Deinstalliere bitte AdAware und beantworte die Fragen:

• Ist der VeohPlayer bewusst installiert worden?
• Ist c:\users\mathias grot\Documents\Registry Backup.reg von dir angelegt worden?

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

drivers to disable:
lwyqplx

drivers to delete:
lwyqplx

files to delete:
C:\Windows\system32\drivers\lwyqplx.sys
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und mir den Link als Private Nachricht zuschicken.

9.) Packe den Ordner c:\qoobox mit ZIP oder RAR und gehe wie in Schritt 8.) vor.

ciao, andreas

[QUOTE=john.doe;558104]Deinstalliere bitte AdAware und beantworte die Fragen:
[quote]

Zitat:

Ist der VeohPlayer bewusst installiert worden?

Nö, hab ich runtergeworfen.

[quote]Ist c:\users\mathias grot\Documents\Registry Backup.reg von dir angelegt worden?[/qoute]Ja, glaub schon. Aber CCleaner hat eh ein paar Backups gemacht, insofern nicht so wichtig würd ich sagen.

Zitat:

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

Tja, wär schön, wenn ich mit dem verwanzten Rechner ins Netz könnte. Aber dann macht er ja sofort nen Shutdown. Aber ich hab's aus ner Datei geladen. Ergebnis war unspektakulär:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "lwyqplx"
Disablement of driver "lwyqplx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\lwyqplx" not found!
Deletion of driver "lwyqplx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\Windows\system32\drivers\lwyqplx.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Du hast PM.

Zitat:

Du hast PM.

Jo, angekommen, 21MB, da muss ich mich erstmal durchgraben. Vermutlich das letzte Mal CF.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
aawservice
gupdate1c9cb4595762660

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kwyoc]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\BitTorrent\bittorrent.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"Adobe Reader Speed Launcher"=-
"TkBellExe"=-
"SunJavaUpdateSched"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lwyqplx]

Folder::
C:\rsit
C:\Users\mathias grot\AppData\Roaming\3CCD00A54774D2828984593391155E04

File::
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Ich drücke euch die Daumen! Sitze gerade ähnlich verzweifelt vor meinem Rechner und staune, was Andreas für eine tolle "Fernwartung" macht. Ob sich die Mistkerle, die diese Dinger programmieren, eigentlich eine Vorstellung davon machen, was für Arbeit sie damit auslösen?!

Beste Grüße und viel Erfolg,

Wolfgang

Danke nochmal!

Das hat diesemal das ergeben:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-08-19.02 - mathias grot 21.08.2010   0:00.4.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6000.0.1252.49.1031.18.2046.1306 [GMT 2:00]
ausgeführt von:: c:\users\mathias grot\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\mathias grot\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\windows\tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\tasks\GoogleUpdateTaskMachineUA.job"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
c:\windows\tasks\GoogleUpdateTaskMachineCore.job
c:\windows\tasks\GoogleUpdateTaskMachineUA.job

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gupdate1c9cb4595762660


(((((((((((((((((((((((   Dateien erstellt von 2010-07-20 bis 2010-08-20  ))))))))))))))))))))))))))))))
.

2010-08-20 22:03 . 2010-08-20 22:05	--------	d-----w-	c:\users\mathias grot\AppData\Local\temp
2010-08-20 22:03 . 2010-08-20 22:03	--------	d-----w-	c:\users\Public\AppData\Local\temp
2010-08-20 22:03 . 2010-08-20 22:03	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-08-20 17:13 . 2010-08-20 17:13	--------	d-----w-	c:\program files\trend micro
2010-08-20 15:58 . 2010-08-20 15:58	--------	d-----w-	c:\program files\CCleaner
2010-08-20 11:12 . 2010-08-20 11:12	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\Malwarebytes
2010-08-20 11:12 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-20 11:12 . 2010-08-20 12:14	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-08-20 11:12 . 2010-08-20 11:12	--------	d-----w-	c:\programdata\Malwarebytes
2010-08-20 11:12 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-20 21:40 . 2009-01-07 14:56	--------	d-----w-	c:\programdata\Lavasoft
2010-08-20 21:17 . 2008-12-14 16:06	--------	d-----w-	c:\program files\Veoh Networks
2010-08-20 13:11 . 2008-09-17 11:14	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\OpenOffice.org2
2010-08-20 10:36 . 2006-11-02 15:33	641344	----a-w-	c:\windows\system32\perfh007.dat
2010-08-20 10:36 . 2006-11-02 15:33	116706	----a-w-	c:\windows\system32\perfc007.dat
2010-07-30 09:36 . 2008-09-17 11:15	1	----a-w-	c:\users\mathias grot\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-06-27 22:06 . 2008-10-28 21:20	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\Skype
2010-06-27 22:05 . 2008-10-28 21:22	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\skypePM
2010-06-16 21:33 . 2010-06-16 21:33	1079048	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-05-29 02:40 . 2010-03-03 09:13	443912	----a-w-	c:\users\mathias grot\AppData\Roaming\Real\Update\setup3.10\setup.exe
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-09-14 1232896]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-09-25 1006264]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-05-03 174872]
"IaNvSrv"="c:\program files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe" [2007-05-03 33048]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2007-01-02 520192]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes' Anti-Malware\herbert.exe" [2010-04-29 1090952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

