|
Trojaner TR/Crypt.EPACK.Gen2 Hallo, Seit ca. 3 Tagen fand Antivir den Trojaner TR/Crypt.EPACK.Gen2. Trotz verschieben in Quarantäne tauchte er immer wieder auf. Hab auch Windows Defender, Hijackthis und Spybot Search&Destroy verwendet. Konkrete Probleme mit meiner Rechner-Performance hatte ich noch nicht bemerkt, außer: (1) Die Virendateien für Antivir lassen sich nur noch manuell updaten. (2) Probleme mit meinem Internetzugang, was aber am Modem zu liegen schien (rote LED). Hab einen Modem-Reset gemacht. Was mich hierbei aber wunderte (weil ich nichts verändert hatte): Ich musste nach dem Modem-Reset in Firefox umstellen von "Proxy-Einstellungen des Systems verwenden" auf "Die Proxy-Einstellungen für dieses Netzwerk automatisch erkennen". Gestern hab ich den Java-Cash-Speicher geleert. Heute hab ich Antivir 2x laufen lassen (als Administrator) und er hat nichts mehr gemeldet. Kann ich davon ausgehen, dass der Trojaner evtl. weg ist? Danke schon mal im Voraus. |
Trojaner TR/Crypt.EPACK.Gen2, JAVA/Exdoer.CU.2 und JAVA/Exdoer.CT.3 zuerst: Tut mir leid, dass ich zu meinem Problemfall ein neues Thema öffne, aber ich fand keinen anderen Weg, Zusatzinfo und Logfiles (Antivir-Scans, defogger.disable.log, OTL.txt + extras.txt) anzuhängen an mein Thema von gestern ("TR/Crypt.EPACK.Gen2"). Wenn ich einen Weg finde, lösche ich den "unvollständigen" Beitrag von gestern. Hier eine erweiterte Beschreibung meines Problems: Seit ca. 4 Tagen fand Antivir den Trojaner TR/Crypt.EPACK.Gen2. Trotz Verschieben in Quarantäne tauchte er (TR/Cr...) immer wieder auf (AVSCAN-20110610-190402-DF234DBF.LOG und AVSCAN-20110610-200239-FFB13384). Aber scheinbar mit unterschiedlicher Location. Das 2. Mal in der WindowsDefender Quarantäne? Ebenfalls gefunden wurden direkt vor dem Trojaner: JAVA/Exdoer.CU.2 und JAVA/Exdoer.CT.3 (AVSCAN-20110609-094019-18842AC0.LOG). Nach Verschieben in Quarantäne tauchten sie (JAVA/Ex...) nicht mehr auf. Außerdem habe ich nach diesen Funden den Java-Cash geleert. Konkrete Probleme mit meiner Rechner-Performance habe ich noch nicht bemerkt, außer: (1) Die Virendateien für Antivir lassen sich nur noch manuell updaten. (2) Probleme mit meinem Internetzugang, was aber am Modem zu liegen schien (rote LED). Was mich hierbei aber wunderte (weil ich nichts verändert hatte): Ich musste nach dem Modem-Reset in Firefox umstellen von "Proxy-Einstellungen des Systems verwenden" auf "Die Proxy-Einstellungen für dieses Netzwerk automatisch erkennen". Gestern fand Antivir (Virensignaturen manuell upgedated, 3 Scans. Antivir-Logs 4-6 im Anhang, AVSCAN-20110613-...log) nichts mehr. Scheint zwar erfreulich, bin aber nun unsicher. Kann der Trojaner wirklich weg sein? Hier das defogger.disable.log: defogger_disable by jpshortstuff (23.02.10.1) Log created at 08:54 on 14/06/2011 (marion u) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- OTL.txt und Extras.txt im angehängten Zip, da es hier zu viel war. Danke schon mal für's Draufschauen. |
Edit: Hab die Themen mal zusammengeführt. Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
hallo Arne, Super, danke für's Finden und Zusammenführen meiner 2 Beiträge! Beim Malwarebytes-Download gab's ein (scheinbar neues) Popup, ob ich die Vollversion testen will. Hab auf Ablehnen geklickt. Falls notwendig, muss ich es halt nochmal wiederholen. Hier das Ergebnis des malwarebytes-Vollscans: Malwarebytes' Anti-Malware 1.51.0.1200 www.malwarebytes.org Datenbank Version: 6852 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 14.06.2011 14:06:49 mbam-log-2011-06-14 (14-06-49).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 369069 Laufzeit: 37 Minute(n), 43 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
