| |
| |||||||
Log-Analyse und Auswertung: Win32.Banker.fgv von Spybot gelöscht und permamenter UploadWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
15.09.2010, 06:40
| #1 |
| |  Win32.Banker.fgv von Spybot gelöscht und permamenter Upload Hallo liebe Helfer, vorgestern fand SpyBot S&D bei mir einen Trojaner, nämlich Win32.Banker.fgv und war augenscheinlich auch in der Lage, diesen zu löschen bzw. in Quarantäne zu verschieben. Logfile folgt weiter unten. Nachdem Spybot den Trojaner verschoben hatte, fand ihn dann auch Antivir(im Quarantäne-Verzeichnis von Spybot), allerdings nur mittels Heuristik - vorher nicht. Ich beobachte weiter eine deutliche Zunahme der Upload-Aktivität an meinem Rechner. tcpview zeigt mir recht viele [System Process]-Verbindungen an, die ich nicht näher spezifizieren kann. Ich poste mal die gewünschten Logfiles und hoffe, jemand kann mir weiterhelfen hinsichtlich bestehendem "Befall" meines Rechners. Das Spybot-Logfile poste ich hier als Code, den Rest (MBAM, OTL und HiJackThis) muss ich aufgrund der Länge leider als zip-datei anhängen. Vielen lieben Dank im voraus! Auszug aus dem Spybot-Logfile: Code:
ATTFilter Win32.Banker.fgv: [SBI $ECF63A22] Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\404Fix.exe
Properties.size=82432
Properties.md5=61FD593673225697D091DE2DDD2E9E47
Properties.filedate=1219054743
Properties.filedatetext=2008-08-18 12:19:03
Win32.Banker.fgv: [SBI $97D67C3B] Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\AntiXPVSTFix.exe
Properties.size=88576
Properties.md5=BF1BBF73F1006530CC388A84122F1902
Properties.filedate=1220909935
Properties.filedatetext=2008-09-08 23:38:55
Win32.Banker.fgv: [SBI $97D67C3B] Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\o4Patch.exe
Properties.size=82944
Properties.md5=2A25B45BAA438F1017656E1DB838E6F1
Properties.filedate=1223621888
Properties.filedatetext=2008-10-10 08:58:08
Win32.Banker.fgv: [SBI $97D67C3B] Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\IEDFix.exe
Properties.size=82944
Properties.md5=799A9EA3FFB220780AE3D3C11B08D067
Properties.filedate=1211139635
Properties.filedatetext=2008-05-18 21:40:35
Win32.Banker.fgv: [SBI $97D67C3B] Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\IEDFix.C.exe
Properties.size=82944
Properties.md5=2A25B45BAA438F1017656E1DB838E6F1
Properties.filedate=1223621888
Properties.filedatetext=2008-10-10 08:58:08
Win32.Banker.fgv: [SBI $97D67C3B] Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\VACFix.exe
Properties.size=87552
Properties.md5=81BC780E5FD520838C6A417840127635
Properties.filedate=1222869100
Properties.filedatetext=2008-10-01 15:51:40
|
|
15.09.2010, 09:51
| #2 |
| /// Malware-holic   | Win32.Banker.fgv von Spybot gelöscht und permamenter Upload bitte erstelle und poste ein combofix log.
__________________Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
|
15.09.2010, 21:18
| #3 |
| | Win32.Banker.fgv von Spybot gelöscht und permamenter Upload Hier ist das gewünschte combofix-log - natürlich ebenfalls anonymisiert und ohne http-links.
__________________Die Meldung, dass Threatfire noch aktiv ist, MUSS falsch sein. Threatfire wurde schon vor langer Zeit deinstalliert. Code:
ATTFilter ComboFix 10-09-14.05 - *** 15.09.10 22:00:34.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1415 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
AV: ThreatFire *On-access scanning enabled* (Updated) {67B2B9A1-25C8-4057-962D-807958FFC9E3}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\dumphive.exe
c:\windows\system32\Process.exe
c:\windows\system32\RFHelper.dll
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-15 bis 2010-09-15 ))))))))))))))))))))))))))))))
.
