Malware? Neu im Firmennetzwerk

Damnation · 22.03.2011, 17:30

Hallo,

bin in einer neuen Firma und seit gestern jetzt auch dort im Netzwerk mit meinem Laptop.

Musste dahingehend auch die Laptop Encryption aktivieren (dieses McAffee laptop encryption zeugs, siehe die Logs). Seit gestern meldet mir meine Firewall (ESET), ständig neuen Traffic und frägt, ob ich blockieren oder zulassen will.

Weiß jetzt nicht, ob das am Netzwerk liegt oder ob ich mir tatsächlich was eingefangen habe. Das Netzwerk is voller Viren etc., weil hier einige Workstations ohne aktuelle Scanner sind, weil sie nicht am Netz angeschlossen sind. Per USB-Sticks verbreitet sich das zeug hier dann.

Hab meine Logs angehängt.
Hoffe ihr kömmt mir sagen, ob alles in Ordnung ist.

Danke.

Damnation

cosinus · 22.03.2011, 20:27

Zitat:

bin in einer neuen Firma und seit gestern jetzt auch dort im Netzwerk mit meinem Laptop.

Musste dahingehend auch die Laptop Encryption aktivieren (dieses McAffee laptop encryption zeugs, siehe die Logs). Seit gestern meldet mir meine Firewall (ESET), ständig neuen Traffic und frägt, ob ich blockieren oder zulassen will.

Wie wär's mal wenn du mal den zuständigen Admin der Firma fragst??
Was heißt "dein" Laptap? Ist das normal, dass jeder sein (verseuchtes) Privatgerät ins Firmennetz anschließen darf?

Damnation · 22.03.2011, 21:14

In der Branche, in der ich arbeite, ist das ganz normal.
Firma ist vielleicht auch der falsche Ausdruck. In Forschungsinstituten ist das der Normalfall, dass man sein eigenes Gerät zum Arbeiten mitbringt. Workstations, die für die Benutzung von Geräten benötigt werden, sind natürlich verfügbar. Um die kümmert sich aber keiner und sind nie am Netz angeschlossen. Was zwar gut ist, aber blöd auch, da die Virenscanner nicht aktuell sind...

Einen Admin an sich gibts hier somit also auch nicht. Leider.

Danke

cosinus · 23.03.2011, 09:13

Zitat:

O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com

Warum darf dein Rechner sich nicht mit Adobeseiten verbinden?

Damnation · 23.03.2011, 15:09

Weil mich die ständige Updates von meinen Adobe Produkten(Haupsächlich Photoshop, Illustrator und Acrobat) nerven. Mach das dann immer manuell, wenn ichs benötige. Mehr nicht. So schadet das aber nicht, oder?

cosinus · 23.03.2011, 16:07

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 17:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{5e5ac71a-0f81-11e0-9556-001fe21c645c}\Shell - "" = AutoRun
O33 - MountPoints2\{5e5ac71a-0f81-11e0-9556-001fe21c645c}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{955bf7ca-0e8e-11e0-9d2b-001fe21c645c}\Shell - "" = AutoRun
O33 - MountPoints2\{955bf7ca-0e8e-11e0-9d2b-001fe21c645c}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{955bf7d1-0e8e-11e0-9d2b-001fe21c645c}\Shell - "" = AutoRun
O33 - MountPoints2\{955bf7d1-0e8e-11e0-9d2b-001fe21c645c}\Shell\AutoRun\command - "" = H:\AutoRun.exe
O33 - MountPoints2\{955bf827-0e8e-11e0-9d2b-001fe21c645c}\Shell - "" = AutoRun
O33 - MountPoints2\{955bf827-0e8e-11e0-9d2b-001fe21c645c}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O4 - HKLM..\Run: []  File not found
:Commands
[purity]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Damnation · 23.03.2011, 19:19

Hey,

Danke dir!

Gerade gemacht. Im Anhang das Log.

Welche Malware ist/war das denn?

Wenn man einen USB-Stick anschließt, der auf einer der verseuchten Workstations dran war, erscheint immer eine Meldung wegen einer autorun.inf.