hallo Arne, hab Combofix ausgeführt. Davor Antivir und Windows Defender deaktiviert, die Windows Firewall allerdings nicht. Nach dem Scan wurde der Rechner automatisch neu gestartet und ein unbekanntes Programm (eine cfxxe-Datei) wollte Admin-Rechte (Windows-Aufforderungsfenster). Ich war noch am Überlegen, was tun, als das Aufforderungsfenster verschwand. Das Log wurde nicht automatisch geöffnet. Ich fand das Log nicht flach unter "C:", sondern unter "C:\cofi\ComboFix.txt". Hier sah ich auch cfxxe-Dateien ;-), d.h. nächstes Mal lasse ich sie zu. Das Log: - ein bissl wenig? ComboFix 11-06-13.06 - marion u 14.06.2011 15:06:28.1.4 - x64 Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.6135.4775 [GMT 2:00] ausgeführt von:: C:\Users\Marion_Internet\Desktop\cofi.exe AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} Gruß, Marion |
Steht da wirklich nicht mehr drin? |
mit Strg+A muss ich ja alles kriegen, was im File steht!?! Vielleicht muss ich Combofix nochmal laufen lassen. Vielleicht war das Problem, dass ich nach dem Rechner-Neustart mein OK für die cfxxe-Datei nicht gegeben hab. Die stand auch nicht in der Anleitung. Zur Absicherung: Windows Firewall muss auch ausgeschaltet werden? Rechner-Neustart is ok? Und dann die cfxxe-Datei zulassen. Gruß, Marion |
Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal. Eigentlich kann die Windows-Firewall aber an bleiben oder hast du sie so scharf gestellt, dass auch Ausgehendes erstmal geblockt wird? |
ok, hoffe, dass es jetzt geklappt hat. Zumindest isses deutlich mehr. Cofi neu runtergeladen. Firewall ausgeschaltet, Antivir und Defender ebenfalls, wobei Antivir beim Rechner-Neustart (wird in der Anleitung nicht erwähnt) wieder eingeschaltet wird. Hoffe, das war dann kein Problem. Combofix Logfile: Code: ComboFix 11-06-13.06 - marion u 14.06.2011 15:59:39.2.4 - x64 |
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Mir fällt übrigens grad auf, dass ich Antivir (die Programmoberfläche) nicht mehr starten kann. Den AVGuard kann ich noch ein/ausschalten. Könnte nach einem Rechner-Neustart behoben sein? Kleine Unstimmigkeit mit Combofix? Ich mach jetzt erst mal den MBRCheck. |
Ja, nach CF bitte den Rechner neustarten, wenn CF das nicht selbst tut. |
MBR-Check. "Found non-standard or infected MBR. Enter 'y' for more options or 'n' ... to exit" . Wenn ich "no" und Exit wähle, finde ich keine txt-Datei auf dem Desktop. Wenn ich "yes" wähle, habe ich die Options 1: Dump the MBR of a physical disk to file. 2: Restore the MBR of a physical disk with a standard boot code. 3: Exit Soll ich hier wählen? Und wenn ja, was? Gruß, Marion |
Das Log landet im selben Ordner, in dem auch die MBRcheck.exe ist |
guten Morgen, die MBRCheck.exe liegt auf dem Desktop und ich seh keine MBR...txt. Hab sogar nach " MBRcheck* " suchen lassen, da ich ja vielleicht Tomaten auf den Augen hab ;-) Er fand die exe, aber sonst nix. Gruß, Marion |
Nagut. Der MBR muss lt. deiner Meldung eh gefixt werden. Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten. Hast Du noch andere Betriebssysteme außer Win7 (64-Bit) installiert? Wenn nicht: Schau mal hier => RescueDisc-Win7-64-Bit Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten). Falls Du eine normale Win7-Installations-DVD (64-Bit) hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten. Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER. |
