Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Worm.KoobFace in C:\Windows (https://www.trojaner-board.de/79670-worm-koobface-c-windows.html)

yihaa 23.11.2009 14:43
Worm.KoobFace in C:\Windows
 
Hallo,

ich habe hier den PC einer Bekannten vor mir weil AntiVir eine Infizierung mit Worm/KoobFace meldete.
Als Betriebssystem lief XP Pro SP2, welches ich nun erstmal auf SP3 upgedatet habe.

Ich habe nun CCleaner, Malwarebytes-Anti-Malware und RSIT laufen lassen.
Der PC läuft nun fehlerfrei und ohne Meldungen. Kann bitte trotzdem jemand folgende bzw. angehängte Logfiles ansehen ob der PC nun tatsächlich sauber ist!?

AntiVir meldete folgende Infizierungen:
TR/REG.Koobface.89 in C:\3.reg
WORM/Koobface.cci in C:\WINDOWS\rdr_1258667803.exe
TR/Dldr.Small.anlx in C:\WINDOWS\rdr_1258667863.exe
TR/Dldr.Ag.41472.AA in C:\WINDOWS\ld15.exe
TR/Dldr.Ag.41472.AA in C:\System Volume Information\...\A0037346.exe
TR/VTool-Obfuscator.HL in C:\WINDOWS\tag14.exe

Logfile Malwarebytes:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3198
Windows 5.1.2600 Service Pack 3

20.11.2009 11:42:40
mbam-log-2009-11-20 (11-42-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 321417
Laufzeit: 1 hour(s), 50 minute(s), 2 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicherprozesse:
C:\WINDOWS\mstre23.exe (Worm.KoobFace) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysmstray (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\mstre23.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\tag14.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\rdr_1258617268.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\rdr_1258617517.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\rdr_1258656703.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\010112010146116101.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465150.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465249.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465250.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465349.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465355.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465548.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101465649.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\tgm2.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\010112010146101105.rx (Malware.Trace) -> Quarantined and deleted successfully.

RIST log.txt und info.txt im Anhang

Vielen Dank im voraus!

yihaa

kira 24.11.2009 09:44
Hallo und Herzlich Willkommen! :)

Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Das heißt, eine Sichere Lösung wäre doch bestimmt die Neuinstallation ;)
auf jeden Fall: Ändere deine Passworte und Zugangsdaten überall! - am besten von einem anderen, nicht-infizierten Rechner aus!
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Ccleaner starten→ dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren
- oder das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

yihaa 24.11.2009 18:32
Hallo Coverflow,

vielen Dank, dass du dich meines Problems annimmst!

1. Stimmt, die Neuinstallation wäre bestimmt der sicherste und einfachste Weg. Da meine Bekannte allerdings (noch) keinerlei Backups ihrer Daten hat und einige Matheprogramme installiert hat, möchte ich den PC nicht neu aufsetzen.

2. Passwörter wurden geändert

3. Hier das filelist-log mit den Einträgen ab Juni 09:

4. Folgend die installierten Programme:
Code:
Ad-Aware 2007
Adobe Acrobat 8.1.0 Professional
Adobe Color Common Settings
Adobe ExtendScript Toolkit 2
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop CS3
Agere Systems AC'97 Modem
Apple Mobile Device Support
Apple Software Update
ArcSoft PhotoStudio 5.5
ATI - Dienstprogramm zur Deinstallation der Software
Avira AntiVir Personal - Free Antivirus
Broadcom NetXtreme Ethernet Controller
Canon MP Navigator 2.0
Canon MP150
Canon Utilities Easy-PhotoPrint
CCleaner
Content Transfer
Digital Camera Driver
Easy-WebPrint
EVEREST Home Edition v2.20
FileZilla Client 3.2.0
HijackThis 2.0.2
HP BIOS Configuration for ProtectTools 1.00 C1
HP Customer Participation Program 7.0
HP Imaging Device Functions 7.0
HP Integrated Module with Bluetooth wireless technology
HP OrderReminder
HP Photosmart Essential
HP Photosmart, Officejet and Deskjet 7.0.A
HP ProtectTools Security Manager 1.00 C3
HP Software Update
HP Solution Center 7.0
HP Wireless Assistant
Intel(R) PROSet/Wireless Software
iTunes
J2SE Runtime Environment 5.0
LaserJet 1018
Malwarebytes' Anti-Malware
Maple 11
MATLAB R2007a
Media Manager for WALKMAN 1.2
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Enterprise 2007
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
MiKTeX 2.6
Mozilla Firefox (3.0.15)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
Nero 7 Ultra Edition
OCR Software by I.R.I.S 7.0
OmniPage SE
PHP 5.2.9-2
POV-Ray for Windows v3.6.1c
PowerDVD
Quick Launch Buttons 5.10 B5
QuickTime
R for Windows 2.7.0
Roxio PhotoSuite 5
Skype™ 3.5
SoulSeek Client 156c
SoundMAX
SpeedTouch USB Software
Synaptics Pointing Device Driver
Texas Instruments PCIxx21/x515 drivers.
TeXnicCenter Version 1 Beta 7.01 (Greengrass)
tsWebEditor 20060920
Winamp (remove only)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinRAR archiver
5. Das Log von GMER:
Code:
GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-24 14:26:42
Windows 5.1.2600 Service Pack 3
Running: 270qpmpm.exe; Driver: C:\DOKUME~1\Lena\LOKALE~1\Temp\uwlcapob.sys


