Trojaner-Board
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner TR/Alureon.14848J und event. andere Problemchen :-( (https://www.trojaner-board.de/73340-trojaner-tr-alureon-14848j-event-andere-problemchen.html)

SchakalDN 21.05.2009 23:28
Wirklich aufgefallen ist es mir erst am Montag Abend.


Und nun ? Ansonsten läuft mein System relativ gut / stabil / schnell

john.doe 21.05.2009 23:35
Das Datum des Ordners ist der 16.5. gegen Mittag. Das könnte etwa passen. Die werden erst beim nächsten Neustart so richtig aktiv. Kannst du dich noch erinnern, was da passiert ist? Irgendwas installiert? Ich sehe etwa zur selben Zeit den Isobuster.

Hast du noch irgendwelche Logs mit Funden. Ich sehe da z.B. Smitfraudfix.

Nur weil dein AVP gerade kein Lärm macht und du meinst, alles sei in Ordnung, heißt das noch gar nichts.

ciao, andreas

SchakalDN 21.05.2009 23:46
Das müsste ein Game gewesen, habe mal geguckt in der Systemwiederherstellung. Dort steht das ich ein Spiel installiert habe was ich aus langeweile runter geladen hatte. Mit Altbinz :heilig:
Ist mittlerweile aber wieder Deinstalliert.

Das ich über einen Router rein gehe weisst du ja wahrscheinlich schon.


Also heute habe ich z.B folgendes durchlaufen lassen.

Antivir - mehrmals - letzte mal mit 2 Warnungen
Malware - einmal ohne Fund
Windows Tool zum entfernen bösartiger Software - ohne Fund
Windows Live - OneCare Safety Scanner - kompletter durchlauf - ein paar Funde, wurden "angeblich" behoben
Combofix und den rest weisst du ja.



EDIT: Smitfraudfix hab ich gestern erst runter geladen.
Antivir habe nach dem 16.05. am 18.05. einen Suchlauf gestartet mit einem Fund TR.Alureon.BP.4.

Hier ein kleiner Ausschnitt aus diesem Bericht:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Marcel\Lokale Einstellungen\Temp\tmp7C.tmp
[FUND] Ist das Trojanische Pferd TR/Alureon.BP.4
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a808793.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Montag, 18. Mai 2009 00:10
Benötigte Zeit: 20:38 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5433 Verzeichnisse wurden überprüft
192362 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
192359 Dateien ohne Befall
2120 Archive wurden durchsucht
6 Warnungen
1 Hinweise

john.doe 21.05.2009 23:51
Zitat:
was ich aus langeweile runter geladen hatte.
Hast du noch den Link? Dann schicke ihn mir als PN zu.

Dann poste alle Malwarebytes-Logs mit Funden. Ich brauche einen Anhaltspunkt.

Bin jetzt müde, gute Nacht, andreas

SchakalDN 22.05.2009 00:35
Habe nur Berichte von Antivir.

vom 18.05. - 21.05.
Insgesamt 9 Stück.

http://www.materialordner.de/8EbaaylBi4dS3wsrkf8ouC30PYVdzC8.html

http://www.materialordner.de/3E843jvadyS6Vm5ejhyMamqY7tYvWWo.html

http://www.materialordner.de/VgL1YzEFK4Klqas7JsCd4dwKhLq8EMT.html

http://www.materialordner.de/hIbXITqGylJeBSi2mmwpPS45sOJmeUv.html

http://www.materialordner.de/JyuDDbw5v1OhOwuPX7isYm00l6Yt9r2.html

http://www.materialordner.de/Y1WCwpFXMxx1YErETrT2BR40MFcV4dY.html

http://www.materialordner.de/wKv0LRV7HxdkTxZEu7XuVjJkewEdMwz.html

http://www.materialordner.de/mRpZw9V4wYddk2IFZvZIu9hEcD8ffuFt.html

http://www.materialordner.de/Ys2aILxPdEo6y6vJRDEtkicDvdGs3JJR.html

Der letztere Bericht hat 32 Funde, die anderen immer 1 - 2.


