log-2010-02-03 (21-40-32).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 246530
Laufzeit: 37 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WS9E3IQBKY (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D} (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content (Trojan.Swisyn) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Poker\Titan Poker\_SetupPoker_c40bab.exe (Adware.Casino) -> Quarantined and deleted successfully.
E:\Daten\SetupPoker_c40bab.exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul (Trojan.Swisyn) -> Quarantined and deleted successfully.

Combofix Log

ComboFix 10-02-03.04 - El Pollo Diablo 03/02/2010 22:35:21.1.1 - x86
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1252.44.1031.18.1014.411 [GMT 1:00]
Running from: c:\users\El Pollo Diablo\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-3377524822-1873993955-1005390069-500
c:\program files\INSTALL.LOG
c:\users\Public\Google
c:\windows\system32\oem15.inf
c:\windows\system32\SIntf16.dll

Infected copy of c:\windows\system32\drivers\atapi.sys was found and disinfected
Restored copy from - Kitty ate it

.
((((((((((((((((((((((((( Files Created from 2010-01-03 to 2010-02-03 )))))))))))))))))))))))))))))))
.

2010-02-03 19:36 . 2010-02-03 19:36 -------- d-----w- c:\users\El Pollo Diablo\AppData\Roaming\Malwarebytes
2010-02-03 19:36 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-03 19:36 . 2010-02-03 19:36 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-03 19:36 . 2010-02-03 19:36 -------- d-----w- c:\programdata\Malwarebytes
2010-02-03 19:36 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-02 19:15 . 2009-06-15 15:24 270848 ----a-w- c:\windows\system32\schannel.dll
2010-02-02 19:15 . 2009-06-15 15:21 499712 ----a-w- c:\windows\system32\kerberos.dll
2010-01-26 17:37 . 2010-01-27 01:17 -------- d-----w- c:\program files\Ask.com
2010-01-22 18:15 . 2010-01-23 02:06 -------- d-----w- c:\program files\Common Files\Akamai
2010-01-22 16:30 . 2009-12-18 13:05 833024 ----a-w- c:\windows\system32\wininet.dll
2010-01-22 16:29 . 2009-12-18 10:14 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2010-01-22 16:29 . 2009-12-18 13:01 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-22 00:07 . 2010-01-22 00:07 -------- d-----w- c:\program files\Trend Micro
2010-01-21 23:32 . 2010-01-14 10:12 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-18 23:45 . 2010-01-18 23:45 -------- d-----w- c:\users\Public\Vermeer2
2010-01-18 17:49 . 2010-01-18 17:49 -------- d-----w- c:\program files\Common Files\Skype
2010-01-18 17:49 . 2010-01-18 17:49 -------- d-----r- c:\program files\Skype
2010-01-16 16:30 . 2010-01-16 16:30 -------- d-----w- c:\users\Public\Katie Melua
2010-01-13 13:37 . 2009-10-19 14:27 156672 ----a-w- c:\windows\system32\t2embed.dll
2010-01-13 13:37 . 2009-10-19 14:24 72704 ----a-w- c:\windows\system32\fontsub.dll
2010-01-09 22:17 . 2010-01-09 22:17 -------- d-----w- c:\users\El Pollo Diablo\AppData\Roaming\Ascaron Entertainment
2010-01-05 00:37 . 2010-01-05 00:37 -------- d-----w- C:\Poker

