Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Dropper.Gen auch bei mir... (https://www.trojaner-board.de/70260-tr-dropper-gen-mir.html)

tegrity 21.02.2009 21:24

TR/Dropper.Gen auch bei mir...
 
Hallo.. auch ich habe mir den Dropper eingefangen.. HJT-Log:


Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:52:40, on 21.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\LClock\LClock.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
F:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe
C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von Yahoo! Deutschland
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 220.232.149.248 lloydstsb.co.uk
O1 - Hosts: 220.232.149.248 w*w.lloydstsb.co.uk
O1 - Hosts: 220.232.149.248 w*w.lloydstsb.com
O1 - Hosts: 220.232.149.248 w*w.lloydstsb.com
O1 - Hosts: 220.232.149.248 personal.barclays.co.uk
O1 - Hosts: 220.232.149.248 barclays.co.uk
O1 - Hosts: 220.232.149.248 w*w.barclays.co.uk
O1 - Hosts: 220.232.149.248 nwolb.com
O1 - Hosts: 220.232.149.248 hsbc.co.uk
O1 - Hosts: 220.232.149.248 w*w.hsbc.co.uk
O1 - Hosts: 220.232.149.248 abbey.com
O1 - Hosts: 220.232.149.248 w*w.abbey.com
O1 - Hosts: 220.232.149.248 w*w.abbey.co.uk
O1 - Hosts: 220.232.149.248 abbey.co.uk
O1 - Hosts: 220.232.149.248 cahoot.com
O1 - Hosts: 220.232.149.248 w*w.cahoot.com
O1 - Hosts: 220.232.149.248 w*w.cahoot.co.uk
O1 - Hosts: 220.232.149.248 cahoot.co.uk
O1 - Hosts: 220.232.149.248 w*w.co-operativebank.co.uk
O1 - Hosts: 220.232.149.248 co-operativebank.co.uk
O1 - Hosts: 220.232.149.248 w*w.co-operativebank.com
O1 - Hosts: 220.232.149.248 co-operativebank.com
O1 - Hosts: 220.232.149.248 welcome2.co-operativebankonline.co.uk
O1 - Hosts: 220.232.149.248 welcome6.co-operativebankonline.co.uk
O1 - Hosts: 220.232.149.248 welcome8.co-operativebankonline.co.uk
O1 - Hosts: 220.232.149.248 welcome10.co-operativebankonline.co.uk
O1 - Hosts: 220.232.149.248 w*w.smile.co.uk
O1 - Hosts: 220.232.149.248 smile.co.uk
O1 - Hosts: 220.232.149.248 w*w.cajamar.es
O1 - Hosts: 220.232.149.248 cajamar.es
O1 - Hosts: 220.232.149.248 w*w.cajamar.com
O1 - Hosts: 220.232.149.248 cajamar.com
O1 - Hosts: 220.232.149.248 w*w.unicaja.es
O1 - Hosts: 220.232.149.248 unicaja.es
O1 - Hosts: 220.232.149.248 w*w.unicaja.com
O1 - Hosts: 220.232.149.248 unicaja.com
O1 - Hosts: 220.232.149.248 w*w.caixagalicia.es
O1 - Hosts: 220.232.149.248 caixagalicia.es
O1 - Hosts: 220.232.149.248 w*w.caixagalicia.com
O1 - Hosts: 220.232.149.248 caixagalicia.com
O1 - Hosts: 220.232.149.248 activa.caixagalicia.es
O1 - Hosts: 220.232.149.248 w*w.caixapenedes.es
O1 - Hosts: 220.232.149.248 caixapenedes.es
O1 - Hosts: 220.232.149.248 w*w.caixapenedes.com
O1 - Hosts: 220.232.149.248 caixapenedes.com
O1 - Hosts: 220.232.149.248 w*w.caixasabadell.es
O1 - Hosts: 220.232.149.248 caixasabadell.es
O1 - Hosts: 220.232.149.248 w*w.caixasabadell.net
O1 - Hosts: 220.232.149.248 caixasabadell.net
O1 - Hosts: 220.232.149.248 w*w.cajamadrid.es