Hoffe kann damit weiterhelfen.

john.doe 22.05.2009 15:36
1.) Poste bitte den Inhalte von
Code:
c:\rapport.txt
2.) Lade die Datei
Code:
C:\WINDOWS\PEV.exe
bitte bei uns hoch: http://www.trojaner-board.de/54791-a...ner-board.html

3.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=-

Folder::
c:\Config.Msi
C:\Programme\Online-Dienste
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19Rgeit2iTqrf7M2Ql65

Files::
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\system32\perfh009.dat   
c:\windows\system32\perfh009.dat   
c:\avenger.txt
c:\rapport.txt
c:\RHDSetup.log
C:\WINDOWS\system32\tmp.txt
C:\WINDOWS\system32\jupdate-1.6.0_13-b03.log
C:\WINDOWS\system32\CONFIG.TMP
C:\WINDOWS\system32\SET50.tmp
C:\WINDOWS\system32\SET52.tmp
C:\WINDOWS\system32\SET5E.tmp
C:\WINDOWS\system32\SET67.tmp
C:\WINDOWS\system32\SET68.tmp
C:\WINDOWS\system32\SET6C.tmp
C:\WINDOWS\system32\jupdate-1.6.0_11-b03.log
C:\WINDOWS\system32\lvcoinst.log
C:\WINDOWS\system32\spupdwxp.log
C:\WINDOWS\system32\TZLog.log
C:\WINDOWS\WindowsUpdate.log
C:\WINDOWS\setupapi.log.0.old
C:\WINDOWS\002682_.tmp
C:\WINDOWS\SET8.tmp
C:\WINDOWS\SET4.tmp
C:\WINDOWS\SET3.tmp

DirLook::
C:\WINDOWS\MRLH
C:\Programme\IsoBuster
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

SchakalDN 22.05.2009 16:06
Hier die Rapport.txt

Datei ist hochgeladen. c:\windows\pev.exe

Zitat:
SmitFraudFix v2.416

Scan done at 1:13:27,89, 21.05.2009
Run from C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 activate.adobe.com

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\autorun.inf Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS3\Services\Tcpip\..\{BA7A1553-D34F-49F7-9079-EF75764E8A62}: DhcpNameServer=213.168.112.60 194.8.194.60
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=213.168.112.60 194.8.194.60


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

SchakalDN 22.05.2009 16:16
Und hier das Log von Combofix:

Zitat:
ComboFix 09-05-20.A1 - Marcel 22.05.2009 17:10.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2577 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Marcel\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Marcel\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\Config.Msi
c:\dokumente und einstellungen\All Users\Anwendungsdaten\19Rgeit2iTqrf7M2Ql65
c:\dokumente und einstellungen\All Users\Anwendungsdaten\19Rgeit2iTqrf7M2Ql65\PCGWIN32.LI5
c:\programme\Online-Dienste
c:\programme\Online-Dienste\An weitere Internetdienstanbieter verweisen.lnk

.
((((((((((((((((((((((( Dateien erstellt von 2009-04-22 bis 2009-05-22 ))))))))))))))))))))))))))))))
.

