Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Boo/TDss.A nach Entfernen(?) von Alureon.A gefunden (https://www.trojaner-board.de/100345-boo-tdss-a-entfernen-alureon-a-gefunden.html)

zabbn 14.06.2011 20:36
Boo/TDss.A nach Entfernen(?) von Alureon.A gefunden
 
Hallo,

Ich habe die threads zu diesem thema gelesen. Allerdings habe ich auch andere malware-Funde und die bei den anderen Usern auftretenden Probleme sind so nicht bei mir vorhanden. Deshalb:

Nach dem Öffnen einer exe hatte ich einen bluescreen und habe nach Neustart Antivir installiert. Das teilte mir mit, dass auf dem Bootsektor Alureon.A gefunden wurde. Also habe ich per Computerreparaturoptionen den mbr neu schreiben lassen (bootrec.exe/fixmbr und den bootsektor: /fixboot). Anschließend wieder Antivir laufen lassen und das sagte mir dann, dass Boo/TDss.A gefunden wurde. Also habe ich erstmal OTL und Malwarebytes scannen lassen:

Anhang (1.Scan.zip)

Malwarebytes hat 3 Einträge entfernt, danach neu gestartet. Dann TDSSkiller ausgeführt und der zeigte einige (über 10) cure after reboot - Einträge (leider kein screen). Nach Neustart erneut gescannt:

Anhang (2.Scan.zip)

Malwarebytes findet keine bösartigen Einträge mehr. TDsskiller zeigt allerdings keine Veränderung in den Ergebnissen und findet immer noch einige Einträge (Anhang Screens.zip).

Es ist also immer noch was drauf, auch wenn die Symptome verschwunden sind...

Vielen Dank im Vorraus für jede Hilfe!

Grüße zabbn

cosinus 15.06.2011 11:14
Zitat:
Nach dem Öffnen einer exe hatte ich einen bluescreen
Eine "exe" zu welchem Sinn und Zweck? Aus welcher Quelle stammte sie?
Was besagte der Bluescreen?

zabbn 15.06.2011 16:36
bluescreen sagte unknown hard error oder so und ein code. Die exe kam aus einem usenet download... Ich habe sogar die Erlaubnis erteilt eine 3.exe auszuführen, weil ich zu ungeduldig war... Wie soll ich weiter vorgehen?

cosinus 15.06.2011 21:00
Zitat:
Die exe kam aus einem usenet download...
Sinn & Zweck der "exe"?

zabbn 15.06.2011 21:12
Warum ist das so wichtig? Sollte wohl eigentlich einen Setup starten, dem Namen nach zu folgen.

cosinus 15.06.2011 21:50
Zitat:
Warum ist das so wichtig?
Weil es über format c: oder Bereinigung entscheidet!

zabbn 15.06.2011 22:14
Also die Datei war auf meiner externen Festplatte. Wurde dann ausgeführt und der bluescreen war die Folge. Die externe ist erstmal getrennt. Muss ich jetzt wirklich neu aufsetzen, um alles loszuwerden?

cosinus 15.06.2011 22:27
Offensichtlich weißt du nicht mehr, was die Datei eigentlich machen sollte... :pfeiff:


Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

zabbn 15.06.2011 22:42
Die Datei sollte einen HP-Treiber-Setup ausführen (ich hatte keine Lust den 100kbit/s Download von der Originalsite abzuwarten... schlechte entscheidung)

Hier das logfile von combofix:

