Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
TAN Trojaner + Win32:Rootkit-gen

TAN Trojaner + Win32:Rootkit-gen


Plagegeister aller Art und deren Bekämpfung: TAN Trojaner + Win32:Rootkit-gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 30.01.2011, 19:25   #1
Neksta
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


Hallo zusammen,

als ich mich vorhin bei meinem Online Banking einloggen wollte kam ein Popup mit der absurden Aufforderung alle 100 TANs einzugeben. Habe ich natürlich nicht gemacht. Als nächstes habe ich dann Avast laufen lassen und der hat folgendes gefunden:

Zitat:
Prüfung ausgewählter Dateien

Aktion wurde erfolgreich beendet!

Virus wurde entdeckt!
Datei-Name: restorpoint.exe
DateiID: 5
Virus-Beschreibung: Win32:Rootkit-gen [Rtk]

Prüfung ausgewählter Dateien
------------------------------------------------------------------------------------------
Programm versucht Prüfung von 1 gewählte(n) Datei(en) im Container

Dateien in temporären Ordner verschieben: C:\Users\Moritz\AppData\Local\Temp\_avast4_\unp95640442.tmp
DateiID: 0000000005 Original Datei-Name: c:\restorpoint\restorpoint.exe Neuer Ordner: C:\Users\Moritz\AppData\Local\Temp\_avast4_\unp95640442.tmp\5.exe

Datei-Prüfung in temporärem Ordner: C:\Users\Moritz\AppData\Local\Temp\_avast4_\unp95640442.tmp
C:\Users\Moritz\AppData\Local\Temp\_avast4_\unp95640442.tmp\5.exe Win32:Rootkit-gen [Rtk]
------------------------------------------------------------------------------------------
Aktion wurde erfolgreich beendet!
Zitat:
Prüfung ausgewählter Dateien

Aktion wurde erfolgreich beendet!

Virus wurde entdeckt!
Datei-Name: 4f92abd5-23b4a43f
DateiID: 6
Virus-Beschreibung: Win32:Rootkit-gen [Rtk]

Prüfung ausgewählter Dateien
------------------------------------------------------------------------------------------
Programm versucht Prüfung von 1 gewählte(n) Datei(en) im Container

Dateien in temporären Ordner verschieben: C:\Users\Moritz\AppData\Local\Temp\_avast4_\unp236590449.tmp
DateiID: 0000000006 Original Datei-Name: C:\Users\Moritz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\4f92abd5-23b4a43f Neuer Ordner: C:\Users\Moritz\AppData\Local\Temp\_avast4_\unp236590449.tmp\6

Datei-Prüfung in temporärem Ordner: C:\Users\Moritz\AppData\Local\Temp\_avast4_\unp236590449.tmp
C:\Users\Moritz\AppData\Local\Temp\_avast4_\unp236590449.tmp\6 Win32:Rootkit-gen [Rtk]
------------------------------------------------------------------------------------------
Aktion wurde erfolgreich beendet!
Im Anschluss daran habe ich dann Malwarebytes und OTL laufen lassen, die Logs habe ich angehängt.

Beim erneuten Scannen mit Avast kam kein Fund mehr auf, das TAN Popup ist weg, Malwarebytes findet auch nichts mehr. Heisst das, dass ich wieder sicher bin?
Ausserdem habe ich mit der Load.exe keine Internetverbindung herstellen können, die Interneteinstellungen sollten aber stimmen.

Grüsse und vielen Dank,
Moritz

Alt 30.01.2011, 21:13   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________

__________________
Alt 30.01.2011, 22:20   #3
Neksta
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


Hi,

hier der Vollscan mit vorherigem Update, ältere Logs sind keine vorhanden.

Gruß,
Moritz
__________________
Alt 31.01.2011, 11:04   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.09.15 06:09:36 | 000,000,000 | ---D | M] - H:\autorun -- [ FAT32 ]
O32 - AutoRun File - [2005.11.15 11:08:04 | 000,000,036 | -H-- | M] () - H:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{6355b8f0-cf90-11de-bfdc-002618886ea9}\Shell - "" = AutoRun
O33 - MountPoints2\{6355b8f0-cf90-11de-bfdc-002618886ea9}\Shell\AutoRun\command - "" = F:\setup.exe
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [PortableDeviceManager]  File not found
O4 - HKCU..\Run: [Vidalia]  File not found
[2011.01.30 18:02:43 | 000,061,440 | ---- | M] () -- C:\Windows\SysWow64\drivers\knzvinh.sys
[2011.01.30 16:44:41 | 000,000,000 | ---- | M] () -- C:\Windows\SysWow64\config.nt
@Alternate Data Stream - 141 bytes -> C:\ProgramData\TEMP:C8B8CEBD
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 31.01.2011, 17:27   #5
Neksta
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