2009-05-21 00:01 . 2009-05-21 00:01 -------- d-----w c:\dokumente und einstellungen\Marcel\Anwendungsdaten\Malwarebytes
2009-05-20 22:05 . 2009-05-20 22:05 -------- d-----w c:\programme\CCleaner
2009-05-19 21:53 . 2009-05-20 22:14 -------- d-----w c:\programme\trend micro
2009-05-19 12:11 . 2008-10-16 12:06 268648 ----a-w c:\windows\system32\mucltui.dll
2009-05-18 20:41 . 2009-05-21 09:28 -------- d-----w c:\programme\Windows Live Safety Center
2009-05-18 20:32 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-18 20:32 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-18 20:32 . 2009-05-18 20:32 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-18 20:32 . 2009-05-20 22:13 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-17 20:16 . 2008-08-13 08:22 24576 ----a-w c:\windows\system32\msxml3a.dll
2009-05-17 19:20 . 2009-05-17 19:20 -------- d-----w c:\programme\Gemeinsame Dateien\DivX Shared
2009-05-17 19:20 . 2009-05-17 19:31 -------- d-----w c:\dokumente und einstellungen\Marcel\Anwendungsdaten\GetRightToGo
2009-05-17 19:08 . 2009-05-17 20:22 -------- d-----w c:\dokumente und einstellungen\Marcel\Anwendungsdaten\AVS4YOU
2009-05-17 19:08 . 2009-05-17 19:08 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-05-17 19:08 . 2009-05-18 16:41 -------- d-----w c:\programme\Gemeinsame Dateien\AVSMedia
2009-05-17 19:08 . 2007-02-27 16:36 974848 ----a-w c:\windows\system32\mfc70.dll
2009-05-17 19:08 . 2007-02-27 16:36 487424 ----a-w c:\windows\system32\msvcp70.dll
2009-05-17 19:08 . 2007-02-27 16:36 344064 ----a-w c:\windows\system32\msvcr70.dll
2009-05-17 19:08 . 2007-02-27 16:36 1700352 ----a-w c:\windows\system32\GdiPlus.dll
2009-05-17 19:00 . 2007-05-17 15:30 318976 ----a-w c:\windows\system32\avisynth.dll
2009-05-17 19:00 . 2004-02-22 08:11 719872 ----a-w c:\windows\system32\devil.dll
2009-05-17 19:00 . 2004-01-24 22:00 70656 ----a-w c:\windows\system32\i420vfw.dll
2009-05-17 19:00 . 2004-01-24 22:00 70656 ----a-w c:\windows\system32\yv12vfw.dll
2009-05-16 12:12 . 2009-05-16 12:12 -------- d-----w c:\windows\MRLH
2009-05-11 17:14 . 2009-05-11 17:14 -------- d-----w c:\dokumente und einstellungen\Marcel\Anwendungsdaten\FOG Downloader
2009-05-08 23:20 . 2009-05-08 23:20 -------- d-----r c:\dokumente und einstellungen\LocalService\Favoriten
2009-05-08 23:20 . 2009-05-08 23:20 -------- d-sh--w c:\dokumente und einstellungen\LocalService\IETldCache
2009-05-08 22:39 . 2009-05-08 22:39 -------- d-----w c:\dokumente und einstellungen\Marcel\Anwendungsdaten\BlackBean
2009-05-08 20:43 . 2009-05-08 20:43 -------- d-sh--w c:\dokumente und einstellungen\Marcel\IECompatCache
