Laptop wahrscheinlich kompromittiert (ging nachts von alleine an) - Plattmachen

Matarice · 25.11.2010, 23:29

Hallo,
wie es der Titel sagt gehe ich davon aus, dass mein Laptop kompromittiert ist und irgendwer durch eine Hintertür (Backdoor) diesen kontrolliert und evl. als Datenhost o.ä. missbraucht. Hatt eben einen schönen Text geschrieben der das Ganze ausführlich begründet, leider habe ich es geschafft aus Versehen den Browser zu schließen deswegen jetzt nur die "lite"-Version.
-Brauchte Prog zum Umwandeln von .wma zu .mp3...
-Die .exe war ein Virus, nach dem öffnen tummelten sich einige "neue" .exe`n im Taskmgr, dafür hat sich die runtergeladene Datei selbst gelöscht.
-Infektion manuell beseitigt, soweit das möglich war, schien auch erfolgreich:
-Ynr.exe, Ynp.exe, Ynq.exe (Yfguhjk.exe, bei dem bin ich nicht sicher), digital signiert (MSE die ganze Zeit taub und blind...), "It Is Gold Software" "ISeven" - alles gelöscht, Registry-Einträge ebenfalls. Befanden sich in C:\Benutzer\~\Appdata\Local\temp\
-danach Ruhe, bis der Laptop auf einmal nachts um 6 Uhr morgens an war
-Suche förderte in der Nacht erstellte Dateien u.a. in C:\Windows\Temp\FirstUX 90 .bmp Dateien zutage mit Zugriffsrechten für 70 "Unbekanntes Konto (S-1-5-21-124525095-708259637-1543 ...)" (aber nicht für mich, musste mich erst eintragen... oO).
-Auf den Bildern war schlussendlich nichts zu erkennen, nur schwarz mit nem weißen Fleck in der Mitte.
-Dateinen "aus der Nacht" noch vorhanden

-ansonsten von der Uni aus erstmal _alle_ Passwörter zu Mail-Accs etc. geändert
-Wenn der Lappi nicht in Benutzung ist (wie jetzt) sind Akku und Netzteil raus
-Handy und Ipod werden per Netzteil geladen und sonst nirgendwo angeschlossen
-Benutze den Laptop noch, aber gebe nirgendwo Passwörter ein o.ä. (außer hier im Forum ;P)

Soo... weil ich ein gründlicher Mensch bin, dachte ich ich mache den Laptop gleich mal platt, sicher ist sicher und habe ich sowieso lange nicht mehr gemacht.
Jetzt die erste Frage: wenn das Programm einigermaßen clever ist, hat es sich sicher ziemlich tief eingegraben... wie kann ich sichergehen, dass es eine Neuinstallation (Ganze HD (langsam) formatieren + neu partitionieren + nochmal (langsam) formatieren) nicht überlebt? Die Methode kann auch gerne brutal sein, hauptsache ich kann 100% sicher sein dass das System dann wieder "jungfräulich" ist.
Zweite Frage: An dem Lappi waren mein Handy, mein Ipod und eine SD-Karte angeschlossen. Wie kann ich die überprüfen/säubern? Bei Ipod und SD-Karte sollte das relativ einfach sein, das Handy plattzumachen geht aber auf keinen Fall! (Es sei denn es ist mit Sicherheit verseucht, aber bis jetzt ist mir nichts aufgefallen)

So noch die Logfiles:

OTL-Logfile

Code:

ATTFilter

OTL logfile created on: 25.11.2010 23:06:28 - Run 2
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Users\*\Desktop
64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 67,00% Memory free
8,00 Gb Paging File | 6,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 97,19 Gb Total Space | 26,96 Gb Free Space | 27,74% Space Free | Partition Type: NTFS
Drive D: | 100,40 Gb Total Space | 3,69 Gb Free Space | 3,67% Space Free | Partition Type: NTFS
Drive E: | 100,40 Gb Total Space | 37,40 Gb Free Space | 37,25% Space Free | Partition Type: NTFS
Drive G: | 238,38 Mb Total Space | 238,33 Mb Free Space | 99,98% Space Free | Partition Type: FAT
 
