TR/trash.Gen und Win32.Obitel

cosinus · 20.04.2010, 17:38

Hast Du ne Sicherung (Image) des Systems gemacht? Wenn ja, würde ich mal einen Durchgang mit CF vorschlagen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Svenler · 20.04.2010, 18:40

Und hier das ComboFix Log

ComboFix 10-04-19.08 - Sazi 20.04.2010 19:30:18.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.895.592 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\test.txt

----- BITS: Eventuell infizierte Webseiten -----

hxxp://download.yimg.com
.
((((((((((((((((((((((( Dateien erstellt von 2010-03-20 bis 2010-04-20 ))))))))))))))))))))))))))))))
.

2010-04-20 06:29 . 2008-04-14 02:23 26624 ----a-w- c:\windows\system32\stu2.exe
2010-04-19 12:46 . 2010-04-20 13:13 -------- d-----w- c:\programme\trend micro
2010-04-19 12:46 . 2010-04-19 12:46 -------- d-----w- C:\rsit
2010-04-19 12:39 . 2010-04-19 12:39 -------- d-----w- c:\dokumente und einstellungen\Sazi\Anwendungsdaten\Malwarebytes
2010-04-19 12:38 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-19 12:38 . 2010-04-19 12:38 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-19 12:38 . 2010-04-19 12:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-19 12:38 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-19 12:33 . 2010-04-19 12:33 -------- d-----w- c:\programme\CCleaner
2010-04-19 11:47 . 2010-04-19 11:47 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-04-15 15:37 . 2010-02-24 08:16 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-04-15 15:35 . 2010-04-15 15:36 -------- d-----w- c:\programme\Microsoft Security Essentials
2010-04-15 07:31 . 2007-10-23 07:27 110592 ----a-w- c:\dokumente und einstellungen\Sazi\Anwendungsdaten\U3\temp\cleanup.exe
2010-04-15 07:30 . 2008-05-02 08:41 3493888 ---ha-w- c:\dokumente und einstellungen\Sazi\Anwendungsdaten\U3\temp\Launchpad Removal.exe
2010-04-15 07:30 . 2010-04-20 16:10 -------- d-----w- c:\dokumente und einstellungen\Sazi\Anwendungsdaten\U3
2010-04-13 06:14 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-03-24 08:04 . 2010-03-24 18:17 952768 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\14949\AdobeARM.exe
2010-03-24 08:04 . 2010-03-24 18:17 70584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\14949\AdobeExtractFiles.dll
2010-03-24 08:04 . 2010-03-24 18:17 326056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\14949\ReaderUpdater.exe
2010-03-24 08:04 . 2010-03-24 18:17 326056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\14949\AcrobatUpdater.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-20 16:58 . 2009-08-06 07:47 -------- d-----w- c:\programme\Yahoo!
2010-04-20 16:47 . 2009-07-08 07:43 -------- d-----w- c:\programme\Java
2010-04-20 16:47 . 2004-08-04 12:00 95688 ----a-w- c:\windows\system32\perfc007.dat
2010-04-20 16:47 . 2004-08-04 12:00 487818 ----a-w- c:\windows\system32\perfh007.dat
2010-04-20 08:48 . 2009-08-06 07:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2010-04-20 08:47 . 2010-03-18 09:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-04-20 08:47 . 2010-03-18 09:50 -------- d-----w- c:\programme\TuneUp Utilities 2010
2010-04-08 07:34 . 2009-11-09 07:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2010-03-18 09:50 . 2010-03-18 09:50 -------- d-----w- c:\dokumente und einstellungen\Sazi\Anwendungsdaten\TuneUp Software
2010-03-18 09:50 . 2010-03-18 09:50 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-03-10 06:15 . 2004-08-04 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:15 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-10-28 01:14 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:04 . 2004-08-04 12:00 2148864 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2004-08-04 00:50 2027008 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 04:33 . 2004-08-04 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-04 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-03 19:48 . 2009-08-05 12:18 67984 ----a-w- c:\dokumente und einstellungen\Sazi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"nwiz"="nwiz.exe" [2008-09-17 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"MSSE"="c:\programme\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
2008-06-18 11:47 24692 ----a-w- c:\windows\system32\ckpNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1689013857-1552960400-1819828000-2599\Scripts\Logon\0\0]
"Script"=login.vbs

