Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   iwebcal.dll Rootkit? (https://www.trojaner-board.de/108210-iwebcal-dll-rootkit.html)

popeye2 17.01.2012 15:33
iwebcal.dll Rootkit?
 
was könnte das sein?
MBAM wurde extrem langsam bei etwa 38000 Dateien, deshalb habe ich den Prozeß abgebrochen. Nachdem Neustart wird nichts mehr gefunden, MBAM wird aber wieder extrem langsam ( aber nur 1% CPU Last)
Browser wird teilweise umgelenkt. (evtl mediashifting?)
Grüße
P.
----------------log---------------------------
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.17.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
xxx :: yyy [Administrator]

17.01.2012 14:17:06
mbam-log-2012-01-17 (14-17-06).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 40376
Laufzeit: 11 Minute(n), 1 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 1
C:\WINDOWS\system32\iwebcal.dll (Rootkit.0Access) -> Löschen bei Neustart.

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\WINDOWS\system32\iwebcal.dll (Rootkit.0Access) -> Löschen bei Neustart.

(Ende)

markusg 17.01.2012 15:34
hi,
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

popeye2 17.01.2012 16:16
zuerst musste ich die Microsoft wiederherstellungskonsole installieren (lassen)
dann kam ein popup mit rootkit zero access (oder so ähnlich), dass sich über den tcp/Ip stack eingenistet habe. Dann noch ein Hinweis dass es schwierig wird und man evtl. ein zweites mal scannen muss.
Das blaue scan fenster läuft aber noch

popeye2 17.01.2012 16:18
neuer popup: combo fix hat die Anwesenheit von Rootkitaktivitäten festgestellt und muss den PC neu starten.

markusg 17.01.2012 16:33
hi, ich brauch kein minütliches update :-)
führe einfach die anweisungen aus und schreib von mir aus am ende ne zusammenfassung.

popeye2 17.01.2012 17:18
Hi,
war etwas verunsichert, da ich Combofix nicht kannte.
Hier die logdatei
danke und Grüße
P.