2009-05-08 20:40 . 2009-05-08 20:40 -------- d-sh--w c:\dokumente und einstellungen\Marcel\PrivacIE
2009-05-08 20:39 . 2009-05-08 20:39 -------- d-sh--w c:\dokumente und einstellungen\Marcel\IETldCache
2009-05-08 20:37 . 2009-05-08 20:37 -------- d-----w c:\windows\ie8updates
2009-05-08 20:37 . 2009-04-25 05:30 102400 -c----w c:\windows\system32\dllcache\iecompat.dll
2009-05-08 20:35 . 2009-05-08 20:37 -------- dc-h--w c:\windows\ie8
2009-05-08 20:29 . 2009-05-08 20:29 -------- d-----w c:\programme\MSXML 4.0
2009-05-08 20:02 . 2009-05-08 20:39 -------- d-----w c:\windows\SxsCaPendDel
2009-05-08 19:57 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-05-08 19:57 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-05-08 19:57 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-05-08 19:57 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-05-08 19:57 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-05-08 19:57 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-05-08 19:57 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-05-08 19:57 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-05-08 19:57 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-05-08 19:57 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-05-07 14:55 . 2001-08-17 11:56 7552 -c--a-w c:\windows\system32\dllcache\sonypvu1.sys
2009-05-07 14:55 . 2001-08-17 11:56 7552 ----a-w c:\windows\system32\drivers\SONYPVU1.SYS
2009-05-04 20:58 . 2009-05-04 21:15 -------- d-----w c:\dokumente und einstellungen\Marcel\Anwendungsdaten\Nero
2009-05-04 20:48 . 2009-05-04 20:48 -------- d-----w c:\programme\Windows Sidebar
2009-05-04 20:40 . 2009-05-04 20:57 -------- d-----w c:\programme\Gemeinsame Dateien\Nero
2009-04-28 20:17 . 2009-04-28 20:17 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe AIR
2009-04-24 14:43 . 2009-04-24 16:36 -------- d-----w c:\programme\Eagle Dynamics
2009-04-23 18:18 . 2009-04-23 18:18 -------- d-----w c:\dokumente und einstellungen\Marcel\Lokale Einstellungen\Anwendungsdaten\Gas Powered Games
2009-04-23 18:08 . 2009-04-23 18:08 -------- d-----w c:\dokumente und einstellungen\Marcel\Anwendungsdaten\Stardock
2009-04-23 18:07 . 2009-04-23 18:07 -------- dc-h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EA77F737-0FEA-4800-BD99-D6AF1051C7A9}
2009-04-23 18:06 . 2009-04-23 18:06 -------- d-----w c:\programme\Stardock
2009-04-23 18:06 . 2009-04-23 18:06 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Stardock
2009-04-23 18:05 . 2009-04-23 18:05 -------- dc-h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BE672698-4DAC-4C83-9056-C07C3170F628}