S0 iaNvStor;Intel(R) Turbo Memory  Technology NAND Controller;c:\windows\system32\DRIVERS\iaNvStor.sys [2007-05-03 208896]
S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2006-12-08 5120]
S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-04-04 46592]

.
Inhalt des "geplante Tasks" Ordners

2010-08-20 c:\windows\Tasks\User_Feed_Synchronization-{A1F4FE0B-7504-454F-9783-1D39ADA99147}.job
- c:\windows\system32\msfeedssync.exe [2010-04-07 04:54]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:6522
uInternet Settings,ProxyOverride = <local>
TCP: {80421AE8-53A1-4018-9AB5-663EB61CE6F9} = 192.168.1.1
FF - ProfilePath - c:\users\mathias grot\AppData\Roaming\Mozilla\Firefox\Profiles\1d3be6za.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************
Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000001
"MSCurrentCountry"=dword:000000b5
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Google\Update\GoogleUpdate.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\windows\ehome\ehmsas.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-21  00:08:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-20 22:08
ComboFix2.txt  2010-08-20 21:00
ComboFix3.txt  2010-08-20 20:12
ComboFix4.txt  2010-08-20 19:20

Vor Suchlauf: 19 Verzeichnis(se), 13.188.263.936 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 12.927.803.392 Bytes frei

- - End Of File - - 9B75583C4F955A34E32D72024AF087E6
         

Das sieht schon viel besser aus.

Jetzt weiter mit Malwarebytes. Vor dem Scan updaten und Quickscan reicht diesmal. Log posten. Du solltest jetzt wieder ins Netz kommen.

Virustotal will gerade nicht. Laut Jotti handelt es sich um Bubak (Avast) oder Bubnix (F-Secure) und wieder einmal recht neu das Teil.

ciao, andreas

Edit: VT hat es doch noch geschafft.

