Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Rechnerbefall von XP Antispy 2011 Trojaner (https://www.trojaner-board.de/99529-rechnerbefall-xp-antispy-2011-trojaner.html)

tfritz 24.05.2011 20:01
Rechnerbefall von XP Antispy 2011 Trojaner
 
Hallo,

letzten Freitag habe ich fest gestellt, dass mein Rechner vom Trojaner XP Antispy 2011 befallen wurde.

Ich bin der Anleitung hier im Forum gefolgt (erst dadurch habe ich überhaupt fest gestellt, dass ich wirklich einen Trojaner habe):

1. rkill ausgeführt (siehe rkill_first.txt)
2. malwarebytes mit fullscan ausgeführt (siehe mbam-log-2011-05-21 (03-10-07).txt)
3. OTH ausgeführt
4. malwarebytes mit quickscan ausgeführt (siehe mbam-log-2011-05-24 (20-08-20).txt)
5. OTL ausgeführt (siehe Extras.Txt und OTL.Txt)

Die einzelnen Dateien habe ich im angehängten Zip zusammen gefasst.

Des weiteren habe ich schon manuell die Datei rxj.exe in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ gelöscht, so wie 2 Dateien mit kryptischen ca. 30 Zeichen langen Namen jeweils eine in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ und eine in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.

Nach dem ich im Thread von einem anderen Nutzer gesehen habe, dass dies bei ihm der nächste Schritt wäre durch OTL, und ich auch schon gesehen habe, dass an meiner Hosts Datei nichts geändert wurde, habe ich auch schon den TDSSKiller von Kapersky ausgeführt. Dieser hat allerdings nichts gefunden. (Siehe TDSSKiller.2.5.2.0_24.05.2011_20.48.49_log.txt im Zip)

Hier gleich meine erste Frage, da dieser nichts gefunden hat, kann ich daher mit ziemlicher Sicherheit davon ausgehen, dass ich somit nicht von einem Rootkit befallen war und irgendwelchen Passwörter ausgespäht wurden?

Wenn ich dem anderen besagten Thread "folge", dann sollte "nur" noch das ausführen von Combofix offen sein, um den Rechner wieder in geregelte Bahnen zu lenken, sprich, dass nichts mehr da ist, was ich nicht haben will und das die automatischen Updates von Windows wieder funktionieren. An dieser Stelle hätte ich allerdings gerne, dass einer von euch über meine bisherigen Aktionen drüber schaut und mir dann die weiteren Schritte die ich zu beschreiten habe, beschreibt ;)

Viele Grüße,

Thomas

cosinus 25.05.2011 12:11
Zitat:
Datenbank Version: 6630
Ganz aktuell waren die Signaturen aber nicht.
Bitte Malwarebytes updaten und einen neuen Vollscan machen.

tfritz 25.05.2011 21:24
Hi Arne,

ich denke, dass waren die Signaturen vom 20.5., dem Befalltag. Kann aber auch sein, dass ich mich täusche, jedenfalls ein Scan mit aktuellen Signaturen hat nichts gefunden, log ist im Anhang.