hi,

also beim ersten versuch ist OTL abgestürzt, beim zweiten gings dann

Zitat:
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File not found.
File H:\autorun.inf not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6355b8f0-cf90-11de-bfdc-002618886ea9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6355b8f0-cf90-11de-bfdc-002618886ea9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6355b8f0-cf90-11de-bfdc-002618886ea9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6355b8f0-cf90-11de-bfdc-002618886ea9}\ not found.
File F:\setup.exe not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\PortableDeviceManager deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Vidalia deleted successfully.
File C:\Windows\SysWow64\drivers\knzvinh.sys not found.
File C:\Windows\SysWow64\config.nt not found.
Unable to delete ADS C:\ProgramData\TEMP:C8B8CEBD .
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Moritz
->Temp folder emptied: 222432022 bytes
->Temporary Internet Files folder emptied: 2710592650 bytes
->Java cache emptied: 32577012 bytes
->FireFox cache emptied: 55441500 bytes
->Google Chrome cache emptied: 321614475 bytes
->Flash cache emptied: 348550 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3238240 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 190136978 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67630 bytes
RecycleBin emptied: 9080179709 bytes

Total Files Cleaned = 12.032,00 mb


OTL by OldTimer - Version 3.2.20.6 log created on 01312011_172010

Files\Folders moved on Reboot...
C:\Users\Moritz\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File move failed. C:\Windows\temp\AFSCache scheduled to be moved on reboot.
File move failed. C:\Windows\temp\afsd_init.log scheduled to be moved on reboot.

Registry entries deleted on Reboot...
gruß
moritz


Alt 31.01.2011, 19:13   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> TAN Trojaner + Win32:Rootkit-gen

Alt 31.01.2011, 21:52   #7
Neksta
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


Combofix Logfile:
Code:
ATTFilter
ComboFix 11-01-31.01 - Moritz 31.01.2011  21:45:03.1.2 - x64
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1033.18.4095.2898 [GMT 1:00]
ausgeführt von:: c:\users\Moritz\Desktop\cofi.exe
AV: avast! antivirus *Enabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! antivirus *Enabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\etc\lmhosts
D:\install.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-12-28 bis 2011-01-31  ))))))))))))))))))))))))))))))
.

2011-01-31 20:48 . 2011-01-31 20:48	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-01-31 20:34 . 2011-01-31 20:34	--------	d-----w-	c:\program files\CCleaner
2011-01-31 16:11 . 2011-01-31 16:11	--------	d-----w-	C:\_OTL
2011-01-30 17:06 . 2011-01-30 17:06	--------	d-----w-	c:\users\Moritz\AppData\Roaming\Malwarebytes
2011-01-30 17:06 . 2011-01-30 17:06	--------	d-----w-	c:\programdata\Malwarebytes
2011-01-30 17:06 . 2010-12-20 17:09	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-01-30 17:06 . 2010-12-20 17:08	24152	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-30 17:06 . 2011-01-30 17:12	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2011-01-28 07:09 . 2011-01-13 10:20	7844688	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{F19E18E0-BD0C-40D6-839D-E10647334127}\mpengine.dll
2011-01-22 20:49 . 2011-01-22 20:49	--------	d-----w-	c:\users\Moritz\AppData\Roaming\ShareTV

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-04 06:35 . 2010-12-15 08:54	1194496	----a-w-	c:\windows\system32\wininet.dll
2010-11-04 06:31 . 2010-12-15 08:54	57856	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-04 05:52 . 2010-12-15 08:54	978944	----a-w-	c:\windows\SysWow64\wininet.dll
2010-11-04 05:48 . 2010-12-15 08:54	44544	----a-w-	c:\windows\SysWow64\licmgr10.dll
2010-11-04 05:16 . 2010-12-15 08:54	482816	----a-w-	c:\windows\system32\html.iec
2010-11-04 04:41 . 2010-12-15 08:54	386048	----a-w-	c:\windows\SysWow64\html.iec
2010-11-04 04:35 . 2010-12-15 08:54	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2010-11-04 04:08 . 2010-12-15 08:54	1638912	----a-w-	c:\windows\SysWow64\mshtml.tlb
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2011-01-03 15028104]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Network Identity Manager.lnk - c:\program files\MIT\Kerberos\bin\netidmgr.exe [2007-10-22 500568]
vpngui.exe.lnk - c:\windows\Installer\{467D5E81-8349-4892-9E81-C3674ED8E451}\Icon09DB8A851.exe [2010-9-16 5120]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"SoftwareSASGeneration"= 1 (0x1)

