Trojaner-Board - Trojaner O.access

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner O.access (https://www.trojaner-board.de/128732-trojaner-o-access.html)

Trojaner O.access

Hallo Board,

hatte vor den Feiertagen unerfreuliche Post von der Telekom mit dem Hinweis mein Rechner sendet Spam mails. Das anschließende Update von McAffee auf AntiVir brachte einen Befall an den Tag. Das gefundene wurde in Quarantäne gesetzt, allerdings lies sich bei AV der Echtzeit- und Browserschutz nicht aktivieren. Auffällig auch, daß die Windows firewall nicht mehr zu aktivieren ist.
Hab dann hier im Boad nachgelesen und einen Scan mit Malewarebytes durchgeführt und weitere Probleme an den Tag gebracht. Das Logfile findet Ihr anbei.

Ist der Rechner noch zu retten oder sollte er besser neu aufgesetzt werden?
Hab dies als letzte Konsequenz bei anderen Posts schon gelesen, kann aber mein Logfile nicht abschließend analysieren.

Als Betriebssystem läuft Win XP mit Servicepack 3.

Schon mal vielen Dank für Eure Hilfe

Hier das Logfile:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2012.12.28.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Doris :: DALLMAIER [Administrator]

28.12.2012 12:37:18
mbam-log-2012-12-28 (12-37-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 492072
Laufzeit: 1 Stunde(n), 23 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SYSHOST32 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SYSTEM\CurrentControlSet\Services\syshost32|ImagePath (Trojan.Agent) -> Daten: "C:\WINDOWS\Installer\{4D506B2D-35B3-F947-D3D6-B7DFB385599D}\syshost.exe" /service -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 4
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-3517319079-639493732-2454822723-1005\$ff24043d55f85ce9a20a8337d9b4b888\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\RECYCLER\S-1-5-21-3517319079-639493732-2454822723-1005\$ff24043d55f85ce9a20a8337d9b4b888\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{4D506B2D-35B3-F947-D3D6-B7DFB385599D}\syshost.exe (Trojan.Agent) -> Löschen bei Neustart.

(Ende)

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.

Nur Scanns durchführen zu denen Du aufgefordert wirst.

Bitte kein Crossposting (posten in mehreren Foren).

Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.

Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.

Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.

Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.

Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.

Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.

Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Wir fangen erst an zu bereinigen, wenn du mir das hier bestätigst und dich anschliessend daran hälst.

Gelesen und verstanden?

Schritt 1:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.
Starte die adwcleaner.exe mit einem Doppelklick.

Klicke auf Löschen.

Bestätige jeweils mit Ok.

Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.

Poste mir den Inhalt mit deiner nächsten Antwort.

Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2:
Scan mit MBAR

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo Ryder,

habs gelesen und hoffentlich verstanden.
Vielen Dank für die Unterstützung!
Hier das Logfile von AdwCleaner:
## AdwCleaner v2.103 - Datei am 28/12/2012 um 16:25:14 erstellt
# Aktualisiert am 25/12/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Doris - DALLMAIER
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Doris\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FZBHLW3G\adwcleaner[1].exe
# Option [Löschen]

**** [Dienste] ****

***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Programme\Mozilla Firefox\.autoreg
Ordner Gelöscht : C:\DOKUME~1\Doris\LOKALE~1\Temp\AskSearch
Ordner Gelöscht : C:\Dokumente und Einstellungen\Doris\Eigene Dateien\Software

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\91E7904B9D0FA179D13E0278C96B2EE1D5DBD5C7
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.ask.com?o=10148&l=dis&tb=AVR-4 --> hxxp://www.google.com

*************************

AdwCleaner[S1].txt - [2756 octets] - [28/12/2012 16:25:14]

########## EOF - C:\AdwCleaner[S1].txt - [2816 octets] ##########
#

Weiteres folgt sogleich.

Gelesen und verstanden?

verstanden!

Hallo Ryder,

hier das Logfile von Malwarebytes-Anti-Rootkit:
#
Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2012.12.28.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
:: DALLMAIER [administrator]

28.12.2012 17:00:32
mbar-log-2012-12-28 (17-00-32).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 28297
Time elapsed: 22 minute(s), 24 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 2
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: {fbeb8a05-beee-4442-804e-409d6c4515e9} -> Delete on reboot.
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: -> Delete on reboot.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 6
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-3517319079-639493732-2454822723-1005\$ff24043d55f85ce9a20a8337d9b4b888\U (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\L (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-3517319079-639493732-2454822723-1005\$ff24043d55f85ce9a20a8337d9b4b888\L (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888 (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-3517319079-639493732-2454822723-1005\$ff24043d55f85ce9a20a8337d9b4b888 (Trojan.Siredef.C) -> Delete on reboot.