Computer Name: *_LAPTOP | User Name: * | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2010.11.25 08:46:37 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\*\Desktop\OTL.exe
PRC - [2010.10.14 00:47:17 | 000,057,752 | ---- | M] (Absolute Software Corp.) -- C:\Windows\SysWOW64\rpcnet.exe
PRC - [2010.10.08 13:00:10 | 000,836,464 | ---- | M] (Opera Software) -- C:\Eigene Programme\Opera 10.1\opera.exe
PRC - [2010.07.25 14:19:06 | 000,066,872 | ---- | M] () -- C:\Windows\SysWOW64\PnkBstrA.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.11.25 08:46:37 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\*\Desktop\OTL.exe
MOD - [2010.08.21 06:21:32 | 001,680,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - File not found [Auto | Running] -- C:\Windows\SysNative\PnkBstrA.exe -- (PnkBstrA)
SRV:64bit: - [2010.07.07 02:50:54 | 000,203,264 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)
SRV:64bit: - [2010.03.25 22:48:42 | 000,017,424 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Microsoft Security Essentials\MsMpEng.exe -- (MsMpSvc)
SRV:64bit: - [2009.07.14 02:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2010.10.14 00:47:17 | 000,057,752 | ---- | M] (Absolute Software Corp.) [Auto | Running] -- C:\Windows\SysWOW64\rpcnet.exe -- (rpcnet) Remote Procedure Call (RPC)
SRV - [2010.07.25 14:19:06 | 000,066,872 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA)
SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - File not found [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\TFsExDisk.sys -- (TFsExDisk)
DRV:64bit: - [2010.07.07 03:30:08 | 007,195,648 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (atikmdag)
DRV:64bit: - [2010.07.07 03:30:08 | 007,195,648 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag)
DRV:64bit: - [2010.07.07 02:15:42 | 000,265,728 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap)
DRV:64bit: - [2010.06.23 08:10:56 | 000,344,680 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)
DRV:64bit: - [2010.01.28 15:33:38 | 000,116,736 | ---- | M] (ATI Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV:64bit: - [2009.10.10 03:41:20 | 000,109,056 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\sdbus.sys -- (sdbus)
DRV:64bit: - [2009.09.15 19:40:42 | 006,952,960 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\NETw5s64.sys -- (NETw5s64) Intel(R)
DRV:64bit: - [2009.07.14 02:52:21 | 000,106,576 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2009.07.14 02:52:21 | 000,028,752 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 02:47:48 | 000,077,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.10 21:38:56 | 000,000,308 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\SysNative\wbem\ntfs.mof -- (Ntfs)
DRV:64bit: - [2009.06.10 21:35:28 | 005,434,368 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\netw5v64.sys -- (netw5v64) Intel(R)
DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV:64bit: - [2008.06.24 13:50:00 | 000,065,024 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\rimmpx64.sys -- (rimmptsk)
DRV:64bit: - [2007.08.09 01:21:00 | 000,013,680 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\ATK64AMD.sys -- (MTsensor)
DRV:64bit: - [2007.07.27 19:45:52 | 000,057,856 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\rixdpx64.sys -- (rismxdp)
DRV:64bit: - [2007.07.26 20:33:54 | 000,055,296 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\rimspx64.sys -- (rimsptsk)
DRV - [2009.03.31 08:39:36 | 000,016,392 | ---- | M] (Teruten Inc) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\TFsExDisk.Sys -- (TFsExDisk)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-2116975053-885274126-2238366060-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-2116975053-885274126-2238366060-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-2116975053-885274126-2238366060-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-2116975053-885274126-2238366060-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 6D F0 15 EE 80 65 CB 01  [binary data]
IE - HKU\S-1-5-21-2116975053-885274126-2238366060-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "www.google.de"
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: C:\Eigene Programme\Firefox 3.6\components [2010.11.18 23:58:51 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: C:\Eigene Programme\Firefox 3.6\plugins [2010.11.21 12:54:41 | 000,000,000 | ---D | M]
 