R0 lbkxyhw;lbkxyhw;c:\windows\system32\drivers\knzvinh.sys [x]
R1 vflt;Shrew Soft Lightweight Filter;c:\windows\system32\DRIVERS\vfilter.sys [2009-11-19 20992]
R2 AsSysCtrlService;ASUS System Control Service;c:\program files (x86)\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe [2009-04-02 90112]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-06-18 136176]
R3 ALSysIO;ALSysIO;c:\users\Moritz\AppData\Local\Temp\ALSysIO64.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2010-04-19 50688]
R3 vnet;Shrew Soft Virtual Adapter;c:\windows\system32\DRIVERS\virtualnet.sys [2009-11-19 12800]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-11-12 834544]
S1 aswSP;avast! Self Protection; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-09-29 203264]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-11-24 22096]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-11-24 65616]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-09-29 7883264]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-09-29 285696]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2010-08-16 116240]
S3 netr28ux;RT2870 USB Wireless LAN Card Driver for Vista;c:\windows\system32\DRIVERS\netr28ux.sys [2009-06-10 867328]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2009-06-02 1207808]

.
Inhalt des "geplante Tasks" Ordners

2011-01-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-09 22:24]

2011-01-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-09 22:24]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
DPF: {62FA83F7-20EC-4D62-AC86-BAB705EE1CCD} - hxxp://www.s-code.com/download/cab/scvncctrl.cab
FF - ProfilePath - c:\users\Moritz\AppData\Roaming\Mozilla\Firefox\Profiles\744kmyml.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: vShare Plugin: vshare@toolbar - %profile%\extensions\vshare@toolbar
FF - Ext: Torbutton: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca} - %profile%\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellIconOverlayIdentifiers-{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
AddRemove-JabRef - c:\windows\system32\javaws.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-01-31  21:50:39
ComboFix-quarantined-files.txt  2011-01-31 20:50

Vor Suchlauf: 50.027.905.024 bytes free
Nach Suchlauf: 49.671.372.800 bytes free

- - End Of File - - C24DAFB68BAAF5CBEDF7994930B453CD
--- --- ---


gruss,
moritz

Alt 31.01.2011, 21:59   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Driver::
lbkxyhw

File::
c:\windows\system32\drivers\knzvinh.sys
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.02.2011, 00:29   #9
Neksta
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


Hi,

ich habe leider ein problem mit dem deaktiviren von avast. ich sehe kein icon in der taskbar (früher waren dort immer 2 icons von avast...) und ich sehe auch keinen prozess von avast im taskmanager. im reiter services ist es allerdings zu sehen, dort kann ich es aber nicht stoppen sondern muss erst auf den services button unten rechts klicken. im neuen fenster kann ich dann die avast services stoppen, zumindest werden die dann als gestoppt angezeigt. leider hat das ganze aber kein einfluss auf combofix, die meldung, dass avast noch läuft, bleibt. habe es dann trotzdem laufen lassen...

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-01-31.01 - Moritz 01.02.2011   0:11.2.2 - x64
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1033.18.4095.2813 [GMT 1:00]
ausgeführt von:: c:\users\Moritz\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\Moritz\Desktop\CFScript.txt
AV: avast! antivirus *Enabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! antivirus *Enabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
"c:\windows\system32\drivers\knzvinh.sys"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_lbkxyhw


(((((((((((((((((((((((   Dateien erstellt von 2010-12-28 bis 2011-01-31  ))))))))))))))))))))))))))))))
.

2011-01-31 23:14 . 2011-01-31 23:14	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-01-31 20:34 . 2011-01-31 20:34	--------	d-----w-	c:\program files\CCleaner
2011-01-31 16:11 . 2011-01-31 16:11	--------	d-----w-	C:\_OTL
2011-01-30 17:06 . 2011-01-30 17:06	--------	d-----w-	c:\users\Moritz\AppData\Roaming\Malwarebytes
2011-01-30 17:06 . 2011-01-30 17:06	--------	d-----w-	c:\programdata\Malwarebytes
2011-01-30 17:06 . 2010-12-20 17:09	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-01-30 17:06 . 2010-12-20 17:08	24152	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-30 17:06 . 2011-01-30 17:12	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2011-01-28 07:09 . 2011-01-13 10:20	7844688	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{F19E18E0-BD0C-40D6-839D-E10647334127}\mpengine.dll
2011-01-22 20:49 . 2011-01-22 20:49	--------	d-----w-	c:\users\Moritz\AppData\Roaming\ShareTV

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-04 06:35 . 2010-12-15 08:54	1194496	----a-w-	c:\windows\system32\wininet.dll
2010-11-04 06:31 . 2010-12-15 08:54	57856	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-04 05:52 . 2010-12-15 08:54	978944	----a-w-	c:\windows\SysWow64\wininet.dll
2010-11-04 05:48 . 2010-12-15 08:54	44544	----a-w-	c:\windows\SysWow64\licmgr10.dll
2010-11-04 05:16 . 2010-12-15 08:54	482816	----a-w-	c:\windows\system32\html.iec
2010-11-04 04:41 . 2010-12-15 08:54	386048	----a-w-	c:\windows\SysWow64\html.iec
2010-11-04 04:35 . 2010-12-15 08:54	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2010-11-04 04:08 . 2010-12-15 08:54	1638912	----a-w-	c:\windows\SysWow64\mshtml.tlb
.