Files Detected: 3
C:\WINDOWS\system32\drivers\d19e0b9677a86cb.sys (Rootkit.Necurs) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\@ (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-3517319079-639493732-2454822723-1005\$ff24043d55f85ce9a20a8337d9b4b888\@ (Trojan.Siredef.C) -> Delete on reboot.

(end)
#

habs anschließend nochmals gestartet und dann keine Meldungen mehr erhalten. Hier das Logfile:
#
Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2012.12.28.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Doris :: DALLMAIER [administrator]

28.12.2012 17:29:24
mbar-log-2012-12-28 (17-29-24).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 28427
Time elapsed: 22 minute(s), 23 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
#

Vielen Dank

Das war schon mal gut.

Scan mit Combofix

Zitat:

WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo ryder,

der Scan mit Combofix ist gelaufen. Datei wurde auf Desktop gespeichert und ausgeführt. Allerdings hab ich jetzt die Situation das Logfile Combofix.txt und C:/combofix/combofix.txt zu finden. Auf das File kann ich allerdings nicht zugreifen (weder öffnen noch kopieren). Unter C:/ direkt ist keine Datein combofix.txt zu finden.
Soll Combofix nochmals gestartet werden?

Das Logfile befindet sich entweder direkt auf C: oder in c:\qoobox

in CQoobox hab ich nur die Ordner BackEnv, LastRun, Quarantine, Test und TestC. Keine Dateien

Dann lass es bitte nochmals laufen.

Hallo ryder,

es ist nochmals durchgelaufen. Hatte dann einen BlueScreen. Rechner ist jetzt neu gestartet und wieder "funktionsfähig". Allerdings finde ich in C: und C:/Qoobox keine Combofix.txt. Die Datei Combofix.txt in C:/Combofix ist allerdings aktualisiert worden. Zugriff hab ich aber noch immer nicht.
Soll ich vorsichtshalber erstmal den Festplatteninhalt auf ne externe Platte sichern, auch wenn evtl Malware drauf ist?

Probiere bitte folgendes:

Benenne die Combofix.exe um in NoMBR.exe und probiere es nochmals.

Hallo Ryder,

habs nochmals versucht mit geändertem Dateinamen. Der Scan läuft dann durch bis Stufe 50. Dann kommt kurz "Lösche Dateien", dann BlueScreen und Neustart. Wieder kein Logfile.
Sieht für mich so aus, als würde er den Durchlauf nicht abschließen können....

Und das ist ein Konto mit Administratorrechten?

Sehr seltsam.

Probiere es bitte ein letztes Mal im abgesicherten Modus.

Zitat:

Lesestoff:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:
Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung
Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

Hallo,

es hat geklappt! Hat Dateien und Ordner gelöscht. Dateien was gelöscht und was in Quarantäne sind auf C abgelegt.
Hier das Logfile welche unter C:/NoMBR/Combofix.txt

Code:

ComboFix 12-12-30.01 - Doris 30.12.2012  22:51:54.4.2 - x86 MINIMAL

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.503.348 [GMT 1:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Doris\Desktop\NoMBR.exe
 
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
 
 

C:\Dokumente und Einstellungen\Doris\WINDOWS

C:\WINDOWS\EventSystem.log

C:\WINDOWS\IsUn0407.exe

C:\WINDOWS\pkunzip.pif

C:\WINDOWS\pkzip.pif

C:\WINDOWS\system32\muzapp.exe

C:\WINDOWS\system32\URTTemp

C:\WINDOWS\system32\URTTemp\fusion.dll

C:\WINDOWS\system32\URTTemp\mscoree.dll

C:\WINDOWS\system32\URTTemp\mscoree.dll.local

C:\WINDOWS\system32\URTTemp\mscorsn.dll

C:\WINDOWS\system32\URTTemp\mscorwks.dll

C:\WINDOWS\system32\URTTemp\msvcr71.dll

C:\WINDOWS\system32\URTTemp\regtlib.exe

C:\WINDOWS\wininit.ini

E:\Autorun.inf
 
 

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_SYSHOST32
 
 

(((((((((((((((((((((((   Dateien erstellt von 2012-11-28 bis 2012-12-30  ))))))))))))))))))))))))))))))
 
 

2012-12-30 19:52:19 . 2012-12-30 22:15:07        114688        ----a-w-        C:\WINDOWS\system32\chg.exe