O1 - Hosts: 220.232.149.248 cajamadrid.es
O1 - Hosts: 220.232.149.248 w*w.cajamadrid.com
O1 - Hosts: 220.232.149.248 cajamadrid.com
O1 - Hosts: 220.232.149.248 w*w.ccm.es
O1 - Hosts: 220.232.149.248 ccm.es
O1 - Hosts: 220.232.149.248 w*w.haspa.de
O1 - Hosts: 220.232.149.248 haspa.de
O1 - Hosts: 220.232.149.248 ssl2.haspa.de
O1 - Hosts: 220.232.149.248 w*w.dresdner-bank.de
O1 - Hosts: 220.232.149.248 dresdner-bank.de
O1 - Hosts: 220.232.149.248 w*w.dresdner-privat.de
O1 - Hosts: 220.232.149.248 postbank.de
O1 - Hosts: 220.232.149.248 w*w.postbank.de
O1 - Hosts: 220.232.149.248 w*w.sparda-b.de
O1 - Hosts: 220.232.149.248 sparda-b.de
O1 - Hosts: 220.232.149.248 w*w.bankingonline.de
O1 - Hosts: 220.232.149.248 w*w.raiffeisenbank-erding.de
O1 - Hosts: 220.232.149.248 raiffeisenbank-erding.de
O1 - Hosts: 220.232.149.248 w*w.vr-networld-ebanking.de
O1 - Hosts: 220.232.149.248 vr-networld-ebanking.de
O1 - Hosts: 220.232.149.248 w*w.bnhof.de
O1 - Hosts: 220.232.149.248 bnhof.de
O1 - Hosts: 220.232.149.248 w*w.deutsche-bank.de
O1 - Hosts: 220.232.149.248 deutsche-bank.de
O1 - Hosts: 220.232.149.248 w*w.citibank.de
O1 - Hosts: 220.232.149.248 citibank.de
O1 - Hosts: 220.232.149.248 w*w.dkb.de
O1 - Hosts: 220.232.149.248 dkb.de
O1 - Hosts: 220.232.149.248 w*w.sparkasse-regensburg.de
O1 - Hosts: 220.232.149.248 sparkasse-regensburg.de
O1 - Hosts: 220.232.149.248 w*w.berliner-bank.de
O1 - Hosts: 220.232.149.248 berliner-bank.de
O1 - Hosts: 220.232.149.248 w*w.berliner-sparkasse.de
O1 - Hosts: 220.232.149.248 berliner-sparkasse.de
O1 - Hosts: 220.232.149.248 w*w.wellsfargo.com
O1 - Hosts: 220.232.149.248 wellsfargo.com
O1 - Hosts: 220.232.149.248 w*w.bankofamerica.com
O1 - Hosts: 220.232.149.248 bankofamerica.com
O1 - Hosts: 220.232.149.248 w*w.usbank.com
O1 - Hosts: 220.232.149.248 usbank.com
O1 - Hosts: 220.232.149.248 w*w.bankone.com
O1 - Hosts: 220.232.149.248 bankone.com
O1 - Hosts: 220.232.149.248 w*w.citibank.com
O1 - Hosts: 220.232.149.248 citibank.com
O1 - Hosts: 220.232.149.248 w*w.capitalone.co.uk
O1 - Hosts: 220.232.149.248 capitalone.co.uk
O1 - Hosts: 220.232.149.248 w*w.banesto.es
O1 - Hosts: 220.232.149.248 banesto.es
O1 - Hosts: 220.232.149.248 w*w.bancagenerali.it
O1 - Hosts: 220.232.149.248 bancagenerali.it
O1 - Hosts: 220.232.149.248 w*w.bancaintesa.it
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = F:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = F:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - h**p://w*w.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - h**p://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {A1D886C6-4039-4451-97A9-515F5BE5D4C2} (mkdplusCtrl Class) - h**p://ahnlabdownload.nefficient.co.kr/asp/cab/mkdplus.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - h**p://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c986d1f21eb89a) (gupdate1c986d1f21eb89a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 13380 bytes