----log-------------
Combofix Logfile:
Code:
ComboFix 12-01-17.01 - whw 17.01.2012  16:38:41.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1684 [GMT 1:00]
ausgeführt von:: K:\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\00000001.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\000000c0.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\000000cb.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\000000cf.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\80000000.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\800000c0.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\800000cb.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\800000cf.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\X
c:\windows\$NtUninstallKB3255$
c:\windows\$NtUninstallKB3255$\3725499912
c:\windows\$NtUninstallKB3255$\485945278\@
c:\windows\$NtUninstallKB3255$\485945278\L\yrwgxlni
c:\windows\$NtUninstallKB3255$\485945278\loader.tlb
c:\windows\$NtUninstallKB3255$\485945278\U\@00000001
c:\windows\$NtUninstallKB3255$\485945278\U\@000000c0
c:\windows\$NtUninstallKB3255$\485945278\U\@000000cb
c:\windows\$NtUninstallKB3255$\485945278\U\@000000cf
c:\windows\$NtUninstallKB3255$\485945278\U\@80000000
c:\windows\$NtUninstallKB3255$\485945278\U\@800000c0
c:\windows\$NtUninstallKB3255$\485945278\U\@800000cb
c:\windows\$NtUninstallKB3255$\485945278\U\@800000cf
c:\windows\cres1100.exe
c:\windows\Downloaded Installations\BMP
c:\windows\Downloaded Installations\BMP\{3EC80B16-01FE-4E08-846E-F6B92F202CBF}\1031.MST
c:\windows\Downloaded Installations\BMP\{3EC80B16-01FE-4E08-846E-F6B92F202CBF}\BMP.msi
c:\windows\system32\mbackmonitor.dll
c:\windows\system32\SET54.tmp
c:\windows\system32\SET58.tmp
c:\windows\system32\SET59.tmp
c:\windows\system32\SET60.tmp
c:\windows\system32\UNWISE.EXE
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_PciBus
-------\Service_PciBus
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-12-17 bis 2012-01-17  ))))))))))))))))))))))))))))))
.
.
2012-01-17 15:53 . 2012-01-17 15:53        118784        ----a-w-        c:\windows\system32\chg.exe
2012-01-17 13:08 . 2012-01-17 13:08        --------        d-----w-        c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-01-16 11:50 . 2012-01-16 11:50        2106216        ----a-w-        c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2012-01-16 11:50 . 2012-01-16 11:50        1998168        ----a-w-        c:\programme\Mozilla Firefox\d3dx9_43.dll
2012-01-16 11:50 . 2012-01-16 11:50        121816        ----a-w-        c:\programme\Mozilla Firefox\components\browsercomps.dll
2012-01-16 11:50 . 2012-01-16 11:50        97240        ----a-w-        c:\programme\Mozilla Firefox\libEGL.dll
2012-01-16 11:50 . 2012-01-16 11:50        814040        ----a-w-        c:\programme\Mozilla Firefox\mozsqlite3.dll
2012-01-16 11:50 . 2012-01-16 11:50        626688        ----a-w-        c:\programme\Mozilla Firefox\msvcr80.dll
2012-01-16 11:50 . 2012-01-16 11:50        548864        ----a-w-        c:\programme\Mozilla Firefox\msvcp80.dll
2012-01-16 11:50 . 2012-01-16 11:50        486360        ----a-w-        c:\programme\Mozilla Firefox\libGLESv2.dll
2012-01-16 11:50 . 2012-01-16 11:50        479232        ----a-w-        c:\programme\Mozilla Firefox\msvcm80.dll
2012-01-16 11:50 . 2012-01-16 11:50        43992        ----a-w-        c:\programme\Mozilla Firefox\mozutils.dll
2012-01-16 11:50 . 2012-01-16 11:50        2124760        ----a-w-        c:\programme\Mozilla Firefox\mozjs.dll
2012-01-16 11:50 . 2012-01-16 11:50        15832        ----a-w-        c:\programme\Mozilla Firefox\mozalloc.dll
2012-01-12 22:46 . 2012-01-17 13:30        0        --sha-w-        c:\windows\system32\dds_log_trash.cmd
2012-01-12 10:18 . 2012-01-12 10:18        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2012-01-12 10:18 . 2012-01-12 10:18        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2012-01-12 10:13 . 2012-01-17 15:48        --------        d-sh--w-        c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-17 15:57 . 2008-11-19 10:49        4382        ----a-w-        c:\windows\system32\PerfStringBackup.TMP
2011-12-10 14:24 . 2011-03-15 14:06        20464        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-11-29 08:45 . 2011-11-29 08:45        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-25 21:57 . 2006-02-28 01:00        293888        ----a-w-        c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2006-02-28 01:00        1859712        ----a-w-        c:\windows\system32\win32k.sys
2011-11-20 06:12 . 2006-02-28 01:00        61952        ----a-w-        c:\windows\system32\packager.exe
2011-11-04 19:13 . 2006-02-28 01:00        916992        ----a-w-        c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2006-02-28 01:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2011-11-04 19:13 . 2006-02-28 01:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl
2011-11-04 11:23 . 2006-02-28 01:00        385024        ----a-w-        c:\windows\system32\html.iec
2011-11-03 15:28 . 2006-02-28 01:00        387072        ----a-w-        c:\windows\system32\qdvd.dll
2011-11-03 15:28 . 2006-02-28 01:00        1297920        ----a-w-        c:\windows\system32\quartz.dll
2011-11-01 16:07 . 2006-02-28 01:00        1288704        ----a-w-        c:\windows\system32\ole32.dll
2011-10-28 05:31 . 2006-02-28 01:00        33280        ----a-w-        c:\windows\system32\csrsrv.dll
2011-10-26 10:49 . 2006-02-28 01:00        2151424        ----a-w-        c:\windows\system32\ntoskrnl.exe