Hat es der auf einen PC geschafft, obwohl ESET eigentlich gesagt hat, dass er die autorun.inf gelöscht hat?

Danke.

Lg Damnation

cosinus · 23.03.2011, 20:33

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Damnation · 24.03.2011, 00:07

Hallo,

alles ausgeführt.
nach dem Neustart nach dem Combofix, war aber ewigkeiten die blaue Shell mit der Aussage, dass das Log jetzt erstellt wird offen. Irgendwann ist der PC ausgegangen.
Hab ein Log gefunden (c:\cofi.exe\combofix.txt). Weiß nicht, ob das die richtige jetzt ist.

Welche malware hatte ich denn?

Danke!!!

Damnation

Code:

ATTFilter

ComboFix 11-03-23.03 - ZED 23.03.2011  18:18:09.1.2 - x86
Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1031.18.2006.1066 [GMT -4:00]
ausgeführt von:: C:\Users\ZED\Desktop\cofi.exe.exe
AV: ESET Smart Security 4.0 *Disabled/Updated* {CB0F8167-5331-BA19-698E-64816B6801A5}
FW: ESET Personal Firewall *Enabled* {F3340042-195E-BB41-42D1-CDB495BB46DE}
SP: ESET Smart Security 4.0 *Disabled/Updated* {706E6083-750B-B597-533E-5FF310EF4B18}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}


((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))


C:\Program Files\ESET\MiNODLogin
C:\Program Files\ESET\MiNODLogin\MiNODLogin.exe
C:\Program Files\ESET\MiNODLogin\MiNODLogin.jar
C:\Program Files\ESET\MiNODLogin\MiNODLoginLib.dll
C:\Program Files\ESET\MiNODLogin\servidores.xml
C:\Windows\TEMP\logishrd\LVPrcInj01.dll


(((((((((((((((((((((((   Dateien erstellt von 2011-02-23 bis 2011-03-23  ))))))))))))))))))))))))))))))