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Citrix XenApp.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Citrix XenApp.lnk
backup=c:\windows\pss\Citrix XenApp.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-03-24 18:17 952768 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 16:43 69632 ----a-w- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08 209153 ----a-w- c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2007-04-03 16:50 1603152 ----a-w- c:\programme\Canon\MyPrinter\BJMYPRT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
2007-04-03 16:00 644696 ----a-w- c:\programme\Canon\SolutionMenu\CNSLMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Messenger (Yahoo!)]
2009-05-26 19:06 4351216 ----a-w- c:\programme\Yahoo!\Messenger\YahooMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22 1695232 ------w- c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883840 ----a-w- c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
2007-02-04 11:02 79400 ----a-w- c:\programme\ScanSoft\OmniPageSE4\OpWareSE4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-11-20 15:02 16858112 ----a-w- c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2008-08-29 14:11 61440 ----a-w- c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2005-08-26 16:14 36975 ----a-w- c:\programme\Java\jre1.5.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_Service.exe"=
"c:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_GUI.exe"=
"c:\\Programme\\CheckPoint\\SecuRemote\\bin\\scc.exe"=
"c:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_SDS.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R1 FW1;SecuRemote Miniport;c:\windows\system32\drivers\fw.sys [18.06.2008 13:46 2235760]
R2 CP_OMDRV;Check Point Office Mode Module;c:\windows\system32\drivers\omdrv.sys [18.06.2008 13:46 47504]
R2 VNASC;Check Point Virtual Network Adapter - SecureClient;c:\windows\system32\drivers\vnasc.sys [18.06.2008 13:46 121136]
R2 VPN-1;VPN-1 Module;c:\windows\system32\drivers\vpn.sys [18.06.2008 13:46 673872]
S4 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.08.2009 09:05 108289]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Sazi\Anwendungsdaten\Mozilla\Firefox\Profiles\5qqq5w0x.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJPI150_05.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Commerzbank Electronic Banking - o:\cotel\SETUP.EXE

**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1036)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-04-20 19:33:50
ComboFix-quarantined-files.txt 2010-04-20 17:33

Vor Suchlauf: 12 Verzeichnis(se), 48.810.835.968 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 49.368.031.232 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 8273AA9713940E8CE1E1B62B2489D075

cosinus · 20.04.2010, 18:45

Das Log sieht garnicht so verkehrt aus. Allerdings gefällt mir der Teil mit den versteckten Objekten noch nicht so ganz, erstell daher bitte nochmal ein Log mit GMER und poste es.

Svenler · 20.04.2010, 21:23

Lieber spät als nie

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-20 22:14:26
Windows 5.1.2600 Service Pack 3
Running: qxle2lgq.exe; Driver: C:\DOKUME~1\Sazi\LOKALE~1\Temp\fwtdypob.sys

---- System - GMER 1.0.15 ----

SSDT F7B94706 ZwCreateKey
SSDT F7B946FC ZwCreateThread
SSDT F7B9470B ZwDeleteKey
SSDT F7B94715 ZwDeleteValueKey
SSDT F7B9471A ZwLoadKey
SSDT F7B946E8 ZwOpenProcess
SSDT F7B946ED ZwOpenThread
SSDT F7B94724 ZwReplaceKey
SSDT F7B9471F ZwRestoreKey
SSDT F7B94710 ZwSetValueKey
SSDT F7B946F7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2DB8 80504654 4 Bytes CALL 8747FF9F
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6A3E360, 0x32DEFD, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\SearchIndexer.exe[164] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Mehr steht nicht drin... wünsche noch einen schönen ruhigen Abend

cosinus · 21.04.2010, 08:05

Das sieht ok aus. Rechner wieder ok?

Svenler · 21.04.2010, 11:00

Hi Arne,

ertsmal danke für deine Hilfe!
Ja es scheint soweit alles wieder in Ordnung zu sein.
Bis dato keine neuen Meldungen oder Funde.

Wir haben nochmal alle Rechner im Netz durchgeprüft und nichts mehr gefunden.