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-22 10:19 . 2009-05-21 21:50 4346 ----a-w c:\windows\system32\PerfStringBackup.TMP
2009-05-17 20:22 . 2008-11-05 17:28 14672 ----a-w c:\dokumente und einstellungen\Marcel\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-17 19:21 . 2009-02-15 02:30 -------- d-----w c:\programme\DivX
2009-05-16 12:09 . 2009-03-31 19:52 -------- d-----w c:\programme\IsoBuster
2009-05-15 07:31 . 2008-11-05 16:26 -------- d--h--w c:\programme\InstallShield Installation Information
2009-05-04 20:49 . 2009-01-02 20:01 -------- d-----w c:\programme\Nero
2009-04-21 22:20 . 2009-04-21 22:20 14311680 ----a-w c:\windows\system32\xlive.dll
2009-04-21 22:20 . 2009-04-21 22:20 13642496 ----a-w c:\windows\system32\xlivefnt.dll
2009-04-15 20:24 . 2009-04-15 20:24 90112 ----a-w c:\windows\system32\dpl100.dll
2009-04-15 20:24 . 2009-04-15 20:24 823296 ----a-w c:\windows\system32\divx_xx0c.dll
2009-04-15 20:24 . 2009-04-15 20:24 823296 ----a-w c:\windows\system32\divx_xx07.dll
2009-04-15 20:24 . 2009-04-15 20:24 815104 ----a-w c:\windows\system32\divx_xx0a.dll
2009-04-15 20:24 . 2009-04-15 20:24 802816 ----a-w c:\windows\system32\divx_xx11.dll
2009-04-15 20:24 . 2009-04-15 20:24 684032 ----a-w c:\windows\system32\DivX.dll
2009-04-13 16:59 . 2008-12-21 11:27 -------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-13 16:58 . 2008-12-21 11:27 -------- d-----w c:\programme\AGEIA Technologies
2009-04-13 16:57 . 2009-04-13 16:57 -------- d-----w c:\programme\OpenAL
2009-04-13 16:57 . 2008-11-06 23:35 418480 ----a-w c:\windows\system32\wrap_oal.dll
2009-04-13 16:57 . 2008-11-06 23:35 115432 ----a-w c:\windows\system32\OpenAL32.dll
2009-04-04 12:31 . 2009-04-04 12:31 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-04-01 18:40 . 2009-03-19 13:19 -------- d-----w c:\programme\Java
2009-03-31 19:34 . 2009-03-31 19:34 -------- d-----w c:\programme\7-Zip
2009-03-29 18:14 . 2008-12-30 23:41 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-29 17:58 . 2009-03-29 17:58 -------- d-----w c:\programme\AC3Filter
2009-03-29 14:44 . 2009-03-29 14:40 -------- d-----w c:\programme\CyberLink
2009-03-29 14:40 . 2009-03-29 14:40 -------- d-----w c:\programme\Digital Photo Navigator 1.5
2009-03-09 03:19 . 2008-11-25 23:00 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-08 02:34 . 2004-08-04 12:00 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2004-08-04 12:00 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2004-08-04 12:00 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2004-08-04 12:00 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2004-08-04 12:00 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2004-08-04 12:00 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2004-08-04 12:00 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2004-08-04 12:00 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2004-08-04 12:00 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2004-08-04 12:00 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-02-12 23:53 . 2009-02-12 23:49 56 --sh--r c:\windows\system32\434D13272C.sys
2009-02-12 23:53 . 2009-02-12 23:49 4182 --sha-w c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\programme\IsoBuster ----