2012-12-28 11:35:04 . 2012-12-28 11:35:04        --------        d-----w-        C:\Dokumente und Einstellungen\Doris\Anwendungsdaten\Malwarebytes

2012-12-28 11:34:16 . 2012-12-28 11:34:16        --------        d-----w-        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2012-12-28 08:05:18 . 2012-12-28 08:05:18        --------        d-----w-        C:\Dokumente und Einstellungen\Doris\Lokale Einstellungen\Anwendungsdaten\DoNotTrackPlus

2012-12-28 08:05:13 . 2012-12-28 10:38:20        --------        d-----w-        C:\Dokumente und Einstellungen\Doris\Anwendungsdaten\CallingID

2012-12-27 15:36:59 . 2012-12-28 11:19:07        --------        d-----w-        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2012-12-01 20:18:13 . 2012-12-01 20:18:13        --------        d-----w-        C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\McAfee

.
 
 

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
 

2012-12-16 12:23:59 . 2004-08-04 08:00:00        290560        ----a-w-        C:\WINDOWS\system32\atmfd.dll

2012-11-13 11:55:38 . 2004-08-04 08:00:00        1866496        ----a-w-        C:\WINDOWS\system32\win32k.sys

2012-11-02 02:02:36 . 2004-08-04 08:00:00        375296        ----a-w-        C:\WINDOWS\system32\dpnet.dll

2012-11-01 12:17:52 . 2004-08-04 08:00:00        916992        ----a-w-        C:\WINDOWS\system32\wininet.dll

2012-11-01 12:17:52 . 2004-08-04 08:00:00        43520        ----a-w-        C:\WINDOWS\system32\licmgr10.dll

2012-11-01 12:17:52 . 2004-08-04 08:00:00        1469440        ------w-        C:\WINDOWS\system32\inetcpl.cpl

2012-11-01 00:35:34 . 2004-08-04 08:00:00        385024        ----a-w-        C:\WINDOWS\system32\html.iec

2012-10-02 18:04:21 . 2004-08-04 08:00:00        58368        ----a-w-        C:\WINDOWS\system32\synceng.dll

2006-10-11 08:04:58 . 2006-10-25 20:47:18        61036        ----a-w-        C:\Programme\mozilla firefox\components\jar50.dll

2006-10-11 08:04:59 . 2006-10-25 20:47:18        48742        ----a-w-        C:\Programme\mozilla firefox\components\jsd3250.dll

2006-10-11 08:05:03 . 2006-10-25 20:47:18        29313        ----a-w-        C:\Programme\mozilla firefox\components\myspell.dll

2006-10-11 08:05:03 . 2006-10-25 20:47:19        41082        ----a-w-        C:\Programme\mozilla firefox\components\spellchk.dll

2006-10-11 08:04:58 . 2006-10-25 20:47:19        166510        ----a-w-        C:\Programme\mozilla firefox\components\xpinstal.dll
 
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
 
 

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-03 13:06:38 68856]

"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:56:34 204288]

"KiesTrayAgent"="C:\Program Files\Samsung\Kies\KiesTrayAgent.exe" [2010-11-20 07:48:34 3365176]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsmqIntCert"="mqrt.dll" [2008-04-14 02:22:15 177152]

"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 08:11:06 925696]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 11:03:52 36975]

"PTHOSTTR"="C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2006-02-14 09:56:08 122880]

"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 21:11:42 49152]

"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-31 03:20:00 122940]

"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-10 18:04:00 761945]

"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 12:17:04 94208]

"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 12:13:40 77824]

"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 12:17:50 118784]

"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 08:49:22 454656]

"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 18:12:00 17920]

"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-02 13:39:42 131072]

"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2006-02-22 06:03:32 40960]

"Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 13:51:40 1187840]

"Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-02-15 13:43:16 892928]

"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-25 20:50:57 180269]

"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-06-15 23:15:02 366400]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-11-04 09:30:50 413696]

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-11-20 12:20:54 290088]

"WatchDog"="C:\Programme\InterVideo\DVD Check\DVDCheck.exe" [2005-11-08 09:59:20 184320]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 02:22:40 15360]
 

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\

OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2006-1-25 61440]
 

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\

OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2006-1-25 61440]
 

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\

Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

DVD Check.lnk - C:\Programme\InterVideo\DVD Check\DVDCheck.exe [2006-10-25 184320]

officejet 6100.lnk - C:\Desktop\hp foto- und bildbearbeitung 2.0 - all in one- installshield wizard\Digital Imaging\bin\hposol08.exe [2003-4-9 147456]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]