ok. Ich werd dann erst mal meine Daten sichern, wie du gesagt hast. Falls ich heute nicht alles schaffe, muss ich Freitag weitermachen. Ich hab nur Win7 Home Premium (64bit). 2 Recovery-DVDs (1x 32 Bit und 1x 64Bit). Jetzt hab ich noch ein paar Fragen: Geht's mit den Recovery-DVDs auch? Falls ja: Nachdem meine PC-Systeminfo sagt: 64-Bit-Betr.syst., nehme ich die 64Bit-DVD? GMER. Geht nur bei 32-Bit-Systemen? (http://www.trojaner-board.de/69886-a...beachten.html, Punkt 3). Soll ich's trotzdem einfach versuchen? Nach dem, was du gesehen hast, welchen Eindruck hast du von meinem Problem? Da ich ja noch nicht so viel davon merke, aber das Gefühl hab, dass da was im Busch is. Ab wann ist es ratsam, das Betriebssystem neu zu installieren? Ich weiß auch nicht, wie kompliziert es is mit Win7. Bei WinXP am Laptop hab ich's kürzlich geschafft. Grüße, Marion |
Zitat:
Zitat:
Zitat:
|
Sorry, jetzt kommt noch ne Frage. Hab RescueDisc mit ImgBurn erstellt und beim PC-Start mit f8 über CD gebootet. ABER: Bei der Auswahl Betriebssystem/Laufwerk kam ich ins Schleudern. Hatte nur 1 Auswahlmöglichkeit: "Windows7 auf Laufwerk D (Boot)". (Und ich hatte die Option, Treiber zu installieren, falls die gewünschte Auswahl nicht dabei ist.) Nun ist aber Laufwerk C das Boot-Laufwerk und Laufwerk D eine Recover-Partition (war so vorinstalliert). DVD-Laufwerk = E. Also hätte ich die Auswahl erwartet: Windows7 auf Laufwerk C (Boot). Hatte Angst, nen Riesenknoten reinzubringen und hab abgebrochen. Soll ich trotzdem an der Stelle weitergehen? Gruß und danke soweit erst mal, Marion |
Das gefundene Windows7 musst du auswählen. Die Laufwerkbuchstaben können da abweichen. |
Liste der Anhänge anzeigen (Anzahl: 1) gutn Morgn, hab ...fixboot und ...fixmbr ausgeführt. MBRcheck neu heruntergeladen, aber er gibt mir immer noch kein Logfile. Er sagt: Windows 7 MBR code detected. - Ich häng den Screenshot an. Grüße, Marion (kann sein, dass ich erst morgen weitermachen kann) |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
hallo Arne, ich will grad den Eset-Online-Scan machen und such die esetsmartinstaller_enu.exe für Firefox. Ich werd noch weitersuchen, aber vielleicht hast du ja nen Tipp, wo ich suchen soll? danke, Marion |
sorry, alles klar, ... es kommt automatisch ... |
hallo Arne, beim Abarbeiten der letzten Liste fiel mir auf, dass ich alle bisherigen Tests unter meinem Nicht-Admin-Konto ausgeführt hab (ich hab eines als Admin und eines für's Internet). Ich hab mit rechtem Mausklick "als Admin ausführen" gewählt und dann bei Aufforderung das Admin-Passwort eingegeben. Ich hoffe, das war ok so. ---- Den ESET-Online-Scan hab ich nun unter dem Admin-Konto ausgeführt. Auf dem dortigen Desktop lagen auch die "vermissten" Logs des MBRChecks ... haha ... Hier nun die Logs: Malwarebytes' Anti-Malware 1.51.0.1200 www.malwarebytes.org Datenbank Version: 6874 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 17.06.2011 10:44:06 mbam-log-2011-06-17 (10-44-06).