Trojaner-Board - Pum.disabled.SecurityCenter: Norton AV wird deaktiviert

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Pum.disabled.SecurityCenter: Norton AV wird deaktiviert (https://www.trojaner-board.de/119561-pum-disabled-securitycenter-norton-av-deaktiviert.html)

Pum.disabled.SecurityCenter: Norton AV wird deaktiviert

Liebe Leute,

Durch einen verseuchten Link in einer Email habe ich mir irgendeine Malware eingefangen: Der Laptop (XP, SP3) läuft plötzlich langsam, im Thunderbird fehlen bei einzelnen empfangenen Mails plötzlich die Inhalte, die ich vorher lesen konnte.
Ein erster Scan mit Malwarebytes Anti-Malware hat zwei verdächtige Dateien in der Registry angezeigt – jene, die offenbar die Warnungen bei fehlender/deaktivierter Firewall und Antivirus-Sw unterdrücken. Nachdem ich diese in die Quarantäne gestellt habe, zeigt ein neuer Scan mit Anti-Malware keine Schädlinge mehr an. Auch ein Scan mit dem installierten Norton Antivirus zeigt keine Malware an (Liveupdate war möglich).
Aber: jetzt informiert mich das MS Securitycenter, dass die AV Software deaktiviert sei – obwohl dort der Haken bei „enabled“ gesetzt ist. Wenn ich die Antiviren-SW deaktiviere und wieder aktiviere, zeigt das Sec.Center an, dass AV (wieder) aktiviert sei. Irgendwo muss also der Wurm drin liegen – aber wo?
Gemäss euren Anleitungenhabe ich einen Scan mit OTL gemacht. Das Log füge ich unten an.
Wer kann mir weiterhelfen? Was soll ich weiter tun?

hi
1. verdächtige mails bitte in zukunft an mich weiterleiten, wie das geht, steht in meiner signatur.
2. hast du den link noch, falls ja, mal an mich als private nachicht
3. ich sehe hier true image, liegen images vor, dann könnte man das system zurück setzen

Hi,
Danke für die Antwort.
Leider ist das Mail mit dem verdächtigen Link schon gelöscht. Die sonst noch verdächtigen Mails werden zwar in der Übersicht mit Betreff und Absender angezeigt, beim Anklicken lassen sie sich aber nicht öffnen, Kopf und Inhalt bleiben leer. Es sind nur 3 Mails, die nicht (mehr) lesbar sind. Der Inhalt dieser Mails konnte meine Frau lesen, der Inhalt war vernünftig und von bekannten Absendern (ohne Anhang, ohne irgendwelchen Link).
Von Acronis habe ich leider kein einigermassen aktuelles Abbild.
Nachdem ich nun den verdächtigen Registry-Eintrag "pum.disabled.SecurityCenter" gelöscht habe, kommen die Warnungen wieder (siehe erstes Posting).
Meine Frau erinnert sich nicht an solche Warnungen, diese sind bereits vor dem Anklicken des vermutlich verseuchten Links nicht erschienen.
Das heisst in meinen Augen, dass
- der PC schon vorher irgend etwas eingefangen hat und
- dass der PC seit .... ? ohne aktivierte Viren-SW gelaufen ist.
Ich habe die Absicht, den Laptop nach dem Löschen der betroffenen Partition neu aufzusetzen. Nur: Könnte die Verseuchung im MBR sitzen? Wie kann ich das feststellen?
Besten Dank für eure Hilfe!
Maetthu aus der Schweiz

hi
wofür hat man nen image programm wenn man es nicht nutzt...?
5 min, und ei geschichte wäre erledigt gewesen.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Markus,
Das mit dem Acronis war ein Fehler - habe letztes Mal nur die Daten von D gesichert ...
Combofix habe ich inzwischen laufen lassen, das LOG File ist unten.
Allerdings ist zu sagen, dass ich inzwischen mit der damals mitgelieferten DVD das System neu aufgebaut habe, was ich sowieso tun wollte, um es zu entmüllen (Das Log ist also vom neu aufgesetzten System).
Trotzdem habe ich den Eindruck, dass immer noch der Wurm drin ist:
Die Routine hat alle meine (gesicherten) Partitionen gelöscht. Da diese DVD nur das SP 2 enthielt, wollte ich sofort mit dem updaten auf SP 3 beginnen, aber:
Obwohl der Zugang zum Internet funktioniert, komme ich nur auf die erste Seite der MS Update Plattform. Klicke ich auf den Link zum Suchen der benötigten Updates, kommt eine Seite mit dem Vermerk, "dass diese Seite nicht aufgerufen werden kann, da auf der Webseite ein Problem aufgetreten sei" (funktioniert aber vom Parallelsystem).
Könnte der MBR verseucht sein und das Update von MS verhindern?
Im Chip-Forum habe ich eine Anleitung gelesen, wie der MBR überschrieben werden kann (Live_Linux, Kommandozeile).
Ist eine Verseuchung des MBR aus dem Log von Combofix erkennbar?
Wie kann ich updaten? Soll ich den MBR überschreiben und nochmals aufsetzen?
Vielen Dank für deine/eure professionelle Unterstützung!
Matthias

Code:

Installation 19.07.2012  10:33:44.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.592 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Installation\Desktop\ComboFix.exe

AV: Norton Internet Security *Disabled/Outdated* {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Security *Disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Default User\WINDOWS

c:\dokumente und einstellungen\Installation\WINDOWS

c:\windows\IsUn0407.exe

c:\windows\system32\config\systemprofile\WINDOWS

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-06-19 bis 2012-07-19  ))))))))))))))))))))))))))))))

.

.