(((((((((((((((((((((((((((((   SnapShot@2011-01-31_20.49.02   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-10 14:16 . 2011-01-31 23:17	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-11-10 14:16 . 2011-01-31 20:34	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-11-10 14:16 . 2011-01-31 23:17	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-11-10 14:16 . 2011-01-31 20:34	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-01-31 20:34	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2011-01-31 23:17	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-11-10 14:22 . 2011-01-31 23:17	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-11-10 14:22 . 2011-01-31 16:25	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-11-10 14:22 . 2011-01-31 16:25	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-11-10 14:22 . 2011-01-31 23:17	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-11-10 14:22 . 2011-01-31 23:17	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-11-10 14:22 . 2011-01-31 16:25	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-11-10 14:22 . 2011-01-31 23:17	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-11-10 14:22 . 2011-01-31 16:25	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-11-10 14:22 . 2011-01-31 16:25	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-11-10 14:22 . 2011-01-31 23:17	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2011-01-31 16:23 . 2011-01-31 16:23	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-01-31 23:16 . 2011-01-31 23:16	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-01-31 23:16 . 2011-01-31 23:16	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2011-01-31 16:23 . 2011-01-31 16:23	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-07-14 05:12 . 2011-01-31 23:17	262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 05:12 . 2011-01-31 16:24	262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
+ 2009-07-14 05:01 . 2011-01-31 23:15	227160              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2009-07-14 05:01 . 2011-01-31 16:22	227160              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2011-01-03 15028104]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Network Identity Manager.lnk - c:\program files\MIT\Kerberos\bin\netidmgr.exe [2007-10-22 500568]
vpngui.exe.lnk - c:\windows\Installer\{467D5E81-8349-4892-9E81-C3674ED8E451}\Icon09DB8A851.exe [2010-9-16 5120]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"SoftwareSASGeneration"= 1 (0x1)

R1 vflt;Shrew Soft Lightweight Filter;c:\windows\system32\DRIVERS\vfilter.sys [2009-11-19 20992]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 ALSysIO;ALSysIO;c:\users\Moritz\AppData\Local\Temp\ALSysIO64.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2010-04-19 50688]
R3 vnet;Shrew Soft Virtual Adapter;c:\windows\system32\DRIVERS\virtualnet.sys [2009-11-19 12800]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-11-12 834544]
S1 aswSP;avast! Self Protection; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-09-29 203264]
S2 AsSysCtrlService;ASUS System Control Service;c:\program files (x86)\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe [2009-04-02 90112]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-11-24 22096]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-11-24 65616]
S2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-06-18 136176]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-09-29 7883264]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-09-29 285696]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2010-08-16 116240]
S3 netr28ux;RT2870 USB Wireless LAN Card Driver for Vista;c:\windows\system32\DRIVERS\netr28ux.sys [2009-06-10 867328]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2009-06-02 1207808]

.
Inhalt des "geplante Tasks" Ordners

2011-01-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-09 22:24]

2011-01-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-09 22:24]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"combofix"="c:\cofi\CF18388.cfxxe" [X]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
DPF: {62FA83F7-20EC-4D62-AC86-BAB705EE1CCD} - hxxp://www.s-code.com/download/cab/scvncctrl.cab
FF - ProfilePath - c:\users\Moritz\AppData\Roaming\Mozilla\Firefox\Profiles\744kmyml.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: vShare Plugin: vshare@toolbar - %profile%\extensions\vshare@toolbar
FF - Ext: Torbutton: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca} - %profile%\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellIconOverlayIdentifiers-{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Cisco Systems\VPN Client\cvpnd.exe
c:\program files (x86)\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-01  00:20:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-31 23:20
ComboFix2.txt  2011-01-31 20:50

Vor Suchlauf: 50.290.958.336 bytes free
Nach Suchlauf: 49.291.395.072 bytes free

- - End Of File - - 1F3E1948FE75929C97771FEA92B51246
--- --- ---


gruß,
moritz

Alt 01.02.2011, 10:14   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


Dann kannste das mit Avast erstmal ignorieren.
Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.02.2011, 11:14   #11
Neksta
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


gmer

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-02-01 11:07:40
Windows 6.1.7600  
Running: e2bowquw.exe


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1                                                                  771343423
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2                                                                  285507792
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0                                                                  1
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0xD4 0xC3 0x97 0x02 ...
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x94 0x3D 0x2A 0xD0 ...
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0xC8 0xA3 0x3D 0x0E ...
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x2B 0xA9 0x89 0x2F ...
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0xD4 0xC3 0x97 0x02 ...
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x94 0x3D 0x2A 0xD0 ...
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0xC8 0xA3 0x3D 0x0E ...
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x2B 0xA9 0x89 0x2F ...

