Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Smart Defragmenter (https://www.trojaner-board.de/112923-smart-defragmenter.html)

lin.x 02.04.2012 09:59
Smart Defragmenter
 
Hallo!

Ich hab mir nach Ewigkeiten wieder mal Malware eingefangen. :daumenrunter:
Es würde mir sehr helfen wenn sich jemand die Logs ansehen könnte!
(Anm.: Ich denke das Programm heißt SMART HDD, bin grad nicht sicher ob das das selbe ist wie Smart Defragmenter)

Was passiert ist: Gestern hat sich SMART auf meinem PC geöffnet und allerlei Unsinn gemacht, unter anderem dauernd angebliche Fehlermeldungen ausgegeben und mir den Zugang zu allen meinen Daten gesperrt. (Leerer Desktop, nichts sichtbar im Windows Explorer.)

Ich hab die Prozesse mit rkill gestoppt und mbam drüberlaufen lassen, hier die log.
Zitat:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.01.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
xxx :: xxx-NOTEBOOK [Administrator]

Schutz: Aktiviert

02.04.2012 01:10:41
mbam-log-2012-04-02 (01-10-41).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 176753
Laufzeit: 4 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\xxx\Downloads\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Keine Aktion durchgeführt.
C:\ProgramData\tbEDQ75VFH2EJb.exe (Rogue.FakeHDD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xxx\AppData\Local\Temp\aWrRGEdRmTMn7B.exe.tmp (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Hier Log Nummer 2:
Zitat:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.01.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
xxx:: xxx-NOTEBOOK [Administrator]