2011-10-26 10:49 . 2006-02-28 01:00        2029568        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2012-01-16 11:50 . 2012-01-16 11:50        121816        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-21 8466432]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"nwiz"="nwiz.exe" [2007-09-21 1626112]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-10-08 127036]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\SO\Startmenü\Programme\Autostart\
OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [N/A]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
AVer HID Receiver.lnk - c:\programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerHIDReceiver.exe [N/A]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk /r \??\f:\0autocheck autochk *\0lsdelete
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-09-24 11:57        2254120        ----a-w-        c:\programme\Nero\Nero BackItUp 4\NBKeyScan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\FileZilla\\FileZilla.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2799:UDP"= 2799:UDP:Altova License Metering Port (UDP)
"2799:TCP"= 2799:TCP:Altova License Metering Port (TCP)
.
R2 DtapiService;DTAPI Service;c:\programme\Gemeinsame Dateien\DekTec\DtapiService\DtapiService.exe [26.11.2010 16:37 2928640]
R2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [07.01.2010 15:07 135664]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [15.07.2008 07:40 6016]
R3 Dta1xx;Dta1xx;c:\windows\system32\drivers\Dta1xx.sys [12.07.2007 15:16 108440]
S3 alusbDVB;ALUSBDVB Service;c:\windows\system32\drivers\ATUSBVID.sys [15.09.2009 09:47 28416]
S3 BENDER;Pinnacle AV/DV2 Capture;c:\windows\system32\drivers\bender.sys [24.08.2009 10:04 203264]
S3 C3LWebServer;C3L Webserver;c:\programme\C3L-Install\C3L-Webserver.exe [17.09.2005 19:30 53248]
S3 Cap7146_DVB;TechnoTrend BDA/DVB Capture;c:\windows\system32\drivers\TTCap46n.sys [16.10.2008 15:26 81024]
S3 CyUsb;Broadcom Generic USB Driver;c:\windows\system32\drivers\BcmUSB.sys [30.07.2008 11:51 31872]
S3 DCamUSB20;Crescentec DC-1100;c:\windows\system32\Drivers\CsMini20.sys --> c:\windows\system32\Drivers\CsMini20.sys [?]
S3 DirectIO;DirectIO;c:\windows\system32\Drivers\DirectIO.sys --> c:\windows\system32\Drivers\DirectIO.sys [?]
S3 Dtu2xx;Dtu2xx Driver;c:\windows\system32\drivers\Dtu2xx.sys [12.05.2010 13:06 1177240]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [07.01.2010 15:07 135664]
S3 IwUSB;IwUSB Driver;c:\windows\system32\Drivers\IwUSB.sys --> c:\windows\system32\Drivers\IwUSB.sys [?]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [29.06.2007 01:01 42512]
S3 PPJoyBus;Parallel Port Joystick Bus device driver;c:\windows\system32\drivers\PPJoyBus.sys [23.01.2004 16:33 13952]
S3 PPortJoystick;Parallel Port Joystick device driver;c:\windows\system32\drivers\PPortJoy.sys [23.01.2004 16:32 28800]
S3 PTDVB;TechnoTrend BDA/DVB Tuner;c:\windows\system32\drivers\TTFEDVBn.sys [16.10.2008 15:26 253952]
S3 T32USB;TRACE32 USB Driver;c:\windows\system32\drivers\t32usb.sys [05.05.2009 12:44 26808]
S3 TRIDCap;AVerMedia service;c:\windows\system32\drivers\AVerTM62.sys [12.04.2010 09:59 607488]
S3 ttBudget2;TechnoTrend BDA/DVB (BDA);c:\windows\system32\drivers\ttBudget2.sys [20.10.2008 09:27 421760]
S3 VirtDisk;XSS Virtual Disk Driver;c:\windows\SMINST\virtdisk.sys [22.03.2007 12:21 57344]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
GcKernel
PciBus
avgems
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-07-30 08:39        451872        ----a-w-        c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-01-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-07 14:07]
.
2012-01-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-07 14:07]
.
2012-01-17 c:\windows\Tasks\User_Feed_Synchronization-{315F0BC0-2C62-46B4-97FB-AE20A6569633}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: Interfaces\{25CAFF76-1A71-475A-8E91-33A362967EF3}: NameServer = 213.73.91.35,192.168.0.254
FF - ProfilePath - c:\dokumente und einstellungen\whw\Anwendungsdaten\Mozilla\Firefox\Profiles\8pjiir2i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.heise.de/
FF - prefs.js: network.proxy.http - 192.168.0.198
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Hardlock Gerätetreiber - c:\windows\system32\UNWISE.EXE
AddRemove-KB923789 - c:\windows\system32\MacroMed\Flash\genuinst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-01-17 17:01
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3192)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSDE.DLL
c:\windows\system32\webcheck.dll
c:\windows\system32\nvwddi.dll
c:\windows\system32\mshtml.dll
c:\windows\system32\msls31.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programme\Nero\Nero BackItUp 4\NBShell.dll
c:\programme\Malwarebytes' Anti-Malware\mbamext.dll
c:\programme\Quick PDF Tools\QuickPDFTools.dll
c:\programme\7-Zip\7-zip.dll
c:\windows\System32\DLA\DLASHX_W.DLL
c:\windows\system32\DLAAPI_W.DLL
c:\windows\System32\DLA\DLACResW.dll
c:\programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
c:\programme\OpenOffice.org 3\Basis\program\shlxthdl\stlport_vc7145.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Nero\Nero BackItUp 4\IoctlSvc.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-01-17  17:05:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-01-17 16:05
ComboFix2.txt  2008-11-19 11:51
.
Vor Suchlauf: 36 Verzeichnis(se), 141.569.687.552 Bytes frei
Nach Suchlauf: 39 Verzeichnis(se), 143.419.371.520 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - FA5B4CCA78F0048CA1B64DD23596ED82
--- --- ---