---- EOF - GMER 1.0.15 ----
--- --- ---


mbrcheck

Zitat:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Professional
Windows Information: (build 7600), 64-bit
Base Board Manufacturer: ASUSTeK Computer INC.
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: System manufacturer
System Product Name: System Product Name
Logical Drives Mask: 0x000000bd

Kernel Drivers (total 205):
0x02C01000 \SystemRoot\system32\ntoskrnl.exe
0x031DD000 \SystemRoot\system32\hal.dll
0x00BB1000 \SystemRoot\system32\kdcom.dll
0x00CA9000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
0x00CB6000 \SystemRoot\system32\PSHED.dll
0x00CCA000 \SystemRoot\system32\CLFS.SYS
0x00D28000 \SystemRoot\system32\CI.dll
0x00C00000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00DE8000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00E0B000 \SystemRoot\System32\Drivers\spzw.sys
0x00F31000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x00F3A000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x00F69000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x00FC0000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x00FCA000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x0100D000 \SystemRoot\system32\DRIVERS\pci.sys
0x01040000 \SystemRoot\System32\drivers\partmgr.sys
0x01055000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x0106A000 \SystemRoot\System32\drivers\volmgrx.sys
0x010C6000 \SystemRoot\system32\DRIVERS\pciide.sys
0x010CD000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x010DD000 \SystemRoot\System32\drivers\mountmgr.sys
0x010F7000 \SystemRoot\system32\DRIVERS\atapi.sys
0x01100000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x0112A000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x01135000 \SystemRoot\system32\drivers\fltmgr.sys
0x01181000 \SystemRoot\system32\drivers\fileinfo.sys
0x01232000 \SystemRoot\System32\Drivers\Ntfs.sys
0x01195000 \SystemRoot\System32\Drivers\msrpc.sys
0x013D5000 \SystemRoot\System32\Drivers\ksecdd.sys
0x01427000 \SystemRoot\System32\Drivers\cng.sys
0x0149A000 \SystemRoot\System32\drivers\pcw.sys
0x014AB000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x014B5000 \SystemRoot\system32\drivers\ndis.sys
0x016B7000 \SystemRoot\system32\drivers\NETIO.SYS
0x01717000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01800000 \SystemRoot\System32\drivers\tcpip.sys
0x01742000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x0178C000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
0x0179C000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x017E8000 \SystemRoot\System32\Drivers\spldr.sys
0x01600000 \SystemRoot\System32\drivers\rdyboost.sys
0x0163A000 \SystemRoot\System32\Drivers\mup.sys
0x0164C000 \SystemRoot\System32\drivers\hwpolicy.sys
0x01655000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x0168F000 \SystemRoot\system32\DRIVERS\disk.sys
0x015A7000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x016A5000 \SystemRoot\system32\DRIVERS\AtiPcie.sys
0x01200000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x015F6000 \SystemRoot\System32\Drivers\Null.SYS
0x01400000 \SystemRoot\System32\Drivers\Beep.SYS
0x01407000 \SystemRoot\System32\drivers\vga.sys
0x00FD7000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x01415000 \SystemRoot\System32\drivers\watchdog.sys
0x013EF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x011F3000 \SystemRoot\system32\drivers\rdpencdd.sys
0x01000000 \SystemRoot\system32\drivers\rdprefmp.sys
0x00E00000 \SystemRoot\System32\Drivers\Msfs.SYS
0x02CFA000 \SystemRoot\System32\Drivers\Npfs.SYS
0x02D0B000 \SystemRoot\system32\DRIVERS\tdx.sys
0x02D29000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x02D36000 \SystemRoot\System32\Drivers\aswTdi.SYS
0x02D46000 \SystemRoot\system32\drivers\afd.sys
0x02DD0000 \SystemRoot\System32\Drivers\aswRdr.SYS
0x02C00000 \SystemRoot\System32\DRIVERS\netbt.sys
0x02C45000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x02C4E000 \SystemRoot\system32\DRIVERS\pacer.sys
0x02C74000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x02C8A000 \SystemRoot\system32\DRIVERS\netbios.sys
0x02C99000 \SystemRoot\system32\DRIVERS\serial.sys
0x02CB6000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x02CD1000 \SystemRoot\system32\DRIVERS\termdd.sys
0x03ABE000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x03B0F000 \SystemRoot\system32\drivers\nsiproxy.sys
0x03B1B000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x03B26000 \SystemRoot\System32\drivers\discache.sys
0x03B35000 \SystemRoot\system32\drivers\csc.sys
0x03BB8000 \SystemRoot\System32\Drivers\dfsc.sys
0x03BD6000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x03A00000 \SystemRoot\System32\Drivers\aswSP.SYS
0x03A1C000 \SystemRoot\SysWow64\drivers\AsIO.sys
0x03A23000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x03A49000 \SystemRoot\system32\DRIVERS\amdppm.sys
0x03A5E000 \SystemRoot\system32\DRIVERS\atikmpag.sys
0x03C24000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x04412000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x04506000 \SystemRoot\System32\drivers\dxgmms1.sys
0x0454C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x04570000 \SystemRoot\system32\DRIVERS\L1E62x64.sys
0x04582000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x0458D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x045E3000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x04400000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x045F4000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0x03C00000 \SystemRoot\system32\DRIVERS\serenum.sys