2005-07-25 18:41:50        40960        ----a-w-        C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=
 

R2 a2free;a-squared Free Service;C:\Programme\a-squared Free\a2service.exe [08.01.2010 18:55:23 1858144]

R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe -k Cognizance [04.08.2004 09:00:00 14336]

R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [20.10.2008 17:08:47 66472]

R2 dgdersvc;Device Error Recovery Service;C:\WINDOWS\system32\dgdersvc.exe [25.10.2010 10:07:48 95568]

R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [24.11.2010 12:18:38 217088]

R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\drivers\avmcowan.sys [15.08.2007 01:00:00 53632]

R3 dgderdrv;dgderdrv;C:\WINDOWS\system32\drivers\dgderdrv.sys [25.10.2010 10:07:48 18120]

R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [24.11.2010 12:18:39 36640]

R3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\drivers\NETPPPOI.SYS [10.10.2008 18:03:26 334640]

S3 fxusbase;Eumex 400;C:\WINDOWS\system32\drivers\fxusbase.sys [15.08.2007 01:00:00 567936]

S3 sscebus;SAMSUNG USB Composite Device V2 driver (WDM);C:\WINDOWS\system32\drivers\sscebus.sys [24.11.2010 12:02:06 98560]

S3 sscemdfl;SAMSUNG Mobile Modem V2 Filter;C:\WINDOWS\system32\drivers\sscemdfl.sys [24.11.2010 12:02:07 14848]

S3 sscemdm;SAMSUNG Mobile Modem V2 Drivers;C:\WINDOWS\system32\drivers\sscemdm.sys [24.11.2010 12:02:07 123648]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Cognizance        REG_MULTI_SZ           ASChannel

tapisrv        REG_MULTI_SZ           Tapisrv
 

Inhalt des "geplante Tasks" Ordners
 

2009-12-27 C:\WINDOWS\Tasks\FRU Task 2003-04-10 00:56:27ewlett-Packard2003-04-10 00:56:27p officejet 6100 series272A572217594EBCF1CEE215E352B92AD073FDE4253726213.job

- C:\Desktop\hp foto- und bildbearbeitung 2.0 - all in one- installshield wizard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 15:56:28 . 2003-04-09 15:56:28]
 

2012-12-29 C:\WINDOWS\Tasks\Google Software Updater.job

- C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-03-25 10:58:41 . 2012-08-18 10:47:33]
 

2012-12-30 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job

- C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-03 14:32:58 . 2010-02-03 14:29:53]
 

2012-12-30 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job

- C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-03 14:32:58 . 2010-02-03 14:29:53]
 

2012-12-30 C:\WINDOWS\Tasks\ReclaimerUpdateFiles_Doris.job

- C:\Dokumente und Einstellungen\Doris\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.30\agent\rnupgagent.exe [2012-12-18 10:13:50 . 2012-12-18 10:13:50]
 

2012-12-29 C:\WINDOWS\Tasks\ReclaimerUpdateXML_Doris.job

- C:\Dokumente und Einstellungen\Doris\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.30\agent\rnupgagent.exe [2012-12-18 10:13:50 . 2012-12-18 10:13:50]
 

2012-12-30 C:\WINDOWS\Tasks\RNUpgradeHelperLogonPrompt_Doris.job

- C:\Dokumente und Einstellungen\Doris\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.30\agent\rnupgagent.exe [2012-12-18 10:13:50 . 2012-12-18 10:13:50]
 
 

------- Zusätzlicher Suchlauf -------
 

uStart Page = hxxp://www.google.com

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html

IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: Interfaces\{F50C329E-61FF-4B5B-A056-340F2DA0BD60}: NameServer = 192.168.121.252,192.168.121.253

FF - ProfilePath - C:\Dokumente und Einstellungen\Doris\Anwendungsdaten\Mozilla\Firefox\Profiles\5itvxdn5.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.ask.com?o=10148&l=dis&tb=AVR-4

FF - prefs.js: browser.search.selectedEngine - Ask.com

FF - prefs.js: keyword.URL -  
 

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

MSConfigStartUp-InfoCockpit - C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE

AddRemove-ComCenter 1.0 - C:\WINDOWS\IsUn0407.exe

AddRemove-Konfigurator Eumex 400 - C:\WINDOWS\IsUn0407.exe

AddRemove-Microsoft Interactive Training - C:\WINDOWS\IsUn0407.exe

AddRemove-SAMSUNG CDMA Modem - C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe

AddRemove-SAMSUNG Mobile Composite Device - C:\WINDOWS\system32\Samsung_USB_Drivers\6\SSBCUninstall.exe

