Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Komme nicht in abgesicherten Modus und einige Downloads gehen nicht bis zum Ende (https://www.trojaner-board.de/135716-komme-abgesicherten-modus-einige-downloads-gehen-ende.html)

Rikey 29.05.2013 00:23
Komme nicht in abgesicherten Modus und einige Downloads gehen nicht bis zum Ende
 
Gute Nacht,

ich denke ich habe mir vor langer Zeit einen Virus oder sonst etwas eingefangen.
Jedoch war ich zu faul um ihn zu versuchen zu beheben. :headbang:
Es funktionieren viele Downloads nicht und laden nur bis 99% oder 98%.
Viele Downloads funktionieren, doch welche wie ein neuer Antiviren-Programm, Adobe etc.
Ich hoffe deswegen ihr könnt mir helfen.

Bisher habe ich versucht über den abgesicherten Modus mit einer Malware einen Suchlauf zu starten. Jedoch erfolgslog. Dort bekam ich die Fehlermeldung mit "SPTD.sys".
Ich habe bisher geschaut und ich kann OTL und OTLPENet und andere ähnliche Programme erfolgreich downloaden.
Deswegen denke ich, dass ich, wenn ich überhaupt das Problem zu lösen schaffe, auch gleich am infizierten PC das erledigen kann, denn an einen Zweitrechner kann ich ebenfalls, das jedoch nur schwer.

Ich hoffe ich habe das Problem gut genug geschildet und bitte postet drunter, wenn ihr weitere Infos braucht.

PS: ->
Ich benutze Windows XP.

Mit freundlichen Grüßen
Rikey

aharonov 29.05.2013 01:18
Hi,

dann mach bitte mal einen OTL-Scan:


Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
  • Doppelklick auf die OTL.exe.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
  • Poste den Inhalt dieser Logfiles hier in den Thread.

Rikey 29.05.2013 11:33
Guten Mittag,

da die Logs etwas länger sind habe ich sie als Anhang in diesen Beitrag gepackt.
Ich hoffe diese Logs helfen und ich hoffe, dass ihr mir weiterhelfen könnt.

Mit freundlichen Grüßen
Rikey

aharonov 29.05.2013 11:59
Hallo,

dann mach so weiter:


Schritt 1

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es eine Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.




Schritt 2

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



Bitte poste in deiner nächsten Antwort:
  • Log von Combofix
  • Log von MBAR

Rikey 29.05.2013 18:12
Log von Combofix:
Code:
ComboFix 13-05-29.01 - Dinc 29.05.2013  14:48:42.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.537 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Dinc\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\autorun.inf
c:\dokumente und einstellungen\Dinc\WINDOWS
C:\hybpnd.pif
c:\winxp\IsUn0407.exe
c:\winxp\system32\frapsvid.dll
c:\winxp\system32\tmpA7.tmp
c:\winxp\system32\URTTemp
c:\winxp\system32\URTTemp\regtlib.exe
c:\winxp\XSxS
D:\autorun.inf
D:\favbc.pif
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSINT32
-------\Service_amsint32
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-04-28 bis 2013-05-29  ))))))))))))))))))))))))))))))
.
.
2013-05-29 12:58 . 2013-05-29 12:58        5157        ----a-w-        c:\winxp\system32\drivers\etkspj.sys
2013-05-29 12:43 . 2013-05-29 12:43        --------        d-----w-        c:\dokumente und einstellungen\All Users\Favoriten
2013-05-29 10:44 . 2013-05-29 10:44        --------        d-----w-        C:\data
2013-05-23 21:24 . 2013-05-23 21:24        --------        d-----w-        c:\programme\LogMeIn Hamachi
2013-05-20 19:36 . 2013-05-20 19:45        --------        d-----w-        c:\programme\Sauerbraten
2013-05-20 18:41 . 2013-05-20 18:41        --------        d-----w-        c:\dokumente und einstellungen\Dinc\Anwendungsdaten\TechSmith
2013-05-20 18:40 . 2013-05-20 18:40        --------        d-----w-        c:\dokumente und einstellungen\Dinc\Lokale Einstellungen\Anwendungsdaten\TechSmith
2013-05-20 18:37 . 2013-05-20 18:37        --------        d-----w-        c:\programme\QuickTime
2013-05-20 18:36 . 2013-05-20 18:36        --------        d-----w-        c:\programme\Gemeinsame Dateien\TechSmith Shared
2013-05-20 18:35 . 2013-05-20 18:39        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TechSmith
2013-05-20 18:35 . 2013-05-20 18:35        --------        d-----w-        c:\programme\TechSmith
2013-05-19 09:21 . 2013-05-19 10:32        --------        d-----w-        c:\dokumente und einstellungen\Dinc\Anwendungsdaten\FileZilla
2013-05-19 09:21 . 2013-05-19 09:21        --------        d-----w-        c:\programme\FileZilla FTP Client
2013-05-15 12:06 . 2013-05-29 12:56        --------        d-----w-        c:\dokumente und einstellungen\Dinc\Lokale Einstellungen\Anwendungsdaten\LogMeIn Hamachi
2013-05-15 12:06 . 2013-05-29 12:58        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\LogMeIn Hamachi
2013-05-15 12:03 . 2013-05-15 12:03        --------        d-----w-        c:\programme\MinecraftAlpha
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-29 12:59 . 2013-05-29 12:59        103140        --sh--r-        C:\wtoyq.exe
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2008-07-08 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\winxp\system32\dllcache\tcpip.sys
[-] 2008-07-08 . D9F19E78F98834CB411D6AD3C68D181A . 361600 . . [5.1.2600.5625] . . c:\winxp\system32\drivers\tcpip.sys
[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\winxp\$hf_mig$\KB2509553\SP3QFE\tcpip.sys
[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\winxp\$hf_mig$\KB951748\SP3QFE\tcpip.sys
.
[-] 2008-07-08 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"="c:\dokumente und einstellungen\Dinc\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe" [2012-08-10 4518720]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 217088]
"DrvLsnr"="c:\programme\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 147456]
"atchk"="c:\programme\Intel\AMT\atchk.exe" [2007-01-09 1596224]
"igfxtray"="c:\winxp\system32\igfxtray.exe" [2005-09-20 1282048]
"igfxhkcmd"="c:\winxp\system32\hkcmd.exe" [2005-09-20 151552]
"igfxpers"="c:\winxp\system32\igfxpers.exe" [2005-09-20 114688]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 328624]
"LogMeIn Hamachi Ui"="c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe" [2013-05-15 2337104]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Dinc^Startmenü^Programme^Autostart^OpenOffice.org 3.3.lnk]
path=c:\dokumente und einstellungen\Dinc\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk
backup=c:\winxp\pss\OpenOffice.org 3.3.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-12-03 07:35        946352        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Facebook Update]
2012-11-03 19:40        220016        ----atw-        c:\dokumente und einstellungen\Dinc\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-09-17 11:41        328624        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\XboxStat]
2009-09-30 15:57        800608        ----a-w-        c:\programme\Microsoft Xbox 360 Accessories\XBoxStat.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINXP\\system32\\PnkBstrA.exe"=
"c:\\WINXP\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Dokumente und Einstellungen\\Dinc\\Lokale Einstellungen\\Anwendungsdaten\\Akamai\\netsession_win.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\LogMeIn Hamachi\\hamachi-2-ui.exe"=
"c:\\Dokumente und Einstellungen\\Dinc\\Lokale Einstellungen\\Anwendungsdaten\\Facebook\\Video\\Skype\\FacebookVideoCalling.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
"c:\\Programme\\Analog Devices\\SoundMAX\\DrvLsnr.exe"=
"c:\\Programme\\Analog Devices\\SoundMAX\\SMTray.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Java\\Java Update\\jusched.exe"=
"c:\\Programme\\Intel\\AMT\\atchk.exe"=
"c:\\WINXP\\system32\\hkcmd.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Java\\Java Update\\jucheck.exe"=
"c:\\Dokumente und Einstellungen\\Dinc\\Lokale Einstellungen\\Anwendungsdaten\\TeamSpeak 3 Client\\ts3client_win32.exe"=
"c:\\WINXP\\system32\\igfxsrvc.exe"=
"c:\\WINXP\\system32\\igfxtray.exe"=
"c:\\Programme\\TeamViewer\\Version8\\TeamViewer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\GTA - San Andreas\\gta_sa.exe"=
"c:\\Programme\\Mozilla Firefox\\plugin-container.exe"=
"c:\\WINXP\\system32\\wuauclt.exe"=
"c:\\Programme\\Analog Devices\\SoundMAX\\SMAgent.exe"=
"c:\\Programme\\Java\\jre6\\bin\\jqs.exe"=
"d:\\GTA - San Andreas\\samp.exe"=
"c:\\Programme\\Adobe\\Reader 10.0\\Reader\\Reader_sl.exe"=
"c:\\WINXP\\TEMP\\njmvx.exe"=
"c:\\WINXP\\TEMP\\winmhvh.exe"=
"c:\\WINXP\\TEMP\\winvjbqh.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7625:TCP"= 7625:TCP:mmdmbrz
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung
"1070:TCP"= 1070:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
.
R0 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [01.04.2012 15:38 722416]
R2 Akamai;Akamai NetSession Interface;c:\winxp\System32\svchost.exe -k Akamai [14.04.2008 14:00 14336]
R2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [15.05.2013 12:08 1435984]
R2 TeamViewer7;TeamViewer 7;c:\programme\TeamViewer\Version7\TeamViewer_Service.exe [16.07.2012 16:31 2673064]
R2 TeamViewer8;TeamViewer 8;c:\programme\TeamViewer\Version8\TeamViewer_Service.exe [25.04.2013 18:18 3574624]
R3 EuMusDesignVirtualAudioCableWdm;Virtual Audio Cable (WDM);c:\winxp\system32\drivers\vrtaucbl.sys [06.01.2013 12:48 50728]
R3 phil2vid;Philips VGA-Kamera (USB);c:\winxp\system32\drivers\philcam2.sys [27.04.2011 18:55 173696]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\winxp\system32\drivers\ScreamingBAudio.sys [01.07.2010 16:21 34896]
S2 ouqyqmtyt;Task Security;c:\winxp\system32\svchost.exe -k netsvcs [14.04.2008 14:00 14336]
S3 cpuz134;cpuz134;\??\c:\programme\CPUID\PC Wizard 2010\pcwiz_x32.sys --> c:\programme\CPUID\PC Wizard 2010\pcwiz_x32.sys [?]
S3 EagleXNt;EagleXNt;\??\c:\winxp\system32\drivers\EagleXNt.sys --> c:\winxp\system32\drivers\EagleXNt.sys [?]
S3 FairplayKD;FairplayKD;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\MTA San Andreas All\1.3\temp\FairplayKD.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\MTA San Andreas All\1.3\temp\FairplayKD.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\winxp\system32\GameMon.des -service --> c:\winxp\system32\GameMon.des -service [?]
S3 XDva391;XDva391;\??\c:\winxp\system32\XDva391.sys --> c:\winxp\system32\XDva391.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - AMSINT32
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai        REG_MULTI_SZ          Akamai
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ouqyqmtyt
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-29 c:\winxp\Tasks\Adobe Flash Player Updater.job
- c:\winxp\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-09 17:02]
.
2013-05-26 c:\winxp\Tasks\FacebookUpdateTaskUserS-1-5-21-1004336348-790525478-1417001333-1003Core.job
- c:\dokumente und einstellungen\Dinc\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe [2012-01-12 19:40]
.
2013-05-28 c:\winxp\Tasks\FacebookUpdateTaskUserS-1-5-21-1004336348-790525478-1417001333-1003UA.job
- c:\dokumente und einstellungen\Dinc\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe [2012-01-12 19:40]
.
2013-05-29 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2013-02-01 19:19]
.
2013-05-29 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2013-02-01 19:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.ask.com/?l=dis&o=14672
uInternet Settings,ProxyOverride = 127.0.0.1:9421;<local>
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Dinc\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Dinc\Anwendungsdaten\Mozilla\Firefox\Profiles\9ecn9yi7.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2682599&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Suche
FF - prefs.js: browser.startup.homepage - hxxps://www.google.de/
FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - prefs.js: network.proxy.ftp - 91.228.53.28
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.http - 91.228.53.28
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - 91.228.53.28
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - 91.228.53.28
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 0
FF - user.js: browser.search.selectedEngine - Suche
FF - user.js: browser.search.order.1 - Suche
FF - user.js: browser.search.defaultenginename - Suche
FF - user.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: privacy.item.cookies - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
FF - user.js: extensions.autoDisableScopes - 14//iBryte
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-Aeria Ignite - c:\programme\Aeria Games\Ignite\aeriaignite.exe
MSConfigStartUp-APSDaemon - c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe
MSConfigStartUp-DAEMON Tools Lite - c:\programme\DAEMON Tools Lite\DTLite.exe
MSConfigStartUp-facemoods - c:\programme\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe
MSConfigStartUp-Google Update - c:\dokumente und einstellungen\Dinc\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
MSConfigStartUp-ICQ - c:\programme\ICQ7.7\ICQ.exe
MSConfigStartUp-iTunes - c:\itunes\iTunesHelper.exe
MSConfigStartUp-iTunesHelper - c:\programme\iTunes\iTunesHelper.exe
MSConfigStartUp-KMConfig - c:\programme\Multimedia Mouse Driver\V5\StartAutorun.exe
MSConfigStartUp-Megakey - c:\dokumente und einstellungen\Dinc\Lokale Einstellungen\Anwendungsdaten\Megamedia\Megakey\Megakey.exe
MSConfigStartUp-MegakeyUpdater - c:\dokumente und einstellungen\Dinc\Lokale Einstellungen\Anwendungsdaten\Megamedia\Megakey\MegakeyUpdater.exe
MSConfigStartUp-Microsoft Audio Drivers - c:\dokumente und einstellungen\Dinc\Lokale Einstellungen\Temp\scripthack.exe
MSConfigStartUp-NeroFilterCheck - c:\winxp\system32\NeroCheck.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-05-29 14:58
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="c:\programme\gemeinsame dateien\akamai/netsession_win_ca0e279.dll"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\winxp\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1320)
c:\winxp\system32\cscui.dll
.
- - - - - - - > 'explorer.exe'(1356)
c:\programme\TeamViewer\Version8\tv_w32.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\winxp\system32\msi.dll
c:\winxp\system32\webcheck.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\AMT\atchksrv.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Intel\AMT\LMS.exe
c:\winxp\system32\PnkBstrA.exe
c:\winxp\system32\PnkBstrB.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\programme\TeamViewer\Version8\TeamViewer.exe
c:\winxp\system32\wbem\wmiapsrv.exe
c:\programme\TeamViewer\Version8\tv_w32.exe
c:\winxp\TEMP\njmvx.exe
c:\programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
c:\winxp\TEMP\winwjecgk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-05-29  15:07:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-05-29 13:07
.
Vor Suchlauf: 5.881.978.880 Bytes frei
Nach Suchlauf: 6.857.490.432 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - EBC86F529B1E8520A58EE748DB62E6BE
Log von MBAR (Durchgang #1):
Code:
Malwarebytes Anti-Rootkit BETA 1.06.0.1003
www.malwarebytes.org

Database version: v2013.05.29.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Dinc :: DINÇ [administrator]

29.05.2013 15:10:40
mbar-log-2013-05-29 (15-10-40).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | Deep Anti-Rootkit Scan | PUM | P2P
Scan options disabled: PUP
Objects scanned: 253939
Time elapsed: 23 minute(s), 6 second(s)

Memory Processes Detected: 1
c:\WINXP\Temp\njmvx.exe (Trojan.Downloader) -> 996 -> Delete on reboot.

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_AMSINT32 (Virus.Sality) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 3
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Replace on reboot.
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Replace on reboot.
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Replace on reboot.

Folders Detected: 0
(No malicious items detected)

Files Detected: 3
c:\WINXP\Temp\njmvx.exe (Trojan.Downloader) -> Delete on reboot.
c:\wtoyq.exe (Malware.Packer.Gen) -> Delete on reboot.
c:\Dokumente und Einstellungen\Dinc\Desktop\Sonstiges\Bot\Bot selber schreiben\Rechner by Righ.exe (Trojan.Downloader) -> Delete on reboot.

Physical Sectors Detected: 0
(No malicious items detected)

(end)
Log von MBAR (Durchgang #2):
Code:
Malwarebytes Anti-Rootkit BETA 1.06.0.1003
www.malwarebytes.org

Database version: v2013.05.29.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Dinc :: DINÇ [administrator]

29.05.2013 15:39:10
mbar-log-2013-05-29 (15-39-10).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | Deep Anti-Rootkit Scan | PUM | P2P
Scan options disabled: PUP
Objects scanned: 253781
Time elapsed: 32 minute(s), 51 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 2
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_AMSINT32 (Virus.Sality) -> Delete on reboot.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\amsint32 (Virus.Sality) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 3
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Replace on reboot.
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Replace on reboot.
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Replace on reboot.

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
c:\WINXP\Temp\ffdkkc.exe (Trojan.Downloader) -> Delete on reboot.

Physical Sectors Detected: 0
(No malicious items detected)

(end)
Jedoch habe ich weiterhin Probleme.
Siehe hier, die Downloads funktionieren weiterhin nicht.
Ein Download startet nicht und der andere endet nicht.

http://www.youscreen.de/ec4687c462.jpg

Hoffe, dass man das trotzdem weiterhin fixxen kann.

Mit freundlichen Grüßen
Rikey

aharonov 29.05.2013 19:15
Hallo,

Zitat:
Hoffe, dass man das trotzdem weiterhin fixxen kann.
Nein, tut mir leid, aber dieses System ist im Eimer. Da hast du dir Sality (ein Fileinfector) an Land gezogen. System einstampfen und neu machen - alles andere ist Zeitverschwendung.


Warnung: Fileinfector

Dein Rechner wurde mit einem besonderen Schädling infiziert, der andere Dateien (auch Systemdateien!) befällt und sich dadurch unkontrolliert vermehrt. Dein System ist dadurch stark kompromittiert. Eine solche Infektion zu bereinigen, ist sehr schwierig bis fast unmöglich, da ein einziges überlebendes infiziertes File ausreicht, um die ganze Seuche wieder einzuschleppen.

Wir empfehlen daher dringend die Formatierung und das Neuaufsetzen deines Systemes in folgenden Schritten:
  1. Sichere deine persönlichen Daten auf einen externen Datenträger. Aber nicht im laufenden Windows, sondern über eine Boot-CD oder einen bootbaren USB-Stick (Anleitung). Kopiere dabei nur ganz gezielt persönliche Daten (Mails, Fotos, etc.) und keine Programme oder sonstigen ausführbaren Files (*.exe, *.scr, etc.). Lösche auf diese Weise auch auf allen deinen externen Speichermedien eine allfällig vorhandene Datei autorun.inf.
  2. Formatiere dann deine Festplatte komplett und installiere das Betriebssystem neu. Entweder mit deiner Windows-CD oder (falls vorhanden), indem du den Rechner per Recovery auf Werkseinstellungen zurücksetzt.
  3. Sichere dein neuaufgesetztes System gegen zukünftigen Malwarebefall ab (Anleitung).
  4. Scanne deine Daten auf dem externen Datenträger gründlich durch, bevor du sie wieder auf das neuinstallierte System zurückspielst.

aharonov 04.06.2013 00:26
Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131