Grüße,

Thomas

cosinus 25.05.2011 21:54
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O33 - MountPoints2\{6a9ea556-c3a2-11de-95c6-0000f07bfaf1}\Shell - "" = AutoRun
O33 - MountPoints2\{6a9ea556-c3a2-11de-95c6-0000f07bfaf1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6a9ea556-c3a2-11de-95c6-0000f07bfaf1}\Shell\AutoRun\command - "" = E:\Install.exe
O33 - MountPoints2\{b341a038-2968-11e0-983b-0000f07bfaf1}\Shell - "" = AutoRun
O33 - MountPoints2\{b341a038-2968-11e0-983b-0000f07bfaf1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b341a038-2968-11e0-983b-0000f07bfaf1}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
O33 - MountPoints2\{b873ee68-b956-11de-95a7-0000f07bfaf1}\Shell - "" = AutoRun
O33 - MountPoints2\{b873ee68-b956-11de-95a7-0000f07bfaf1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b873ee68-b956-11de-95a7-0000f07bfaf1}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{b873ee6a-b956-11de-95a7-0000f07bfaf1}\Shell - "" = AutoRun
O33 - MountPoints2\{b873ee6a-b956-11de-95a7-0000f07bfaf1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b873ee6a-b956-11de-95a7-0000f07bfaf1}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{d5b80a8d-b958-11de-95a8-0000f07bfaf1}\Shell - "" = AutoRun
O33 - MountPoints2\{d5b80a8d-b958-11de-95a8-0000f07bfaf1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d5b80a8d-b958-11de-95a8-0000f07bfaf1}\Shell\AutoRun\command - "" = E:\AutoRun.exe
[2011.05.24 20:00:00 | 000,000,336 | ---- | M] () -- C:\WINDOWS\tasks\nkrqjzyb.job
[2011.05.24 20:00:00 | 000,000,318 | ---- | M] () -- C:\WINDOWS\tasks\hctybopy.job
[2011.05.24 06:53:17 | 000,000,000 | ---D | C] -- C:\xpantispyvirus
[2011.05.20 20:00:51 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\8381165.exe
[2011.05.20 20:00:51 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\7675506.exe
[2011.05.20 20:00:51 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\4118286.exe
[2011.05.20 20:00:51 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\3904681.exe
@Alternate Data Stream - 453 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:12A52B9F45C00B30
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

tfritz 26.05.2011 18:48
Hi,

gesagt getan, Log hängt an.

Grüße,

Thomas

cosinus 26.05.2011 20:01
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

tfritz 27.05.2011 08:53
Hi,

wurde, wie beim letzten mal, nichts gefunden. Log im Anhang.