Merci vielmals! Ich hoffe wir bleiben jetzt sauber

cosinus · 21.04.2010, 19:17

Ok, schön

Dann achtet mal in Zukunft mehr auf Backups, Updates (Betriebssystem und alle verwendeten Programme, obwohl in Firmenumgebungen man oft auf bestimmte Versionen angewiesen ist

) und wenn möglich: Adminrechte hat auch nur der Administrator bzw. der die "Vollmacht"/Verantwortung von der EDV dazu bekommen hat

Svenler · 27.04.2010, 07:59

Hi Arne,

AAARRRRGGGHHHH
Auf dem Rechner welchen wir gesäubert haben taucht wieder der TR/trash.Gen auf

Gestern Abend der erste Fund, gemeldet von Antivir (verschoben in Quarantäne), heute morgen erneut.
Der TR/Trash.Gen taucht immer in der selben Datei auf, damals wie heute.
In so einer .dll ....
'C:\System Volume Information\_restore{0B43F7A5-B2BB-4AC7-B34B-64307782E00B}\RP153\A0036996.dll'

Sieht fast aus als würde nur noch plattmachen helfen, oder?
Alle Tools haben diesen ja nicht wirklich gefunden bzw. entfernt.

Was meinst du?
Gruß Svenler

Svenler · 27.04.2010, 08:16

Ein Trauerspiel

Soeben meldet sich ein 2ter Trojaner

TR/Injector.aoc laut Microsoft
die gleiche Datei mit dem Namen .../system32/sdzwkaj.exe
heißt auch : Win32/Bebloh.A

Hilfäääää

laut Microsoft Security Essentials sauber entfernt worden.
Datei lässt sich auch nicht mehr finden ... hmmm

cosinus · 27.04.2010, 10:28

Hast Du nach den Bereinigungen denn auch alle Updates eingespielt? Sieht aus, als würde da der Schädling sich über Lücken im Betriebssystem verbreiten.

Poste mal frische Logs mit OTL und OSAM

Svenler · 27.04.2010, 11:14

Hi Arne,

ich dachte wir wären up-to-date.
Ich komme jetzt gerade nicht zum posten, kann ich erst heute (spät)Nachmittag machen muss gleich ausser Haus.

PS: Wir nutzen auf der Arbeit auch ICQ, MSN und Yahoo MSG, nicht das die nur Leistung fressen ohne Ende sondern auch immer ein Sicherheitsrisiko darstellen habe ich jetzt mal Miranda installiert. Weißt du ob das wirklich sicherer ist oder nur Propaganda?

Melde mich später, danke vorab!

cosinus · 27.04.2010, 13:28

Ich nutze unter Windows auch nur Miranda, aber auch aus anderen Gründen. Ob Miranda unbedingt sicherer ist, weiß ich nicht, aber die ICQ-Software sieht mir schon zu aufgedunsen aus.

Svenler · 28.04.2010, 12:17

HI Arne,

nochmal sorry - erst nach Hilfe gefragt und jetzt komm ich nicht dazu.
Hoffe das ich heute Abend was posten kann - bis dahin bleibt der PC aus.

Gruß

20.04.2010, 18:45	#18
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/trash.Gen und Win32.Obitel Das Log sieht garnicht so verkehrt aus. Allerdings gefällt mir der Teil mit den versteckten Objekten noch nicht so ganz, erstell daher bitte nochmal ein Log mit GMER und poste es. __________________ __________________

21.04.2010, 08:05	#20
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/trash.Gen und Win32.Obitel Das sieht ok aus. Rechner wieder ok? __________________ Logfiles bitte immer in CODE-Tags posten

27.04.2010, 10:28	#25
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/trash.Gen und Win32.Obitel Hast Du nach den Bereinigungen denn auch alle Updates eingespielt? Sieht aus, als würde da der Schädling sich über Lücken im Betriebssystem verbreiten. Poste mal frische Logs mit OTL und OSAM __________________ Logfiles bitte immer in CODE-Tags posten

27.04.2010, 13:28	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/trash.Gen und Win32.Obitel Ich nutze unter Windows auch nur Miranda, aber auch aus anderen Gründen. Ob Miranda unbedingt sicherer ist, weiß ich nicht, aber die ICQ-Software sieht mir schon zu aufgedunsen aus. __________________ Logfiles bitte immer in CODE-Tags posten

TR/trash.Gen und Win32.Obitel

Plagegeister aller Art und deren Bekämpfung: TR/trash.Gen und Win32.Obitel