2012-07-18 07:32 . 2012-07-18 07:32        --------        d-----w-        c:\programme\SymNetDrv

2012-07-18 06:50 . 2012-07-19 08:35        --------        d-----w-        c:\dokumente und einstellungen\Installation

2012-07-18 06:49 . 2005-06-14 12:27        --------        d-----r-        c:\windows\system32\config\systemprofile\Eigene Dateien

2012-07-18 06:49 . 2005-01-22 09:01        --------        d-----w-        c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\{3248F0A6-6813-11D6-A77B-00B0D0150000}

2012-07-18 06:49 . 2005-06-14 12:27        --------        d-----r-        c:\dokumente und einstellungen\Default User\Eigene Dateien

2012-07-18 06:42 . 2001-08-18 02:22        12288        ----a-w-        c:\windows\system32\drivers\mouhid.sys

2012-07-18 06:42 . 2001-08-17 12:02        9600        ----a-w-        c:\windows\system32\drivers\hidusb.sys

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-06-04 15:35 . 2005-01-22 08:51        210968        ----a-w-        c:\windows\system32\wuweb.dll

2012-06-04 15:35 . 2012-06-04 15:35        222448        ----a-w-        c:\windows\system32\muweb.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 65536]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CFSServ.exe"="CFSServ.exe -NoClient" [X]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-14 98394]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-14 688218]

"Tvs"="c:\programme\Toshiba\Tvs\TvsTray.exe" [2004-11-12 73728]

"AGRSMMSG"="AGRSMMSG.exe" [2004-10-28 88363]

"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2005-01-14 352256]

"TPSMain"="TPSMain.exe" [2005-01-21 266240]

"NDSTray.exe"="NDSTray.exe" [BU]

"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-12-21 118784]

"PadTouch"="c:\programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 1077327]

"TFncKy"="TFncKy.exe" [BU]

"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-08-03 122939]

"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-02-21 58984]

"SSC_UserPrompt"="c:\programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-11-09 218240]

"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 339968]

"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]

"Symantec NetDriver Monitor"="c:\progra~1\SYMNET~1\SNDMon.exe" [2012-07-18 100056]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

.

.

Inhalt des "geplante Tasks" Ordners

.

2005-01-24 c:\windows\Tasks\Symantec NetDetect.job

- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2005-01-24 10:32]

.

.

------- Zusätzlicher Suchlauf -------

.

TCP: DhcpNameServer = 192.168.1.1

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe

AddRemove-Power Saver - c:\windows\IsUn0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-07-19 10:36

Windows 5.1.2600 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(740)

c:\windows\system32\Ati2evxx.dll

.

Zeit der Fertigstellung: 2012-07-19  10:36:51

ComboFix-quarantined-files.txt  2012-07-19 08:36

.

Vor Suchlauf: 8 Verzeichnis(se), 56'059'068'416 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 56'024'047'616 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

- - End Of File - - EE416A5B28EF80AF1F74E3F536E59FCB

und wieso sagst du mir nicht, dass du neu aufsetzen willst, dann hätten wir uns die arbeit ja sparen können. ist das paralel system auf der selben festplatte?

Hallo Markus, mit schlechtem Gewissen schreibe ich - mit dem Abschicken des letzten Berichtes wurde mir bewusst, dass das ja nicht Sinn der Sache war.
Zwei Gründe zur Erklär
ung meines Vorgehens: Einerseits stand ich etwas unter Zeitdruck - meine Frau braucht diesen Lap z.T. auch beruflich, anderseits war das Aufräumen nach bald 7 Jahren Betrieb eh nötig.
Darf ich trotzdem weiter auf deine/eure Hilfe hoffen? Denn - trotz neu aufgesetztem System bleiben da einige Fragen offen.
Die Probleme beim Aufspielen des SP3 konnte ich lösen, das System ist also auf aktuellen Stand, Avira update hat geklappt und zeigt keine Funde von Malware an.
Das Arbeitstempo des Lap hat sich gegenüber vorher massiv verbessert. Das Arbeiten geht flott und ohne irgend eine Fehlermeldung. Und doch: Nachdem alles fertig aktualisiert war, habe ich die vier Virenscanner von "Desinfect" (CT 09/12 Sofwarecollection) drüber laufen lassen. Resultat: Avira und Bitdefender fnden nichts, aber Clamav und Kaspersky finden den selben Virus:
Virenfunde
ClamAV Kaspersky Aktion
/media/761436221435E631/Programme/Gemeinsame Dateien/Microsoft Shared/VBA/VBA6/VBE6.DLL
W32.Virut.Gen.D-159

Nach dem umbennen der Datei reklamiert Exel, weil nun eine Bibliothek fehlt, aber das Programm läuft.

Die Recherchen im Internet haben mir nicht geholfen, sie waren teilweise widersprüchlich. In einem Tread habe ich gelesen, dass das ein falsch-positiver Fund sei (wäre ja schön !)
Meine Fragen:
Wie kommt dieser Virus in die Datei? War irgendwas in meiner (zurückkopierten) Datenpartition versteckt? (Obwohl keiner der vier Scanner dort etwas gefunden hat)
Die Datei hat das Datum vom 14.4.12, muss also bei irgend einem Update aktualisiert worden sein. Könnte es eine fehlerhafte MS Datei sein?
Was bewirkt der Virus? Verbreite ich ihn weiter, werden Dateien infisziert?
Was soll ich weiter tun?
Welche Scans braucht es für euch für die weitere Analyse? (Von ClamAV habe ich ein Logfile)

Danke für eine weitere Hilfe,
Maetthu

hi
Trojaner-Board Upload Channel
lads mal da hoch, dann gucke ich.
die umbenannte datei also
außerdem hätte ich eig andere absicherungsmaßnamen im sinn gehabt...