markusg 17.01.2012 17:29
sorry dann war das ok so.
öffne mal bitte c: qoobox rechtsklick quarantain, mit winrar zip oder anderem archivierungsprogramm packen und archiv hochladen.
http://upload.trojaner-board.de/]Uploadchannel

popeye2 17.01.2012 18:24
hab ich gemacht.
Obiger Link hatte wohl einen Dipbveeler :crazy:
Ist der Rechner jetzt clean oder war das bisher nur Pflicht(Analyse) und die Kür kommt noch?
Danke soweit
Gruß
P.

markusg 17.01.2012 18:40
ja hatte er.
danke
nutzt du das system für onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches?

popeye2 17.01.2012 18:44
überwiegend beruflich.
Kann man noch erkennen wann die Infektion erfolgte?
Dann werde ich mal die Firefox chronik durchwühlen wo ich das aufgefangen habe. Diese Datei BMP.msi im log sieht ja sehr verdächtig aus, war aber sicher von einem anderen Benutzer wie von mir angeklickt worden

markusg 17.01.2012 18:52
kann man nicht erkennen
aber du kannst ja mal im verlauf gucken, wenn du was findest dann als private nachicht an mich.
das system muss dann aber auf jeden fall formatiert und neu aufgesetzt und dann abgesichert werden.

markusg 17.01.2012 19:00
hast du nicht gesagt du hättest mir den ordner gepackt hochgeladen? quarantain meine ich, da ist nichts.
File-Upload.net - Ihr kostenloser File Hoster!
dort hochladen, link als private nachicht an mich.

popeye2 18.01.2012 08:41
hochgeladen,schon,
weiß aber nicht ob es erfolgreich war (20MB)
Grüße
P.
PS. schicke es nochmal über filehoster und link per pm

markusg 18.01.2012 12:07
hi, also, wie gesagt, das system muss neu aufgesetzt werden, die infektion wird wohl irgendwann dieses jahr statt gefunden haben
und danke für den upload

popeye2 18.01.2012 18:45
0-access Rootkit?
 