2011-03-23 22:25:01 . 2011-03-23 22:45:26	--------	d-----w-	C:\Users\ZED\AppData\Local\temp
2011-03-23 22:25:01 . 2011-03-23 22:25:01	--------	d-----w-	C:\Users\Default\AppData\Local\temp
2011-03-23 20:32:27 . 2011-03-23 20:32:31	--------	d-----w-	C:\Program Files\CCleaner
2011-03-23 18:13:07 . 2011-03-23 18:13:07	--------	d-----w-	C:\_OTL
2011-03-22 14:14:24 . 2011-02-11 06:54:53	5943120	----a-w-	C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{BA3395BC-E57D-4ECC-B64A-C145CA475793}\mpengine.dll
2011-03-22 02:56:00 . 2011-03-22 02:57:21	--------	d-----w-	C:\Program Files\ERUNT
2011-03-21 14:41:38 . 2009-07-14 01:15:26	90624	----a-w-	C:\Windows\system32\Spool\prtprocs\w32x86\HPZPPWN7.DLL
2011-03-21 14:20:54 . 2011-03-21 14:20:54	--------	d-----w-	C:\ProgramData\Endpoint Encryption for PC
2011-03-21 14:17:36 . 2011-03-21 14:17:36	--------	d-----w-	C:\Program Files\SafeBoot Tray Manager
2011-03-21 14:17:25 . 2011-03-21 14:17:25	--------	d-----w-	C:\Program Files\McAfee
2011-03-21 14:16:26 . 2011-03-21 14:16:26	--------	d-----w-	C:\Program Files\Common Files\Wise Installation Wizard
2011-03-19 21:54:42 . 2011-03-21 14:22:06	--------	d-----w-	C:\Program Files\Common Files\DVDVideoSoft
2011-03-19 21:33:55 . 2011-03-19 21:34:09	--------	d--h--w-	C:\Windows\AxInstSV
2011-03-14 23:26:48 . 2011-03-14 23:26:48	135568	----a-w-	C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll
2011-03-13 11:16:23 . 2011-03-14 13:42:44	365461	----a-w-	C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Anleitung.exe
2011-03-09 01:39:17 . 2011-02-19 06:30:54	805376	----a-w-	C:\Windows\system32\FntCache.dll
2011-03-09 01:39:17 . 2011-02-19 06:30:51	1076736	----a-w-	C:\Windows\system32\DWrite.dll
2011-03-09 01:39:17 . 2011-02-19 06:30:50	739840	----a-w-	C:\Windows\system32\d2d1.dll
2011-03-09 01:39:16 . 2010-12-23 05:54:17	642048	----a-w-	C:\Windows\system32\CPFilters.dll
2011-03-09 01:39:16 . 2010-12-23 05:54:17	534528	----a-w-	C:\Windows\system32\EncDec.dll
2011-03-09 01:39:15 . 2010-12-23 05:54:18	850944	----a-w-	C:\Windows\system32\sbe.dll
2011-03-09 01:39:15 . 2010-12-23 05:50:23	199680	----a-w-	C:\Windows\system32\mpg2splt.ax
2011-03-02 15:00:03 . 2011-03-02 15:02:39	--------	d-----w-	C:\AdobeTemp
2011-03-02 14:50:17 . 2011-03-02 14:50:17	--------	d-----w-	C:\Users\ZED\AppData\Roaming\StageManager.BD092818F67280F4B42B04877600987F0111B594.1
2011-02-28 22:21:21 . 2011-02-28 22:21:21	--------	d-----w-	C:\Program Files\Adobe Media Player
2011-02-28 22:19:53 . 2011-03-01 10:41:44	--------	d-----w-	C:\Program Files\Common Files\Adobe AIR
2011-02-28 15:08:05 . 2011-03-23 22:44:11	--------	d-----w-	C:\Program Files\Common Files\Akamai
2011-02-27 15:21:10 . 2011-02-28 22:11:49	--------	d-----w-	C:\Program Files\ThumbView_Lite 1.0
2011-02-26 18:37:23 . 2011-02-26 18:37:23	--------	d-----w-	C:\Program Files\Common Files\Java
2011-02-26 14:00:30 . 2011-02-26 14:00:30	78848	----a-w-	C:\Windows\KMSEmulator.exe
2011-02-23 21:58:14 . 2011-02-23 21:58:14	--------	d-----w-	C:\Windows\en-US
2011-02-23 21:58:13 . 2011-02-23 21:58:13	--------	d-----w-	C:\Windows\system32\en
2011-02-23 21:58:13 . 2011-02-23 21:58:13	--------	d-----w-	C:\Windows\system32\drivers\UMDF\en-US
2011-02-23 21:58:13 . 2011-02-23 21:58:13	--------	d-----w-	C:\Windows\system32\drivers\en-US
2011-02-23 21:58:13 . 2011-02-23 21:58:13	--------	d-----w-	C:\Windows\system32\0409
2011-02-23 21:58:03 . 2011-02-23 21:58:04	--------	d-----w-	C:\Windows\system32\wbem\en-US
2011-02-23 21:51:50 . 2009-07-13 17:03:50	3584	----a-w-	C:\Windows\system32\Spool\prtprocs\w32x86\en-US\LXKPTPRC.DLL.mui
2011-02-23 21:11:15 . 2011-02-23 21:11:16	--------	d-----w-	C:\Windows\system32\SPReview
2011-02-23 21:10:02 . 2011-02-23 21:10:02	--------	d-----w-	C:\Windows\system32\EventProviders
2011-02-23 21:06:59 . 2010-11-20 12:21:00	1115136	----a-w-	C:\Windows\system32\RacEngn.dll
2011-02-23 21:05:59 . 2010-11-20 12:29:12	132992	----a-w-	C:\Windows\system32\drivers\ataport.sys
2011-02-23 21:04:59 . 2010-11-20 12:21:22	4096	----a-w-	C:\Windows\system32\msdxm.ocx
2011-02-23 21:03:56 . 2010-11-20 12:18:34	323072	----a-w-	C:\Windows\system32\drvstore.dll
2011-02-23 21:03:56 . 2010-11-20 12:18:34	257024	----a-w-	C:\Windows\system32\dpx.dll
2011-02-23 19:15:56 . 2011-01-17 05:47:13	161792	----a-w-	C:\Windows\system32\d3d10_1.dll
2011-02-23 19:15:56 . 2010-11-20 12:18:25	219136	----a-w-	C:\Windows\system32\d3d10_1core.dll
2011-02-23 13:31:04 . 2011-01-07 07:46:34	870912	----a-w-	C:\Windows\system32\XpsPrint.dll
2011-02-23 13:31:04 . 2011-01-07 07:46:34	288256	----a-w-	C:\Windows\system32\XpsGdiConverter.dll