Combofix Logfile:
Code:
ComboFix 11-06-15.02 - Greg 15.06.2011  23:32:38.1.4 - x64
Microsoft Windows 7 Ultimate  6.1.7600.0.1252.49.1031.18.4094.3042 [GMT 2:00]
ausgeführt von:: c:\users\Greg\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-05-15 bis 2011-06-15  ))))))))))))))))))))))))))))))
.
.
2011-06-14 17:38 . 2011-05-29 07:11        39984        ----a-w-        c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-06-14 17:38 . 2011-06-14 17:38        --------        d-----w-        c:\programdata\Malwarebytes
2011-06-14 17:38 . 2011-06-14 17:38        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware
2011-06-14 17:38 . 2011-05-29 07:11        25912        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-06-14 16:56 . 2011-06-14 16:56        --------        d-----w-        C:\$WINDOWS.~BT
2011-06-14 16:16 . 2011-06-14 16:16        --------        d-----w-        c:\programdata\Avira
2011-06-14 16:16 . 2011-06-14 16:16        --------        d-----w-        c:\program files (x86)\Avira
2011-06-14 16:16 . 2011-04-01 15:07        83120        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2011-06-14 16:16 . 2011-04-01 15:07        116568        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-06-14 13:33 . 2011-06-14 17:42        --------        d-----w-        c:\programdata\Spybot - Search & Destroy
2011-06-14 13:33 . 2011-06-14 17:37        --------        d-----w-        c:\program files (x86)\SpybotS&D
2011-06-14 10:22 . 2011-05-24 17:12        8718160        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{559FD441-C988-4EC7-8AA8-AD45A921A337}\mpengine.dll
2011-06-12 20:42 . 2011-06-12 20:42        --------        d-----w-        c:\program files (x86)\YouTube Downloader
2011-06-09 10:41 . 2011-06-09 10:41        --------        d-----w-        c:\windows\system32\appmgmt
2011-06-09 10:31 . 2011-06-09 16:30        --------        d-----w-        c:\program files (x86)\EA Sports
2011-06-09 08:38 . 2011-06-09 08:38        404640        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-06-09 08:37 . 2011-06-09 08:37        --------        d-----w-        C:\Programs
2011-06-08 21:53 . 2009-07-14 01:41        101376        ----a-w-        c:\windows\system32\Spool\prtprocs\x64\HPZPPWN7.DLL
2011-06-08 21:08 . 2003-06-12 21:25        7062        ----a-w-        c:\windows\SysWow64\audiopid.vxd
2011-06-08 21:07 . 2011-06-08 21:07        --------        d--h--w-        c:\program files (x86)\Creative Installation Information
2011-06-08 21:07 . 2011-06-08 21:07        --------        d-----w-        c:\program files (x86)\Common Files\Creative
2011-06-08 21:07 . 2011-06-08 21:07        --------        d-----w-        c:\program files (x86)\Common Files\Creative Labs Shared
2011-06-08 21:07 . 2011-06-08 21:07        --------        d-----w-        c:\program files\Creative
2011-06-08 21:07 . 2011-06-09 08:55        --------        d-----w-        c:\program files (x86)\Creative
2011-06-08 21:07 . 2011-06-08 21:13        --------        d-----w-        c:\programdata\Creative
2011-06-08 21:07 . 2008-02-04 08:27        102400        ----a-w-        c:\windows\SysWow64\cttele32.dll
2011-06-08 21:07 . 2008-02-04 08:28        107008        ----a-w-        c:\windows\system32\cttele64.dll
2011-06-08 17:24 . 2011-06-08 17:29        --------        d-----w-        c:\programdata\regid.1986-12.com.adobe
2011-06-08 17:21 . 2003-04-18 17:06        8192        ----a-w-        c:\windows\SysWow64\srvany.exe
2011-06-08 17:18 . 2011-06-08 17:18        --------        d-----w-        c:\program files (x86)\Adobe Media Player
2011-06-08 17:08 . 2011-06-08 17:08        --------        d-----w-        c:\program files (x86)\Common Files\Adobe AIR
2011-06-08 16:42 . 2011-06-08 16:42        --------        d-----w-        c:\program files\Eraser
2011-06-08 16:41 . 2011-06-08 16:41        --------        d-----w-        c:\windows\SysWow64\QuickTime
2011-06-08 16:41 . 2011-06-08 16:41        --------        d-----w-        c:\program files (x86)\3ivx
2011-06-08 16:41 . 2011-06-08 16:41        --------        d-----w-        c:\program files (x86)\Common Files\Java
2011-06-08 16:39 . 2011-06-08 16:39        --------        d-----w-        c:\program files (x86)\Microsoft Synchronization Services