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 383188 Laufzeit: 24 Minute(n), 9 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ________________ SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 06/17/2011 at 12:17 PM Application Version : 4.54.1000 Core Rules Database Version : 7278 Trace Rules Database Version: 5090 Scan type : Complete Scan Total Scan Time : 01:08:51 Memory items scanned : 516 Memory threats detected : 0 Registry items scanned : 13990 Registry threats detected : 0 File items scanned : 213516 File threats detected : 3 Adware.Tracking Cookie cdn.eyewonder.com [ C:\Users\Marion_Internet\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5XJ6S7W7 ] hottraffic.nl [ C:\Users\Marion_Internet\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5XJ6S7W7 ] macromedia.com [ C:\Users\Marion_Internet\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5XJ6S7W7 ] ______________ ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6427 # api_version=3.0.2 # EOSSerial=ee7897bd4ef0284e86dfbc4f6bc7c65e # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-06-17 01:45:55 # local_time=2011-06-17 03:45:55 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.1.7600 NT # compatibility_mode=512 16777215 100 0 0 0 0 0 # compatibility_mode=1797 16775165 100 94 2610 44854123 11129 0 # compatibility_mode=5893 16776574 100 94 279357 60719338 0 0 # compatibility_mode=8192 67108863 100 0 398 398 0 0 # scanned=292882 # found=4 # cleaned=0 # scan_time=4688 C:\_D_A_T_E_N_Marion\__4___ZUM_B_R_E_N_N_E_N\Programme\mp3_audiograbber\agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I I:\$RECYCLE.BIN\S-1-5-21-2215537698-2554243989-2799663152-1003\$R6MS0RI\Programme\mp3_audiograbber\agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I I:\_D_A_T_E_N_Marion_15_06_11\__4___ZUM_B_R_E_N_N_E_N\Programme\mp3_audiograbber\agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I I:\_D_A_T_E_N_Marion_17_05_11\__4___ZUM_B_R_E_N_N_E_N\Programme\mp3_audiograbber\agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I ___________ Das letzte MBRCheck log (falls es dich noch interessiert). Ich hab insgesamt 11 davon ;-), weil ich's immer wieder probiert und danach gesucht hatte. MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows 7 Home Premium Edition Windows Information: (build 7600), 64-bit Base Board Manufacturer: MEDIONPC BIOS Manufacturer: American Megatrends Inc. System Manufacturer: MEDIONPC System Product Name: MS-7616 Logical Drives Mask: 0x000000fc Kernel Drivers (total 172): 0x02E49000 \SystemRoot\system32\ntoskrnl.exe 0x02E00000 \SystemRoot\system32\hal.dll 0x00B9B000 \SystemRoot\system32\kdcom.dll 0x00CBD000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x00D01000 \SystemRoot\system32\PSHED.dll 0x00D15000 \SystemRoot\system32\CLFS.SYS 0x00E25000 \SystemRoot\system32\CI.dll 0x00EE5000 \SystemRoot\system32\drivers\Wdf01000.sys 0x00F89000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x00F98000 \SystemRoot\system32\DRIVERS\ACPI.sys 0x00FEF000 \SystemRoot\system32\DRIVERS\WMILIB.SYS 0x00E00000 \SystemRoot\system32\DRIVERS\msisadrv.sys 0x00D73000 \SystemRoot\system32\DRIVERS\pci.sys 0x00E0A000 \SystemRoot\system32\DRIVERS\vdrvroot.sys 0x00DA6000 \SystemRoot\System32\drivers\partmgr.sys 0x00DBB000 \SystemRoot\system32\DRIVERS\volmgr.sys 0x00C00000 \SystemRoot\System32\drivers\volmgrx.sys 0x00C5C000 \SystemRoot\System32\drivers\mountmgr.sys 0x01074000 \SystemRoot\system32\DRIVERS\iaStor.sys 0x01190000 \SystemRoot\system32\drivers\amdxata.sys 0x0119B000 \SystemRoot\system32\drivers\fltmgr.sys 0x011E7000 \SystemRoot\system32\drivers\fileinfo.sys 0x01242000 \SystemRoot\System32\Drivers\Ntfs.sys 0x01000000 \SystemRoot\System32\Drivers\msrpc.sys 0x013E4000 \SystemRoot\System32\Drivers\ksecdd.sys 0x01483000 \SystemRoot\System32\Drivers\cng.sys 0x014F6000 \SystemRoot\System32\drivers\pcw.sys 0x01507000 \SystemRoot\System32\Drivers\Fs_Rec.sys 0x0162D000 \SystemRoot\system32\drivers\ndis.sys 0x0171F000 \SystemRoot\system32\drivers\NETIO.SYS 0x0177F000 \SystemRoot\System32\Drivers\ksecpkg.sys 0x01801000 \SystemRoot\System32\drivers\tcpip.sys 0x017AA000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x01511000 \SystemRoot\system32\DRIVERS\volsnap.sys 0x017F4000 \SystemRoot\System32\Drivers\spldr.sys 0x0155D000 \SystemRoot\System32\drivers\rdyboost.sys 0x01600000 \SystemRoot\System32\Drivers\mup.sys 0x01612000 \SystemRoot\System32\drivers\hwpolicy.sys 0x01597000 \SystemRoot\System32\DRIVERS\fvevol.sys 0x015D1000 \SystemRoot\system32\DRIVERS\disk.sys 0x01400000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS 0x02D30000 \SystemRoot\system32\DRIVERS\cdrom.sys 0x02D5A000 \SystemRoot\System32\Drivers\Null.SYS 0x02D63000 \SystemRoot\System32\Drivers\Beep.SYS 0x02D6A000 \SystemRoot\System32\drivers\vga.sys 0x02D78000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x02D9D000 \SystemRoot\System32\drivers\watchdog.sys 0x02DAD000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x02DB6000 \SystemRoot\system32\drivers\rdpencdd.sys 0x02DBF000 \SystemRoot\system32\drivers\rdprefmp.sys 0x02DC8000 \SystemRoot\System32\Drivers\Msfs.SYS 0x02DD3000 \SystemRoot\System32\Drivers\Npfs.SYS 0x01430000 \SystemRoot\system32\DRIVERS\tdx.sys 0x02DE4000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x03EF2000 \SystemRoot\system32\drivers\afd.sys 0x03F7B000 \SystemRoot\System32\DRIVERS\netbt.sys 0x03FC0000 \SystemRoot\system32\DRIVERS\wfplwf.sys 0x03FC9000 \SystemRoot\system32\DRIVERS\pacer.sys 0x03FEF000 \SystemRoot\system32\DRIVERS\netbios.sys 0x03E00000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x03E1B000 \SystemRoot\system32\DRIVERS\termdd.sys 0x03E2F000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x03E80000 \SystemRoot\system32\drivers\nsiproxy.sys 0x03E8C000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x03E97000 \SystemRoot\System32\drivers\discache.sys 0x03EA6000 \SystemRoot\System32\Drivers\dfsc.sys 0x03EC4000 \SystemRoot\system32\DRIVERS\blbdrive.sys 0x0144E000 \SystemRoot\system32\DRIVERS\avipbb.sys 0x01200000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x03ED5000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x0482E000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys 0x052F2000 \SystemRoot\system32\DRIVERS\nvBridge.kmd 0x052F4000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x00C76000 \SystemRoot\System32\drivers\dxgmms1.sys 0x053E8000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x04004000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x0405A000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x0407E000 \SystemRoot\system32\DRIVERS\Rt64win7.sys 0x040D4000 \SystemRoot\system32\DRIVERS\1394ohci.sys 0x04112000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0x04130000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x0413F000 \SystemRoot\system32\DRIVERS\CompositeBus.sys 0x0414F000 \SystemRoot\system32\DRIVERS\AgileVpn.sys 0x04165000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x04189000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x04195000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x041C4000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x041DF000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x04800000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x0481A000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x04000000 \SystemRoot\system32\DRIVERS\swenum.sys 