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-03 21:42 . 2008-03-28 06:29 626646 ----a-w- c:\windows\system32\perfh007.dat
2010-02-03 21:42 . 2008-03-28 06:29 128354 ----a-w- c:\windows\system32\perfc007.dat
2010-02-01 21:00 . 2008-11-24 18:20 -------- d-----w- c:\users\El Pollo Diablo\AppData\Roaming\BitTorrent
2010-01-23 20:25 . 2009-01-11 20:07 1 ----a-w- c:\users\El Pollo Diablo\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-23 02:26 . 2008-03-27 23:12 -------- d-----w- c:\programdata\McAfee
2010-01-23 02:25 . 2008-11-12 22:34 -------- d-----w- c:\program files\Google
2010-01-23 02:22 . 2008-03-27 23:22 -------- d-----w- c:\program files\Microsoft SQL Server
2010-01-23 02:21 . 2009-11-30 16:19 -------- d-----w- c:\program files\Motorola Media Link
2010-01-23 02:17 . 2008-03-27 23:14 -------- d-----w- c:\programdata\SiteAdvisor
2010-01-23 02:12 . 2008-11-26 03:34 -------- d-----w- c:\program files\Java
2010-01-21 22:46 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-01-19 18:52 . 2009-01-17 18:36 -------- d-----w- c:\users\El Pollo Diablo\AppData\Roaming\Skype
2010-01-19 15:38 . 2009-01-17 18:38 -------- d-----w- c:\users\El Pollo Diablo\AppData\Roaming\skypePM
2010-01-18 17:49 . 2009-01-17 18:35 -------- d-----w- c:\programdata\Skype
2010-01-03 18:19 . 2008-11-24 15:28 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2010-01-03 17:59 . 2008-03-27 21:43 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-03 17:59 . 2010-01-03 17:59 -------- d-----w- c:\users\El Pollo Diablo\AppData\Roaming\Leadertech
2010-01-02 01:22 . 2010-01-02 01:22 -------- d-----w- c:\program files\Slitherine
2009-12-28 18:30 . 2009-12-28 17:00 -------- d-----w- c:\program files\Bridge Building Game
2009-12-19 13:29 . 2009-12-19 13:23 -------- d-----w- c:\users\El Pollo Diablo\AppData\Roaming\ICAClient
2009-12-13 00:12 . 2008-11-25 21:13 -------- d-----w- c:\program files\SopCast
2009-12-07 19:29 . 2009-11-17 01:05 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-30 18:18 . 2009-11-30 18:18 11644416 ----a-w- c:\programdata\motorola\motorola media link\UpDate\Download\Motorola Media Link\1.00.11.0\patch\patch.exe
2008-09-10 15:08 . 2008-09-10 15:08 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-01-03 00:00 39472 ----a-w- c:\acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Empowering Technology Launcher.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Empowering Technology Launcher.lnk
backup=c:\windows\pss\Empowering Technology Launcher.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-15 01:04 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
2008-11-24 18:18 342336 ----a-w- c:\program files\DNA\btdna.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-08-08 12:11 490952 ----a-w- e:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]
2008-01-02 23:55 521776 ----a-w- c:\acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2009-02-26 11:57 173592 ----a-w- c:\windows\System32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2007-10-03 14:44 178712 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2009-02-26 11:57 141848 ----a-w- c:\windows\System32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2007-10-11 10:06 62760 ----a-w- c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pando]
2009-02-19 06:40 3913032 ----a-w- c:\program files\Pando Networks\Pando\pando.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2009-02-26 11:57 150552 ----a-w- c:\windows\System32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-11-04 10:30 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2008-01-22 12:23 81920 ------w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2008-01-08 00:25 4853760 ----a-w- c:\windows\RtHDVCpl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 12:11 25623336 ----a-r- c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-11-26 03:34 136600 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPStart]
2007-09-07 11:35 102400 ----a-w- c:\program files\Synaptics\SynTP\SynTPStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WarReg_PopUp]
2008-01-29 09:03 303104 ----a-w- c:\program files\Acer\WR_PopUp\WarReg_PopUp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:33 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsWelcomeCenter]
2008-01-21 02:33 2153472 ----a-w- c:\windows\System32\oobefldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2008-01-21 02:35 202240 ----a-w- c:\program files\Windows Media Player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [17/11/2009 02:05 108289]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\System32\drivers\b57nd60x.sys [22/07/2007 15:00 180736]
S2 mdquzmaz;Link-Layer Topology Discovery Mapper I/O Controller;c:\windows\System32\svchost.exe -k netsvcs [21/01/2008 03:33 21504]
S3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\System32\drivers\motfilt.sys [29/01/2009 17:11 6016]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\System32\drivers\motccgp.sys [19/06/2009 16:59 19712]
S3 motccgpfl;MotCcgpFlService;c:\windows\System32\drivers\motccgpfl.sys [29/01/2009 17:18 8320]
S4 MotoConnect Service;MotoConnect Service;c:\program files\Motorola\MotoConnectService\MotoConnectService.exe [30/11/2009 17:42 91392]
S4 Partner Service;Partner Service;c:\programdata\Partner\partner.exe [12/11/2008 23:35 110576]
S4 sptd;sptd;c:\windows\System32\drivers\sptd.sys [22/11/2008 22:38 717296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
vvdsvc REG_MULTI_SZ vvdsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
mdquzmaz
.
.
------- Supplementary Scan -------
.
FF - ProfilePath - c:\users\El Pollo Diablo\AppData\Roaming\Mozilla\Firefox\Profiles\e02d1a6z.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage -
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - plugin: c:\program files\Veetle\Player\npvlc.dll
FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
FF - plugin: e:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: e:\program files\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-eRecoveryService - (no file)
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService
MSConfigStartUp-Google Desktop Search - c:\program files\Google\Google Desktop Search\GoogleDesktop.exe
MSConfigStartUp-Google IME Autoupdater - c:\program files\Google\Google Pinyin\GooglePinyinDaemon.exe
MSConfigStartUp-iTunesHelper - e:\program files\iTunes\iTunesHelper.exe
MSConfigStartUp-LManager - c:\progra~1\LAUNCH~1\LManager.exe
MSConfigStartUp-mcagent_exe - c:\program files\McAfee.com\Agent\mcagent.exe
MSConfigStartUp-NetLimiter - c:\program files\NetLimiter\NetLimiter.exe
MSConfigStartUp-SiteAdvisor - c:\program files\SiteAdvisor\6172\SiteAdv.exe
MSConfigStartUp-WinampAgent - e:\program files\Winamp\winampa.exe
AddRemove-Baldur's Gate - c:\program files\Black Isle\Baldur's Gate\Uninst.isu
AddRemove-Titan Poker - c:\poker\Titan Poker\_SetupPoker_c40bab.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-03 22:46
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'Explorer.exe'(3844)
c:\acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
c:\acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\WLANExt.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\conime.exe
c:\program files\Synaptics\SynTP\SynTPEnh.exe
c:\windows\system32\igfxsrvc.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Completion time: 2010-02-03 22:51:20 - machine was rebooted
ComboFix-quarantined-files.txt 2010-02-03 21:51