2011-06-08 16:38 . 2011-06-08 16:38        --------        d-----w-        c:\windows\PCHEALTH
2011-06-08 16:38 . 2011-06-08 16:38        --------        d-----w-        c:\program files (x86)\Microsoft.NET
2011-06-08 16:38 . 2011-06-08 16:38        --------        d-----w-        c:\program files (x86)\Microsoft SQL Server Compact Edition
2011-06-08 16:37 . 2011-06-08 16:37        --------        d-----w-        c:\program files (x86)\Microsoft Analysis Services
2011-06-08 16:37 . 2011-06-08 16:40        --------        d-----w-        c:\programdata\Microsoft Help
2011-06-08 16:36 . 2011-06-08 16:36        --------        d-----r-        C:\MSOCache
2011-06-08 16:30 . 2011-06-08 16:30        513080        ----a-w-        c:\windows\system32\drivers\sptd.sys
2011-06-08 16:30 . 2011-06-08 16:30        --------        d-----w-        c:\program files (x86)\DAEMON Tools Lite
2011-06-08 16:19 . 2011-06-08 16:19        --------        d-----w-        c:\programdata\ATI
2011-06-08 16:18 . 2011-06-08 16:18        0        ----a-w-        c:\windows\ativpsrm.bin
2011-06-08 16:02 . 2011-05-24 17:14        270720        ------w-        c:\windows\system32\MpSigStub.exe
2011-06-08 16:02 . 2011-06-08 16:02        --------        d-----w-        C:\ATI
2011-06-08 16:01 . 2011-06-08 16:01        --------        d-----w-        c:\program files (x86)\Renesas Electronics
2011-06-08 16:00 . 2011-06-08 16:00        --------        d-----w-        c:\program files\7-Zip
2011-06-08 15:56 . 2011-01-13 11:58        74272        ----a-w-        c:\windows\system32\RtNicProp64.dll
2011-06-08 15:56 . 2011-01-13 11:58        413800        ----a-w-        c:\windows\system32\drivers\Rt64win7.sys
2011-06-08 15:56 . 2011-01-13 11:58        107552        ----a-w-        c:\windows\system32\RTNUninst64.dll
2011-06-08 15:56 . 2011-06-08 15:56        --------        d-----w-        c:\program files (x86)\Realtek
2011-06-08 15:56 . 2011-06-09 08:56        --------        d--h--w-        c:\program files (x86)\InstallShield Installation Information
2011-06-08 15:56 . 2011-06-08 17:20        --------        d-----w-        c:\program files (x86)\Common Files\Adobe
2011-06-08 15:55 . 2011-06-08 16:12        --------        d-----w-        c:\programdata\DivX
2011-06-08 15:55 . 2011-06-14 17:08        --------        d-----w-        c:\programdata\DAEMON Tools Lite
2011-06-08 15:54 . 2011-06-08 15:54        --------        d-----w-        c:\program files (x86)\DVDVideoSoft
2011-06-08 15:54 . 2011-06-08 15:54        --------        d-----w-        c:\program files (x86)\Common Files\Plasmoo
2011-06-08 15:54 . 2011-06-08 15:54        --------        d-----w-        c:\program files (x86)\YouTube Converter
2011-06-08 15:54 . 2011-06-08 15:54        --------        d-----w-        c:\program files (x86)\Common Files\DVDVideoSoft
2011-06-08 15:52 . 2011-06-08 16:13        --------        d-----w-        c:\program files (x86)\Google
2011-06-08 15:52 . 2011-06-08 15:52        --------        d-----w-        c:\program files (x86)\GrabIt
2011-06-08 15:52 . 2011-06-08 15:52        --------        d-----w-        c:\windows\SysWow64\Macromed
2011-06-08 15:50 . 2011-06-08 15:50        --------        d-----w-        c:\program files (x86)\OpenOffice.org 3
2011-06-08 15:49 . 2011-05-04 02:52        472808        ----a-w-        c:\windows\SysWow64\deployJava1.dll
2011-06-08 15:49 . 2011-06-08 16:41        --------        d-----w-        c:\program files (x86)\Java
2011-06-08 15:47 . 2011-06-09 16:36        --------        d-sh--w-        c:\windows\Installer
2011-06-08 15:46 . 2011-06-08 15:46        --------        d-----w-        c:\program files (x86)\Opera
2011-06-08 15:46 . 2011-06-08 21:53        --------        d-----w-        c:\program files (x86)\Mozilla Thunderbird
2011-06-08 15:46 . 2011-06-08 15:46        230352        ----a-w-        c:\windows\system32\drivers\truecrypt.sys
2011-06-08 15:46 . 2011-06-08 15:46        --------        d-----w-        c:\program files\TrueCrypt
2011-06-08 15:45 . 2011-06-08 15:45        --------        d-----w-        c:\program files (x86)\VideoLAN
2011-06-08 15:43 . 2011-06-08 15:43        --------        d-----w-        c:\program files (x86)\QuickPar
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-04 23:28 . 2011-05-04 23:28        59904        ----a-w-        c:\windows\SysWow64\OVDecode.dll
