Trojaner-Board - Rechner durch Download eines Wurms infiziert oder nicht?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Rechner durch Download eines Wurms infiziert oder nicht? (https://www.trojaner-board.de/104634-rechner-download-wurms-infiziert.html)

Rechner durch Download eines Wurms infiziert oder nicht?

Hallo zusammen,
heute bin ich dummerweise auf eine dieser nervigen Facebook-Virenverseuchten-Nachrichten reingefallen.
Über einen Bekannter habe ich einen Link erhalten, der lt. Google-Suchergebnis in einem Wurm-Download endet.
( Link: bennettcurtiscatering (dot) net/images (dot) php?i=rZv3x13_Funny_Cat_9806 (dot) JPG oololooo ) <-- habe die Punkte mal durch DOT ersetzt.

Meine Security Suite (Kaspersky) hat beim Abruf der Seite zwar keine Warnmeldung ausgeworfen, dennoch bin ich unsicher mir nicht doch etwas eingefangen zu haben.

Betriebssystem: Windows7 32bit SP1

Soweit die Ausgangslage.

Unternommen habe ich bislang dies:
- Virenscan des gesamten Systems --> keine Warnmeldung
- Defrogger laufen lassen
- OTL laufen lassen
- gmer laufen lassen
- Malwarebytes laufen lassen --> keine Warnmeldung

Es wäre super, wenn mir jemand die Gewissheit verschafft und mir sagt, ob

a) der Rechner infiziert ist (evtl. sogar schon vorher)
b) alles zum Glück sauber ist

Ich hänge dem Posting einmal die Logfiles von OTL und GMER an.

Vorab schon einmal vielen Dank für die Unterstützung.

Gruß
Nenilix

Zitat:

- Malwarebytes laufen lassen --> keine Warnmeldung

Bitte trotzdem alle Logs davon posten

Sorry...hatte vergessen die Datei anzuhängen.
Hier ist die LOG-Datei der Überprüfung durch Malwarebytes

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 8048
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421
 

31.10.2011 00:32:29

mbam-log-2011-10-31 (00-32-29).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 173918

Laufzeit: 2 Minute(n), 33 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Ich hoffe, dass es so ausreicht und bei der Analyse weiterhilft.

Bitte mit Malwarebytes einen Vollscan machen.

hier ist das Ergebnis des Vollscans.

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 8048
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421
 

31.10.2011 14:51:34

mbam-log-2011-10-31 (14-51-24).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)

Durchsuchte Objekte: 287455

Laufzeit: 32 Minute(n), 6 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

d:\downloads\cryptload_1.1.8\router\fritz!box\nc.exe (PUP.Netcat) -> No action taken.

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi,
hier kommt der Inhalt der Log-Datei aus dem ESET-Scan

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=56eab6204314974299c66a2aab2f92d5

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-10-31 04:13:29

# local_time=2011-10-31 05:13:29 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1280 16777215 100 0 21334514 21334514 0 0

# compatibility_mode=5893 16776573 100 94 69480 71705606 0 0

# compatibility_mode=8192 67108863 100 0 7709 7709 0 0

# scanned=135089

# found=0

# cleaned=0

# scan_time=3193

Was ich aber nicht gemacht habe ist, die externe -portable- Festplatte anzuklemmen.
Die FP ist auch nicht an einen USB-Port gestöpselt und nur nicht am Strom, sondern liegt nur auf dem Rechner rum.
Gelaufen ist sie zuletzt vor ca. 5 Tagen.