---- System - GMER 1.0.15 ----

SSDT            F7C97966                                                                                                            ZwCreateKey
SSDT            F7C9795C                                                                                                            ZwCreateThread
SSDT            F7C9796B                                                                                                            ZwDeleteKey
SSDT            F7C97975                                                                                                            ZwDeleteValueKey
SSDT            sptd.sys                                                                                                            ZwEnumerateKey [0xF73F6FB2]
SSDT            sptd.sys                                                                                                            ZwEnumerateValueKey [0xF73F7340]
SSDT            F7C9797A                                                                                                            ZwLoadKey
SSDT            sptd.sys                                                                                                            ZwOpenKey [0xF73F10B0]
SSDT            F7C97948                                                                                                            ZwOpenProcess
SSDT            F7C9794D                                                                                                            ZwOpenThread
SSDT            sptd.sys                                                                                                            ZwQueryKey [0xF73F7418]
SSDT            sptd.sys                                                                                                            ZwQueryValueKey [0xF73F7298]
SSDT            F7C97984                                                                                                            ZwReplaceKey
SSDT            F7C9797F                                                                                                            ZwRestoreKey
SSDT            F7C97970                                                                                                            ZwSetValueKey
SSDT            F7C97957                                                                                                            ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?              C:\WINDOWS\system32\drivers\sptd.sys                                                                                Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text          USBPORT.SYS!DllUnload                                                                                                F691F8AC 5 Bytes  JMP 86D1A770
init            C:\WINDOWS\system32\drivers\tifm21.sys                                                                              entry point in "init" section [0xF66E83BF]
init            C:\WINDOWS\system32\DRIVERS\gtipci21.sys                                                                            entry point in "init" section [0xF66ACA80]
?              System32\Drivers\a6bbo7z2.SYS                                                                                        Das System kann den angegebenen Pfad nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [F73F1AD4] sptd.sys
IAT            atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [F73F1C1A] sptd.sys
IAT            atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [F73F1B9C] sptd.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [F73F2748] sptd.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [F73F261E] sptd.sys
IAT            \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                  [F740729A] sptd.sys

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                              86FD01E8

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                              SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                              EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                              SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                              EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company)

Device          \Driver\usbuhci \Device\USBPDO-0                                                                                    86D371E8
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                            86F651E8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                              86F651E8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                86F651E8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                                86F651E8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                    86D371E8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                    86D371E8
Device          \Driver\usbehci \Device\USBPDO-3                                                                                    86CF11E8
Device          \Driver\PCI_NTPNP6868 \Device\00000056                                                                              sptd.sys
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                              86FD21E8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                              86FD21E8
Device          \Driver\Cdrom \Device\CdRom0                                                                                        86CAF1E8
Device          \Driver\Cdrom \Device\CdRom1                                                                                        86CAF1E8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  [F7326B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                                          [F7326B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                                          [F7326B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\NetBT \Device\NetBT_Tcpip_{6CE05725-A617-43BC-8C3B-1DCC1AC01E53}                                            86BCB650
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                              86BCB650
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                    86BCB650
Device          \Driver\usbuhci \Device\USBFDO-0                                                                                    86D371E8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                    86D371E8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    86DDE520
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                    86D371E8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          86DDE520
Device          \Driver\usbehci \Device\USBFDO-3                                                                                    86CF11E8
Device          \Driver\Ftdisk \Device\FtControl                                                                                    86FD21E8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{5C456280-D051-4925-9A93-137B07C69F40}                                            86BCB650
Device          \Driver\a6bbo7z2 \Device\Scsi\a6bbo7z21Port1Path0Target0Lun0                                                        86D721E8
Device          \Driver\a6bbo7z2 \Device\Scsi\a6bbo7z21                                                                              86D721E8
Device          \FileSystem\Cdfs \Cdfs                                                                                              86A2C5F8