2011-05-04 23:27 . 2011-05-04 23:27        51712        ----a-w-        c:\windows\SysWow64\OpenCL.dll
2011-05-04 23:27 . 2011-05-04 23:27        12385280        ----a-w-        c:\windows\SysWow64\amdocl.dll
2011-04-20 02:44 . 2011-04-20 02:44        9319936        ----a-w-        c:\windows\system32\drivers\atikmdag.sys
2011-04-20 02:30 . 2011-04-20 02:30        22900736        ----a-w-        c:\windows\system32\atio6axx.dll
2011-04-20 02:09 . 2011-04-20 02:09        151552        ----a-w-        c:\windows\system32\atiapfxx.exe
2011-04-20 02:09 . 2011-04-20 02:09        676864        ----a-w-        c:\windows\SysWow64\aticfx32.dll
2011-04-20 02:07 . 2011-04-20 02:07        795648        ----a-w-        c:\windows\system32\aticfx64.dll
2011-04-20 02:07 . 2011-04-20 02:07        17693184        ----a-w-        c:\windows\SysWow64\atioglxx.dll
2011-04-20 02:05 . 2011-04-20 02:05        462848        ----a-w-        c:\windows\system32\ATIDEMGX.dll
2011-04-20 02:04 . 2011-04-20 02:04        480256        ----a-w-        c:\windows\system32\atieclxx.exe
2011-04-20 02:04 . 2011-04-20 02:04        203776        ----a-w-        c:\windows\system32\atiesrxx.exe
2011-04-20 02:03 . 2011-04-20 02:03        120320        ----a-w-        c:\windows\system32\atitmm64.dll
2011-04-20 02:02 . 2011-04-20 02:02        423424        ----a-w-        c:\windows\system32\atipdl64.dll
2011-04-20 02:02 . 2011-04-20 02:02        356352        ----a-w-        c:\windows\SysWow64\atipdlxx.dll
2011-04-20 02:02 . 2011-04-20 02:02        278528        ----a-w-        c:\windows\SysWow64\Oemdspif.dll
2011-04-20 02:02 . 2011-04-20 02:02        16384        ----a-w-        c:\windows\system32\atimuixx.dll
2011-04-20 02:02 . 2011-04-20 02:02        59392        ----a-w-        c:\windows\system32\atiedu64.dll
2011-04-20 02:02 . 2011-04-20 02:02        43520        ----a-w-        c:\windows\SysWow64\ati2edxx.dll
2011-04-20 01:59 . 2011-04-20 01:59        4161536        ----a-w-        c:\windows\SysWow64\atidxx32.dll
2011-04-20 01:49 . 2011-04-20 01:49        4951552        ----a-w-        c:\windows\system32\atidxx64.dll
2011-04-20 01:46 . 2011-04-20 01:46        51200        ----a-w-        c:\windows\system32\aticalrt64.dll
2011-04-20 01:46 . 2011-04-20 01:46        46080        ----a-w-        c:\windows\SysWow64\aticalrt.dll
2011-04-20 01:46 . 2011-04-20 01:46        44544        ----a-w-        c:\windows\system32\aticalcl64.dll
2011-04-20 01:46 . 2011-04-20 01:46        44032        ----a-w-        c:\windows\SysWow64\aticalcl.dll
2011-04-20 01:45 . 2011-04-20 01:45        7768064        ----a-w-        c:\windows\system32\aticaldd64.dll
2011-04-20 01:42 . 2011-04-20 01:42        6389760        ----a-w-        c:\windows\SysWow64\aticaldd.dll
2011-04-20 01:40 . 2011-04-20 01:40        1222656        ----a-w-        c:\windows\system32\atiumd6v.dll
2011-04-20 01:40 . 2011-04-20 01:40        1923584        ----a-w-        c:\windows\SysWow64\atiumdmv.dll
2011-04-20 01:40 . 2011-04-20 01:40        3868672        ----a-w-        c:\windows\system32\atiumd6a.dll
2011-04-20 01:38 . 2011-04-20 01:38        4286464        ----a-w-        c:\windows\SysWow64\atiumdag.dll
2011-04-20 01:31 . 2011-04-20 01:31        5440000        ----a-w-        c:\windows\system32\atiumd64.dll
2011-04-20 01:30 . 2011-04-20 01:30        4056576        ----a-w-        c:\windows\SysWow64\atiumdva.dll
2011-04-20 01:27 . 2011-04-20 01:27        58880        ----a-w-        c:\windows\system32\coinst.dll
2011-04-20 01:23 . 2011-04-20 01:23        366080        ----a-w-        c:\windows\system32\atiadlxx.dll
2011-04-20 01:23 . 2011-04-20 01:23        262144        ----a-w-        c:\windows\SysWow64\atiadlxy.dll
2011-04-20 01:22 . 2011-04-20 01:22        14848        ----a-w-        c:\windows\system32\atig6pxx.dll
2011-04-20 01:22 . 2011-04-20 01:22        12800        ----a-w-        c:\windows\SysWow64\atiglpxx.dll
2011-04-20 01:22 . 2011-04-20 01:22        12800        ----a-w-        c:\windows\system32\atiglpxx.dll
2011-04-20 01:22 . 2011-04-20 01:22        39936        ----a-w-        c:\windows\system32\atig6txx.dll
2011-04-20 01:22 . 2011-04-20 01:22        32768        ----a-w-        c:\windows\SysWow64\atigktxx.dll