[2010.03.06 17:03:52 | 000,000,000 | ---D | M] -- C:\Users\*\AppData\Roaming\mozilla\Extensions
[2010.03.06 17:03:52 | 000,000,000 | ---D | M] -- C:\Users\*\AppData\Roaming\mozilla\Firefox\Profiles\c1mutstq.default\extensions
 
O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O4:64bit: - HKLM..\Run: []  File not found
O4:64bit: - HKLM..\Run: [MSSE] C:\Program Files\Microsoft Security Essentials\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Eigene Programme\Adobe Reader\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ATICustomerCare] C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [StartCCC] C:\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Eigene Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Eigene Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O13 - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{2cfbeb4d-291a-11df-be82-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{2cfbeb4d-291a-11df-be82-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Start.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.11.25 22:04:54 | 000,000,000 | R--D | C] -- C:\Users\*\Documents\Notes
[2010.11.25 08:46:36 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Users\*\Desktop\OTL.exe
[2010.11.25 08:30:26 | 000,000,000 | ---D | C] -- C:\Users\*\AppData\Roaming\Malwarebytes
[2010.11.25 08:30:17 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2010.11.25 08:30:16 | 000,024,664 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2010.11.25 08:30:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.11.25 08:29:38 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Users\*\Desktop\mbam-setup.exe
[2010.11.25 08:18:53 | 000,000,000 | ---D | C] -- C:\Users\*\Desktop\smsniff-x64
[2010.11.25 07:39:40 | 000,000,000 | ---D | C] -- C:\Users\*\Desktop\Neuer Ordner (2)
[2010.11.18 22:40:14 | 000,000,000 | ---D | C] -- C:\Users\*\Desktop\Neuer Ordner
[2010.11.10 10:27:44 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\wocaffe
[2010.11.10 10:27:44 | 000,000,000 | ---D | C] -- C:\ASUS
[2010.11.10 10:25:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Downloaded Installations
[2010.11.08 21:33:52 | 000,000,000 | ---D | C] -- C:\Users\*\Desktop\treiber
[2010.11.03 15:45:07 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SecureW2
 