Ich habe zu danken für die schnelle Hilfe.
Werde mal versuchen, die nicht mehr funktionierenden Programme erneut zu installieren. Wäre sehr ärgerlich bei einer Workstation mit diversen Software Lizenzdateien, das System neu aufzusetzen (ich müsste vermutlich einige neu anfordern).
Soweit ich die Meldungen der Antivirenhersteller verstanden habe, überschreibt der 0-access Rootkit wahllos Windowssystemprogramme, die nach dem Cleanen natürlich nicht mehr zur Verfügung stehen. Werde das mal pragmatisch angehen und sehen was zu retten ist.

markusg 18.01.2012 18:46
hi, lizenzen sichern wäre eig kein problem, sind das microsoft programme oder welche genau?
überschrieben wird eigendlich nichts, ne sicherung ist daher möglich.
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

popeye2 18.01.2012 21:07
Es ist einmal die schiere Masse der Programme (Zeitaufwand)
-einiges davon Spezialsoftware (beruflich genutzte Workstation): Probleme macht z.B. lizensierte Shareware z.B. von HHD, deren Lizenzkeys per email verschickt wurden und dann nur bestimmte Zeit das Proggie freischalten können. Einmal freigeschaltet, läuft es aber.
Ein anderes Problem sind die diversen Adobe CS Programme.
Ein drittes NDA-unterliegende Software (Entwicklertools), die kann man nicht einfach so erneut downloaden, und der download cache wurde ja freundlicherweise gleich mitgelöscht.
Naja. Hauptsache der Dreck ist weg.
Wie man Backups macht weiß ich, und wie man versaute Windowsinstallationen wieder geradebiegt auch :-), - meistens zumindest - :party: oft sind es ja defekte Sektoren oder hot-off geschaltete Rechner mit zerschossenem Filesystem. Aber das habe ich im Griff.
Der Rechner ist durchdacht partitioniert, die Daten liegen auf Raid-Partitionen.
Nachzudenken wäre allerdings mal über einen Rechnertausch , da er schon knapp 5 Jahre alt ist. Mal schaun was das Budget hergibt :-)

markusg 18.01.2012 21:14
hi, aber wir reden von keiner reperatur instalation sondern von formatierung.
hmm aber meistens kann man da doch sicher was über die firmen machen um die lizenzen zu bekommen.
und, ich kanns nur immer wieder sagen, wer wichtiges zeug auf dem pc hat sollte backups machen das ist doch nun wirklich einfach durchzuführen und erspart im zweifelsfalle ärger.

popeye2 18.01.2012 21:35
Kann man.
Kostet aber Zeit und Nerven.
Wichtige Daten sind gesichert, aber bei ~ 1Tb das wieder zusammenzusuchen , viel Spaß:daumenrunter:

Das System war aus Performancegründen nicht mit Echtzeitschutz versehen- Ich wusste das und habe bewusst so damit gearbeitet -habe wichtige Daten weggesichert- nun ist was passiert, womit man früher oder später rechnen musste. Wo gehobelt wird fallen eben Späne an.
Und homebanking macht man eben nicht auf so einem Arbeitstier. Punkt.
Werde mir jetzt noch die firefox passwort datei anschauen und die wichtigen PW ändern. Wenn jetzt der Trojaner mein popeye2 Passwort für das Trojaner-board geklaut hat, so what?
Und clean ist er jetzt, habe das Netzwerk mit einem sauberen Linuxrechner und wireshark gesnifft und mbam noch mal komplett drüber laufen lassen.
Danke für alles, aber ich glaube ich komm jetzt wieder klar.
Gruß P.

markusg 19.01.2012 12:32
na und, dann werden wir im schlimmsten falle zugespamt, also bitte endere alle passwörter.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131