((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

2011-02-23 21:16:04 . 2009-07-14 02:05:42	152576	----a-w-	C:\Windows\system32\msclmd.dll
2011-02-03 05:54:43 . 2011-02-09 08:59:31	219008	----a-w-	C:\Windows\system32\drivers\dxgmms1.sys
2011-02-02 20:40:23 . 2010-11-29 16:48:32	472808	----a-w-	C:\Windows\system32\deployJava1.dll
2011-02-02 16:11:20 . 2010-02-09 20:01:23	222080	------w-	C:\Windows\system32\MpSigStub.exe
2011-01-07 07:45:57 . 2011-02-09 08:59:43	34304	----a-w-	C:\Windows\system32\atmlib.dll
2011-01-07 06:01:22 . 2011-02-09 08:59:54	1638912	----a-w-	C:\Windows\system32\mshtml.tlb
2011-01-07 05:43:36 . 2011-02-09 08:59:43	294400	----a-w-	C:\Windows\system32\atmfd.dll
2011-01-05 05:55:55 . 2011-02-09 08:59:41	428032	----a-w-	C:\Windows\system32\vbscript.dll
2011-01-05 03:51:01 . 2011-02-09 08:59:25	2330624	----a-w-	C:\Windows\system32\win32k.sys


((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))


*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19:44	94208	----a-w-	C:\Users\ZED\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19:44	94208	----a-w-	C:\Users\ZED\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19:44	94208	----a-w-	C:\Users\ZED\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2011-01-26 16:05:34 15026056]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2009-08-06 16:15:38 141848]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2009-08-06 16:15:34 173592]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2009-08-06 16:15:36 150552]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2009-05-18 16:28:04 1314816]
"egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2009-11-16 08:03:32 2054360]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [2011-01-30 15:45:14 821144]
"SunJavaUpdateSched"="C:\Program Files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 13:49:28 249064]
"AdobeAAMUpdater-1.0"="C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-09-16 19:04:18 497648]
"SafeBootTrayManager"="C:\Program Files\SafeBoot Tray Manager\SbTrayManager.exe" [2009-08-19 13:20:52 69632]
"SafeBootTokenWatcher"="C:\Program Files\McAfee\Endpoint Encryption for PC\SbTokWatch.exe" [2009-11-24 11:44:26 172092]
"Adobe Acrobat Speed Launcher"="C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" [2011-01-30 15:45:16 36760]

C:\Users\ZED\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - C:\Users\ZED\AppData\Roaming\Dropbox\bin\Dropbox.exe [2010-2-26 21979992]