Auffällig sind ja die ganzen Banken da drin o.O
Ich hab btw schonmal die Systemwiederherstellung deaktiviert, den Dropper mit Antivir runtergeschmissen und den PC neugestartet, (Systemwiederherstellung wieder aktiviert) den CCleaner drübergejagt und dann den HJT..

Bin ich ihn los? muss ich noch was machen?
Danke schonmal im vorraus für eventuelle Hilfe.. :)

Edit:
Nochmal den bericht von AntiVir:
Code:

Die Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\woymsqy.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.


Larusso 21.02.2009 22:02

Hallo Tegrity

Lade bitte Malwarebytes und lass es nach Anleitung laufen

Larusso 21.02.2009 22:46

Irgend etwas unklar ?

tegrity 21.02.2009 22:54

ne.. danke schonmal für den tipp.
Malwarebyte läuft schon seit 25 Minuten und hat bislang nichts gefunden.
Ich poste den report wenn ich fertig bin.. k?

Edit: Er is inzwischen im system32.. dauert also nicht mehr lang..

Edit2: Windows-Partition C: ist scheinbar sauber.. 0 Infizierte Objekte

Larusso 21.02.2009 23:49

Wo kommen die Ganzen Hosts her?

Achtung:Eine Bereinigung kann sehr viel Zeit in anspruch nehmen und man kann sich nie 100%sicher sein,ob das System auch wirklich sauber ist!!
Code:

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
ist dieser hier-->Trend Micro
Ist deine Firewall aktiv?
Lässt sich Windows updaten?
Kannst du dein AntiVir Programm updaten?

Ich würde hier neu aufsetzten empfehlen
wenn du bereinigen willst,hoffe ich,du bist dir über die Gefahren die sich dahinter befinden im klaren(OnlineBanking etc)

keine Programme downloaden oder löschen während der Reinigung
Systemwiederherstellung deaktivieren
Starte im Abgesicherten Modus(mehrmals F8 drücken beim hochfahren)
Starte HJT-->Config-->Misc Tools-->Open Hosts file Manager-->Delete line
Lösche alle Hosts
Neu starten

Start-->ausführen-->cmd(reinschreibn)-->ok
nun bist du im Dos
Hier prompt reinschreiben;sc stop MicroSoft Media Tools-->enter
sc delete MicroSoft Media Tools-->enter

Neu starten

neue Logfile posten

Wenn es Probleme gibt bitte stoppen und so genau wie möglich schildern
Nichts auf eigene Faust unternehmen

tegrity 22.02.2009 00:06

Wo die ganzen Hosts herkommen? ich habe keinen blassen Schimmer..
Das was du da in dem Code gepostet hast ist ein Wurm? o.O
Wieso hat AntiVir den nie gefunden?
Letztes Antivir-Update ist von heute.
Windows lässt sich updaten.
Firewall ist die Windows-Firewall und die ist aktiv.

Lohnt sich neu aufsetzen noch? Ich werd im April vermutlich einen neuen PC haben.. lässt sich das neu aufsetzen bis dahin aufschieben?

Und lässt sich feststellen, wie lange das Ding schon bei mir auf der festplatte wütet?

Larusso 22.02.2009 00:19

Ich würd mich mit einem Backdoor nicht spielen

Wie gesagt wir können es nicht zu 100% garantieren das wir alles weg bekommen
Verzichte auf jeden fall auf online Banking etc
Zitat:

Lohnt sich neu aufsetzen noch? Ich werd im April vermutlich einen neuen PC haben.. lässt sich das neu aufsetzen bis dahin aufschieben?
Es liegt in deinem Ermessen ob du die Reinigung durchziehst
Ich kann dich zu nichts zwingen ;)
Zitat:

Und lässt sich feststellen, wie lange das Ding schon bei mir auf der festplatte wütet?
nicht das ich wüsste :)
Entfernen wir mal die ganzen Hosts
Vielleicht meldet sich jemand mit mehr Erfahrung was diesen Eintrag angeht
Ich finde keine Anzeichen darauf das dies ein Legitimer Eintrag ist

tegrity 22.02.2009 00:21

also entfern ich jetzt die Hosts und entferne die "Media Tools" ?

E: und noch eine Frage: Kann die externe Festplatte infiziert werden oder es schon sein?

Larusso 22.02.2009 00:24

richtig :daumenhoc

tegrity 22.02.2009 00:37

Die Hosts hab ich rausgeschmissen. 127.0.0.1 hab ich drin gelassen.
In der Liste stand noch was vom Spybot search & destroy.

nun hab ich im Dos "sc stop MicroSoft Media Tools" eingegeben. er sagt:

[SC] OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.