Code: Alles auswählenAufklappen

ATTFilter

File name: 
lwyqplx.sys
Submission date: 
2010-08-20 22:07:13 (UTC)
Current status: 
finished
Result: 
11/ 42 (26.2%)
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2010.08.21.00	2010.08.20	-
AntiVir	8.2.4.38	2010.08.20	-
Antiy-AVL	2.0.3.7	2010.08.16	-
Authentium	5.2.0.5	2010.08.20	-
Avast	4.8.1351.0	2010.08.20	Win32:Bubak
Avast5	5.0.332.0	2010.08.20	Win32:Bubak
AVG	9.0.0.851	2010.08.20	-
BitDefender	7.2	2010.08.20	Gen:Variant.Bubnix.1
CAT-QuickHeal	11.00	2010.08.20	-
ClamAV	0.96.2.0-git	2010.08.20	-
Comodo	5799	2010.08.20	-
DrWeb	5.0.2.03300	2010.08.20	-
Emsisoft	5.0.0.37	2010.08.20	Virus.Win32.Bubak!IK
eSafe	7.0.17.0	2010.08.19	-
eTrust-Vet	36.1.7802	2010.08.20	-
F-Prot	4.6.1.107	2010.08.20	-
F-Secure	9.0.15370.0	2010.08.20	Gen:Variant.Bubnix.1
Fortinet	4.1.143.0	2010.08.20	-
GData	21	2010.08.20	Gen:Variant.Bubnix.1
Ikarus	T3.1.1.88.0	2010.08.20	Virus.Win32.Bubak
Jiangmin	13.0.900	2010.08.19	-
Kaspersky	7.0.0.125	2010.08.20	-
McAfee	5.400.0.1158	2010.08.21	Suspect-D!92DE414EBC83
McAfee-GW-Edition	2010.1B	2010.08.20	-
Microsoft	1.6103	2010.08.20	-
NOD32	5383	2010.08.20	a variant of Win32/Bubnix.AZ
Norman	6.05.11	2010.08.20	-
nProtect	2010-08-20.01	2010.08.20	Gen:Variant.Bubnix.1
Panda	10.0.2.7	2010.08.20	-
PCTools	7.0.3.5	2010.08.20	-
Prevx	3.0	2010.08.21	-
Rising	22.61.04.04	2010.08.20	-
Sophos	4.56.0	2010.08.20	Sus/UnkPack-C
Sunbelt	6767	2010.08.20	-
SUPERAntiSpyware	4.40.0.1006	2010.08.20	-
Symantec	20101.1.1.7	2010.08.20	-
TheHacker	6.5.2.1.352	2010.08.20	-
TrendMicro	9.120.0.1004	2010.08.20	-
TrendMicro-HouseCall	9.120.0.1004	2010.08.20	-
VBA32	3.12.14.0	2010.08.20	-
ViRobot	2010.8.16.3990	2010.08.20	-
VirusBuster	5.0.27.0	2010.08.20	-
Additional information
Show all 
MD5   : 92de414ebc83633f4ab6206d9f14e774
SHA1  : 566a29f625368c94cc008ae44ff7d4609b3e4106
SHA256: 2bcd0a2ecd8bd4a8fdb3c72fdabad69cccab309a6231caacdf5dd694662beba8
ssdeep: 12288:B4bGhZW2KQiBfMh7eQiLy8CtfzPWkGeUUfAXJ6nDaIzuAFp1Xr8ym0922ciA:6GlqfLL+
zPhtnf0J6DaIF1XCY2Vl
File size : 786432 bytes
First seen: 2010-08-20 22:07:13
Last seen : 2010-08-20 22:07:13
TrID: 
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck: 
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x1110
timedatestamp....: 0x4C6D8687 (Thu Aug 19 19:31:19 2010)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x57402, 0x57600, 8.00, f6ef5ce53446e2e1ba50de18ea328491
.rdata, 0x59000, 0x140, 0x200, 3.10, 49159aa08dc60c21d58085d784f70b5f
.data, 0x5A000, 0x69FF, 0x3200, 7.87, 7942aa457df7cb1918bc45b881fc46a0
INIT, 0x61000, 0x802, 0xA00, 4.84, 2476a1ef23799dea5bbdd7aac9e8dede
.reloc, 0x62000, 0x64750, 0x64800, 8.00, b58abe42cddce846bf1d94ea89caf36d

[[ 1 import(s) ]]
ntoskrnl.exe: sprintf, ZwQuerySystemInformation, ExAllocatePoolWithTag, ExFreePoolWithTag, PsReturnPoolQuota, SeMarkLogonSessionForTerminationNotification, IoDeleteDevice, FsRtlGetFileSize, ZwCreateSection, FsRtlLookupLastMcbEntry, ExRaiseStatus, KeSetTimeIncrement, IoGetDeviceObjectPointer, IoCreateDevice, FsRtlLookupLastLargeMcbEntry, KeInitializeEvent, RtlClearBits, IoCreateSymbolicLink, ZwSetEaFile, ExSetTimerResolution, FsRtlOplockIsFastIoPossible, PsInitialSystemProcess, RtlUnwind, RtlEnlargedUnsignedDivide, ExInterlockedInsertTailList, RtlAddAtomToAtomTable, RtlInsertUnicodePrefix, _wcsrev, KeI386Call16BitCStyleFunction, isprint, RtlDowncaseUnicodeString, RtlInsertElementGenericTableFull, FsRtlTruncateLargeMcb, CcPreparePinWrite, PsAssignImpersonationToken, FsRtlInitializeLargeMcb, ExWindowStationObjectType, KeInitializeMutant, FsRtlNumberOfRunsInMcb, MmAllocateNonCachedMemory, CcCopyRead, KeLoaderBlock, IoRaiseInformationalHardError, MmGetSystemRoutineAddress, wcscpy, NtQueryInformationFile, PsReferencePrimaryToken, SeAssignSecurity, IoGetConfigurationInformation, KeRemoveEntryDeviceQueue, RtlRealPredecessor, IoGetBootDiskInformation, InbvEnableDisplayString, KeDelayExecutionThread, IoCreateSynchronizationEvent, ExRaiseDatatypeMisalignment, KeGetCurrentThread, RtlPrefixString, SeLockSubjectContext, ObGetObjectSecurity, IoUnregisterFileSystem, strncmp, InbvDisplayString, ExfInterlockedAddUlong, KeClearEvent, KeProfileInterrupt, ExfInterlockedRemoveHeadList, ZwSetValueKey, RtlLookupElementGenericTable, tolower, ZwDeleteFile, IoQueryDeviceDescription, IoGetDeviceProperty
Symantec reputation:Suspicious.Insight
         