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^UltraMon.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\UltraMon.lnk
backup=C:\Windows\pss\UltraMon.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]
2011-01-30 15:45:16	36760	----a-w-	C:\Program Files\Adobe\Acrobat 10.0\Acrobat\acrobat_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-10-25 14:13:38	932288	----a-w-	C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
2010-07-22 21:10:47	402432	----a-w-	C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCSSync]
2010-03-13 13:54:26	91520	----a-w-	C:\Program Files\Microsoft Office\Office14\BCSSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2009-10-14 12:36:56	2793304	----a-w-	C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38:18	421888	----a-w-	C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
2010-02-19 12:37:14	517096	----a-w-	C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 12:16:28 130384]
R2 LENOVO.MICMUTE;Lenovo Microphone Mute;C:\Program Files\LENOVO\HOTKEY\MICMUTE.exe [2010-11-24 15:34:24 45496]
R3 btusbflt;Bluetooth USB Filter;C:\Windows\system32\drivers\btusbflt.sys [2010-08-18 09:53:42 45736]
R3 ggflt;SEMC USB Flash Driver Filter;C:\Windows\system32\DRIVERS\ggflt.sys [2009-04-06 07:13:52 13224]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\netw5v32.sys [2009-07-13 22:02:51 4231168]
R3 osppsvc;Office Software Protection Platform;C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 20:37:50 4640000]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;C:\Windows\system32\drivers\rdpvideominiport.sys [2010-11-20 10:21:14 15872]
R3 SrvHsfHDA;SrvHsfHDA;C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 22:13:45 207360]
R3 SrvHsfV92;SrvHsfV92;C:\Windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 22:13:46 980992]
R3 SrvHsfWinac;SrvHsfWinac;C:\Windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 22:13:45 661504]
R3 SwitchBoard;SwitchBoard;C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 12:37:14 517096]
R3 Synth3dVsc;Synth3dVsc;C:\Windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys [2010-11-20 10:24:41 52224]
R3 tsusbhub;tsusbhub;C:\Windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;C:\Windows\system32\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;C:\Windows\system32\Wat\WatAdminSvc.exe [2010-11-29 16:32:35 1343400]
S0 SafeBoot;SafeBoot; [x]
S0 SBAlg;SBAlg; [x]
S0 SbFsLock;SbFsLock; [x]
S1 ehdrv;ehdrv;C:\Windows\system32\DRIVERS\ehdrv.sys [2009-11-16 08:03:36 108792]
S1 lenovo.smi;Lenovo System Interface Driver;C:\Windows\system32\DRIVERS\smiif32.sys [2010-09-07 13:09:06 13680]
S1 RsvLock;RsvLock; [x]
S1 SbFlop;SbFlop; [x]
S1 SbRegFlt;SbRegFlt; [x]
S2 Akamai;Akamai NetSession Interface;C:\Windows\System32\svchost.exe [2009-07-14 01:14:41 20992]
S2 ekrn;ESET Service;C:\Program Files\ESET\ESET Smart Security\ekrn.exe [2009-11-16 08:04:30 735960]
S2 epfwwfp;epfwwfp;C:\Windows\system32\DRIVERS\epfwwfp.sys [2009-11-16 08:06:50 38240]
S2 Lenovo.VIRTSCRLSVC;Lenovo Auto Scroll;C:\Program Files\LENOVO\VIRTSCRL\lvvsst.exe [2010-04-07 13:37:38 93032]
S2 SafeBootClientManager;SafeBoot Client Manager;C:\Program Files\McAfee\Endpoint Encryption for PC\SbClientManager.exe [2009-11-24 11:43:38 380988]
S2 TPHKLOAD;Lenovo Hotkey Client Loader;C:\Program Files\LENOVO\HOTKEY\TPHKLOAD.exe [2010-12-03 09:57:38 99328]
S2 TPHKSVC;Anzeige am Bildschirm;C:\Program Files\LENOVO\HOTKEY\TPHKSVC.exe [2010-12-02 11:55:54 64440]
S2 UltraMonUtility;UltraMon Utility Driver;C:\Program Files\Common Files\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2008-11-14 01:11:30 17184]
S3 LenovoRd;LenovoRd;C:\Windows\system32\Drivers\LenovoRd.sys [2009-05-11 08:33:48 88832]
S3 NETwLv32;    Intel(R) Wireless WiFi Link der Serie 5000 Adaptertreiber für Windows Vista 32-Bit;C:\Windows\system32\DRIVERS\NETwLv32.sys [2010-08-16 06:26:30 6637056]
S3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;C:\Windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 00:18:07 17920]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai

Inhalt des "geplante Tasks" Ordners

cosinus · 24.03.2011, 10:06

Ganz duch sind wir noch nicht.

Zitat:

FW: ESET Personal Firewall *Enabled* {F3340042-195E-BB41-42D1-CDB495BB46DE}

Kann ich dir nur von abraten. Kannst du die PFW-Komponente einzeln deinstallieren? Wenn nicht, sollte ESET komplett runter und gegen einen reinen Virenscanner getuscht werden. PFWs sind heute sinnfrei bis kontraproduktiv, die Windows-Firewall ist um Längen besser und sicherer, auch einfacher zu handhaben.