Schutz: Aktiviert

01.04.2012 21:29:26
mbam-log-2012-04-01 (21-29-26).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 36848
Laufzeit: 8 Minute(n), 16 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|FdrllxJJnSf.exe (Trojan.Agent) -> Daten: C:\ProgramData\FdrllxJJnSf.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\ProgramData\FdrllxJJnSf.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Nach Anweisung habe ich dann defogger angewendet. Das dds Logfile ergibt folgendes:
(ich poste hier mal nur das erste, gebt Bescheid wenn ihr beide braucht)
Zitat:
.DDS Logfile:
Code:
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 7.0.6002.18005  BrowserJavaVersion: 1.6.0_26
Run by xxx at 11:00:34 on 2012-04-02
.
============== Running Processes ===============
.
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.at/
uDefault_Page_URL = hxxp://www1.euro.dell.com/content/default.aspx?c=at&l=de&s=gen
mDefault_Page_URL = hxxp://www1.euro.dell.com/content/default.aspx?c=at&l=de&s=gen
mSearchAssistant = about:blank
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\avast software\avast\aswWebRepIE.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\avast software\avast\aswWebRepIE.dll
mRun: [Apoint] c:\program files\delltpad\Apoint.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [Broadcom Wireless Manager UI] c:\windows\system32\WLTRAY.exe
mRun: [IAAnotif] c:\program files\intel\intel matrix storage manager\iaanotif.exe
mRun: [Dell Webcam Central] "c:\program files\dell webcam\dell webcam central\WebcamDell2.exe" /mode2
mRun: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
mRun: [avast] "c:\program files\avast software\avast\avastUI.exe" /nogui
mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~3\office12\EXCEL.EXE/3000
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C}
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503}
Trusted Zone: samsungsetup.com\www
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{77DDFD15-5F32-41E9-B841-8289AAE4EBE8} : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{C281DDA3-1EB1-4078-A2D7-2963FDC7777E} : DhcpNameServer = 192.168.0.1
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Notify: GoToAssist - c:\program files\citrix\gotoassist\514\G2AWinLogon.dll
Notify: igfxcui - igfxdev.dll
IFEO: delldock.exe - "c:\program files\tuneup utilities 2011\TUAutoReactivator32.exe"
IFEO: dsc.exe - "c:\program files\tuneup utilities 2011\TUAutoReactivator32.exe"
Hosts: 127.0.0.1        www.spywareinfo.com
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\xxx\appdata\roaming\mozilla\firefox\profiles\hcby53ez.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\program files\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\programdata\zylom\zylomgamesplayer\npzylomgamesplayer.dll
.
---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: browser.blink_allowed - false
FF - user.js: browser.tabs.tabMinWidth - 100
.
============= SERVICES / DRIVERS ===============
.
R? ASPI;Advanced SCSI Programming Interface Driver
R? cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s
R? DockLoginService;Dock Login Service
R? gupdate;Google Update Service (gupdate)
R? gupdatem;Google Update-Dienst (gupdatem)
R? massfilter;ZTE Mass Storage Filter Driver
R? PCD5SRVC{3F6A8B78-EC003E00-05040104};PCD5SRVC{3F6A8B78-EC003E00-05040104} - PCDR Kernel Mode Service Helper Driver
R? SkypeUpdate;Skype Updater
R? TuneUp.UtilitiesSvc;TuneUp Utilities Service
R? TuneUpUtilitiesDrv;TuneUpUtilitiesDrv
S? AESTFilters;Andrea ST Filters Service
S? aswFsBlk;aswFsBlk
S? aswMonFlt;aswMonFlt
S? aswSnx;aswSnx
S? aswSP;aswSP
S? avast! Antivirus;avast! Antivirus
S? Change Modem Device Service;Change Modem Device Service
S? CtClsFlt;Creative Camera Class Upper Filter Driver
S? FontCache;Windows-Dienst fr Schriftartencache
S? MBAMProtector;MBAMProtector
S? MBAMService;MBAMService
S? OA009Ufd;Creative Camera OA009 Upper Filter Driver
S? OA009Vid;Creative Camera OA009 Function Driver
S? SSPORT;SSPORT
S? yksvc;Marvell Yukon Service
.
=============== Created Last 30 ================
.
.
==================== Find3M  ====================
.
2012-03-07 00:15:19        41184        -c--a-w-        c:\windows\avastSS.scr
2012-03-07 00:03:51        612184        ----a-w-        c:\windows\system32\drivers\aswSnx.sys
2012-03-07 00:01:48        57688        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys
2012-02-23 08:18:36        237072        -c----w-        c:\windows\system32\MpSigStub.exe
2012-02-14 15:45:30        219648        -c--a-w-        c:\windows\system32\d3d10_1core.dll
2012-02-14 15:45:30        160768        -c--a-w-        c:\windows\system32\d3d10_1.dll
2012-02-13 14:12:08        1172480        -c--a-w-        c:\windows\system32\d3d10warp.dll
2012-02-13 13:47:57        683008        -c--a-w-        c:\windows\system32\d2d1.dll
2012-02-13 13:44:40        1068544        -c--a-w-        c:\windows\system32\DWrite.dll
2012-02-02 15:16:25        2044416        -c--a-w-        c:\windows\system32\win32k.sys
2012-01-09 15:54:08        613376        -c--a-w-        c:\windows\system32\rdpencom.dll
2012-01-09 13:58:29        180736        -c--a-w-        c:\windows\system32\drivers\rdpwd.sys
.
============= FINISH: 11:01:35,28 ===============
--- --- ---
Beim Durchlauf von Gmer ist es mir nicht gelungen avast zu beenden, ich hoffe das passt auch so. Das Logfile ist zu groß, befindet sich daher im Anhang des nächsten Beitrags.


Aktuelle Situation: SMART läuft nicht mehr sichtbar, aber ich habe weiter keinen Zugriff auf meine Daten. Sie scheinen bei der Virenprüfung ganz normal auf und indirekt kann ich Dokumente zB auch über die "zuletzt geöffneten Dokumente" in Open Office öffnen. Mein Desktop ist nicht mehr sichtbar, genausowenig meine Dateien im Windows Explorer. Seit dem Durchlauf von mbam ist auch der PC mehrmals abgestürzt, blauer Bildschirm, hardware error message.


Ich hoffe jemand kann helfen,
Vielen Dank schon jetzt!
linx

lin.x 02.04.2012 10:19
Hier noch das Logfile für Gmer im Anhang.

lin.x 02.04.2012 11:37
Ich kann aus irgendeinem Grund die vorigen Beiträge nicht mehr editieren, daher auf diesem Weg.
Update: Mit unhide.exe konnten die Dokumente wieder sichtbar gemacht werden. Danke @Grinler :)

cosinus 04.04.2012 22:24
Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


lin.x 05.04.2012 08:16
Danke fürs Ansehen cosinus!