0x03C0C000 \SystemRoot\system32\DRIVERS\fdc.sys
0x0483B000 \SystemRoot\System32\Drivers\ainy477l.SYS
0x04880000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x04889000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x04899000 \SystemRoot\system32\DRIVERS\dne64x.sys
0x048C5000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x048DB000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x048FF000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x0490B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x0493A000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x04955000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x04976000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x04990000 \SystemRoot\system32\DRIVERS\loop.sys
0x04997000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x049A2000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x049B1000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x049C0000 \SystemRoot\system32\DRIVERS\swenum.sys
0x04AEB000 \SystemRoot\system32\DRIVERS\ks.sys
0x04B2E000 \SystemRoot\system32\DRIVERS\umbus.sys
0x04B40000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x04B9A000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0x04BA5000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x04BBA000 \SystemRoot\system32\drivers\AtihdW76.sys
0x04A00000 \SystemRoot\system32\drivers\portcls.sys
0x04A3D000 \SystemRoot\system32\drivers\drmk.sys
0x04A5F000 \SystemRoot\system32\drivers\ksthunk.sys
0x05A0E000 \SystemRoot\system32\drivers\viahduaa.sys
0x05B9F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x05BBC000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x05BBE000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x05BCC000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x05BE5000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x000B0000 \SystemRoot\System32\win32k.sys
0x05BEE000 \SystemRoot\System32\drivers\Dxapi.sys
0x05A00000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x04A65000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x04A73000 \SystemRoot\system32\DRIVERS\monitor.sys
0x026CC000 \SystemRoot\system32\DRIVERS\netr28ux.sys
0x027A8000 \SystemRoot\system32\DRIVERS\vwifibus.sys
0x027B5000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x027D0000 \SystemRoot\System32\Drivers\crashdmp.sys
0x027DE000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x027EA000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x02600000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x00550000 \SystemRoot\System32\TSDDD.dll
0x007B0000 \SystemRoot\System32\cdd.dll
0x02613000 \SystemRoot\System32\Drivers\fastfat.SYS
0x02649000 \SystemRoot\system32\drivers\luafv.sys
0x0266C000 \SystemRoot\system32\DRIVERS\aswMonFlt.sys
0x02686000 \SystemRoot\system32\DRIVERS\aswFsBlk.sys
0x0268F000 \SystemRoot\system32\drivers\WudfPf.sys
0x026B0000 \SystemRoot\system32\DRIVERS\smb.sys
0x04A81000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x04A96000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x04BDA000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x049C2000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x05EDE000 \SystemRoot\system32\drivers\HTTP.sys
0x05FA6000 \SystemRoot\system32\DRIVERS\bowser.sys
0x05FC4000 \SystemRoot\System32\drivers\mpsdrv.sys
0x05E00000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x05E2D000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x05E7B000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x06082000 \SystemRoot\system32\DRIVERS\atksgt.sys
0x060D1000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0x060DE000 \SystemRoot\system32\drivers\peauth.sys
0x06184000 \SystemRoot\System32\Drivers\secdrv.SYS
0x0618F000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x061BC000 \SystemRoot\System32\drivers\tcpipreg.sys
0x06000000 \SystemRoot\System32\DRIVERS\srv2.sys
0x06690000 \SystemRoot\System32\DRIVERS\srv.sys
0x06726000 \??\C:\Windows\system32\Drivers\CVPNDRVA.sys
0x77650000 \Windows\System32\ntdll.dll
0x478E0000 \Windows\System32\smss.exe
0xFF970000 \Windows\System32\apisetschema.dll
0xFFF90000 \Windows\System32\autochk.exe
0xFF940000 \Windows\System32\imagehlp.dll
0xFF730000 \Windows\System32\ole32.dll
0xFF600000 \Windows\System32\wininet.dll
0x77820000 \Windows\System32\psapi.dll
0xFF520000 \Windows\System32\oleaut32.dll
0xFE790000 \Windows\System32\shell32.dll
0x77530000 \Windows\System32\kernel32.dll
0xFE6B0000 \Windows\System32\advapi32.dll
0xFE610000 \Windows\System32\comdlg32.dll
0xFE3B0000 \Windows\System32\iertutil.dll
0xFE310000 \Windows\System32\clbcatq.dll
0x77430000 \Windows\System32\user32.dll
0xFE2E0000 \Windows\System32\imm32.dll
0xFE1D0000 \Windows\System32\msctf.dll
0xFE180000 \Windows\System32\ws2_32.dll
0xFE100000 \Windows\System32\shlwapi.dll
0xFE0F0000 \Windows\System32\nsi.dll
0xFE050000 \Windows\System32\msvcrt.dll
0xFE040000 \Windows\System32\lpk.dll
0xFDFF0000 \Windows\System32\Wldap32.dll
0xFDF80000 \Windows\System32\gdi32.dll
0x77810000 \Windows\System32\normaliz.dll
0xFDE00000 \Windows\System32\urlmon.dll
0xFDDE0000 \Windows\System32\sechost.dll
0xFDC00000 \Windows\System32\setupapi.dll
0xFDAD0000 \Windows\System32\rpcrt4.dll
0xFDA50000 \Windows\System32\difxapi.dll
0xFD980000 \Windows\System32\usp10.dll
0xFD960000 \Windows\System32\devobj.dll
0xFD920000 \Windows\System32\wintrust.dll
0xFD8E0000 \Windows\System32\cfgmgr32.dll
0xFD770000 \Windows\System32\crypt32.dll
0xFD6D0000 \Windows\System32\comctl32.dll
0xFD660000 \Windows\System32\KernelBase.dll
0xFD650000 \Windows\System32\msasn1.dll