========== Files - Modified Within 30 Days ==========
 
[2010.11.25 22:46:18 | 001,835,008 | -HS- | M] () -- C:\Users\*\ntuser.dat
[2010.11.25 20:31:17 | 000,014,192 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2010.11.25 20:31:17 | 000,014,192 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2010.11.25 20:26:07 | 000,017,408 | ---- | M] () -- C:\Windows\SysNative\rpcnetp.exe
[2010.11.25 20:26:05 | 000,057,752 | ---- | M] (Absolute Software Corp.) -- C:\Windows\SysWow64\rpcnet.dll
[2010.11.25 20:25:58 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.11.25 20:25:45 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.11.25 20:25:36 | 3220,525,056 | -HS- | M] () -- C:\hiberfil.sys
[2010.11.25 09:17:56 | 003,483,634 | -H-- | M] () -- C:\Users\*\AppData\Local\IconCache.db
[2010.11.25 09:07:13 | 000,089,088 | ---- | M] () -- C:\Users\*\Desktop\mbr.exe
[2010.11.25 08:46:37 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\*\Desktop\OTL.exe
[2010.11.25 08:30:20 | 000,000,807 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.11.25 08:29:45 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Users\*\Desktop\mbam-setup.exe
[2010.11.25 08:18:40 | 000,095,879 | ---- | M] () -- C:\Users\*\Desktop\smsniff-x64.zip
[2010.11.24 01:02:00 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2010.11.24 01:02:00 | 000,654,166 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2010.11.24 01:02:00 | 000,616,008 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2010.11.24 01:02:00 | 000,130,006 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2010.11.24 01:02:00 | 000,106,388 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2010.11.22 22:02:32 | 000,181,721 | ---- | M] () -- C:\Users\*\Desktop\einfarbig_schwarz.svg
[2010.11.22 22:02:24 | 000,318,886 | ---- | M] () -- C:\Users\*\Desktop\farbe_final.svg
[2010.11.19 00:00:21 | 000,007,625 | ---- | M] () -- C:\Users\*\AppData\Local\Resmon.ResmonCfg
[2010.11.16 06:47:12 | 000,524,288 | -HS- | M] () -- C:\Users\*\ntuser.dat{2ea0312d-f10c-11df-9dba-00248c861610}.TMContainer00000000000000000002.regtrans-ms
[2010.11.16 06:47:12 | 000,524,288 | -HS- | M] () -- C:\Users\*\ntuser.dat{2ea0312d-f10c-11df-9dba-00248c861610}.TMContainer00000000000000000001.regtrans-ms
[2010.11.16 06:47:12 | 000,065,536 | -HS- | M] () -- C:\Users\*\ntuser.dat{2ea0312d-f10c-11df-9dba-00248c861610}.TM.blf
[2010.11.16 00:01:26 | 000,017,408 | ---- | M] () -- C:\Windows\SysWow64\rpcnetp.dll
[2010.11.16 00:00:55 | 000,017,408 | ---- | M] () -- C:\Windows\SysWow64\rpcnetp.exe
[2010.11.07 21:11:22 | 000,012,687 | ---- | M] () -- C:\Users\*\Desktop\like.jpg
[2010.11.07 21:09:48 | 000,012,435 | ---- | M] () -- C:\Users\*\Desktop\dislike.jpg
[2010.10.31 17:10:14 | 000,002,558 | ---- | M] () -- C:\Users\*\Documents\Letzte Woche XD.pfx
 
========== Files Created - No Company Name ==========
 
[2010.11.25 09:07:13 | 000,089,088 | ---- | C] () -- C:\Users\*\Desktop\mbr.exe
[2010.11.25 08:30:20 | 000,000,807 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.11.25 08:18:39 | 000,095,879 | ---- | C] () -- C:\Users\*\Desktop\smsniff-x64.zip
[2010.11.22 22:02:32 | 000,181,721 | ---- | C] () -- C:\Users\*\Desktop\einfarbig_schwarz.svg
[2010.11.22 22:02:24 | 000,318,886 | ---- | C] () -- C:\Users\*\Desktop\farbe_final.svg
[2010.11.16 00:01:21 | 000,524,288 | -HS- | C] () -- C:\Users\*\ntuser.dat{2ea0312d-f10c-11df-9dba-00248c861610}.TMContainer00000000000000000002.regtrans-ms
[2010.11.16 00:01:21 | 000,524,288 | -HS- | C] () -- C:\Users\*\ntuser.dat{2ea0312d-f10c-11df-9dba-00248c861610}.TMContainer00000000000000000001.regtrans-ms
[2010.11.16 00:01:21 | 000,065,536 | -HS- | C] () -- C:\Users\*\ntuser.dat{2ea0312d-f10c-11df-9dba-00248c861610}.TM.blf
[2010.11.10 10:31:51 | 003,483,634 | -H-- | C] () -- C:\Users\*\AppData\Local\IconCache.db
[2010.11.07 21:11:22 | 000,012,687 | ---- | C] () -- C:\Users\*\Desktop\like.jpg
[2010.11.07 21:09:48 | 000,012,435 | ---- | C] () -- C:\Users\*\Desktop\dislike.jpg
[2010.10.31 17:10:07 | 000,002,558 | ---- | C] () -- C:\Users\*\Documents\Letzte Woche XD.pfx
[2010.10.14 01:36:44 | 000,179,263 | ---- | C] () -- C:\Windows\SysWow64\xlive.dll.cat
[2010.10.14 00:44:40 | 000,017,408 | ---- | C] () -- C:\Windows\SysWow64\rpcnetp.dll
[2010.06.03 13:10:44 | 000,017,439 | ---- | C] () -- C:\Users\*\AppData\Local\internal.grp
[2010.06.03 13:09:42 | 000,000,991 | ---- | C] () -- C:\Windows\ULEAD32.INI
[2010.03.31 20:33:26 | 000,007,625 | ---- | C] () -- C:\Users\*\AppData\Local\Resmon.ResmonCfg
[2010.03.23 12:12:03 | 000,003,584 | ---- | C] () -- C:\Users\*\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.03.06 15:17:44 | 000,058,824 | ---- | C] () -- C:\Users\*\AppData\Local\GDIPFONTCACHEV1.DAT
[2009.07.14 05:54:24 | 000,000,174 | -HS- | C] () -- C:\Programme\desktop.ini
[2009.07.14 05:54:24 | 000,000,174 | -HS- | C] () -- C:\Program Files (x86)\desktop.ini
[2009.07.14 03:35:42 | 000,001,405 | ---- | C] () -- C:\Windows\msdfmap.ini
[2009.07.14 03:34:57 | 000,000,403 | ---- | C] () -- C:\Windows\win.ini
[2009.07.14 03:34:57 | 000,000,219 | ---- | C] () -- C:\Windows\system.ini
[2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll
[2009.07.13 22:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2007.10.25 16:26:10 | 000,005,632 | ---- | C] () -- C:\Windows\SysWow64\drivers\StarOpen.sys
[2007.07.23 09:03:32 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelTraditionalChinese.dll
[2007.07.23 09:03:32 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSwedish.dll
[2007.07.23 09:03:32 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSpanish.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSimplifiedChinese.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelPortugese.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelKorean.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelJapanese.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelGerman.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelFrench.dll
 
