Trojaner-Board - Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen"

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen" (https://www.trojaner-board.de/125032-brief-telekom-sicherheitswarnung-ihrem-internetzugang-tr-crypt-ulpm-gen.html)

Hier ist der neuste Combofix log:
Combofix Logfile:

Code:

ComboFix 12-10-21.02 - Sigrid 22.10.2012  15:27:53.4.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.211 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Sigrid\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_xcpip

-------\Service_xpsec

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-09-22 bis 2012-10-22  ))))))))))))))))))))))))))))))

.

.

2012-10-17 03:31 . 2012-10-17 03:31        --------        d-----w-        C:\_OTL

2012-10-16 23:00 . 2012-10-16 23:00        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-08-30 20:28 . 2006-02-28 12:00        672768        ----a-w-        c:\windows\system32\wininet.dll

2012-08-30 20:28 . 2006-02-28 12:00        61952        ----a-w-        c:\windows\system32\tdc.ocx

2012-08-30 20:28 . 2006-02-28 12:00        81920        ----a-w-        c:\windows\system32\ieencode.dll

2012-08-30 20:26 . 2006-02-28 12:00        371200        ----a-w-        c:\windows\system32\html.iec

2012-08-24 13:53 . 2006-02-28 12:00        177664        ----a-w-        c:\windows\system32\wintrust.dll

2012-08-23 06:26 . 2006-02-28 12:00        2195200        ----a-w-        c:\windows\system32\ntoskrnl.exe

2012-08-23 06:26 . 2004-08-04 00:50        2071936        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2012-04-06 14:13 . 2012-03-24 20:44        97208        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]

"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-24 126976]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-24 561152]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]

"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:Remote Desktop

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

.

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.12.2010 14:12 136360]

S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]

S3 PCX504;Cisco Systems Wireless LAN Adapter Driver;c:\windows\system32\drivers\PCX504.sys [04.05.2004 12:35 119296]

.

Inhalt des "geplante Tasks" Ordners

.

2012-10-17 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

.

------- Zusätzlicher Suchlauf -------

.

FF - ProfilePath - c:\dokumente und einstellungen\Sigrid\Anwendungsdaten\Mozilla\Firefox\Profiles\arxt7v7m.default\

FF - prefs.js: network.proxy.type - 2

FF - ExtSQL: !HIDDEN! 2009-09-03 09:46; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-10-22 15:44

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(916)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\ibmpmsvc.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Analog Devices\SoundMAX\SMAgent.exe

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe

c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

c:\programme\Lenovo\System Update\SUService.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-10-22  15:55:09 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-10-22 13:54

ComboFix2.txt  2012-10-16 22:22

ComboFix3.txt  2012-10-16 14:03

ComboFix4.txt  2012-10-07 17:05

.

Vor Suchlauf: 7 Verzeichnis(se), 31.307.223.040 Bytes frei

Nach Suchlauf: 8 Verzeichnis(se), 31.448.305.664 Bytes frei

.

- - End Of File - - 959C0F20899D1E56210BA5D901C185DE

--- --- ---

Auf dem Laptop sind eigentlich nur Word-Dateien sowie Bilder gespeichert, da er eigentlich primär zum Arbeiten benutzt wurde...
Das sollte sich doch einfach kopieren lassen? Oder kann sich da auch eine Infektion mit einschleichen?

Nur Fileinfector-Malware, also die kannst Du beruhigt sichern. vor dem Zurückspielen einmal scannen lassen und gut is :).

Würd mich mal intressieren ob AswMbr jetzt läuft und den Mbr immernoch anmeckert :)

Kein Problem, ich werde das morgen Abend für dich checken und dann das Log hier posten ;)

Ach nochwas: Ich hab hier auf meinem anderen Laptop (den von dem anderen Thread) seit längerem das Problem, dass "incredibar" als Startseite automatisch aufgerufen wird...
Seit heute Abend werde ich teilweise willkürlich beim öffnen eines neuen Fensters nach ein paar Sekunden auf die Incredibar-Startseite gelenkt.. Habe gerade erst hier gelesen dass es sich hierbei auch um Adware / Trojaner handelt?

Inwiefern ist mein Laptop infiziert? Kann auch dieses Gerät der Auslöser für die Hacking-Angriffe und Spammail-Versand sein?