2010-09-14 22:04 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-14 22:04 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-14 21:37 . 2010-09-14 21:37 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Wireshark
2010-09-14 21:35 . 2010-09-14 21:36 -------- d-----w- c:\programme\WinPcap
2010-09-13 05:44 . 2010-09-13 05:45 -------- d-----w- c:\programme\trend micro
2010-09-13 05:44 . 2010-09-13 05:45 -------- d-----w- C:\rsit
2010-09-12 19:21 . 2010-09-12 19:21 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2010-09-12 19:21 . 2010-09-12 19:21 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy)
2010-09-12 19:21 . 2010-09-12 19:21 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy)
2010-09-12 19:21 . 2010-09-12 19:21 -------- d-----w- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2010-09-10 12:42 . 1997-09-04 06:37 251664 ----a-w- c:\windows\system32\Msrd2x35.dll
2010-09-10 12:42 . 1999-03-23 23:06 1046288 ------w- c:\windows\system32\msjet35.dll
2010-09-10 12:42 . 1997-01-12 22:00 37136 ----a-w- c:\windows\system32\MSJINT35.DLL
2010-09-10 12:42 . 1996-12-02 16:44 24336 ----a-w- c:\windows\system32\MSJTER35.DLL
2010-09-09 14:56 . 2009-12-09 15:31 20992 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\pd3uphpl.default\extensions\{de1b245c-de57-11da-ba2d-0050c2490048}\library\WINNT-32\MinimizeToTrayPlus.dll
2010-09-05 21:17 . 2010-09-05 21:17 53248 ----a-r- c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2010-09-05 21:17 . 2010-09-15 19:51 -------- d-----w- c:\windows\system32\logishrd
2010-09-05 21:15 . 2010-09-05 21:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2010-09-05 21:15 . 2010-09-05 21:15 -------- d-----w- c:\programme\Gemeinsame Dateien\LWS
2010-09-05 20:50 . 2010-09-05 20:50 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\QuteCom
2010-09-05 10:14 . 2010-09-05 10:14 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-09-05 10:14 . 2010-09-13 16:30 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2010-09-05 10:12 . 2010-09-13 16:33 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2010-09-05 10:12 . 2010-09-05 10:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2010-09-05 10:12 . 2010-09-12 19:09 -------- d-----r- c:\programme\Skype
2010-09-05 10:12 . 2010-09-05 10:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-08-31 09:27 . 2010-08-31 09:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2010-08-31 09:27 . 2010-08-31 09:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir
2010-08-17 13:17 . 2010-08-17 13:17 58880 ------w- c:\windows\system32\dllcache\spoolsv.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-15 19:51 . 2010-04-01 19:06 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2010-09-15 19:50 . 2010-04-01 19:06 0 ----a-w- c:\windows\system32\drivers\logiflt.iad
2010-09-15 19:32 . 2008-10-04 10:29 219 ----a-w- c:\windows\system32\KYGA.dat
2010-09-15 19:31 . 2008-12-13 11:36 50 ----a-w- c:\windows\system32KYGA.dat
2010-09-15 14:51 . 2007-03-16 16:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-09-15 09:44 . 2009-01-17 11:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\STAMPIT
2010-09-14 16:55 . 2008-09-28 06:17 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\lyx16
2010-09-14 16:52 . 2007-01-24 16:44 56000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Aspell\Dictionaries\Uninstall-AspellDict-en.exe
2010-09-14 16:52 . 2007-01-24 16:44 55764 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Aspell\Dictionaries\Uninstall-AspellDict-de.exe
2010-09-14 16:51 . 2007-01-24 16:36 61966 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Aspell\Uninstall-AspellData.exe
2010-09-14 16:38 . 2008-08-29 12:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ALFBanCo3
2010-09-14 16:38 . 2008-08-29 12:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AlfBanCo3
2010-09-14 03:57 . 2006-07-27 22:59 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\XnView
2010-09-12 19:26 . 2007-01-04 15:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-12 19:11 . 2010-06-24 20:03 -------- d--h--w- c:\programme\InstallJammer Registry
2010-09-07 21:35 . 2008-07-28 09:07 168864 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ihag2zu5.default\FlashGot.exe
2010-09-05 21:21 . 2010-04-01 19:01 -------- d-----w- c:\programme\Gemeinsame Dateien\LogiShrd