Hier der Inhalt der log.txt:

Zitat:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=10cd90f7aace644f99df0b165109b75a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-05 12:57:14
# local_time=2012-04-05 02:57:14 (+0100, Mitteleuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776574 100 100 256756 171111888 0 0
# compatibility_mode=8192 67108863 100 0 446 446 0 0
# scanned=302180
# found=2
# cleaned=0
# scan_time=8274
C:\Users\xxx\Documents\Ablage\Lonely Planet PDF\Puerto_Vallarta_Pacific_Mexico2nd_Edition_August_2006\Puerto Vallarta & Pacific Mexico2nd Edition August 2006\Ixtapa-Zihuatanejo_v1_m56577569830490069.pdf JS/Trackware.ReadNotify.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\xxx\Documents\Ablage\Lonely Planet PDF\Puerto_Vallarta_Pacific_Mexico2nd_Edition_August_2006\Puerto Vallarta & Pacific Mexico2nd Edition August 2006\pv-acapulco_v1_m56577569830490072.pdf JS/Trackware.ReadNotify.A application (unable to clean) 00000000000000000000000000000000 I
Liebe Grüße,
lin.x

cosinus 05.04.2012 13:04
Zitat:
C:\Users\xxx\Documents\Ablage\Lonely Planet PDF\Puerto_Vallarta_Pacific_Mexico2nd_Edition_August_2006\Puerto Vallarta & Pacific Mexico2nd Edition August 2006\Ixtapa-Zihuatanejo_v1_m56577569830490069.pdf JS/Trackware.ReadNotify.A application (unable to clean)
Von wo hast du diese PDFs her?

lin.x 05.04.2012 14:50
Ich muss ehrlich zugeben, ich weiß es nicht :( Die liegen da wohl schon länger. Vermutlich hab ich sie von einer Freundin nach ihrer Südamerika-Reise.
Ich weiß dass das nicht ganz korrekt wär, hoffe das ist kein Problem...

cosinus 05.04.2012 15:04
Vllt sind es auch Fehlalarme. Wenn du sie nicht mehr brauchst: ohne zu öffnen einfach löschen

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

lin.x 05.04.2012 15:41
Hab sie gelöscht.

Der normale Modus funktioniert problemlos. Im Startmenü fehlt die rechte Seite. Da hab ich nur "Zuletzt verwendet" und "Computer", alles darunter ist weg. Die Schnellstartleiste war weg, hab ich aber manuell wieder bestückt.

Lg,
lin.x

cosinus 05.04.2012 16:58
Probieren wir unhide. Berichte ob das Startmenü danach wieder "vollständiger" aussieht
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

lin.x 05.04.2012 17:26
Ich hatte unhide.exe schon zu Beginn ausgeführt (siehe oben) und dadurch wieder Zugriff auf meine Daten bekommen.

Ich hab es jetzt nochmal durchlaufen lassen, hier das logfile:

Zitat:
Unhide by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2012 BleepingComputer.com
More Information about Unhide.exe can be found at this link:
hxxp://www.bleepingcomputer.com/forums/topic405109.html

Program started at: 04/05/2012 07:16:04 PM
Windows Version: Windows Vista

Please be patient while your files are made visible again.

Processing the C:\ drive
Finished processing the C:\ drive. 289789 files processed.

Processing the E:\ drive
Finished processing the E:\ drive. 14178 files processed.

Restoring the Start Menu.
* 1 Shortcuts and Desktop items were restored.

Searching for Windows Registry changes made by FakeHDD rogues.
- Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
No registry changes detected.

Program finished at: 04/05/2012 07:19:46 PM
Execution time: 0 hours(s), 3 minute(s), and 42 seconds(s)
Die rechte Seite des Startmenüs ist leider noch immer leer.

LG

cosinus 05.04.2012 18:28
Hast du das erste Log von unhide noch?

lin.x 05.04.2012 18:31
leider nicht :(

cosinus 05.04.2012 18:57
Dann wirds schwierig bis unmöglich das Startmenü wiederherzustellen. Schau mal selbst nach, vllt ist noch was da:

Deine Verknüpfungen sollten jetzt hier sein: (lass dir vorher alle Dateien anzeigen => http://www.trojaner-board.de/59624-a...-sichtbar.html )

C:\Users\[DEIN_NAME]\AppData\Local\Temp\smtmp


Gibt es da noch einen Ordner smtmp und ist dieser noch "gut gefüllt"?

lin.x 05.04.2012 19:12
Den Ordner gibt es noch, aber drin ist nur eine Verknüpfung für ein pdf Programm.

Interessanterweise kann ich über den windows explorer problemlos auf die Systemsteuerung zugreifen, sie ist eben nur aus dem Startmenü verschwunden.

Danke für die Geduld :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:44 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131