Deinstallier es mal, dann sehen wir weiter.

Damnation · 24.03.2011, 14:12

Wow. Das hätt ich jetzt nicht erwartet.
Hier im Trojaner Universum hat sich ja einiges geändert. Keine HJT logs mehr, keine Firewalls mehr.

einzeln deinstallieren geht nicht, aber werd dann Smart Security neu draufspielen, aber ohne Firewall.

Danke einstweilen. Melde mich dann zurück, wenn alles klappt.

Die Malware ist jetzt beseitigt?
Wie krieg ich das denn jetzt hin, dass ich die autorun.inf Malware, die man hier per USBStick bekommt, nicht mehr kriege?

Danke!

Damnation

cosinus · 24.03.2011, 15:38

Zitat:

Wie krieg ich das denn jetzt hin, dass ich die autorun.inf Malware, die man hier per USBStick bekommt, nicht mehr kriege?

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor (Anleitung):

Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP.
Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Damnation · 24.03.2011, 20:25

Hallo,

hab jetzt nur noch das Antivirus von ESET drauf.

Dann hoff ich mal, dass ich geschützt bin.

USB Stick hab ich auch bereinigt. Desktop ist aber nicht kurz verschwunden, wie in der anleitung beschrieben. Bin mir also nicht sicher, ob das funktioniert hat...

Danke vielmals für deine Hilfe, Cosinus.

Lg Damnation

cosinus · 24.03.2011, 21:02

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Damnation · 24.03.2011, 21:12

Code:

ATTFilter

2011/03/24 16:08:15.0324 5656	TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/24 16:08:15.0386 5656	================================================================================
2011/03/24 16:08:15.0386 5656	SystemInfo:
2011/03/24 16:08:15.0386 5656	
2011/03/24 16:08:15.0386 5656	OS Version: 6.1.7601 ServicePack: 1.0
2011/03/24 16:08:15.0386 5656	Product type: Workstation
2011/03/24 16:08:15.0386 5656	ComputerName: LENNO
2011/03/24 16:08:15.0386 5656	UserName: ZED
2011/03/24 16:08:15.0386 5656	Windows directory: C:\Windows
2011/03/24 16:08:15.0386 5656	System windows directory: C:\Windows
2011/03/24 16:08:15.0386 5656	Processor architecture: Intel x86
2011/03/24 16:08:15.0386 5656	Number of processors: 2
2011/03/24 16:08:15.0386 5656	Page size: 0x1000
2011/03/24 16:08:15.0386 5656	Boot type: Normal boot
2011/03/24 16:08:15.0386 5656	================================================================================
2011/03/24 16:08:15.0792 5656	Initialize success
2011/03/24 16:08:18.0944 4608	================================================================================
2011/03/24 16:08:18.0944 4608	Scan started
2011/03/24 16:08:18.0944 4608	Mode: Manual; 
2011/03/24 16:08:18.0944 4608	================================================================================
2011/03/24 16:08:24.0570 4608	================================================================================
2011/03/24 16:08:24.0570 4608	Scan finished
2011/03/24 16:08:24.0570 4608	================================================================================

Gerade meinen USB Stick gescannt:

G:\VEROVALA\nebih.exe - Variante von Win32/Bflient.P Wurm
G:\RESTORE\k-1-3542-4232123213-7676767-8888886\RanDll.exe - Win32/AutoRun.Agent.LG Wurm
G:\9g86.exe - Win32/PSW.OnLineGames.NNU Trojaner
G:\autorun.inf - INF/Autorun Virus
G:\desktop.dll - Win32/AutoRun.COB Wurm

5 Meldungen. Ich nehm mal an, dass das Autorun Removal tool nicht funktioniert hat?

Danke

24.03.2011, 21:02	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Malware? Neu im Firmennetzwerk Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html __________________ Logfiles bitte immer in CODE-Tags posten

Malware? Neu im Firmennetzwerk

Log-Analyse und Auswertung: Malware? Neu im Firmennetzwerk