2010-09-05 21:15 . 2007-07-19 20:38 -------- d-----w- c:\programme\Common Files
2010-09-05 18:58 . 2006-02-28 12:00 84318 ----a-w- c:\windows\system32\perfc007.dat
2010-09-05 18:58 . 2006-02-28 12:00 458476 ----a-w- c:\windows\system32\perfh007.dat
2010-09-04 09:57 . 2010-03-20 10:57 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-08-28 10:58 . 2008-10-12 16:10 1 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-25 19:28 . 2008-06-01 10:39 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\BOM
2010-08-17 13:17 . 2006-02-28 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-12 12:34 . 2007-12-25 12:57 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla
2010-08-09 14:26 . 2008-03-22 23:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-08-09 13:43 . 2006-12-15 20:41 -------- d-----w- c:\programme\Java
2010-08-06 12:57 . 2010-08-06 12:57 503808 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-11c82513-n\msvcp71.dll
2010-08-06 12:57 . 2010-08-06 12:57 499712 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-11c82513-n\jmc.dll
2010-08-06 12:57 . 2010-08-06 12:57 348160 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-11c82513-n\msvcr71.dll
2010-08-06 12:57 . 2010-08-06 12:57 61440 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-311ae204-n\decora-sse.dll
2010-08-06 12:57 . 2010-08-06 12:57 12800 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-311ae204-n\decora-d3d.dll
2010-08-05 12:08 . 2010-08-05 12:08 111312 ----a-w- c:\windows\system32\drivers\VBoxNetFlt.sys
2010-08-05 12:08 . 2010-08-05 12:08 100496 ----a-w- c:\windows\system32\drivers\VBoxNetAdp.sys
2010-08-05 12:08 . 2009-01-03 16:31 41936 ----a-w- c:\windows\system32\drivers\VBoxUSBMon.sys
2010-08-05 12:08 . 2010-08-05 12:08 133648 ----a-w- c:\windows\system32\VBoxNetFltNotify.dll
2010-08-05 12:08 . 2009-01-03 16:31 143184 ----a-w- c:\windows\system32\drivers\VBoxDrv.sys
2010-08-04 14:06 . 2010-08-04 14:06 6884 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AAV\SSE\15\UpdateFiles\SSEStandard_Patch_15.12.bat
2010-08-01 19:39 . 2006-07-27 21:28 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-07-27 06:14 . 2010-04-01 19:06 6842464 ----a-w- c:\windows\system32\drivers\lvuvc.sys
2010-07-27 06:14 . 2010-04-01 19:06 539232 ----a-w- c:\windows\system32\LVUI2RC.dll
2010-07-27 06:14 . 2010-04-01 19:06 543328 ----a-w- c:\windows\system32\LVUI2.dll
2010-07-27 06:08 . 2010-07-27 06:08 203360 ----a-w- c:\windows\system32\lvci1311021.dll
2010-07-27 06:07 . 2010-04-01 19:06 416352 ----a-w- c:\windows\system32\lvcodec2.dll
2010-07-27 06:03 . 2010-07-27 06:03 10829656 ----a-w- c:\windows\system32\LogiDPP.dll
2010-07-27 06:03 . 2010-07-27 06:03 102744 ----a-w- c:\windows\system32\LogiDPPApp.exe
2010-07-27 06:03 . 2010-07-27 06:03 290648 ----a-w- c:\windows\system32\DevManagerCore.dll
2010-07-27 05:56 . 2010-04-01 19:06 266828 ----a-w- c:\windows\system32\drivers\LVAFT.cfg
2010-07-22 15:48 . 2006-02-28 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-06-09 12:44 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-07-16 14:03 . 2010-07-16 14:03 79488 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_20\gtapi.dll
2010-07-16 14:03 . 2010-07-16 14:03 152576 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_20\lzma.dll
2010-06-30 12:28 . 2006-02-28 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-25 17:07 . 2010-06-25 17:07 281104 ----a-w- c:\windows\system32\wpcap.dll
2010-06-25 17:07 . 2010-06-25 17:07 100880 ----a-w- c:\windows\system32\Packet.dll
2010-06-25 17:07 . 2010-06-25 17:07 35088 ----a-w- c:\windows\system32\drivers\npf.sys
2010-06-25 17:03 . 2010-06-25 17:03 53299 ----a-w- c:\windows\system32\pthreadVC.dll
2010-06-24 12:22 . 2006-02-28 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2007-04-04 09:36 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2006-02-28 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-18 17:44 . 2006-02-28 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2008-04-14 02:22 . 2008-10-04 23:13 60416 --sha-w- c:\windows\BricoPacks\SysFiles\80_msimn.exe
2008-04-17 18:24 . 2008-04-12 21:36 88 --sh--r- c:\windows\system32\CC61E7D123.sys
2008-07-20 19:21 . 2008-04-12 21:33 3766 --sha-w- c:\windows\system32\KGyGaAvL.sys
.