0x04471000 \SystemRoot\system32\DRIVERS\ks.sys 0x044B4000 \SystemRoot\system32\DRIVERS\umbus.sys 0x044C6000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x04520000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x06015000 \SystemRoot\system32\drivers\RTKVHD64.sys 0x04535000 \SystemRoot\system32\drivers\portcls.sys 0x04572000 \SystemRoot\system32\drivers\drmk.sys 0x061F6000 \SystemRoot\system32\drivers\ksthunk.sys 0x06000000 \SystemRoot\System32\Drivers\crashdmp.sys 0x02C00000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0x04594000 \SystemRoot\System32\Drivers\dump_dumpfve.sys 0x000C0000 \SystemRoot\System32\win32k.sys 0x045A7000 \SystemRoot\System32\drivers\Dxapi.sys 0x045B3000 \SystemRoot\system32\DRIVERS\hidusb.sys 0x045C1000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0x045DA000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x0600E000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x045E3000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x045F0000 \SystemRoot\system32\DRIVERS\monitor.sys 0x04400000 \SystemRoot\system32\drivers\USBSTOR.SYS 0x00440000 \SystemRoot\System32\TSDDD.dll 0x006E0000 \SystemRoot\System32\cdd.dll 0x008A0000 \SystemRoot\System32\ATMFD.DLL 0x0441B000 \SystemRoot\system32\drivers\luafv.sys 0x0443E000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0x00DD0000 \SystemRoot\system32\drivers\WudfPf.sys 0x0445B000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x015E7000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x076BD000 \SystemRoot\system32\drivers\HTTP.sys 0x07785000 \SystemRoot\system32\DRIVERS\bowser.sys 0x077A3000 \SystemRoot\System32\drivers\mpsdrv.sys 0x077BB000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0x07600000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0x0764E000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0x07A70000 \SystemRoot\system32\drivers\peauth.sys 0x07B16000 \SystemRoot\System32\Drivers\secdrv.SYS 0x07B21000 \SystemRoot\System32\DRIVERS\srvnet.sys 0x07B4E000 \SystemRoot\System32\drivers\tcpipreg.sys 0x07B60000 \SystemRoot\System32\DRIVERS\srv2.sys 0x08295000 \SystemRoot\System32\DRIVERS\srv.sys 0x0832A000 \SystemRoot\system32\DRIVERS\WUDFRd.sys 0x770A0000 \Windows\System32\ntdll.dll 0x47D60000 \Windows\System32\smss.exe 0xFF3C0000 \Windows\System32\apisetschema.dll 0xFF550000 \Windows\System32\autochk.exe 0xFF1A0000 \Windows\System32\ole32.dll 0xFF190000 \Windows\System32\nsi.dll 0xFF160000 \Windows\System32\imm32.dll 0xFF080000 \Windows\System32\advapi32.dll 0xFE2F0000 \Windows\System32\shell32.dll 0xFE2A0000 \Windows\System32\ws2_32.dll 0xFE280000 \Windows\System32\imagehlp.dll 0xFE230000 \Windows\System32\Wldap32.dll 0xFE190000 \Windows\System32\clbcatq.dll 0xFDFB0000 \Windows\System32\setupapi.dll 0xFDEA0000 \Windows\System32\msctf.dll 0x76F80000 \Windows\System32\kernel32.dll 0x76E80000 \Windows\System32\user32.dll 0x77270000 \Windows\System32\normaliz.dll 0x77260000 \Windows\System32\psapi.dll 0xFDC40000 \Windows\System32\iertutil.dll 0xFDBA0000 \Windows\System32\msvcrt.dll 0xFDB20000 \Windows\System32\difxapi.dll 0xFDAB0000 \Windows\System32\gdi32.dll 0xFD930000 \Windows\System32\urlmon.dll 0xFD860000 \Windows\System32\usp10.dll 0xFD730000 \Windows\System32\rpcrt4.dll 0xFD690000 \Windows\System32\comdlg32.dll 0xFD670000 \Windows\System32\sechost.dll 0xFD5F0000 \Windows\System32\shlwapi.dll 0xFD5E0000 \Windows\System32\lpk.dll 0xFD500000 \Windows\System32\oleaut32.dll 0xFD3D0000 \Windows\System32\wininet.dll 0xFD3B0000 \Windows\System32\devobj.dll 0xFD340000 \Windows\System32\KernelBase.dll 0xFD300000 \Windows\System32\wintrust.dll 0xFD190000 \Windows\System32\crypt32.dll 0xFD0F0000 \Windows\System32\comctl32.dll 0xFD0B0000 \Windows\System32\cfgmgr32.dll 0xFD0A0000 \Windows\System32\msasn1.dll 0x76E50000 \Windows\SysWOW64\normaliz.dll Processes (total 55): 0 System Idle Process 4 System 320 C:\Windows\System32\smss.exe 460 csrss.exe 520 C:\Windows\System32\wininit.exe 544 csrss.exe 584 C:\Windows\System32\winlogon.exe 628 C:\Windows\System32\services.exe 644 C:\Windows\System32\lsass.exe 652 C:\Windows\System32\lsm.exe 768 C:\Windows\System32\svchost.exe 868 C:\Windows\System32\nvvsvc.exe 908 C:\Windows\System32\svchost.exe 992 C:\Windows\System32\svchost.exe 128 C:\Windows\System32\svchost.exe 468 C:\Windows\System32\svchost.exe 1056 C:\Windows\servicing\TrustedInstaller.exe 1164 C:\Windows\System32\svchost.exe 1252 C:\Windows\System32\svchost.exe 1368 C:\Windows\System32\spoolsv.exe 1400 C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe 1428 C:\Windows\System32\svchost.exe 1548 C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe 1576 C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE 1628 C:\Program Files (x86)\Bonjour\mDNSResponder.exe 1780 C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe 1788 C:\Windows\System32\conhost.exe 1812 C:\Windows\System32\svchost.exe 1876 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE 1928 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTmon.exe 1976 C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe 2060 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE 2344 C:\Windows\System32\SearchIndexer.exe 2496 WUDFHost.exe 2724 C:\Windows\System32\nvvsvc.exe 3064 C:\Windows\System32\taskhost.exe 2672 C:\Windows\System32\dwm.exe 1136 C:\Windows\explorer.exe 1416 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe 1612 C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe 2616 C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe 2624 C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\acrotray.exe 2528 C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe 2816 C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe 1828 C:\Windows\System32\svchost.exe 2800 C:\Program Files\Windows Media Player\wmpnetwk.exe 3356 C:\Windows\System32\svchost.exe 3636 C:\Program Files (x86)\Mozilla Firefox\firefox.exe 736 C:\Program Files (x86)\Adobe\Adobe Photoshop CS3\Photoshop.exe 3868 C:\Windows\splwow64.exe 3016 dllhost.exe 3940 dllhost.exe 2364 dllhost.exe 2600 C:\Users\Marion_Internet\Desktop\MBRCheck.exe 900 C:\Windows\System32\conhost.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x000000e2`60a00000 (NTFS) PhysicalDrive0 Model Number: ST31000528AS, Rev: CC44 Size Device Name MBR Status -------------------------------------------- 931 GB \\.\PhysicalDrive0 Windows 7 MBR code detected SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79 Done! Gruß, Marion |
Sieht soweit ok aus. Die Funde von ESET lassen sich dadurch erklären, dass manche Setup Adware in Form von Toolbars mitbringen. Das kann man ignorieren. Rechner sonst wieder im Lot? |