========== LOP Check ==========
 
[2010.03.06 18:12:35 | 000,000,000 | ---D | M] -- C:\Users\*\AppData\Roaming\GHISLER
[2010.11.24 22:14:22 | 000,000,000 | ---D | M] -- C:\Users\*\AppData\Roaming\ICQ
[2010.03.06 17:50:57 | 000,000,000 | ---D | M] -- C:\Users\*\AppData\Roaming\Opera
[2010.04.12 23:51:23 | 000,000,000 | ---D | M] -- C:\Users\*\AppData\Roaming\Samsung
[2010.03.11 22:01:09 | 000,000,000 | ---D | M] -- C:\Users\*\AppData\Roaming\ShutDownTool
[2010.11.07 11:51:01 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 

< End of report >

MBAM log

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org

Datenbank Version: 5190

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

25.11.2010 23:12:34
mbam-log-2010-11-25 (23-12-34).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 137921
Laufzeit: 3 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

HJT habe ich auch mal laufen lassen, aber das hat nix gefunden. bei mbr.exe ging nur für Sekundenbruchteile die schwarze Kommandokonsole auf, sonst passierte nichts, kA ob das gefunzt hat.

Mfg Mata

PS: Wenn ich ein Cracker wäre, würde ich doch wohl als erstes versuchen, die bei euch empfohlenen Scanner und Progs zu blocken, oder nicht?

PPS: Könnte mir gut vorstellen dass rpcnet.exe kompromittiert ist. Zwar ganz nützlich sollte der Laptop mal geklaut werden, aber sehr umstritten. Aber ich kenne mich ja nicht aus, vllt spinne ich auch nur Müll zusammen. :/

cosinus · 26.11.2010, 20:12

Hallo und

Zitat:

wie kann ich sichergehen, dass es eine Neuinstallation (Ganze HD (langsam) formatieren + neu partitionieren + nochmal (langsam) formatieren) nicht überlebt? Die Methode kann auch gerne brutal sein, hauptsache ich kann 100% sicher sein dass das System dann wieder "jungfräulich" ist

Durch eine Formatierung bzw. durch eine Neuinstallation des Betriebssystem stellst du sicher, dass alle Schädlinge/Backdoors gelöscht werden. Es gibt keinen sichereren Weg als format c: plus Neuinstallation