Processes (total 55):
0 System Idle Process
4 System
280 C:\Windows\System32\smss.exe
364 csrss.exe
436 C:\Windows\System32\wininit.exe
456 csrss.exe
492 C:\Windows\System32\services.exe
508 C:\Windows\System32\lsass.exe
516 C:\Windows\System32\lsm.exe
656 C:\Windows\System32\winlogon.exe
664 C:\Windows\System32\svchost.exe
760 C:\Windows\System32\nvvsvc.exe
800 C:\Windows\System32\svchost.exe
852 C:\Windows\System32\atiesrxx.exe
944 C:\Windows\System32\svchost.exe
984 C:\Windows\System32\svchost.exe
108 C:\Windows\System32\svchost.exe
312 C:\Windows\System32\audiodg.exe
112 C:\Windows\System32\svchost.exe
1108 C:\Windows\System32\atieclxx.exe
1244 C:\Windows\System32\svchost.exe
1328 C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
1352 C:\Program Files\Alwil Software\Avast4\ashServ.exe
1560 C:\Windows\System32\spoolsv.exe
1588 C:\Windows\System32\svchost.exe
1680 C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1700 C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe
1744 C:\Program Files (x86)\Cisco Systems\VPN Client\cvpnd.exe
1772 C:\Program Files (x86)\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
1884 C:\Program Files\OpenAFS\Client\Program\afsd_service.exe
2488 C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
2536 C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
2816 C:\Windows\System32\svchost.exe
2960 C:\Windows\System32\taskhost.exe
3024 C:\Windows\System32\taskeng.exe
3068 C:\Windows\System32\dwm.exe
2520 C:\Windows\explorer.exe
2940 C:\Windows\System32\taskeng.exe
3176 C:\Windows\System32\svchost.exe
3280 C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
3288 C:\Program Files\Windows Sidebar\sidebar.exe
3312 C:\Program Files (x86)\Skype\Phone\Skype.exe
3324 C:\Program Files\MIT\Kerberos\bin\netidmgr.exe
3424 C:\Program Files\MIT\Kerberos\bin\krbcc64s.exe
3752 WmiPrvSE.exe
3928 C:\Program Files (x86)\Skype\Plugin Manager\skypePM.exe
2892 C:\Windows\System32\SearchIndexer.exe
3132 C:\Windows\System32\svchost.exe
3100 C:\Program Files (x86)\Mozilla Firefox\firefox.exe
3520 C:\Program Files\Windows Media Player\wmpnetwk.exe
3540 WmiPrvSE.exe
4536 C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
4756 C:\Users\Moritz\Downloads\MBRCheck.exe
4808 C:\Windows\System32\conhost.exe
4812 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000018`6a100000 (NTFS)
\\.\H: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (FAT32)

PhysicalDrive0 Model Number: ST3500320AS, Rev: SD15
PhysicalDrive1 Model Number: WD1600BEA External, Rev: 1.04

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
149 GB \\.\PhysicalDrive1 RE: Unknown MBR code
SHA1: 2BE9ACE700A45722604874D4A10E3B6A212931F3


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice:

Done!
gruss,
moritz

Alt 01.02.2011, 13:28   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.02.2011, 18:53   #13
Neksta
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


Hi, erstmal SAWS

Zitat:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/01/2011 at 06:51 PM

Application Version : 4.48.1000

Core Rules Database Version : 6315
Trace Rules Database Version: 4127

Scan type : Complete Scan
Total Scan Time : 02:36:34

Memory items scanned : 611
Memory threats detected : 0
Registry items scanned : 12994
Registry threats detected : 0
File items scanned : 311824
File threats detected : 4

Adware.Tracking Cookie
C:\Users\Moritz\AppData\Roaming\Microsoft\Windows\Cookies\moritz@content.yieldmanager[1].txt
C:\Users\Moritz\AppData\Roaming\Microsoft\Windows\Cookies\moritz@doubleclick[1].txt
C:\Users\Moritz\AppData\Roaming\Microsoft\Windows\Cookies\moritz@ad.yieldmanager[2].txt