2009-03-31 19:52 . 2009-03-31 19:52 12877 ----a-w c:\programme\IsoBuster\Uninst\unins000.msg
2009-03-31 19:52 . 2008-12-19 13:53 1023360 ----a-w c:\programme\IsoBuster\Help\IsoBuster.chm
2009-03-31 19:52 . 2008-12-16 12:16 101888 ----a-w c:\programme\IsoBuster\Lang\Ukranian.dll
2009-03-31 19:52 . 2005-12-23 20:19 555 ----a-w c:\programme\IsoBuster\Online\IsoBuster Online.html
2009-03-31 19:52 . 2006-07-03 13:20 578 ----a-w c:\programme\IsoBuster\Online\Order Now.html
2009-03-31 19:52 . 2008-12-08 18:38 104448 ----a-w c:\programme\IsoBuster\Lang\Turkish.dll
2009-03-31 19:52 . 2008-05-24 12:20 98304 ----a-w c:\programme\IsoBuster\Lang\Thai.dll
2009-03-31 19:52 . 2008-12-04 21:04 104448 ----a-w c:\programme\IsoBuster\Lang\Svenska.dll
2009-03-31 19:52 . 2008-12-02 18:32 101376 ----a-w c:\programme\IsoBuster\Lang\Russian.dll
2009-03-31 19:52 . 2007-12-20 22:07 101376 ----a-w c:\programme\IsoBuster\Lang\Suomi_Finnish.dll
2009-03-31 19:52 . 2008-12-14 18:43 110080 ----a-w c:\programme\IsoBuster\Lang\Portugues.dll
2009-03-31 19:52 . 2008-11-29 13:30 107520 ----a-w c:\programme\IsoBuster\Lang\Romana.dll
2009-03-31 19:52 . 2008-12-05 17:57 105984 ----a-w c:\programme\IsoBuster\Lang\Polski.dll
2009-03-31 19:52 . 2008-12-02 19:11 103936 ----a-w c:\programme\IsoBuster\Lang\Magyar.dll
2009-03-31 19:52 . 2008-12-17 19:21 110592 ----a-w c:\programme\IsoBuster\Lang\Nederlands.dll
2009-03-31 19:52 . 2008-06-09 17:57 100864 ----a-w c:\programme\IsoBuster\Lang\Norwegian.dll
2009-03-31 19:52 . 2008-05-26 15:04 112128 ----a-w c:\programme\IsoBuster\Lang\Macedonian.dll
2009-03-31 19:52 . 2008-12-01 13:37 108032 ----a-w c:\programme\IsoBuster\Lang\Hrvatski_Croatian.dll
2009-03-31 19:52 . 2008-11-30 14:20 113664 ----a-w c:\programme\IsoBuster\Lang\Italiano.dll
2009-03-31 19:52 . 2008-12-02 18:32 111104 ----a-w c:\programme\IsoBuster\Lang\Greek.dll
2009-03-31 19:52 . 2008-12-01 19:28 114688 ----a-w c:\programme\IsoBuster\Lang\Francais.dll
2009-03-31 19:52 . 2008-12-16 12:18 101888 ----a-w c:\programme\IsoBuster\Lang\Farsi.dll
2009-03-31 19:52 . 2008-12-16 12:15 116224 ----a-w c:\programme\IsoBuster\Lang\Espanol.dll
2009-03-31 19:52 . 2008-12-09 21:43 110080 ----a-w c:\programme\IsoBuster\Lang\Deutsch.dll
2009-03-31 19:52 . 2008-12-07 15:53 102400 ----a-w c:\programme\IsoBuster\Lang\Dansk.dll
2009-03-31 19:52 . 2008-12-18 22:34 101376 ----a-w c:\programme\IsoBuster\Lang\Cesky.dll
2009-03-31 19:52 . 2008-05-26 11:39 74752 ----a-w c:\programme\IsoBuster\Lang\Chinese_Simp.dll
2009-03-31 19:52 . 2008-05-26 11:40 74752 ----a-w c:\programme\IsoBuster\Lang\Chinese_Trad.dll
2009-03-31 19:52 . 2008-12-14 18:43 111104 ----a-w c:\programme\IsoBuster\Lang\Catalan.dll
2009-03-31 19:52 . 2008-11-30 11:34 104960 ----a-w c:\programme\IsoBuster\Lang\Bulgarian.dll
2009-03-31 19:52 . 2008-12-10 23:53 109568 ----a-w c:\programme\IsoBuster\Lang\Brasil.dll
2009-03-31 19:52 . 2008-11-29 15:43 96768 ----a-w c:\programme\IsoBuster\Lang\Arabic.dll
2009-03-31 19:52 . 2008-12-08 13:54 107520 ----a-w c:\programme\IsoBuster\Lang\Albanian.dll
2009-03-31 19:52 . 2008-12-01 13:36 103936 ----a-w c:\programme\IsoBuster\Lang\Afrikaans.dll
2009-03-31 19:52 . 2008-12-23 16:14 4722408 ----a-w c:\programme\IsoBuster\IsoBuster.exe
2009-03-31 19:52 . 2009-03-31 19:51 791304 ----a-w c:\programme\IsoBuster\Uninst\unins000.exe
2009-03-31 19:52 . 2009-03-31 19:52 31015 ----a-w c:\programme\IsoBuster\Uninst\unins000.dat