Grüße,

Thomas

cosinus 27.05.2011 09:46
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

tfritz 27.05.2011 11:22
Hier das Log:
Combofix Logfile:
Code:
ComboFix 11-05-26.02 - tfritz 27.05.2011  11:48:20.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.551 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\tfritz\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804E5358-FFA4-00EB-0D24-347CA8A3377C}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\tfritz-edv\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
c:\dokumente und einstellungen\tfritz\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
c:\dokumente und einstellungen\tfritz\WINDOWS
c:\windows\sv.ini
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-04-27 bis 2011-05-27  ))))))))))))))))))))))))))))))
.
.
2011-05-26 17:45 . 2011-05-26 17:45        --------        d-----w-        C:\_OTL
2011-05-24 08:13 . 2011-05-24 08:13        --------        d-----w-        C:\ATI
2011-05-24 04:53 . 2011-05-27 07:49        --------        d-----w-        C:\xpantispyvirus
2011-05-20 18:33 . 2011-05-20 18:33        --------        d-----w-        c:\dokumente und einstellungen\tfritz\Anwendungsdaten\Malwarebytes
2011-05-20 18:33 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-20 18:33 . 2011-05-20 18:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-05-20 18:33 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-05-20 18:33 . 2011-05-20 18:33        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-05-14 17:54 . 2011-05-14 17:54        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-10 11:39 . 2007-03-12 19:23        21776        ----a-w-        c:\windows\system32\msxml2a.dll
2011-05-10 11:39 . 2007-03-12 19:23        14304        ----a-w-        c:\windows\system32\HLPADDIN.DLL
2011-05-10 11:39 . 2007-03-12 19:23        78336        ----a-w-        c:\windows\system32\DLLEX32.DLL
2011-05-10 11:39 . 2011-05-10 11:39        --------        d-----w-        C:\SABRE
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-22 19:02 . 2009-03-17 23:01        137656        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-03-07 05:33 . 2005-08-30 08:30        692736        ----a-w-        c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2005-08-30 17:19        420864        ----a-w-        c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2005-08-30 17:19        1858048        ----a-w-        c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 15:52        80384        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 15:52        80384        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 15:52        80384        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 15:52        80384        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 15:52        80384        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 15:52        80384        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 15:52        80384        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 15:52        80384        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 15:52        80384        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\dokumente und einstellungen\tfritz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\dokumente und einstellungen\tfritz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\dokumente und einstellungen\tfritz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\dokumente und einstellungen\tfritz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 88209]
"RestoreIT!"="c:\programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" [2004-09-23 114688]
"MagicKeyboard"="c:\programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 151552]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 344064]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"HTC Sync Loader"="c:\programme\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2010-10-28 294912]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\tfritz-edv\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
.
c:\dokumente und einstellungen\tfritz\Startmen\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\tfritz\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2010-12-17 23343848]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Cisco Systems VPN Client.lnk
backup=c:\windows\pss\Cisco Systems VPN Client.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08        417792        ----a-w-        c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spark]
2007-09-18 14:18        434176        ----a-w-        c:\programme\Spark\Spark.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Flagship Studios\\Hellgate London\\Launcher.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\Java\\jdk1.5.0_15\\bin\\javaw.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Dokumente und Einstellungen\\tfritz\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\ICQ7.4\\ICQ.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R0 RITCPT;RITCPT;c:\windows\system32\drivers\RITCPT.SYS [30.08.2005 10:44 43512]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.03.2009 01:01 136360]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [30.08.2005 10:43 4300]
R2 FBAPI;FBAPI;c:\windows\system32\drivers\FBAPI.sys [30.08.2005 10:44 5088]
R2 PassThru Service;Internet Pass-Through Service;c:\programme\HTC\Internet Pass-Through\PassThruSvr.exe [16.09.2010 15:06 80896]
R2 SNM WLAN Service;SNM WLAN Service;c:\programme\Samsung\Samsung Network Manager\SNMWLANService.exe [28.05.2005 08:35 36864]
R2 UI Assistant Service;UI Assistant Service;c:\programme\T-Mobile Internet Manager 03\AssistantServices.exe [28.10.2009 11:53 241664]
R3 wowfilter;WOW XT Filter Driver;c:\windows\system32\drivers\WOWFilter.sys [08.06.2005 16:58 17792]
S3 filtertdidriver;filtertdidriver;c:\windows\system32\drivers\ewfiltertdidriver.sys --> c:\windows\system32\drivers\ewfiltertdidriver.sys [?]
S3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\drivers\htcnprot.sys [22.06.2010 19:01 21248]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [28.10.2009 11:53 7680]
S3 usb2vcom;Nokia CA-42 USB;c:\windows\system32\drivers\usb2vcom.sys [01.12.2006 10:52 30272]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WUAUSERV
*Deregistered* - BMLoad
.
Inhalt des "geplante Tasks" Ordners
.
2010-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = localhost:8008
uInternet Settings,ProxyOverride = <local>;*.local
IE: Download by GAS - c:\progra~2\GETASF~1\ie_MenuExt.htm
IE: Edit with Altova X&MLSpy - c:\programme\Altova\XMLSpy2010\spy.htm
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\programme\ICQ7.4\ICQ.exe
Trusted Zone: 1und1.de
Trusted Zone: amazon.de\www
Trusted Zone: backpackit.com
Trusted Zone: elsteronline.de\www
Trusted Zone: hosteurope.de\ds80-237-200-77.dedicated
Trusted Zone: hypovereinsbank.de\www
Trusted Zone: images-amazon.com\ecx
Trusted Zone: payback.de\www
Trusted Zone: rapidshare.com
FF - ProfilePath - c:\dokumente und einstellungen\tfritz\Anwendungsdaten\Mozilla\Firefox\Profiles\bynzi0cu.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q=
.
.
------- Dateityp-Verknüpfung -------
.
.txt=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{AA296982-BFA2-457F-8DF4-17FC8D1E5CBD} - c:\windows\system32\cbXRKEuU.dll
HKCU-Run-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
Notify-vtUNHYrr - vtUNHYrr.dll
MSConfigStartUp-ICQ - c:\programme\ICQ7.2\ICQ.exe
MSConfigStartUp-Media Codec Update Service - c:\programme\Essentials Codec Pack\update.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-05-27 11:59
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1264)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3408)
c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
c:\programme\TortoiseSVN\bin\TortoiseStub.dll
c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
c:\programme\TortoiseSVN\bin\intl3_tsvn.dll
c:\dokumente und einstellungen\tfritz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\WinSCP3\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\TortoiseSVN\bin\TSVNCache.exe
c:\windows\AGRSMMSG.exe
c:\programme\SAMSUNG\MagicKBD\MagicKBD.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-27  12:07:31 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-05-27 10:07
.
Vor Suchlauf: 3.897.507.840 Bytes frei
Nach Suchlauf: 5.940.310.016 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptOut
.
- - End Of File - - 0C2CC4B25AE79DE01931DCECD176B6FB
--- --- ---

Nun mag auch das Sicherheitszentrum weder *Windowsupdatesdurchführ*. Schon mal vielen Dank bis hierher ;)

Falls nun nichts mehr zu tun ist, kannst du mir verraten, anhand der Logs, ob ich noch von irgendwas anderem befallen war, vor allem von etwas das irgendwelche Passwörter hätte ausspähen können?