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  C:\Programme\DAEMON Tools\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                              0x71 0x02 0x70 0x5E ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x4B 0xFE 0x0F 0x0B ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x67 0xD9 0x49 0x3F ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools\
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0x71 0x02 0x70 0x5E ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x4B 0xFE 0x0F 0x0B ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x67 0xD9 0x49 0x3F ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools\
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0x71 0x02 0x70 0x5E ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x4B 0xFE 0x0F 0x0B ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x67 0xD9 0x49 0x3F ...

---- EOF - GMER 1.0.15 ----
Vielen Dank.

Gruß
yihaa

kira 25.11.2009 14:20
hi

1.
Bevor wir beginnen:
Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw)
Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, aber besser auf externe Festplatten oder/und USB-Sticks
Mache das jetzt bitte!

2.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

3.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

yihaa 25.11.2009 21:02
Hallo,

1. Eine externe FP wurde schon gekauft und bin dabei die Daten zu sichern.

2. Hier das Log von SUPERAntiSpyware:
Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/25/2009 at 04:24 PM

Application Version : 4.31.1000

Core Rules Database Version : 4310
Trace Rules Database Version: 2175

Scan type      : Complete Scan
Total Scan Time : 00:45:11

Memory items scanned      : 677
Memory threats detected  : 0
Registry items scanned    : 7075
Registry threats detected : 0
File items scanned        : 24783
File threats detected    : 1

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\Lena\Cookies\lena@doubleclick[2].txt
3. Hier das Log von Kaspersky Online Scanner:
Code:
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
 Wednesday, November 25, 2009
 Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
 Kaspersky Online Scanner version: 7.0.26.13
 Last database update: Wednesday, November 25, 2009 15:23:58
 Records in database: 3289631
--------------------------------------------------------------------------------

Scan settings:
        scan using the following database: extended
        Scan archives: yes
        Scan e-mail databases: yes

Scan area - My Computer:
        C:\
        D:\
        E:\
        G:\

Scan statistics:
        Objects scanned: 197907
        Threats found: 0
        Infected objects found: 0
        Suspicious objects found: 0
        Scan duration: 03:11:48

No threats found. Scanned area is clean.

Selected area has been scanned.
Ist der PC nun schon sauber?

Gruß

yihaa

kira 26.11.2009 09:50
hi

1.
** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

2.
Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:
Code:
HijackThis/Trend Micro
filelist
CCleaner
Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
  • `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
  • `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

5.
Zum Schluss, scanne dein Sytem mit mindestens 3 Onlinescanner (Externe Sachen bitte anschliessen) :
- Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern

yihaa 03.12.2009 16:06
Hallo Coverflow,

habe deine Punkte nun abgearbeitet und auch drei Online-Scanner laufen lassen.

Hier die Logfiles:

bitdefender:
Code:
*BitDefender Online Scanner*

*Bericht erstellt am: Wed, Dec 02, 2009 - 14:13:23*

* *

*Zu prüfender Pfad: *C:\;D:\;

* *

*Statistik*

Zeit
00:43:58

Dateien
139232

Ordner
18043

Boot-Sektoren
0

Archive
1794

Komprimierte Dateien
18055

*Ergebnisse*

Erkannte Viren
0

Infizierte Dateien
0

verdächtige Dateien
0

Warnungen
0

Desinfiziert
0

Gelöscht
0

*Engine-Info*

Virensignaturen
4675547

Engine info
AVCORE v2.1 Windows/i386 11.0.0.26 (Oct 20 2009)

Prüf-Plugins
17

Archiv-Plugins
44

Extraktions-Plugins
8

E-Mail-Plugins
6

System-Plugins
4

*Prüfeinstellungen*

Primäre Aktion
Desinfizieren

Sekundäre Aktion
Lschen

Heuristik
Ja

Warnungen aktivieren
Ja

Zu prüfende Erweiterungen
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Auszuschließende Erweiterungen