------- Sigcheck -------
[-] 2008-04-14 . BB8E0AE6833A774F4792CB8892CA92E6 . 979456 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . BB8E0AE6833A774F4792CB8892CA92E6 . 979456 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2007-06-13 . 64D320C0E301EEDC5A4ADBBDC5024F7F . 1036288 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe
[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[-] 2006-02-28 . 0BF8DDF539EBB834C554091CC3385276 . 1884160 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SugarSyncBackedUp]
@="{0C4A258A-3F3B-4FFF-80A7-9B3BEC139472}"
[HKEY_CLASSES_ROOT\CLSID\{0C4A258A-3F3B-4FFF-80A7-9B3BEC139472}]
2010-05-29 12:45 151552 ----a-w- e:\sugarsync\SugarSyncShellExt.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SugarSyncPending]
@="{62CCD8E3-9C21-41E1-B55E-1E26DFC68511}"
[HKEY_CLASSES_ROOT\CLSID\{62CCD8E3-9C21-41E1-B55E-1E26DFC68511}]
2010-05-29 12:45 151552 ----a-w- e:\sugarsync\SugarSyncShellExt.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SugarSyncRoot]
@="{A759AFF6-5851-457D-A540-F4ECED148351}"
[HKEY_CLASSES_ROOT\CLSID\{A759AFF6-5851-457D-A540-F4ECED148351}]
2010-05-29 12:45 151552 ----a-w- e:\sugarsync\SugarSyncShellExt.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SugarSyncShared]
@="{1574C9EF-7D58-488F-B358-8B78C1538F51}"
[HKEY_CLASSES_ROOT\CLSID\{1574C9EF-7D58-488F-B358-8B78C1538F51}]
2010-05-29 12:45 151552 ----a-w- e:\sugarsync\SugarSyncShellExt.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SugarSync"="e:\sugarsync\SugarSyncManager.exe" [2010-05-29 13705216]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DPAgnt"="e:\digitalpersona\Bin\DPAgnt.exe" [2006-10-09 807440]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"MsgCenterExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" [2008-04-21 69632]
"PaperPort PTD"="e:\paperport\pptd40nt.exe" [2004-06-25 57393]
"IndexSearch"="e:\paperport\IndexSearch.exe" [2004-06-25 40960]
"WinFast Schedule"="e:\winfast\WFTVFM\WFWIZ.exe" [2005-03-02 278528]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"avgnt"="e:\avira\AntiVir Desktop\avgnt.exe" [2010-03-24 282792]
"QuickTime Task"="e:\quicktime\qttask.exe" [2009-09-04 417792]
"iTunesHelper"="e:\itunes\iTunesHelper.exe" [2009-09-21 305440]
"WebDriveTray"="e:\netdrive\netdrive.exe" [2003-04-14 294912]
"Adobe Reader Speed Launcher"="e:\adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"D-Link AirPlus G DWL-G510"="e:\d-link\AirPlus G DWL-G510\AirGCFG.exe" [2008-10-21 1556480]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"LWS"="e:\logitech\LWS\Webcam Software\LWS.exe" [2010-05-07 165208]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Logitech . Produktregistrierung.lnk - e:\logitech\Ereg\eReg.exe [2009-11-16 517384]
c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Logitech . Produktregistrierung.lnk - e:\logitech\Ereg\eReg.exe [2009-11-16 517384]
c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Logitech . Produktregistrierung.lnk - e:\logitech\Ereg\eReg.exe [2009-11-16 517384]
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
NDAS Device Management.lnk - c:\programme\NDAS\System\ndasmgmt.exe [2007-4-11 236784]
USB Sharing.lnk - e:\usb-sharing\usbshare.exe [2006-12-27 139264]
c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Logitech . Produktregistrierung.lnk - e:\logitech\Ereg\eReg.exe [2009-11-16 517384]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DPWLN ]
2006-10-09 15:27 99856 ----a-w- c:\windows\system32\DPWLEvHd.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli DPPWDFLT