2011-04-20 01:22 . 2011-04-20 01:22        306176        ----a-w-        c:\windows\system32\drivers\atikmpag.sys
2011-04-20 01:21 . 2011-04-20 01:21        40960        ----a-w-        c:\windows\system32\atiuxp64.dll
2011-04-20 01:21 . 2011-04-20 01:21        31232        ----a-w-        c:\windows\SysWow64\atiuxpag.dll
2011-04-20 01:21 . 2011-04-20 01:21        38912        ----a-w-        c:\windows\system32\atiu9p64.dll
2011-04-20 01:21 . 2011-04-20 01:21        29184        ----a-w-        c:\windows\SysWow64\atiu9pag.dll
2011-04-20 01:20 . 2011-04-20 01:20        53248        ----a-w-        c:\windows\system32\drivers\ati2erec.dll
2011-04-20 01:13 . 2011-04-20 01:13        53760        ----a-w-        c:\windows\system32\atimpc64.dll
2011-04-20 01:13 . 2011-04-20 01:13        53760        ----a-w-        c:\windows\system32\amdpcom64.dll
2011-04-20 01:13 . 2011-04-20 01:13        52736        ----a-w-        c:\windows\SysWow64\atimpc32.dll
2011-04-20 01:13 . 2011-04-20 01:13        52736        ----a-w-        c:\windows\SysWow64\amdpcom32.dll
2011-04-19 20:10 . 2011-04-19 20:10        61952        ----a-w-        c:\windows\system32\OVDecode64.dll
2011-04-19 20:10 . 2011-04-19 20:10        53760        ----a-w-        c:\windows\system32\OpenCL.dll
2011-04-19 20:10 . 2011-04-19 20:10        16116224        ----a-w-        c:\windows\system32\amdocl64.dll
2011-03-30 18:46 . 2011-03-30 18:46        114704        ----a-w-        c:\windows\system32\drivers\AtihdW76.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2011-01-20 1305408]
"AdobeBridge"="c:\program files (x86)\Adobe\Adobe Bridge CS5\Bridge.exe" [2010-03-09 11989960]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-11-17 113288]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-04-19 336384]
"BCSSync"="c:\program files (x86)\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"CTxfiHlp"="CTXFIHLP.EXE" [2010-05-05 25600]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-03-28 281768]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-08 136176]
R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]
R3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2011-06-08 79360]
R3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.SYS [x]
R3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.SYS [x]
R3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.SYS [x]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-04-19 365568]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-03-28 136360]
S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [x]
S3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\System32\drivers\CT20XUT.SYS [x]
S3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\System32\drivers\CTEXFIFX.SYS [x]
S3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\System32\drivers\CTHWIUT.SYS [x]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [x]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-08 16:13]
.
2011-06-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-08 16:13]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="c:\progra~1\Eraser\Eraser.exe" [2010-11-04 980368]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube to MP3 Converter - c:\users\Greg\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~2\MICROS~1\Office14\EXCEL.EXE/3000
IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - c:\users\Greg\Desktop\PartyCasino.lnk
TCP: DhcpNameServer = 80.69.100.198 80.69.100.206
FF - ProfilePath - c:\users\Greg\AppData\Roaming\Mozilla\Firefox\Profiles\sc8m8ss8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10s_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10s_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10s.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10s.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10s.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10s.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Creative\Shared Files\CTAudSvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-06-15  23:39:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-06-15 21:39
.
Vor Suchlauf: 9 Verzeichnis(se), 454.474.932.224 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 454.572.920.832 Bytes frei
.
- - End Of File - - 592C1368376D75283E42478329C2EFE8
--- --- ---