Nee, aber infiziert ist er. Poste mal in dem andern Thread damit der in meinen Abos wieder hoch kommt. Poste bitte frische OTL logfiles.

und hier ist der neuste log von aswmbr:

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-10-24 19:24:58

-----------------------------

19:24:58.518    OS Version: Windows 5.1.2600 Service Pack 3

19:24:58.518    Number of processors: 1 586 0x905

19:24:58.518    ComputerName: OGV  UserName: 

19:25:02.143    Initialize success

19:25:20.590    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

19:25:20.590    Disk 0 Vendor: FUJITSU_MHT2040AT 0022 Size: 38154MB BusType: 3

19:25:20.670    Disk 0 MBR read successfully

19:25:20.670    Disk 0 MBR scan

19:25:20.680    Disk 0 Windows XP default MBR code

19:25:20.680    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        38153 MB offset 63

19:25:20.730    Disk 0 scanning sectors +78138989

19:25:20.800    Disk 0 malicious Win32:MBRoot code @ sector 78138992 !

19:25:20.840    Disk 0 PE file @ sector 78139014 !

19:25:20.980    Disk 0 scanning C:\WINDOWS\system32\drivers

19:26:16.881    Service scanning

19:26:51.150    Modules scanning

19:27:13.302    Disk 0 trace - called modules:

19:27:13.322    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys intelide.sys 

19:27:13.322    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8233eab8]

19:27:13.322    3 CLASSPNP.SYS[f8575fd7] -> nt!IofCallDriver -> \Device\00000076[0x823722a0]

19:27:13.322    5 ACPI.sys[f84eb620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82341940]

19:27:13.322    Scan finished successfully

19:27:50.215    Disk 0 MBR has been saved successfully to "E:\MBR.dat"

19:27:50.455    The log file has been saved successfully to "E:\aswMBRlogneu.txt"

Und der fix-log:

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-10-24 19:24:58

-----------------------------

19:24:58.518    OS Version: Windows 5.1.2600 Service Pack 3

19:24:58.518    Number of processors: 1 586 0x905

19:24:58.518    ComputerName: OGV  UserName: 

19:25:02.143    Initialize success

19:25:20.590    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

19:25:20.590    Disk 0 Vendor: FUJITSU_MHT2040AT 0022 Size: 38154MB BusType: 3

19:25:20.670    Disk 0 MBR read successfully

19:25:20.670    Disk 0 MBR scan

19:25:20.680    Disk 0 Windows XP default MBR code

19:25:20.680    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        38153 MB offset 63

19:25:20.730    Disk 0 scanning sectors +78138989

19:25:20.800    Disk 0 malicious Win32:MBRoot code @ sector 78138992 !

19:25:20.840    Disk 0 PE file @ sector 78139014 !

19:25:20.980    Disk 0 scanning C:\WINDOWS\system32\drivers

19:26:16.881    Service scanning

19:26:51.150    Modules scanning

19:27:13.302    Disk 0 trace - called modules:

19:27:13.322    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys intelide.sys 

19:27:13.322    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8233eab8]

19:27:13.322    3 CLASSPNP.SYS[f8575fd7] -> nt!IofCallDriver -> \Device\00000076[0x823722a0]

19:27:13.322    5 ACPI.sys[f84eb620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82341940]

19:27:13.322    Scan finished successfully

19:27:50.215    Disk 0 MBR has been saved successfully to "E:\MBR.dat"

19:27:50.455    The log file has been saved successfully to "E:\aswMBRlogneu.txt"

19:27:55.422    Disk 0 MBR read successfully

19:27:55.432    Disk 0 scanning sectors +78138989

19:27:55.503    Disk 0 malicious Win32:MBRoot code @ sector 78138992 !

19:27:55.513    Disk 0 PE file @ sector 78139014 !

19:27:55.513    Disk 0 sector 78138992 cleaned

19:27:55.513    Disk 0 sector 78139014 cleaned

19:27:55.513    Verifying disinfection

19:28:05.627    Infection fixed successfully - please reboot ASAP

19:28:16.292    Disk 0 MBR has been saved successfully to "E:\MBR.dat"

19:28:16.393    The log file has been saved successfully to "E:\aswMBRcleanlog.txt"

Das sieht viel besser aus :)

Aber der hier wird formatiert oder?

Herzlichen Dank hier schonmal für die Hilfe soweit.
Ja, den Laptop hier mache ich platt ;)

Schade :D

ich doktor ja gern an sowas rum bis es wieder funzt :D. Aber so bist du in wenigen Stunden wieder mit nem cleanen System unterwegs.