Grüße,

Thomas

cosinus 27.05.2011 15:02
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

tfritz 28.05.2011 20:03
Hi,

GMER ist zwar beim ersten mal zusammen mit dem Rechner abgestürzt, aber das zweite mal hat geklappt ;)

Im Anhang die drei Logs.

Grüße,

Thomas

cosinus 28.05.2011 23:38
Zitat:
"lemsgt" (lemsgt) - ? - C:\WINDOWS\System32\DRIVERS\lemsgt.sys (File found, but it contains no detailed information)
Bitte mit OSAM deaktivieren und löschen

tfritz 29.05.2011 13:38
Datei war von 2007, neues Log im Anhang.

cosinus 29.05.2011 14:50
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


tfritz 31.05.2011 07:40
Hi,

das hat etwas länger gedauert, da die Scans immer ca. 3 Stunden dauerten, aber im Anhang die logs ;)

Grüße,

Thomas

cosinus 31.05.2011 12:16
Sieht ok aus, da wurden nur Cookies und Überreste gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

tfritz 01.06.2011 20:17
Hi,

Probleme oder Funde aktuell nicht, nur noch 2 mehr oder minder offene Fragen. Aber zunächst vielen Dank für die Unterstützung :)


Die erste, war ich jetzt durch den Befall von dem Virus "nur" durch diesen betroffen? Oder war da noch irgendwas dabei, was irgendwelche Passwörter hätte ausspähen können?

Und als zweites, der AntiVir scheints ja offensichtlich nicht ganz zu bringen, nach dem er den Virus ja nicht erkannt bzw. gestoppt hat. Was würdest du mir hier empfehlen, was ich anstatt nehmen sollte? Kann ruhig was kosten ;)

Grüße,

Thomas

cosinus 01.06.2011 21:34
Zitat:
Oder war da noch irgendwas dabei, was irgendwelche Passwörter hätte ausspähen können?
Da man das nicht weiß, sollte man die Passwörter ändern. Hätte ich aber noch später eh gepostet.

Zitat:
Und als zweites, der AntiVir scheints ja offensichtlich nicht ganz zu bringen, nach dem er den Virus ja nicht erkannt bzw. gestoppt hat. Was würdest du mir hier empfehlen, was ich anstatt nehmen sollte? Kann ruhig was kosten
Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6) automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

tfritz 03.06.2011 13:55
Zitat:
Zitat von cosinus (Beitrag 666850)
Da man das nicht weiß, sollte man die Passwörter ändern. Hätte ich aber noch später eh gepostet.
Ok, die Frage stell ich deswegen, weil "zufällig" 1 Tag (21.5.) nach dem Befall (20.5.) eine Website die ich betreu, wo ich 1 Tag (19.5.) vor dem aufgefallenen Befall etwas hoch geladen habe per FTP, gehackt wurde. Allerdings war/ist nichts anderes von dem was ich am selben Tag angefasst habe, in irgendeiner Form betroffen. Aber nach dem die Seite, nach "korrektur", wohl heute noch mal gehackt wurde, in der Zwischenzeit dort aber das FTP Passwort geändert wurde, scheint das wohl doch von wo anders her zu kommen...

Zitat:
Zitat von cosinus (Beitrag 666850)
Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6) automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?
An das meiste halte ich mich eh schon, aber ich war wohl offensichtlich "kurz" unvorsichtig und genau da hat's mich zum ersten mal in 15 Jahren erwischt... Nu gut, dann bleib ich beim AntiVir, vielen Dank noch mal für die Hilfe ;)

Grüße,

Thomas

cosinus 03.06.2011 18:52
Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27