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Y'z ToolBar.lnk]
backup=c:\windows\pss\Y'z ToolBar.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Miranda ME
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"e:\\Active Sync\\wcescomm.exe"=
"e:\\Active Sync\\WCESMgr.exe"=
"e:\\eclipse\\eclipse.exe"=
"e:\\Openwave\\UPSDK411\\upsim411.exe"=
"e:\active sync\rapimgr.exe"= e:\active sync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"e:\\Mozilla Firefox 3 Beta 3\\firefox.exe"=
"e:\\Realplayer\\realplay.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"e:\\yWorks\\yEd\\yEd.exe"=
"e:\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"e:\\Java\\jdk1.6.0_05\\jre\\bin\\java.exe"=
"e:\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\iTunes\\iTunes.exe"=
"e:\\Opera\\opera.exe"=
"e:\\Trillian\\trillian.exe"=
"e:\\Java\\jdk1.5.0_08\\jre\\bin\\java.exe"=
"c:\\Dokumente und Einstellungen\\***\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"e:\\Logitech\\Logitech Vid\\Vid.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"12001:UDP"= 12001:UDP:SMART WebServer Handshake Multicast Port
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [03.01.09 18:31 143184]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [03.01.09 18:31 41936]
R2 AAV UpdateService;AAV UpdateService;e:\akademische arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.08 17:35 128296]
R2 AntiVirMailService;Avira AntiVir MailGuard;e:\avira\AntiVir Desktop\avmailc.exe [14.10.09 13:35 337064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\avira\AntiVir Desktop\sched.exe [14.10.09 13:35 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;e:\avira\AntiVir Desktop\avwebgrd.exe [14.10.09 13:35 405672]
R2 kqemu;kqemu driver;c:\windows\system32\drivers\kqemu.sys [06.02.07 23:02 123939]
R2 WebDriveFSD;WebDrive File System Driver;e:\netdrive\rffsd.sys [20.11.09 12:01 67032]
R2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;c:\windows\system32\drivers\wf88vcap.sys [12.02.07 18:55 208851]
R2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;c:\windows\system32\drivers\WF88XBAR.sys [12.02.07 18:55 10324]
R2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;c:\windows\system32\drivers\wf88tune.sys [12.02.07 18:55 34789]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [28.07.06 00:09 37568]
R3 dpK0Bx01;Fingerprint Reader Upper-Treiber;c:\windows\system32\drivers\dpK0Bx01.sys [16.09.06 17:25 35584]
R3 usbdpfp;Fingerprint Reader Class-Treiber;c:\windows\system32\drivers\usbdpfp.sys [16.09.06 17:23 47360]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [05.08.10 14:08 100496]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [05.08.10 14:08 111312]
R3 WFIOCTL;WFIOCTL;e:\winfast\WFTVFM\WFIOCTL.sys [12.02.07 18:59 9446]
S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys --> c:\windows\system32\drivers\TfFsMon.sys [?]
S0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys --> c:\windows\system32\drivers\TfSysMon.sys [?]
S3 BBAKJJCYD;BBAKJJCYD;c:\dokume~1\***\LOKALE~1\Temp\BBAKJJCYD.exe --> c:\dokume~1\***\LOKALE~1\Temp\BBAKJJCYD.exe [?]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [28.07.06 00:09 444416]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [25.06.10 19:07 35088]
S3 rtl8180;IEEE 802.11b Wireless Cardbus/PCI Adapter;c:\windows\system32\drivers\rtl8180.sys [27.07.06 23:44 158848]
S3 TfNetMon;TfNetMon;\??\c:\windows\system32\drivers\TfNetMon.sys --> c:\windows\system32\drivers\TfNetMon.sys [?]