---- Directory of c:\windows\MRLH ----

2009-05-16 12:12 . 2006-04-21 22:39 40960 ----a-w c:\windows\MRLH\IluPak.exe


((((((((((((((((((((((((((((( SnapShot@2009-05-20_23.59.51 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-22 15:13 . 2009-05-22 15:13 16384 c:\windows\temp\Perflib_Perfdata_55c.dat
+ 2004-08-04 12:00 . 2009-05-22 10:19 30396 c:\windows\system32\perfh009.dat
- 2004-08-04 12:00 . 2009-05-20 23:53 30396 c:\windows\system32\perfh009.dat
+ 2004-08-04 12:00 . 2009-05-22 10:19 66584 c:\windows\system32\perfc009.dat
- 2004-08-04 12:00 . 2009-05-20 23:53 66584 c:\windows\system32\perfc009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-22 13541376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-22 86016]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-03 5964800]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"EverioService"="c:\programme\CyberLink\PCM4Everio\EverioService.exe" [2007-11-01 151552]
"Logitech Utility"="Logi_MwX.Exe" - c:\windows\LOGI_MWX.EXE [2002-11-08 19968]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
NCProTray.lnk - c:\programme\Natural Color Pro\NCProTray.exe [2008-11-5 49220]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"e:\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"e:\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"e:\\Demigod\\bin\\Demigod.exe"=
"e:\\Steam\\steamapps\\common\\empire total war\\Empire.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [10.06.2008 12:33 150568]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [05.11.2008 19:24 36864]
S2 NVSvcxmlprov;NVIDIA Display Driver Service NVSvcxmlprov;c:\windows\system32\1028e.exe srv --> c:\windows\system32\1028e.exe srv [?]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [31.12.2008 01:40 33752]
S3 hid7906;hid7906;c:\windows\system32\drivers\hid7906.sys [19.11.2008 22:38 53793]
S3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);c:\windows\system32\drivers\CamDrL20.sys [17.11.2008 20:20 245760]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yahoo.de/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-22 17:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1202660629-261903793-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:0d,74,d4,8a,97,b9,5f,fc,5c,94,f5,cf,da,24,44,56,f6,6d,95,3d,9f,
32,62,e0,26,13,7f,f9,88,8e,3d,5d,93,85,70,6b,0f,1c,86,22,33,21,30,f0,39,e0,\
"rkeysecu"=hex:2b,b2,4a,68,13,ee,f1,9e,28,ca,56,c5,f1,f7,76,b4
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3824)
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\rundll32.exe
c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-22 17:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-22 15:15
ComboFix2.txt 2009-05-21 21:48
ComboFix3.txt 2009-05-21 20:27
ComboFix4.txt 2009-05-21 00:00

Vor Suchlauf: 11 Verzeichnis(se), 18.427.420.672 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 18.457.784.320 Bytes frei

266 --- E O F --- 2008-11-05 18:56

john.doe 22.05.2009 16:27
Der hat also die Autorun.inf gekillt, ich war schon verblüfft, warum beim CF-Log nichts zu sehen war. :)

ciao, andreas

p.s.: Lade die Datei
Code:
c:\windows\MRLH\IluPak.exe
auch noch hoch, die sieht ausgesprochen verdächtig aus. Bei der anderen melden 4 bei virscan.org Probleme, aber alles nur heuristisch und suspicious.

SchakalDN 22.05.2009 16:57
Ist hochgeladen

john.doe 22.05.2009 17:18
Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem Doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)

http://virus-protect.org/artikel/bilder/bobby.gif

Folgenden Text einfügen:
Code:
ilupak
Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

ciao, andreas

SchakalDN 22.05.2009 17:22
Suchergebnis von RegSearch:

Zitat:
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 22.05.2009 18:22:05 for strings:
; 'ilupak'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-1202660629-261903793-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"a"="C:\\WINDOWS\\MRLH\\IluPak.exe"

[HKEY_USERS\S-1-5-21-1202660629-261903793-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"c"="C:\\WINDOWS\\MRLH\\IluPak.exe"

; End Of The Log...

john.doe 22.05.2009 17:34
1.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
2.) Überprüfe den Rechner mit PrevXCSI. Erstelle einen Screenshot, lade ihn bei einem Imagehoster hoch und poste hier den Link.

ciao, andreas

SchakalDN 22.05.2009 18:05
Wärend des Scans von ActiveScan sind schon 2 Meldungen von Antivir gekommen.

Zitat:
In der Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\gxvxcvkbidorgixettlnbaqbmpynputowktui.sys.vir'
wurde ein Virus oder unerwünschtes Programm 'RKIT/Agent.ury' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Zitat:
In der Datei 'C:\System Volume Information\_restore{CF40657D-090D-45A4-90C7-DC629BF17726}\RP182\A0040590.sys'
wurde ein Virus oder unerwünschtes Programm 'RKIT/Agent.ury' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

john.doe 22.05.2009 18:19
1.) Start => Ausführen => combofix /u => OK

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:18 Uhr.
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131