Trojan.Agent/Gen-FakeDrop
C:\PROGRAM FILES (X86)\IDOSER V4\UNINSTAL.EXE
hört denn das nie auf..

malwarebytes folgt

gruss,
moritz

Alt 01.02.2011, 19:56   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


Zitat:
C:\PROGRAM FILES (X86)\IDOSER V4\UNINSTAL.EXE
Wasndas und wo kommt das her?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.02.2011, 10:13   #15
Neksta
 
TAN Trojaner + Win32:Rootkit-gen - Standard

TAN Trojaner + Win32:Rootkit-gen


idoser ist ein programm, dass stimmungsbeeinflussende frequenzen erzeugt, bzw erzeugen soll... bin mir nicht sicher, wo ich das her hab, ich schätze mal von deren homepage oder torrent (ich weiss .... ).

malwarbytes

Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org



Database version: 5658



Windows 6.1.7600

Internet Explorer 8.0.7600.16385



02.02.2011 10:06:28

mbam-log-2011-02-02 (10-06-28).txt



Scan type: Full scan (C:\|D:\|)

Objects scanned: 456955

Time elapsed: 41 minute(s), 57 second(s)



Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0



Memory Processes Infected:

(No malicious items detected)



Memory Modules Infected:

(No malicious items detected)



Registry Keys Infected:

(No malicious items detected)



Registry Values Infected:

(No malicious items detected)



Registry Data Items Infected:

(No malicious items detected)



Folders Infected:

(No malicious items detected)



Files Infected:

(No malicious items detected)
gruss,
moritz

Antwort
Seite 1 von 2 1 2

Themen zu TAN Trojaner + Win32:Rootkit-gen
anschluss, appdata, avast, beendet, cache, einloggen, einstellungen, folge, hallo zusammen, internetverbindung, java, kein fund, keine internetverbindung, load.exe, malwarebytes, neuer, online, online banking, ordner, popup, scan, stimme, tan, tans, trojaner, verbindung, verschieben, win, win32


« Internet von einem Tag auf den anderen extrem langsam | 'TR/Crypt.XPACK.Gen3' Tojaner »


Ähnliche Themen: TAN Trojaner + Win32:Rootkit-gen


  1. PC langsam, hängt sich beim Surfen auf, Bluescreen, Advanced System Protector, Win32:Dropper-gen, Win32:Malware-gen, Win32:Rootkit-gen u.a.
    Log-Analyse und Auswertung - 07.02.2015 (12)
  2. Rechner nach Fund von win32: rootkit-gen [Rtk] & win32 Adware-gen [Adw] wirklich sauber?
    Log-Analyse und Auswertung - 30.08.2014 (17)
  3. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  4. Rootkit.win32.ZAccess.c
    Log-Analyse und Auswertung - 26.03.2012 (8)
  5. Win32:Rootkit-gen [rtk]
    Log-Analyse und Auswertung - 28.09.2010 (7)
  6. Rootkit.Win32.Agent.pp.
    Plagegeister aller Art und deren Bekämpfung - 01.08.2010 (2)
  7. Rootkit.Win32.TDSS und andere Trojaner desinfiziert, ist jetzt wieder alles sicher?
    Plagegeister aller Art und deren Bekämpfung - 14.06.2010 (1)
  8. rootkit.win32.tdss.d
    Plagegeister aller Art und deren Bekämpfung - 30.04.2010 (2)
  9. TROJANER meldet ständig über Pop-Up "rootkit win32 Agent pp"
    Log-Analyse und Auswertung - 08.12.2009 (1)
  10. Win32/Rootkit.Agent.ODG Trojaner --- wie bekomm ich den weg?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2009 (3)
  11. Rootkit.Win32.TDSS.a
    Plagegeister aller Art und deren Bekämpfung - 16.05.2009 (15)
  12. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)
  13. Win32: Rootkit-gen
    Log-Analyse und Auswertung - 10.03.2009 (0)
  14. HILFE zu Win32:Rootkit-gen [Rtk] !!!!!!!!!!
    Mülltonne - 08.12.2008 (0)
  15. Win32:Trojan-gen, Win32:Rootkit-gen, Win32:Adware-gen gefunden!
    Log-Analyse und Auswertung - 14.07.2008 (1)
  16. Virus: Win32:Rootkit-gen [Rtk]
    Plagegeister aller Art und deren Bekämpfung - 25.05.2008 (19)
  17. Rootkit.Win32.Agent.p
    Log-Analyse und Auswertung - 23.11.2007 (42)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TAN Trojaner + Win32:Rootkit-gen - Hallo zusammen, als ich mich vorhin bei meinem Online Banking einloggen wollte kam ein Popup mit der absurden Aufforderung alle 100 TANs einzugeben. Habe ich natürlich nicht gemacht. Als nächstes - TAN Trojaner + Win32:Rootkit-gen...
Archiv
Du betrachtest: TAN Trojaner + Win32:Rootkit-gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131