cosinus 16.06.2011 09:06
Ist ziemlich unauffällig.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


zabbn 20.06.2011 17:00
Liste der Anhänge anzeigen (Anzahl: 1)
Hi,

danke erstmal bis hier hin für deine Hilfe!
Ich war leider das Wochenende nicht an diesem PC und hatte die Tage davor keine Zeit zu antworten...

Also Malwarebytes sagt

Zitat:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6901

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20.06.2011 14:29:00
mbam-log-2011-06-20 (14-29-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Durchsuchte Objekte: 317677
Laufzeit: 41 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
f:\system volume information\_restore{4521c443-6e0a-448e-85c6-4e91f87786a9}\RP142\A0118129.exe (Trojan.Bancos) -> Quarantined and deleted successfully.
und SASW

Zitat:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/20/2011 at 04:42 PM

Application Version : 4.54.1000

Core Rules Database Version : 7288
Trace Rules Database Version: 5100

Scan type : Complete Scan
Total Scan Time : 02:01:35

Memory items scanned : 714
Memory threats detected : 0
Registry items scanned : 13482
Registry threats detected : 0
File items scanned : 154584
File threats detected : 7

Adware.Tracking Cookie
C:\Users\Greg\AppData\Roaming\Microsoft\Windows\Cookies\greg@www1.partypoker[2].txt
C:\Users\Greg\AppData\Roaming\Microsoft\Windows\Cookies\greg@smartadserver[1].txt
C:\Users\Greg\AppData\Roaming\Microsoft\Windows\Cookies\greg@earlyexperience.partyaccount[2].txt
C:\Users\Greg\AppData\Roaming\Microsoft\Windows\Cookies\greg@partypoker[1].txt
C:\Users\Greg\AppData\Roaming\Microsoft\Windows\Cookies\greg@2o7[1].txt
ia.media-imdb.com [ C:\Users\Greg\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\PWQUZYFP ]
media.dreamhost.com [ C:\Users\Greg\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\PWQUZYFP ]
Der ESET kann nicht geupdatet werden ("Cannot get update. Is proxy configured?" Kein Proxy benutzt).

Musste jetzt feststellen, dass auf beiden Externen seltsame versteckte Ordner sind, wie auch auf meiner System-Festplatte, habe einen Screenshot als Anhang zugefügt. Vielleicht ahst du ja irgendeine Idee dazu ;)

cosinus 20.06.2011 18:23
Zitat:
Der ESET kann nicht geupdatet werden ("Cannot get update. Is proxy configured?" Kein Proxy benutzt).
Bitte prüfen => http://www.trojaner-board.de/94344-p...n-pruefen.html

Zitat:
Musste jetzt feststellen, dass auf beiden Externen seltsame versteckte Ordner sind, wie auch auf meiner System-Festplatte, habe einen Screenshot als Anhang zugefügt. Vielleicht ahst du ja irgendeine Idee dazu
Siehe http://www.trojaner-board.de/59624-a...-sichtbar.html (analog andersrum vorgehen) - diese Objekte sind sichtbar, weil dir nun wirklich alle Dateien angezeigt werden

zabbn 20.06.2011 18:40
Okay das mit den Ordnern kannte ich eigentlich^^ Nur der Ordnername "$WINDOWS.~BT" hatte mich gewundert.

Laut IExplorer ist kein Proxy aktiv. OTL sagt:

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

Das dürfte also kein Problem sein. Was meinst du zu den Logs? Sieht eigentlich sauber aus oder?

Grüße, zabbn

cosinus 20.06.2011 19:03
Nur ein Überrest in der SWH und der Rest nur Cookies.
Aber ich wunder mich, dass ESET sich nicht updaten kann...

zabbn 20.06.2011 19:24
Was meinst du mit SWH?
ESET hat jetzt plötzlich funktioniert. Scannt gerade, ich trags gleich nach.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:10 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131