Zitat:

Zweite Frage: An dem Lappi waren mein Handy, mein Ipod und eine SD-Karte angeschlossen. Wie kann ich die überprüfen/säubern? Bei Ipod und SD-Karte sollte das relativ einfach sein, das Handy plattzumachen geht aber auf keinen Fall! (Es sei denn es ist mit Sicherheit verseucht, aber bis jetzt ist mir nichts aufgefallen)

Sofern die Dinger überhaupt befallen wurden. Datenkarten, USB-Laufwerke etc. werden wenn überhaupt von einem Schädling so modifiziert, dass eine autorun.inf erzeugt und eine schädliche EXE Datei irgendwo abgelegt wird, mit dem Ziel, den nächsten Windowsrechner zu befallen, da diese standardmäßig die automatische Wiedergabe aktiv haben.

Matarice · 26.11.2010, 22:02

Nabend, und danke =)
Hm, auf meinem PC (also nicht der Laptop) könnte ich da die Geräte anschließen und von dort aus scannen? Autoplay ist eine der ersten Sachen die ich nach ner Neuinstallation deaktiviere, oder meinst du etwas anderes mit "automatischer Wiedergabe"? Wenn ja, was für ein Programm kannst du mir erstmal zum Scannen empfehlen? Eignet sich da MBAM?
Gruß Mata

PS: Hab jetzt gelesen dass man für mbr.exe Antivir etc. ausschalten muss, da es ja selbst ein Rootkit ist... werd das gleich noch mal ausführen.

EDIT: mbr blieb diesmal etwas länger offen und hat folgendes log generiert:

Code:

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 6.1.7600 

device: opened successfully
user: error reading MBR 
error: Read  Das Handle ist ungültig.
kernel: error reading MBR

Naja den Laptop werde ich sowieso neu aufsetzen, selbst wenn mbr nichts findet. Will mir auf einer Partition Unix installieren.

Und sicher ist sicher.

Matarice · 28.11.2010, 20:21

Ich pushe den mal weil er schon auf Seite 3 gelandet ist...
Mfg

cosinus · 28.11.2010, 21:49

Du willst doch eh neu aufsetzen...
Was genau soll denn noch gklärt werden?

Matarice · 28.11.2010, 23:14

Na, ob ich mein Handy, Ipod und die SD-Karte an meinen anderen PC anschließen kann wenn da Autorun aus ist und womit ich die dann am besten scanne. Oder würde ich die Autorun.inf im Windows-Explorer (oder mit Total Commander) sehen?
Gruß Mata

cosinus · 29.11.2010, 09:35

Wenn autorun komplett deaktiviert ist kannste die anschließen. Eine evtl vorhandene autorun.inf siehst du wenn alle Dateien angezeigt werden, also versteckte Dateien und geschützte Systemdateien.

Matarice · 29.11.2010, 20:07

Super, danke für deinen Rat.

Jetzt muss ich nur noch Zeit finden den Rechner neu aufzusetzen...
Gruß Mata

28.11.2010, 21:49	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Laptop wahrscheinlich kompromittiert (ging nachts von alleine an) - Plattmachen Du willst doch eh neu aufsetzen... Was genau soll denn noch gklärt werden? __________________ Logfiles bitte immer in CODE-Tags posten

29.11.2010, 09:35	#7
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Laptop wahrscheinlich kompromittiert (ging nachts von alleine an) - Plattmachen Wenn autorun komplett deaktiviert ist kannste die anschließen. Eine evtl vorhandene autorun.inf siehst du wenn alle Dateien angezeigt werden, also versteckte Dateien und geschützte Systemdateien. __________________ Logfiles bitte immer in CODE-Tags posten

Laptop wahrscheinlich kompromittiert (ging nachts von alleine an) - Plattmachen

Plagegeister aller Art und deren Bekämpfung: Laptop wahrscheinlich kompromittiert (ging nachts von alleine an) - Plattmachen