Das hier kam dabei heraus - diesmal sogar vom befallenen Rechner.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4453

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

21.08.2010 00:31:15
mbam-log-2010-08-21 (00-31-15).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 131785
Laufzeit: 4 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Gut.

Jetzt Gmer. Beim ersten Mal nur Haken bei Driver und Registry, Log posten. Beim zweiten Durchlauf alles testen. Falls er durchkommt, Log posten.

ciao, andreas

Ist durchgelaufen. "Treiber" oder "Driver" gabs nicht anzuhaken, hab stattdessen Registry und "Modules" durchsucht. Dabei wurde nix gefunden. Dann hab ich alles außer IAT/EAT angehakt. Ist durchgelaufen aber hat nix gesagt. Hab auch keine Logs entdeckt. Schmeißt der die irgendwo ins Dateisystem?

Wenn er nichts findet, dann gibt es auch kein Log.

Kontrollscan mit SUPERAntiSpyware ist ziemlich sinnlos, weil er den nicht erkennt. Deshalb noch einmal frische Logs mit RSIT.

Zur Sicherheit noch ein Scan mit F-Secure Security Lab - Online-Scanner

Haben wir keine Anleitung für, versuche irgendwie ein Log oder ein Screenshot mit dem Ergebnis zu posten. Damit sollten wir dann auch schon fast durch sein.

Die Proxyeinstellungen wurden noch vermurkst, das lässt sich aber mit HJT richten.

Gute Nacht,
Andreas

GMER hat gezickt. Der ist zwar scheinbar durchgelaufen, hat danach aber nicht mehr reagiert (im Sinne von "Anwendung reagiert nicht") --> Not-Aus.

Der Online-Scanner von F-Secure war zufrieden mit uns:

Code: Alles auswählenAufklappen

ATTFilter

Scanbericht
Samstag, August 21, 2010 02:14:56 - 02:17:52

Name des Computers: FOOBAR-PC
Scantyp: Quick-Scan
Ziel: System
Keine Malware gefunden
Statistik
Gescannt:

    * Dateien: 3550
    * System: 3550
    * Nicht gescannt: 0 

Aktionen:

    * Desinfiziert: 0
    * Umbenannt: 0
    * Gelöscht: 0
    * Nicht bereinigt: 0
    * Übermittelt: 0
         

Ich geh jetzt mal pennen. Vielen herzlichen Dank!

Hmpf, derjenige, dessen Rechner das war, hat offenbar nicht das Bedürfnis, sich nochmal hier zu bedanken. Daher danke von mir, wirklich erstaunlich und unglaublich nett, wie hartnäckig Du das Problem angepackt hast, Andreas.

Ich hoffe, es ist dabei wenigstens ein klein wenig neues Wissen über diesen Schädling abgefallen. Ich hab jedenfalls auch etwas gelernt: Ich sollte noch etwas härter sein, was Hilfegesuche angeht ("Sorry, keine Zeit. Ach so, Du willst linux? Komm doch rein." ;-) )

So ganz fertig sind wir noch nicht. Es fehlt noch das HJT-Log, da ist der Download schiefgelaufen, die Proxyeinstellungen sind noch vermurkst.

Die Software ist z.T. veraltet, da würde sich in dem Fall Secunia anbieten. Es sind gleich 4 Javaversionen installiert, allerdings alle veraltet.

ciao, andreas

Lange her, sorry, dass ich damals gar nicht mehr hier reingeschaut und die letzten Schritte nicht mehr nachvollzogen habe. Ich fürchte, das tun Viele, wenn ihr Problem gelöst wurde (obwohls in diesem Fall gar nicht mein eigenes war). Jedenfalls nochmal danke für die Aktion.