AddRemove-01_Simmental - C:\Program Files\Samsung\USB Drivers\01_Simmental\Uninstall.exe

AddRemove-02_Siberian - C:\Program Files\Samsung\USB Drivers\02_Siberian\Uninstall.exe

AddRemove-03_Swallowtail - C:\Program Files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe

AddRemove-04_semseyite - C:\Program Files\Samsung\USB Drivers\04_semseyite\Uninstall.exe

AddRemove-07_Schorl - C:\Program Files\Samsung\USB Drivers\07_Schorl\Uninstall.exe

AddRemove-09_Hsp - C:\Program Files\Samsung\USB Drivers\09_Hsp\Uninstall.exe

AddRemove-11_HSP_Plus_Default - C:\Program Files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe

AddRemove-12_Symbian_USB_Download_Driver - C:\Program Files\Samsung\USB Drivers\12_Symbian_USB_Download_Driver\Uninstall.exe

AddRemove-15_Symbian_Samsung_PC_DLC_Driver - C:\Program Files\Samsung\USB Drivers\15_Symbian_Samsung_PC_DLC_Driver\Uninstall.exe

AddRemove-16_Shrewsbury - C:\Program Files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe

AddRemove-24_flashusbdriver - C:\Program Files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe

AddRemove-25_escape - C:\Program Files\Samsung\USB Drivers\25_escape\Uninstall.exe

Danke!

Ergänzung: vor Abschluss Combofix und war nochmals ein BlueScreen und ein Neustart. Dann startete nochmals das Combofix-Fenster mit den letzten Aktionen (z.B. Hinweis darauf jetzt keine Programme zu starten bis Combofix fertig ist...)

Kein Problem, nur ist das Logfile nicht vollständig. War das nur so lange oder hast du einen Teil vergessen?

Zudem möchte ich dir dringend nahelegen, dieses System nicht weiter für sicherheitsrelevante Zwecke zu verwenden und empfehle dir eine Neuinstallation. Wir machen aber gerne mit Bereinigen weiter, wenn du das möchtest.

Hallo,

hab das Logfile nochmals verglichen. Ist vollständig kopiert worden, zumindest sind die ersten und letzten Zeilen jeweils identisch.

Aus Deiner Empfehlung in Richtung Neuinstallation schließe ich, daß eine vollständige Bereinigung nicht sicher gestellt werden kann. Sicherheitsrelevante Infos oder Daten sollen zukünftig aber auch bearbeitet werden können, weil das Gerät auch geschäftlich genutzt wird.

Anstelle der Neuinstallation würde ich dann fast vorschlagen ein neues Gerät anzuschaffen, weil das Notebook über das wir sprechen bereits in die Jahre gekommen ist.

Kann ich dann die Daten einfach vom "infizierten" alten Notebook über eine externe Festplatte aufs Neue kopieren oder besteht die Gefahr Malware mit rüber zu ziehen?
Würde einfach die relevanten Daten auf die Platte schieben und am neuen Rechner mit Malware scannen lassen. (Autorun ist dort bereits deaktiviert)

Gewerblich genutzte Rechner bereinigen wir hier eigentlich ohnehin nicht, eben genau aus diesen Gründen.

Ja die Daten kannst du so retten. Scanne die externe Platte aber vor dem überspielen auf den neuen Rechner z.b. mit Eset

ESET Online Scanner

Zitat:

Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Bitte hier klicken ---> http://larusso.trojaner-board.de/Images/eset.jpg
Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.

IE-User müssen das Installieren eines ActiveX Elements erlauben.

Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.

Warte bis die Komponenten herunter geladen wurden.

Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.

http://img707.imageshack.us/img707/687/starteg.jpg drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern! :kaffee:

Wenn der Scan beendet wurde
Klicke http://billy-oneal.com/Canned%20Spee...istThreats.png und dann http://billy-oneal.com/Canned%20Spee...esetExport.png

Speichere das Logfile als ESET.txt auf dem Desktop.

Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Wie gesagt, ich vermute stark, dass das System so sehr infiziert ist, dass wir nicht Sicher stellen können, dass wirklich alles weg ist ( und das kann man ohnehin nie so wirklich ).

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo Ryder,

hab gestern begonnen die Daten auf eine externe Platte zu sichern. Würde jetzt erstmal um neue Hardware schauen. Wenn Du den beschriebenen Weg zum Datentransfer als sinnvoll ansiehst dann denke ich, daß ich es schaffen werde!

Damit für Dein Engagement das alte System weitgehend zu cleanen herzlichen Dank!!

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/