E-Mails prüfen
Ja

Archive prüfen
Ja

Komprimierte Dateien prüfen
Ja

Dateien prüfen
Ja

Boot-Sektoren prüfen
Ja

*Geprüfte Dateien*

* Status*

Keine Viren gefunden

* *
* *
ESET Online Scanner: ließ sich kein Log speichern, hat aber nichts gefunden

F-Secure:
Code:
  Scanning Report


    Thursday, December 3, 2009 14:52:50 - 15:52:49

Computer name: MAGDALENA
Scanning type: Scan system for malware, spyware and rootkits
Target: C:\ D:\

------------------------------------------------------------------------


    1 malware found

TrackingCookie.Doubleclick
<http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Doubleclick&orig='disk'>
(spyware)

    * System (Disinfected)

------------------------------------------------------------------------


    Statistics

Scanned:

    * Files: 74617
    * System: 3832
    * Not scanned: 7

Actions:

    * Disinfected: 1
    * Renamed: 0
    * Deleted: 0
    * Not cleaned: 0
    * Submitted: 0

Files not scanned:

    * C:\PAGEFILE.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
    * C:\WINDOWS\SYSTEM32\CONFIG\SAM
    * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
    * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
    * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
    * C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE

------------------------------------------------------------------------


    Options

Scanning engines:

Scanning options:

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT
      VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM
      ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK
      WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML
      PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT
      MIF PHP POT SWF WMF NWS TAR
    * Use advanced heuristics

------------------------------------------------------------------------


                  Copyright © 1998-2009 Product support
                  <http://support.f-secure.com/> | Send virus sample to
                  F-Secure
                  <http://support.f-secure.com//enu/home/virusproblem/sample/>


                  F-Secure assumes no responsibility for material
                  created or published by third parties that F-Secure
                  World Wide Web pages have a link to. Unless you have
                  clearly stated otherwise, by submitting material to
                  any of our servers, for example by E-mail or via our
                  F-Secure's CGI E-mail, you agree that the material you
                  make available may be published in the F-Secure World
                  Wide Pages or hard-copy publications. You will reach
                  F-Secure public web site by clicking on underlined
                  links. While doing this, your access will be logged to
                  our private access statistics with your domain name.
                  This information will not be given to any third party.
                  You agree not to take action against us in relation to
                  material that you submit. Unless you have clearly
                  stated otherwise, by submitting material you warrant
                  that F-Secure may incorporate any concepts described
                  in it in the F-Secure products/publications without
                  liability.
Somit sollte der Rechner nun sauber sein, oder?

Vielen Dank für deine Hilfe!

Gruß
yihaa

kira 04.12.2009 07:17
hi

Alte Java-Versionen entfernen:
- Lade Dir JavaRa von prm753 herunter
- auf dem Desktop entpacken
- die JavaRa.exe per Doppelklick starten
- wähle "Remove Older Versions" und klicke auf "Yes
- wird ein Log erstellt, kannst Du speichern (posten nicht nötig)
- Installiere dann die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url]

- Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:
Code:
HijackThis/Trend Micro
CCleaner
Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

Empfehlungen/Vorschläge:
1.
Wie lange dauert die Startvorgang?
- Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben
- Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen.
"Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK"
it-academy.cc
pqtuning.de
Laden von Programmen beim Start von Windows Vista verhindern
- Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart...
- Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten`
(Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.)
- Falls Du mal brauchst, kannst manuell auch starten
- Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*):
Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
Du solltest nicht deaktivieren :
Grafiktreibers
Firewall
Antivirenprogramm
Sound
Da es ist immer Benutzerspezifisch, ein allgemein gültiges Rezept gibt es nicht, finde über Google die Grundfunktionen der einzelnen Programme heraus!
Gleich ein paar Vorschläge:
Code:
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
2.
mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
08-09-18 Einträge - alle
3.
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten:
Code:
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
- unter `Systemsteuerung - Verwaltung - Dienste oder "Ausführen"-> gibst Du in das Dialogfenster den Befehl services.msc -> Ok
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt.
- auf keinen Fall Grafiktreibers, Firewall und Anti-Viren-Programmen abschalten!!



Lesestoff:
Zitat:
Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -
wünsch Dir alles Gute:)


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131