Sollte ich die Dos-Eingabe im normalen oder im abgesicherten Modus machen?

Edit: Und noch eine Frage. Können über den Wurm meine Zugangsdaten in einem Onlinespiel eingesehen werden?

tegrity 22.02.2009 11:25

So sieht's im HJT nun aus:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:18:31, on 22.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\LClock\LClock.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\rundll32.exe
F:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe
C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von Yahoo! Deutschland
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = F:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = F:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - h**p://w*w.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - h**p://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {A1D886C6-4039-4451-97A9-515F5BE5D4C2} (mkdplusCtrl Class) - h**p://ahnlabdownload.nefficient.co.kr/asp/cab/mkdplus.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - h**p://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c986d1f21eb89a) (gupdate1c986d1f21eb89a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8689 bytes

Der
Code:

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
Ist noch immer drin, wegen dem oben genannten problem..

Ich hab nen XP-Update gemacht (und kann schonwieder neue Updates laden..)

was nun?

Edit:
Ich hab AntiVir mal aggressiv eingestellt. Folgendes wurde gefunden:
Code:

C:\Windows\system32\closeapp.exe
Enthält Erkennungsmuster der Anwendung APPL/CloseApp

Edit2: Ich ignoriere den Fund erstmal.. Google spuckt das AntiVir-Forum aus, in dem steht dass das Programm sogenannte "Riskware" ist..

Larusso 22.02.2009 13:34

Hallo
das mit den Hosts hat ja super hingehauen

Eine version haben wir noch :D
Kümmern wir uns mal in ruhe um diesen Dienst ;)
Wenn noch wo was ist das werden wir es schon noch finden aber der gehört als erstes raus

Bitte alle Schritte nacheinander abarbeiten--sollte etwas nicht funzn.stoppen und Meldung :D

START--> Systemsteuerung---> Verwaltung---> Dienste---> Dienststatus---> Microsoft Media Tools 'beenden' wählen--> Starttype deaktiviert auswählen von:
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)

HijackThis > misc tools > delete a file on reboot, wähle die zu löschende Datei, beantworte die Frage zum Neustart mit JA:

MSmedia.exe

fixe mit Hijackthis den Eintrag

Bei dir läuft Bonjour,benötigst du es,wird von Apple ungefragt installiert.
Wenn nicht-->Systemsteuerung-->Software-->Deinstallieren

Wenn alles Klappt

Lasse MalwareBytes und SuperAntiSpyware nach Anleitung laufen

Deaktivier dein AntiVir Programm
Dein System Online Scannen lassen bei F-Secure
Unbedingt mit IE ins netz gehen
Active X erlauben
Auf Vollständigen Scan umstellen
Bei Funde--->Automatisch bereinigen--->Berichte zeigen-->Auswertung auf dem Desktop speichern

Vollständiger Scan mit deinem AntivirProgramm

Nächster Post

File von MBAM
File von SuperAntispywar
F-Secure Auswertung
Avira Auswertung
HJT Logfile

tegrity 22.02.2009 14:40

Also im Dienste-Fenster steht:
MicroSoft Mediatools
Status: Nichts
Autostarttyp: Deaktiviert

Das File zum löschen mit HJT finde ich nicht, C:\Windows\MSmedia.exe sehe ich da nicht.
Zum entfernen von Bonjour hab ich mal in einem anderen Thread schon nen Link zu einem Tool gesehen..

Edit: Ich habs jetzt einfach mal im Pfad eingegeben und ihn rebooten lassen. (auf dem desktop öffneten sich beim start dann 2 DOS-Fenster)
Bonjour hab ich runtergeschmissen und nu lass ich Malwarebyte drüberlaufen..

Larusso 22.02.2009 14:59

Okay Vl biste im Falschen fenster -->ich sehs ja nicht

Start-->ausführen-->service msc(reinschreiben)
Doppelklick auf MediaSoft....
Jetzt sollte Links im Fenster Dienst beenden stehen-->klicken :D

Danach im HJT meine Anleitung ausführen
Im Menü--->C:--->Windows--->und MSmedia suchen,exe steht nicht dabei

tegrity 22.02.2009 15:03

Start-->ausführen-->service msc führt zu: "service" konnte nicht gefunden, stellen sie sicher dass sie den Namen richtig geschrieben haben... usw.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131