S3 zlportio;zlportio;\??\e:\ultrastardeluxe\zlportio.sys --> e:\ultrastardeluxe\zlportio.sys [?]
S4 RFNP32;WebDrive Provider; [x]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &NeoTrace It! - e:\neotra~1\NTXcontext.htm
IE: E&xport to Microsoft Excel - e:\micros~1\Office12\EXCEL.EXE/3000
LSP: e:\avira\AntiVir Desktop\avsda.dll
TCP: {84AC4234-C657-4488-9C90-E52A49533F09} = 192.168.1.1
TCP: {878066D4-9249-40A8-8B11-FE6450FC1079} = 217.237.148.70
TCP: {A3EDC993-03C2-4677-BA2B-711AAB73BC84} = 192.168.1.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ihag2zu5.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (English)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ihag2zu5.default\extensions\{340c2bbc-ce74-4362-90b5-7c26312808ef}\platform\WINNT_x86-msvc\components\WeaveCrypto.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: e:\adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: e:\divx\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: e:\divx\DivX Web Player\npdivx32.dll
FF - plugin: e:\itunes\Mozilla Plugins\npitunes.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\np-mswmp.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npdeployJava1.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npdivx32.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npDivxPlayerPlugin.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npnul32.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\NPOFF12.DLL
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\nppdf32.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\nppl3260.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin2.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin3.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin4.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin5.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin6.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin7.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\nprjplug.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\nprpjplug.dll
FF - plugin: e:\opera\program\plugins\npdivx32.dll
FF - plugin: e:\opera\program\plugins\npdsplay.dll
FF - plugin: e:\opera\program\plugins\NPOFF12.DLL
FF - plugin: e:\opera\program\plugins\npqtplugin.dll
FF - plugin: e:\opera\program\plugins\npqtplugin2.dll
FF - plugin: e:\opera\program\plugins\npqtplugin3.dll
FF - plugin: e:\opera\program\plugins\npqtplugin4.dll
FF - plugin: e:\opera\program\plugins\npqtplugin5.dll
FF - plugin: e:\opera\program\plugins\npqtplugin6.dll
FF - plugin: e:\opera\program\plugins\npqtplugin7.dll
FF - plugin: e:\opera\program\plugins\npwmsdrm.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin2.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin3.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin4.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin5.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin6.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin7.dll
FF - plugin: e:\realplayer\Netscape6\nppl3260.dll
FF - plugin: e:\realplayer\Netscape6\nprjplug.dll
FF - plugin: e:\realplayer\Netscape6\nprpjplug.dll
FF - plugin: e:\videolan\VLC\npvlc.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
URLSearchHooks-{0A94B116-4504-4e26-AB05-E61E474AA38B} - (no file)
ShellExecuteHooks-{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h*tp://www.gmer.net
Rootkit scan 2010-09-15 22:06
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1993962763-602609370-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
[HKEY_USERS\S-1-5-21-1993962763-602609370-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4A6B8897-1A54-7683-415A-6CEE7284AAAC}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"gafefgkaamiajl"=hex:61,69,6d,63,6a,61,61,6b,6b,69,63,66,6f,69,68,66,6d,63,6d,
65,70,6b,64,6c,65,6e,6d,6f,68,61,65,63,61,63,6e,6a,69,6e,63,65,66,69,66,6b,\
[HKEY_LOCAL_MACHINE\software\Classes\.xaml\bootstrap]
@DACL=(02 0000)
@="bootstrap.xaml.1"
[HKEY_LOCAL_MACHINE\software\Classes\.xbap\bootstrap]
@DACL=(02 0000)
@="bootstrap.xbap.1"
[HKEY_LOCAL_MACHINE\software\Classes\.xps\bootstrap]
@DACL=(02 0000)
@="bootstrap.xps.1"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(2036)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\DPWLEvHd.dll