Ich würde diese gerne erstmal ablassen und den Scan nochmals laufen lassen, sobald sichergestellt ist, dass ich mir diese nicht infizieren kann.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://dsl-start.computerbild.de

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:Tabs

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = E3 59 4B 1E 23 E6 CB 01  [binary data]

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - prefs.js..browser.startup.homepage: "chrome://speeddial/content/speeddial.xul"

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.http: "127.0.0.1"

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.http_port: 8888

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.no_proxies_on: ""

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.share_proxy_settings: true

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.socks: "127.0.0.1"

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.socks_port: 8888

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.ssl: "127.0.0.1"

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.ssl_port: 8888

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.type: 0

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.http: "127.0.0.1"

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.http_port: 8888

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.no_proxies_on: ""

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.share_proxy_settings: false

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.socks: ""

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.socks_port: 0

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.ssl: "127.0.0.1"

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.ssl_port: 8888

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.type: 1

FF - prefs.js..network.proxy.backup.ftp: "127.0.0.1"

FF - prefs.js..network.proxy.backup.ftp_port: 8888

FF - prefs.js..network.proxy.backup.socks: "127.0.0.1"

FF - prefs.js..network.proxy.backup.socks_port: 8888

FF - prefs.js..network.proxy.backup.ssl: "127.0.0.1"

FF - prefs.js..network.proxy.backup.ssl_port: 8888

FF - prefs.js..network.proxy.ftp: "127.0.0.1"

FF - prefs.js..network.proxy.ftp_port: 8888

FF - prefs.js..network.proxy.http: "127.0.0.1"

FF - prefs.js..network.proxy.http_port: 8888

FF - prefs.js..network.proxy.no_proxies_on: ""

FF - prefs.js..network.proxy.share_proxy_settings: true

FF - prefs.js..network.proxy.socks: "127.0.0.1"

FF - prefs.js..network.proxy.socks_port: 8888

FF - prefs.js..network.proxy.ssl: "127.0.0.1"

FF - prefs.js..network.proxy.ssl_port: 8888

FF - prefs.js..network.proxy.type: 0

O2 - BHO: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found

O3 - HKLM\..\Toolbar: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" File not found

@Alternate Data Stream - 175 bytes -> C:\ProgramData\TEMP:FB1B13D8

:Commands

[emptytemp]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hier das Ergebnis:

Code:

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{043C5167-00BB-4324-AF7E-62013FAEDACF} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater deleted successfully.

ADS C:\ProgramData\TEMP:FB1B13D8 deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

->Temp folder emptied: 0 bytes

-> No Temporary Internet Files cache folder defined!

 

User: Default

-> No Temporary Internet Files cache folder defined!

 

User: Default User

-> No Temporary Internet Files cache folder defined!

 

User: Public

-> No Temporary Internet Files cache folder defined!

 

User: XXXXXX

-> No Temporary Internet Files cache folder defined!

 

User: XXXXXX_Admin

-> No Temporary Internet Files cache folder defined!

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 153692511 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 147,00 mb

 

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.31.0 log created on 10312011_204130
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

Hinweis: Mit der Bezeichnung "XXXXXX" habe ich meinen Namen ersetzt.

Es wäre super, wenn Du mir kurz erklären würdest, was die bisherigen Schritte bewirkt haben oder sollten.
Denn bisher habe ich die Anweisungen ausgeführt und zugegebenermaßen nicht wirklich verstanden was die LOGs ausdrücken, bzw. was die Scripte bewirken.

Das Fixlog ist unvollständig.
Ich habe ein paar Einstellungen im Browser gefixt sowei Sachen aus dem Autostart genommen, die hosts Datei wurde zurpckgesetzt und %tmp% wurde geleert.

mehr wurde nicht in die Log-Datei eingetragen.

Der Rechner wurde neu gestartet, aber das LOG-File ist nicht von alleine aufgegangen.
Erst in dem Moment, als ich OTL ein erneutes Mal gestartet habe.

Wurde dadurch ggf. ein Hintergrundprozess unterbrochen?

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

werde ich gleich machen, in dem Ordner ist nur die HOSTS-Datei vorhanden.

Ist das prinzipiell richtig?

OK. Die Datei ist entsprechend hochgeladen.

Mach bitte ein neues OTL-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread