Trojaner-Board - Rechner surft "selbständig" nicht existierende Seiten an, Mahnschreiben Telekom über Hackingversuche von diesem Rechner aus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Rechner surft "selbständig" nicht existierende Seiten an, Mahnschreiben Telekom über Hackingversuche von diesem Rechner aus (https://www.trojaner-board.de/138620-rechner-surft-selbstaendig-existierende-seiten-mahnschreiben-telekom-hackingversuche-diesem-rechner.html)

Rechner surft "selbständig" nicht existierende Seiten an, Mahnschreiben Telekom über Hackingversuche von diesem Rechner aus

Hallo zusammen,
Auf einem relativ neuen Rechner mit Win7 32-bit Professional tauchen im Log der Antivirensoftware Trendmicro WFB 8 Adv. Einträge zur Web-Reputation auf:
siehe DesktopServerWRS.csv im Archiv Logfiles.zip.

Telekom schickte per Post ein Schreiben:

Zitat:
Wir haben festgestellt, dass über Ihren Internet-Zugang unerwünschte Zugriffe auf fremde Computer erfolgt sind("Hacking"). Eventuell wurden auch Passwörter, Kredikarten-,Bank- und sonstige Daten bereits ausgelesen.
Den Hinweis auf Ihren Anschluß und die IP-Adresse haben wir von externen Sicherheitsexperten erhalten, mit denen wir zusammen arbeiten, um unsere Kunden zu schützen.
Zitat Ende

Diese angeblichen Webseiten lassen sich nicht zu IP-Adressen auflösen (zumindest von mir nicht).

Als Erstes hatte ich einen Scan mit Malwarebytes gemacht, der auch ein paar Schädlinge fand.

Mbam.Log

Code:

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org
 

Database version: v2013.07.17.04
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 10.0.9200.16618

jutta :: JUTTA-BUERO [administrator]
 

17.07.2013 14:00:38

mbam-log-2013-07-17 (14-00-38).txt
 

Scan type: Full scan (C:\|D:\|)

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM

Scan options disabled: P2P

Objects scanned: 113358

Time elapsed: 17 minute(s), 19 second(s) [aborted]
 

Memory Processes Detected: 1

C:\Users\jutta\kutxoruwinfo.exe (Spyware.Password) -> 4032 -> Delete on reboot.
 

Memory Modules Detected: 0

(No malicious items detected)
 

Registry Keys Detected: 2

HKCR\CLSID\{6ACC469F-58E1-4139-A5D9-22C9C650505B} (Trojan.Zbot) -> Quarantined and deleted successfully.

HKCR\Stub.pplication (Trojan.Zbot) -> Quarantined and deleted successfully.
 

Registry Values Detected: 2

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|kutxoruwinfo (Spyware.Password) -> Data: C:\Users\jutta\kutxoruwinfo.exe -> Quarantined and deleted successfully.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{A0018945-2104-CA31-74AA-6B91CA8C2F5B} (Trojan.Zbot.RRE) -> Data: C:\Users\jutta\AppData\Roaming\Araf\isuxdea.exe -> Quarantined and deleted successfully.
 

Registry Data Items Detected: 0

(No malicious items detected)
 

Folders Detected: 0

(No malicious items detected)
 

Files Detected: 2

C:\Users\jutta\kutxoruwinfo.exe (Spyware.Password) -> Delete on reboot.

C:\Users\jutta\AppData\Roaming\Araf\isuxdea.exe (Trojan.Zbot.RRE) -> Quarantined and deleted successfully.
 

(end)
 

Malwarebytes Anti-Malware (PRO) 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2013.07.17.04
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 10.0.9200.16618

jutta :: JUTTA-BUERO [Administrator]
 

Schutz: Aktiviert
 

17.07.2013 18:08:11

mbam-log-2013-07-17 (18-08-11).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 421882

Laufzeit: 52 Minute(n), 22 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 6

c:\users\jutta\appdata\local\temp\1347322794.exe (Trojan.Zbot.RRE) -> Erfolgreich gelöscht und in Quarantäne gestellt.

c:\users\jutta\appdata\local\temp\1347348864.exe (Trojan.Zbot.RRE) -> Erfolgreich gelöscht und in Quarantäne gestellt.

c:\users\jutta\appdata\local\temp\tmp19880b10\uses.exe (Trojan.Zbot.RV) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\jutta\AppData\Local\Temp\tmp8a945128\5.exe (Spyware.Password) -> Erfolgreich gelöscht und in Quarantäne gestellt.

c:\users\jutta\appdata\local\temp\tmpf2fbfdce\uses.exe (Trojan.Zbot.FV) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\jutta\AppData\Roaming\Esxeboo\yfofpea.exe (Trojan.Zbot.RRE) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)
 

Malwarebytes Anti-Malware (PRO) 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2013.07.17.04
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 10.0.9200.16618

jutta :: JUTTA-BUERO [Administrator]
 

Schutz: Aktiviert
 

17.07.2013 19:31:36

mbam-log-2013-07-17 (19-31-36).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 420229

Laufzeit: 52 Minute(n), 7 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Ein anschließender, vollständiger Scan mit Trendmicro brachte keine Funde mehr zu Tage. Trotzdem kommen mehrere Tausend dieser Webzugriffe jeden Tag in den Logs vor.

Defogger wurde ausgeführt.

restliche logs im Archiv Logfiles.zip

Was kann man tun, um die Problematik zu lösen?

Vielen Dank im Voraus

Armin_M

Hallo Armin_M und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eins vorneweg: Ich kann dir keine Garantien geben, dass ich alles finden werde. Bei schwerwiegenden Infektionen ist ein Formatieren und Neuinstallieren meist der schnellere und immer der sicherere Weg.
Wenn du dich für eine Bereinigung entscheidest, dann sollten wir gründlich vorgehen. Bleib also dran, bis ich dir eindeutig mitteile, dass wir fertig sind.
Auch wenn die auffälligen Symptome schon früh verschwinden, bedeutet das nicht, dass dein Rechner dann schon sauber und sicher ist.

Hinweise zum Ablauf

Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
- Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
- Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles erst zum Schluss gesammelt in einer Antwort.
- Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
- Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert:
- Lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
- Installiere oder deinstalliere während der Bereinigung keine Software.

Los geht's:

Ja, da hast du dir unschöne Sachen eingefangen, die Telekom lag richtig...

Warnung: Infostealer

Aus deinen Logs ist ersichtlich, dass du Malware eingefangen hast, die es speziell auf deine sensitiven Daten (Benutzernamen, Passwörter, Onlinebankingzugangsdaten, etc.) abgesehen hat.
Man kann nicht genau wissen, was alles mitgeloggt wurde, aber sicherheitshalber würd ich alle auf diesem Rechner eingegebenen Daten und Passwörter als bekannt voraussetzen.

Ich würde dir daher raten, zum Schluss oder von einem sauberen Rechner aus sämtliche Zugangsdaten, welche an diesem Rechner verwendet wurden, zu ändern.

Schritt 1

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste in deiner nächsten Antwort:

Log von Combofix

Hallo Leo,

danke für die schnelle Antwort. Wenn ich das gewusst hätte, hätte ich den Rechner gestern nicht so schnell ausgemacht.
Egal.
Combofix hat gemeckert, dass angeblich Trendmicro Spamschutz noch läuft, aber das Symbol in der Taskleiste war weg und in den Diensten waren auch alle von Trendmicro beendet.

Hier das Log vom Combofix

Code:

Combofix Logfile:
 

        Code:


        
ComboFix 13-07-23.01 - jutta 23.07.2013  19:04:33.1.4 - x86

Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.3522.2459 [GMT 2:00]

ausgeführt von:: c:\users\jutta\Desktop\Virustools\ComboFix.exe

AV: Trend Micro Security Agent *Enabled/Updated* {B7599298-8445-728A-A5C7-A26A082C8BDA}

SP: Trend Micro Security Agent Anti-Spyware *Enabled/Updated* {0C38737C-A27F-7D04-9F77-991873ABC167}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\jutta\AppData\Roaming\Dayhu

c:\users\jutta\AppData\Roaming\Dayhu\idsysa.ufz

c:\users\jutta\AppData\Roaming\userql.exe

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_uvnc_service

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-06-23 bis 2013-07-23  ))))))))))))))))))))))))))))))

.

.

2013-07-23 17:11 . 2013-07-23 17:45        --------        d-----w-        c:\users\jutta\AppData\Local\temp

2013-07-23 17:11 . 2013-07-23 17:11        --------        d-----w-        c:\users\user\AppData\Local\temp

2013-07-20 01:16 . 2013-07-02 06:54        7143960        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{98F7D3BB-897F-4778-833C-0D6042ACFA1C}\mpengine.dll

2013-07-18 15:39 . 2013-07-18 15:40        --------        d-----w-        c:\program files\7-Zip

2013-07-17 20:27 . 2013-07-17 20:27        --------        d-----w-        c:\windows\system32\log

2013-07-17 20:25 . 2010-09-30 21:01        203600        ----a-w-        c:\windows\TmNSCIns.dll

2013-07-17 20:25 . 2006-11-02 04:21        319456        ----a-w-        c:\windows\DIFxAPI.dll

2013-07-17 12:23 . 2013-07-17 12:23        --------        d-----w-        c:\program files\Common Files\Siemens

2013-07-17 12:23 . 2013-07-17 12:23        --------        d-----w-        c:\program files\Siemens

2013-07-17 12:10 . 2013-07-17 12:26        152576        ----a-w-        c:\windows\system32\drivers\BazisPortableCDBus.sys

2013-07-08 11:09 . 2013-07-08 11:09        --------        d-----w-        C:\Mozilla

2013-07-08 11:08 . 2013-07-08 11:08        94632        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll

2013-06-27 06:20 . 2013-06-27 06:20        --------        d-----w-        c:\users\jutta\AppData\Roaming\Malwarebytes

2013-06-27 06:13 . 2013-06-27 06:13        --------        d--h--w-        c:\windows\system32\CanonIJ Uninstaller Information

2013-06-27 06:13 . 2013-06-27 06:13        --------        d--h--w-        c:\program files\CanonBJ

2013-06-27 06:00 . 2013-06-27 06:00        181808        ----a-w-        c:\windows\RegBootClean.exe

2013-06-26 05:56 . 2013-07-17 17:00        --------        d-----w-        c:\users\jutta\AppData\Roaming\Esxeboo

2013-06-26 05:55 . 2013-07-17 12:19        --------        d-----w-        c:\users\jutta\AppData\Roaming\Araf

2013-06-26 05:55 . 2013-07-08 11:09        --------        d-----w-        c:\users\jutta\AppData\Roaming\Xia

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-07-17 20:36 . 2013-07-17 20:36        2899510        ----a-w-        C:\JUTTA-BUERO_2013.07.17-2230.15_270a0e2c-02f1-427b-9c69-7630aefb0bd4_1626.zip

2013-07-08 11:08 . 2013-04-26 08:55        867240        ----a-w-        c:\windows\system32\npDeployJava1.dll

2013-07-08 11:08 . 2013-04-26 08:55        789416        ----a-w-        c:\windows\system32\deployJava1.dll

2013-06-20 13:40 . 2012-12-07 04:00        71048        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-06-20 13:40 . 2012-12-07 04:00        692104        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-06-08 11:13 . 2013-06-18 15:35        2706432        ----a-w-        c:\windows\system32\mshtml.tlb

2013-05-17 01:25 . 2013-06-18 15:31        1767936        ----a-w-        c:\windows\system32\wininet.dll

2013-05-17 01:25 . 2013-06-18 15:31        2877440        ----a-w-        c:\windows\system32\jscript9.dll

2013-05-17 01:25 . 2013-06-18 15:31        61440        ----a-w-        c:\windows\system32\iesetup.dll

2013-05-17 01:25 . 2013-06-18 15:31        109056        ----a-w-        c:\windows\system32\iesysprep.dll

2013-05-14 08:40 . 2013-06-18 15:31        71680        ----a-w-        c:\windows\system32\RegisterIEPKEYs.exe

2013-05-14 07:58 . 2011-03-29 02:36        22240        ----a-w-        c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll

2013-05-13 04:45 . 2013-06-18 15:30        1160192        ----a-w-        c:\windows\system32\crypt32.dll

2013-05-13 04:45 . 2013-06-18 15:30        103936        ----a-w-        c:\windows\system32\cryptnet.dll

2013-05-13 04:45 . 2013-06-18 15:30        140288        ----a-w-        c:\windows\system32\cryptsvc.dll

2013-05-13 03:08 . 2013-06-18 15:30        903168        ----a-w-        c:\windows\system32\certutil.exe

2013-05-13 03:08 . 2013-06-18 15:30        43008        ----a-w-        c:\windows\system32\certenc.dll

2013-05-10 03:20 . 2013-06-18 15:30        24576        ----a-w-        c:\windows\system32\cryptdlg.dll

2013-05-08 05:38 . 2013-06-18 15:30        1293672        ----a-w-        c:\windows\system32\drivers\tcpip.sys

2013-05-02 00:06 . 2013-04-25 10:47        238872        ------w-        c:\windows\system32\MpSigStub.exe

2013-04-26 04:55 . 2013-06-18 15:30        492544        ----a-w-        c:\windows\system32\win32spl.dll

2013-04-25 23:30 . 2013-06-18 15:30        1505280        ----a-w-        c:\windows\system32\d3d11.dll

2013-04-25 12:40 . 2013-04-25 12:40        745472        ----a-w-        c:\windows\system32\MsSpellCheckingFacility.exe

2013-04-25 12:40 . 2013-04-25 12:40        73728        ----a-w-        c:\windows\system32\SetIEInstalledDate.exe

2013-04-25 12:40 . 2013-04-25 12:40        719360        ----a-w-        c:\windows\system32\mshtmlmedia.dll

2013-04-25 12:40 . 2013-04-25 12:40        61952        ----a-w-        c:\windows\system32\tdc.ocx

2013-04-25 12:40 . 2013-04-25 12:40        523264        ----a-w-        c:\windows\system32\vbscript.dll

2013-04-25 12:40 . 2013-04-25 12:40        48640        ----a-w-        c:\windows\system32\mshtmler.dll

2013-04-25 12:40 . 2013-04-25 12:40        38400        ----a-w-        c:\windows\system32\imgutil.dll

2013-04-25 12:40 . 2013-04-25 12:40        361984        ----a-w-        c:\windows\system32\html.iec

2013-04-25 12:40 . 2013-04-25 12:40        23040        ----a-w-        c:\windows\system32\licmgr10.dll

2013-04-25 12:40 . 2013-04-25 12:40        185344        ----a-w-        c:\windows\system32\elshyph.dll

2013-04-25 12:40 . 2013-04-25 12:40        158720        ----a-w-        c:\windows\system32\msls31.dll

2013-04-25 12:40 . 2013-04-25 12:40        150528        ----a-w-        c:\windows\system32\iexpress.exe

2013-04-25 12:40 . 2013-04-25 12:40        1441280        ----a-w-        c:\windows\system32\inetcpl.cpl

2013-04-25 12:40 . 2013-04-25 12:40        138752        ----a-w-        c:\windows\system32\wextract.exe

2013-04-25 12:40 . 2013-04-25 12:40        137216        ----a-w-        c:\windows\system32\ieUnatt.exe

2013-04-25 12:40 . 2013-04-25 12:40        12800        ----a-w-        c:\windows\system32\mshta.exe

2013-04-25 12:40 . 2013-04-25 12:40        110592        ----a-w-        c:\windows\system32\IEAdvpack.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2012-03-30 144664]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2012-03-30 180504]

"Persistence"="c:\windows\system32\igfxpers.exe" [2012-03-30 187672]

"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2011-12-05 11487848]

"LexwareInfoService"="c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-03-12 253816]

"OfficeScanNT Monitor"="c:\program files\Trend Micro\Security Agent\pccntmon.exe" [2013-01-02 1373056]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

VR-NetWorld Auftragsprüfung.lnk - c:\program files\VR-NetWorld\vrtoolcheckorder.exe /autostart [2013-4-26 548864]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoWelcomeScreen"= 1 (0x1)

.

R3 BazisPortableCDBus;Portable WinCDEmu driver;c:\windows\system32\drivers\BazisPortableCDBus.sys [2013-07-17 152576]

R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-20 62464]

R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2012-08-23 49664]

R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2012-08-23 27136]

R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-23 51040]

S1 bizVSerial;Franson VSerial;c:\windows\system32\drivers\bizVSerialNT.sys [2007-05-31 14949]

S2 cjpcsc;cyberJack PC/SC COM Service ;c:\windows\system32\cjpcsc.exe [2012-03-19 514128]

S2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [2011-06-14 30080]

S2 GREGService;GREGService;c:\program files\Acer\Registration\GREGsvc.exe [2012-02-29 28264]

S2 Intel(R) Capability Licensing Service Interface;Intel(R) Capability Licensing Service Interface;c:\program files\Intel\iCLS Client\HeciServer.exe [2012-02-02 458464]

S2 jhi_service;Intel(R) Dynamic Application Loader Host Interface Service;c:\program files\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [2012-03-15 162648]

S2 Live Updater Service;Live Updater Service;c:\program files\Acer\Acer Updater\UpdaterService.exe [2012-02-07 255376]

S2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [2013-04-04 418376]

S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2013-04-04 701512]

S2 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS\tmevtmgr.sys [2012-10-30 62728]

S2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\Security Agent\TmXPFlt.sys [2012-12-04 264504]

S2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\Security Agent\TmPreFlt.sys [2012-12-04 36664]

S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2012-03-15 362840]

S3 cjusb;REINER SCT cyberJack USB Driver;c:\windows\system32\DRIVERS\cjusb.sys [2011-03-29 28144]

S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2011-12-05 280576]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2013-04-04 22856]

S3 MEI;Intel(R) Management Engine Interface ;c:\windows\system32\DRIVERS\HECI.sys [2011-11-09 46080]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2011-11-23 491112]

S3 TmProxy;Trend Micro Security Agent NT Proxy Service;c:\program files\Trend Micro\Security Agent\TmProxy.exe [2012-08-08 689712]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

tapisrv        REG_MULTI_SZ           Tapisrv

.

Inhalt des "geplante Tasks" Ordners

.

2013-07-23 c:\windows\Tasks\Acer Registration - Reminder Recall task.job

- c:\program files\Acer\Registration\GREG.exe [2012-02-29 08:19]

.

2013-07-23 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-07 13:40]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

IE: An OneNote s&enden - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105

IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.199.250 192.168.199.254

DPF: {00134F72-5284-44F7-95A8-52A619F70752} - hxxps://sbs2003-1.ortloff.local:4343/officescan/console/ClientInstall/WinNTChk.cab?ver=17,0,0,2365

FF - ProfilePath - c:\users\jutta\AppData\Roaming\Mozilla\Firefox\Profiles\ovywky22.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

FF - ExtSQL: 2013-07-17 22:27; {22C7F6C6-8D67-4534-92B5-529A0EC09405}; c:\program files\Trend Micro\Security Agent\FirefoxExtension

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Toolbar-Locked - (no file)

HKCU-Run-userql - c:\users\jutta\AppData\Roaming\userql.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\LogonUI.exe

c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe

c:\program files\Trend Micro\Security Agent\ntrtscan.exe

c:\program files\Trend Micro\Security Agent\tmlisten.exe

c:\program files\Trend Micro\BM\TMBMSRV.exe

c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe

c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe

c:\windows\system32\rdpclip.exe

c:\windows\system32\taskhost.exe

c:\windows\system32\conhost.exe

c:\program files\Common Files\Lexware\LxWebAccess\LxWebAccess.exe

c:\windows\system32\wbem\unsecapp.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2013-07-23  19:47:07 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2013-07-23 17:47

.

Vor Suchlauf: 7 Verzeichnis(se), 181.112.156.160 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 181.401.260.032 Bytes frei

.

- - End Of File - - 7C83EF4CD853C4F6AEA07B9DB37A6F27

 
--- --- ---

A36C5E4F47E84449FF07ED3517B43A31

wenn ich versuche firefox oder den editor zu starten bekomme ich eine Fehlermeldung:

Code:

C:\Program Files\Mozille Firefox\firefox.exe

Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgan zu unterziehen, der zum Löschen markiert wurde.

Das passiert mir auch über Start->Ausführen mit dem shutdown-Befehl. Da ich per Fernwartung an dem Rechner arbeite, kann ich so noch nicht mal neu starten. Eingabeaufforderung startet auch nicht, gleiche Meldung.
Muss ich mir den Rechner morgen wohl doch her holen.

Andere Frage:
Wie kann ich beim Sichern der Daten des Rechners sicher sein, dass ich mir den Virus/Trojaner, was auch immer es ist, nicht wieder auf den Rechner hole nach dem der Rechner neu aufgesetzt wurde?
Überlege gerade ob es nicht sicherer ist, den Rechner neu aufzusetzen, da er geschäftlich genutzt wird.
Vielleicht können wir ihn mit Deiner Hilfe so gut es geht säubern, damit sich das weitgehend ausschließen lässt, und ich setze ihn anschließend trotzdem neu auf, um sicher zu gehen.
Was meinst Du?

Gruß

Armin

Ergänzung:

Habe mich als Domänenadmin anmelden können um den Rechner neu zu starten.
Nach Neustart funktionieren die Programme wieder.

Hallo Armin,

Zitat:

Überlege gerade ob es nicht sicherer ist, den Rechner neu aufzusetzen, da er geschäftlich genutzt wird.

Ja, bei geschäftlicher Nutzung ist das wirklich die bessere Idee. Vor allem, da unschöne Malware drauf war (siehe dazu die Warnung in meinem letzten Post!).

Zitat:

Wie kann ich beim Sichern der Daten des Rechners sicher sein, dass ich mir den Virus/Trojaner, was auch immer es ist, nicht wieder auf den Rechner hole nach dem der Rechner neu aufgesetzt wurde?

Wenn du nur gezielt "persönliche" Daten sicherst (also keine Programme oder so), die Festplatte sauber formatierst (inkl. Partitionen löschen und neu erstellen) und dann das Betriebssystem neu installierst, überlebt nichts.

Zitat:

Vielleicht können wir ihn mit Deiner Hilfe so gut es geht säubern, damit sich das weitgehend ausschließen lässt, und ich setze ihn anschließend trotzdem neu auf, um sicher zu gehen.

Säubern um danach neu aufzusetzen wäre aber etwas Zeitverschwendung.. :)
Das System kann jetzt platt- und danach neugemacht werden, dann ist es wieder in Ordnung.

Hallo Leo,

es können also Dokumente (Word- und Exelfiles, PDFs, Bilder) und Datenbanken (Lexware, VR-Networld) gesichert und zurück gespielt werden, ohne dass man Gefahr läuft sich die gleichen Probleme wieder einzufangen. Wie sieht es bei Outlook aus? Es läuft ein interner Exchange 2003 mit dem Trendmicro-Modul für Exchange. Die Benutzer haben den Cache-Modus aktiviert, also ihre Mails in ihrer eigenen Datendatei auf dem Rechner, außerdem archivieren sie teilweise auf dem eigenen Rechner alte Mails in einer pst-Datei.
Kann es da noch Angriffspunkte geben?
Kann man erkennen, wie der Schädling ins System kam?
Meine Vermutung war eben E-Mail, da sehr viel Korrespondenz per Mail abgewickelt wird.

Ich will Deine Zeit natürlich nicht verschwenden, wenn das alles so funktioniert, hole ich den Rechner da weg und installiere ihn neu.

Habe gerade erfahren, dass Telekom mittlerweile ausgehende Mails gesperrt hat. Muß also Gas geben, damit die anderen Nutzer wieder senden können.

Nochmal vielen Dank für die Hilfe.

Gruß

Armin

Hallo Armin,

Zitat:

Kann man erkennen, wie der Schädling ins System kam?

Kann ich aus den Logs nicht erkennen, nein.

Du hattest ganz profane Allerwelts-Malware drauf, nichts Spezielles. Also sollte alles in Ordnung sein, wenn du die Festplatte sauber formatierst und alles neu installierst. Deine Daten sind nicht befallen.

Aber vergiss die Infostealer-Warnung nicht. Diese Malware hat Passwörter und sonstige Daten gestohlen, da würd ich entsprechend darauf reagieren.

Zitat:

Ich will Deine Zeit natürlich nicht verschwenden

Es geht nicht in erster Linie um meine Zeit, diese Schritte wären einfach ziemlich überflüssig. :)
Ich kann dir anbieten, dass du dich wieder hier meldest, sobald du den Rechner neu aufgesetzt hast, und ich schaue dann rein, ob alles gut aussieht.

Hallo Leo,

die "Nachtschicht" hat den Rechner neu aufgesetzt ;)

Heute Morgen habe ich ihn vor Ort fertig eingerichtet. Zum Glück sind keine wirklich wichtigen Passworte drauf gewesen. Das Banking-Programm hat auch keinen Online-Zugang zur Bank, sondern wird mit Disketten benutzt, die persönlich bei der Bank abgegeben werden. Passworte für Online-Zugang zu Ausschreibungsseiten wurden geändert, das vom Banking-Programm natürlich auch.
Mußte nur wenige Dokumente zurück kopieren, da das meiste auf Netzlaufwerken gespeichert ist. Vom Banking und von Lexware gibt es tägliche Backups, war also auch kein Problem.
Malwarebytes war zum Zeitpunkt des Befalls auf dem Rechner drauf, nur war der Testzeitraum abgelaufen und der vorhandene Aktivierungskey noch nicht eingegeben. Jetzt läuft der Echtzeitschutz jedenfalls wieder.
Ich denke wir können den Fall damit abschließen.

Nochmal Danke für die schnelle Hilfe.

Gruß

Armin

Ok, danke für die Rückmeldung, Armin.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.