- - - - - - - > 'lsass.exe'(380)
c:\windows\DPPWDFLT.dll
e:\avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2010-09-15 22:09:29
ComboFix-quarantined-files.txt 2010-09-15 20:09
Vor Suchlauf: 6.640.689.152 Bytes frei
Nach Suchlauf: 6.658.793.472 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - D228B9E75CC6825B445001B2DC36BA37
|
|
16.09.2010, 09:40
| #4 |
| /// Malware-holic | Win32.Banker.fgv von Spybot gelöscht und permamenter Upload |
|
16.09.2010, 16:38
| #5 |
| | Win32.Banker.fgv von Spybot gelöscht und permamenter Upload Wie gewünscht nun ein GMER-log: Code:
ATTFilter GMER 1.0.15.15281 - h*tp://www.gmer.net
Rootkit scan 2010-09-16 17:33:00
Windows 5.1.2600 Service Pack 3
Running: rmf26gt3.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\fxtdqpod.sys
---- System - GMER 1.0.15 ----
SSDT F7B9CFC6 ZwCreateKey
SSDT F7B9CFBC ZwCreateThread
SSDT F7B9CFCB ZwDeleteKey
SSDT F7B9CFD5 ZwDeleteValueKey
SSDT F7B9CFF3 ZwLoadDriver
SSDT F7B9CFDA ZwLoadKey
SSDT F7B9CFA8 ZwOpenProcess
SSDT F7B9CFAD ZwOpenThread
SSDT F7B9CFE4 ZwReplaceKey
SSDT F7B9CFDF ZwRestoreKey
SSDT F7B9CFF8 ZwSetSystemInformation
SSDT F7B9CFD0 ZwSetValueKey
SSDT F7B9CFB7 ZwTerminateProcess
SSDT F7B9CFB2 ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF660F000, 0x1A51FA, 0xE8000020]
---- User IAT/EAT - GMER 1.0.15 ----
IAT E:\Logitech\LWS\Webcam Software\LWS.exe[2732] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00A33880] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT E:\Logitech\LWS\Webcam Software\LWS.exe[2732] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00A33930] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT E:\Logitech\LWS\Webcam Software\LWS.exe[2732] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00A33A60] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT E:\Logitech\LWS\Webcam Software\LWS.exe[2732] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00A339D0] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[3804] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00C43880] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[3804] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00C43930] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[3804] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00C43A60] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[3804] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00C439D0] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001583ba2552
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001583ba2552@000d92a5590b 0x74 0xC5 0x2B 0x22 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001583ba2552@00265d400587 0x16 0xBD 0xDD 0x7A ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001583ba2552 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001583ba2552@000d92a5590b 0x74 0xC5 0x2B 0x22 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001583ba2552@00265d400587 0x16 0xBD 0xDD 0x7A ...
Reg HKLM\SOFTWARE\Classes\.avs@ avsfile
Reg HKLM\SOFTWARE\Classes\.spf@ SUPER.Encode.Profile
Reg HKLM\SOFTWARE\Classes\.xaml\bootstrap@ bootstrap.xaml.1
Reg HKLM\SOFTWARE\Classes\.xbap\bootstrap@ bootstrap.xbap.1
Reg HKLM\SOFTWARE\Classes\.xps\bootstrap@ bootstrap.xps.1
Reg HKLM\SOFTWARE\Classes\avsfile@ AviSynth Script
Reg HKLM\SOFTWARE\Classes\avsfile\DefaultIcon
Reg HKLM\SOFTWARE\Classes\avsfile\DefaultIcon@ C:\WINDOWS\system32\AviSynth.dll,0
Reg HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\DefaultIcon
Reg HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\DefaultIcon@ e:\SUPER\SUPER.exe,0
Reg HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\Shell
Reg HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\Shell\Open
Reg HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\Shell\Open@ &Open
Reg HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\Shell\Open\Command
Reg HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\Shell\Open\Command@ e:\SUPER\SUPER.exe "%1"
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4A6B8897-1A54-7683-415A-6CEE7284AAAC}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4A6B8897-1A54-7683-415A-6CEE7284AAAC}@gafefgkaamiajl 0x61 0x69 0x6D 0x63 ...
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR
---- EOF - GMER 1.0.15 ----
|
|
16.09.2010, 17:02
| #6 |
| /// Malware-holic | Win32.Banker.fgv von Spybot gelöscht und permamenter Upload machst du eig online banking oder online einkäufe? dann solltest auch über das neu aufsetzen nachdenken. ich geb dir dann tipps zum absichern |
|
16.09.2010, 17:05
| #7 |
| | Win32.Banker.fgv von Spybot gelöscht und permamenter Upload Ja, mache ich natürlich. Daran kommt man doch quasi nicht vorbei... Ich denke tatsächlich über's Neu-Aufsetzen nach. Tipps wären daher in der Tat stark gewünscht. Aber was sagen denn die Logfiles bislang aus? |
|
16.09.2010, 17:11
| #8 |
| /// Malware-holic | Win32.Banker.fgv von Spybot gelöscht und permamenter Upload ja dann ist neu aufsetzen das beste, und sofort die bank informieren, wenn du nen 2ten pc zur verfügung hast, sofort passwörter endern! wenn du formatierst, wähle nicht die schnelle formatierung! danach sofort die microsoft update seite aufrufen, servicepack3 + internet explorer 8 aufspielen. dann weiter hiermit: 1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht. Benutzerkonten in Windows XP - Teil 1: Neue Benutzerkonten anlegen die konten sollten mit einem passwort geschützt werden. dazu auf konto endern klicken und passwörter vergeben. Die folgenden konfigurationen als admin ausführen: 2. dep aktivieren: dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. 3. avira: http://www.trojaner-board.de/54192-a...tellungen.html du hast zwar die premium, das meiste kannst du aber übernehmen. 4. als browser den firefox nutzen: Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe 5. als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. 7. um das surfen sicherer zu machen, würde ich Sandboxie empfehlen. Download: drop.io (als pdf) wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sandbox surfen bitte. 8. autorun für usb deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. 10. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. so ab jetzt nur noch im standard nutzerkonto arbeiten und dort nur noch in der sandbox surfen. klicke dazu auf "sandboxed web browser". 11. passwörter endern. 12. informiere dich bei der bank, ob auch online banking über chipcard möglich ist. ist sicherer |
|
16.09.2010, 17:11
| #9 |
| /// Malware-holic | Win32.Banker.fgv von Spybot gelöscht und permamenter Upload edit, doppelpost |
|
16.09.2010, 19:07
| #10 |
| | Win32.Banker.fgv von Spybot gelöscht und permamenter Upload Ok, vielen Dank für die Tipps. Werde meinen Rechner in der nächsten Zeit neu aufsetzen. Habe Bank informiert usw. Werde bis zum neuen System online-banking nur noch von c't bankix laufen lassen. Aber nochmal nachgefragt: Was sagen meine Logfiles denn nun aus? |
|
16.09.2010, 19:16
| #11 |
| /// Malware-holic | Win32.Banker.fgv von Spybot gelöscht und permamenter Upload auf jeden fall das du mal ne malwae im mbr hattest. du solltest deinen pc schnellst möglich formatieren und nur noch ans netz nehmen, wenn es unbedingt nötig ist, solche pcs stellen auch für andre nutzer eine gefahr da, spam versand und ähnliches. das kann dann auch ärger mit dem internet anbieter geben |
|
16.09.2010, 19:35
| #12 |
| | Win32.Banker.fgv von Spybot gelöscht und permamenter Upload Wie sieht es denn aus mit einem Kopieren meiner vorhandenen Daten auf eine neue Platte (nicht ausführbar - hauptsächlich Dokumente und co.)? Ungefährlich? Sofern die Malware im MBR sitzt/saß... gehe ich recht in der Annahme, dass vond er Platte nicht mehr gebootet werden sollte, sofern eine neue Platte im System hängt? Wird der MBR beim normalen Formatieren neu geschrieben? Oder muss ich auch neu Partitionieren? |
|
16.09.2010, 19:37
| #13 |
| /// Malware-holic | Win32.Banker.fgv von Spybot gelöscht und permamenter Upload so lange du nicht die schnelle formatierung wählst passt das. auch daten kopieren kannst du. |
|
| Themen zu Win32.Banker.fgv von Spybot gelöscht und permamenter Upload |
| antivir, ausführbare, ausführbare datei, auszug, befall, c:\windows, code, gelöscht, heuristik, hijack, hijackthis, hängen, logfile, logfiles, löschen, mbam, process, quarantäne, recht, spybot, system, system32, trojaner, upload, win, windows, zip-datei |
Linear-Darstellung