Pre-Run: 895,463,424 Bytes frei
Post-Run: 876,032,000 Bytes frei

- - End Of File - - 63EA0941AF29CF5409618FD21B1F88C0

HijackThis Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:07:25, on 04/02/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\conime.exe
E:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} (VodClient Control Class) - http://www.vexcast.com/download/vexcast.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

--
End of file - 2274 bytes

cosinus · 04.02.2010, 18:17

Hallo und

Die letztens Logs sehen schon aus, als hättest Du fast selbst allein schon entfernt

Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

artischoke · 05.02.2010, 00:28

hi cosinus,

der neue Malwarebytes scan hatte wieder einen fund:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3690
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

05/02/2010 00:20:32
mbam-log-2010-02-05 (00-20-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 216386
Laufzeit: 52 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\winsxs\Backup\x86_microsoft-windows-i..er-engine.resources_31bf3856ad364e35_6.0.6001.22162_lt-lt_bd71fed219eb752d_msimsg.dll.mui_72e8994f (Trojan.Dropper) -> Quarantined and deleted successfully.

cosinus · 05.02.2010, 12:06

Fraglich, ob das wirklich Malware war

Rechner verhält sich wieder alles normal?

Wenn keine Probleme mehr da sind, bitte die Updates prüfen (nicht alles ist unbedingt bei Dir veraltet, is nur ein Standardtext von mir, damit ich nicht immer wieder alles abtippen muss

)

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. um den IE8, auch wenn Du ihn nicht nutzt. Auch das SP2 für Vista ist ein wichtiges Update, was installiert werden müsste.

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

artischoke · 05.02.2010, 17:56

ja, der rechner verhält sich wieder normal. reader und java sind up to date, ie nicht aber ich hoff dass das nicht so schlimm ist da ich ihn nie verwende.

(ihr habt auch smileys für alles oder?^^)

cosinus · 05.02.2010, 19:04

Ah doch, den IE solltest Du auch immer so aktuell wie möglich halten, auch wenn Du ihn nicht verwendest, denn Windows nutzt immer die Kernkomponenten des IE.

04.02.2010, 18:17	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TDSS - TR/Crypt.XPACK.Gen - Swisyn Hallo und Die letztens Logs sehen schon aus, als hättest Du fast selbst allein schon entfernt Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten. __________________ __________________

05.02.2010, 19:04	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TDSS - TR/Crypt.XPACK.Gen - Swisyn Ah doch, den IE solltest Du auch immer so aktuell wie möglich halten, auch wenn Du ihn nicht verwendest, denn Windows nutzt immer die Kernkomponenten des IE. __________________ --> TDSS - TR/Crypt.XPACK.Gen - Swisyn

TDSS - TR/Crypt.XPACK.Gen - Swisyn

Plagegeister aller Art und deren Bekämpfung: TDSS - TR/Crypt.XPACK.Gen - Swisyn