Laptop bekommen ..

wutentbrannt · 05.09.2010, 11:14

Meine Freundin hat von ner Verwandten einen Laptop bekommen.

Habe mal GMER laufen lassen und der hat folgendes gefunden.
Ist hier was veranlasst?
Vielen Dank im Voraus!

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-05 12:11:59
Windows 6.0.6002 Service Pack 2
Running: rmv2cex3.exe; Driver: C:\Users\Julia\AppData\Local\Temp\fgrdapog.sys


---- System - GMER 1.0.15 ----

SSDT   9E54AAE4                       ZwCreateThread
SSDT   9E54AAD0                       ZwOpenProcess
SSDT   9E54AAD5                       ZwOpenThread
SSDT   9E54AADF                       ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!KeSetEvent + 221  822F7984 4 Bytes  [E4, AA, 54, 9E] {IN AL, 0xaa; PUSH ESP; SAHF }
.text  ntkrnlpa.exe!KeSetEvent + 3F1  822F7B54 4 Bytes  [D0, AA, 54, 9E]
.text  ntkrnlpa.exe!KeSetEvent + 40D  822F7B70 4 Bytes  [D5, AA, 54, 9E] {AAD 0xaa; PUSH ESP; SAHF }
.text  ntkrnlpa.exe!KeSetEvent + 621  822F7D84 4 Bytes  [DF, AA, 54, 9E]

---- EOF - GMER 1.0.15 ----

--- --- ---

Hab auch nochmal ein Logfile von HijackThis gepostet

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:28:01, on 05.09.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\***\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msi.com.tw
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Eraser] "C:\PROGRA~1\Eraser\Eraser.exe" --atRestart
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; InfoPath.2; .NET CLR 3.5.30729; .NET CLR 1.1.4322; .NET CLR 3.0.30729)" -"hxxp://www.miniclip.com/games/migo-land/de/"
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {195B4BBF-E1E4-4020-9773-0A8C6F65EA35} (CPlayFirstCookingDasControl Object) - hxxp://www.shockwave.com/content/cookingdash/sis/CookingDashWeb.1.0.0.9.cab
O16 - DPF: {B516CA4E-A5BA-405C-AFCF-A97F08CC7429} (GoBit Games Player) - hxxp://www.shockwave.com/content/burgershop/sis/GoBitGamesPlayer_v5.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - hxxp://game.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs:  
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 6393 bytes

--- --- ---

cosinus · 05.09.2010, 17:29

Zitat:

Meine Freundin hat von ner Verwandten einen Laptop bekommen.

Warum wieso weshalb?? Bitte genauer beschreiben aus welchem Anlass.

wutentbrannt · 06.09.2010, 05:46

Zitat:

Zitat von cosinus

Warum wieso weshalb?? Bitte genauer beschreiben aus welchem Anlass.

Genauer gesagt handelt es sich um die Frau ihres Bruder, weil Sie sich ein Netbook gekauft hat und deswegen ihren alten Laptop meiner Freundin recht günstig verkauft hat!

wutentbrannt · 08.09.2010, 19:00

SUPERAntiSpyware hat gestern noch folgendes gefunden:

Trojan.Agent/Gen-FakeAlert
C:\WINDOWS\SYSTEM32\ADOBE\SHOCKWAVE 11\UNWISE.EXE

Hier noch das LOG

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/07/2010 at 08:37 PM

Application Version : 4.42.1000

Core Rules Database Version : 5463
Trace Rules Database Version: 3275

Scan type : Complete Scan
Total Scan Time : 01:21:30

Memory items scanned : 762
Memory threats detected : 0
Registry items scanned : 9057
Registry threats detected : 0
File items scanned : 123167
File threats detected : 1

Trojan.Agent/Gen-FakeAlert
C:\WINDOWS\SYSTEM32\ADOBE\SHOCKWAVE 11\UNWISE.EXE

Malwarebytes hat nix gefunden.

Hab heute nochmal GMER laufen lassen.
Sieht ähnlich aus wie das alte.

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-08 19:10:05
Windows 6.0.6002 Service Pack 2
Running: rmv2cex3.exe; Driver: C:\Users\Julia\AppData\Local\Temp\fgrdapog.sys


---- System - GMER 1.0.15 ----

SSDT   9EABDD8C                                            ZwCreateThread
SSDT   9EABDD78                                            ZwOpenProcess
SSDT   9EABDD7D                                            ZwOpenThread
SSDT   \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS  ZwTerminateProcess [0x920CB620]

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!KeSetEvent + 221                       822BD984 4 Bytes  [8C, DD, AB, 9E] {MOV EBP, DS; STOSD ; SAHF }
.text  ntkrnlpa.exe!KeSetEvent + 3F1                       822BDB54 4 Bytes  [78, DD, AB, 9E] {JS 0xffffffffffffffdf; STOSD ; SAHF }
.text  ntkrnlpa.exe!KeSetEvent + 40D                       822BDB70 4 Bytes  [7D, DD, AB, 9E] {JGE 0xffffffffffffffdf; STOSD ; SAHF }
.text  ntkrnlpa.exe!KeSetEvent + 621                       822BDD84 4 Bytes  [20, B6, 0C, 92]

---- EOF - GMER 1.0.15 ----

--- --- ---

Hab dann noch Sophos Anti-Rootkit drüber laufen lassen,
hat dann noch dies gefunden ..

C:\Users\***\AppData\Roaming\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρϴϱЄϱЃϵϳЅ
C:\Users\***\AppData\Roaming\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρЂϻϵЉЃϵϳЅ

Kann mir irgendjemand sagen was da so läuft oder sind das evtl. Fehlmeldungen?

Vielen Dank für die Hilfe!!!

cosinus · 08.09.2010, 20:10

Zitat:

ihren alten Laptop meiner Freundin recht günstig verkauft hat!

Bei Besitzerwechsel sollte man grundsätzlich das OS neu aufspielen, formatieren natürlich vorher auch. Unabhängig davon ob Schälinge drauf sind (waren) oder nicht. Eigentlich muss der Verkäufer schon dafür sorgen aus seinem eigenen Interesse, sonst kommen evtl seine private Daten an den Käufer. Und der Käufer will auch nicht mit der Altlast des Vorbesitzers kämpfen.

wutentbrannt · 09.09.2010, 06:38

Zitat:

Zitat von cosinus

Bei Besitzerwechsel sollte man grundsätzlich das OS neu aufspielen, formatieren natürlich vorher auch. Unabhängig davon ob Schälinge drauf sind (waren) oder nicht. Eigentlich muss der Verkäufer schon dafür sorgen aus seinem eigenen Interesse, sonst kommen evtl seine private Daten an den Käufer. Und der Käufer will auch nicht mit der Altlast des Vorbesitzers kämpfen.

Leider findet die Freundin die Original CD nicht mehr ...

Laptop bekommen ..

Plagegeister aller Art und deren Bekämpfung: Laptop bekommen ..

Laptop bekommen ..

Laptop bekommen ..

Laptop bekommen ..

Laptop bekommen ..

Laptop bekommen ..

Laptop bekommen ..

Ähnliche Themen: Laptop bekommen ..