hallo Arne, Der Trojaner is ja irgendwie nicht mehr aufgetaucht, oder? Was mir noch auffällt: (1) Antivir bringt die Fehlermeldung "beim Downloaden der Dateien ist ein Fehler aufgetreten", wenn ich auf "Update starten" klicke. Manueller Update geht. Hab ihn über Systemsteuerung deinstalliert, das Programm neu heruntergeladen und installiert, aber keine Veränderung. (2) Wenn ich den Rechner hochfahre und eine Online-Verbindung herstellen will, dann wird das Standardgateway falsch zugewiesen, d.h. es hat 2 Adressen: 0.0.0.0 und die korrekte Adresse (192.xxx.x.x). Das scheint laut meiner Recherche allerdings ein Win7-Problem zu sein und über Netzwerkkarten-Treiber aus- und wieder einschalten geht's dann. Auch fliege ich immer wieder mal aus dem Netz, vermute aber eher meine schlechte Telefonleitung (auf dem Land) oder das DSL-Modem als Problem. (3) Meine Bildschirm-Kalibrierung wird manchmal korrekt übernommen (so wie ich's eingestellt und gespeichert habe) und manchmal nicht. Das halte ich eher für eine computerinterne Ungenauigkeit? Ansonsten keine Performance-Probleme oder Auffälligkeiten. Hast du nen konkreten Tipp, wie ich Trojaner in Zukunft besser vermeiden kann, oder wo ich ihn aufgeschnappt haben könnte? Ich bin in der Regel vorsichtig mit den Seiten, auf die ich gehe und welche Dateien ich runterlade und öffne. Bilder (Kunst und Portraits) bei Google, hab ich gehört, sollen riskant sein? Und an dieser Stelle mal ein RIESEN-Danke für Begleitung bei der Latte an Tests. Grüße, Marion |
Zitat:
Zitat:
Und solche Adressen wie 192.168.XXX.YYY kannst du ruhig komplett posten, das sind private Adressen für dein internes Netzwerk, die sind aus dem Internet nicht (direkt) erreichbar. Zitat:
Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
hallo Arne, erst mal Danke für die Tipps!!! Hab mich durchgearbeitet und noch ein bissl dazu recherchiert. Soweit ich gesehen hab, empfehlt ihr MSE und Avast! als Alternative zu Antivir ... Gut zu wissen! Das mit der festen IP-Adresse sieht gut aus, keine doppelte Adresse für Standardgateway mehr. Rausfliegen kommt noch vor, oder dass ich mal das Modem neu starten muss, aber nicht so oft, ist also tolerabel. Und sorry, leider nochmal ein paar Fragen:
Und noch zum Löschen der verwendeten Tools: Über Systemsteuerung/Programme kann ich scheinbar folgende Tools löschen:
Wie entferne ich?
Problem bei Combofix entfernen: Zitat:
Danke für deine Geduld! Marion |
Liste der Anhänge anzeigen (Anzahl: 1) dachte grad, dass ein Screenshot des Ausführen-Fensters zu "Combofix deinstallieren" sinnvoll sein könnte. Vielleicht is da der Fehler ersichtlich. Gruß, Marion |
Zitat:
Zitat:
Zitat:
Zitat:
|
hallo Arne, Super, dass wir die Proxy-Sache noch geklärt haben. --> Hab bei "Internetoptionen/Einstellungen für LAN" die Adresse und den Port rausgelöscht, "Proxyserver verwenden" abgewählt und "automatische Suche der Einstellungen" angewählt. Es wird dann ein Port 80 eingetragen (keine Adresse) und alles ist ausgegraut, weil abgewählt. Im Firefox hab ich "die Proxyeinstellungen für dieses Netzwerk automatisch erkennen" abgewählt und "kein Proxy" angewählt. Ist das gut so? Combofix deinstallieren hab ich geschafft. Bin im Ausführen-Fenster noch ins Verzeichnis "Desktop" gewechselt und dann "cofi /unistall", dann ging's. "DOS" is allerdings etwas Blindflug für mich. Jetzt fehlt nur noch: Wie entferne ich? Gmer (V22vskpv9.exe) Defogger OTL MBRcheck Einfach vom Desktop löschen? Bei Gmer wär's wohl ok, weil ich's nicht benutzt hab, aber die anderen Drei? Danke, Marion |
Nein einfach die vom Desktop löschen. Diese Programme werden einfach nur ausgeführt und nicht installiert wie größere Programme. |
ok. Nochmal ein Riesen-Danke! :party: (nach Feierabend ;-) Marion |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board
