Trojaner-Board - winlog.exe ist Backdoor.Agobot.LF?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - winlog.exe ist Backdoor.Agobot.LF? (https://www.trojaner-board.de/77094-winlog-exe-backdoor-agobot-lf.html)

So, der Scan ist endlich fertig... Und hier kommt der Log:

Code:

;***********************************************************************************************************************************************************************************

ANALYSIS: 2009-09-06 01:03:05

PROTECTIONS: 0

MALWARE: 8

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description                                  Version                       Active    Updated

;===================================================================================================================================================================================

;===================================================================================================================================================================================

MALWARE

Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location

;===================================================================================================================================================================================

00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\**\Cookies\**@ad.yieldmanager[2].txt

00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\**\Cookies\**@ad.yieldmanager[1].txt

00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\**\Cookies\**@adtech[1].txt

00484705  Application/IEDefender             HackTools           No        0         Yes            No           C:\Qoobox\Quarantine\C\WINDOWS\system32\IEDFix.C.exe.vir

00484705  Application/IEDefender             HackTools           No        0         Yes            No           C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP93\A0013328.exe

00590315  Rootkit/Agent.LNB                  HackTools           No        0         Yes            No           C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP92\A0013278.sys

00590315  Rootkit/Agent.LNB                  HackTools           No        0         Yes            No           C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP92\A0013287.sys

00921467  Generic Malware                    Virus/Trojan        No        0         Yes            No           C:\Qoobox\Quarantine\C\WINDOWS\system32\404Fix.exe.vir

00921467  Generic Malware                    Virus/Trojan        No        0         Yes            No           C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP93\A0013325.exe

01606636  Cookie/Adserver                    TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\**\Cookies\**@adserver.easyad[1].txt

02885963  Rootkit/Booto.C                    Virus/Worm          No        0         Yes            No           C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP94\A0013522.sys

03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP94\A0013515.exe

03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\Qoobox\Quarantine\C\Programme\SmitfraudFix.exe.vir

;===================================================================================================================================================================================

EDIT: okay, ist nur die Hälfte davon. Die andere Hälfte besteht zum Großteil aus Leerzeichen, die ich erst entfernen müsste, falls ich es posten sollte...

Die Leerzeichen interessieren nicht, nur der Text. Sieht aber überraschend gut aus.

ciao, andreas

Das klingt doch mal erfreulich :)

und hier der Rest des Logs:

Code:

VULNERABILITIES

Id        Severity   Description     

;===========================

  211784  HIGH       MS09-032    

  211781  HIGH       MS09-029    

  210625  HIGH       MS09-026  

  210624  HIGH       MS09-025   

  210621  HIGH       MS09-022    

  210618  HIGH       MS09-019    

  208380  HIGH       MS09-015      

  208379  HIGH       MS09-014    

  208378  HIGH       MS09-013    

  208377  HIGH       MS09-012   

  206981  HIGH       MS09-007      

  206980  HIGH       MS09-006    

  204670  HIGH       MS09-001      

  203505  HIGH       MS08-071     

  202465  HIGH       MS08-068    

  201683  HIGH       MS08-067   

  201258  HIGH       MS08-066    

  201256  HIGH       MS08-064     

  201255  HIGH       MS08-063    

  201253  HIGH       MS08-061    

  209275  HIGH       MS08-049     

  196455  MEDIUM     MS08-037

  194862  HIGH       MS08-032  

  194860  HIGH       MS08-030

  191618  HIGH       MS08-025 

  191616  HIGH       MS08-023  

  191614  HIGH       MS08-021    

  191613  HIGH       MS08-020 

  187733  HIGH       MS08-008  

  184380  MEDIUM     MS08-002   

  184379  MEDIUM     MS08-001  

  182046  HIGH       MS07-067 

  179553  HIGH       MS07-061    

  176383  HIGH       MS07-058   

  170911  HIGH       MS07-050   

  170907  HIGH       MS07-046

  170904  HIGH       MS07-043   

  164915  HIGH       MS07-035  

  164911  HIGH       MS07-031   

  157262  HIGH       MS07-022   

  157261  HIGH       MS07-021  

  157260  HIGH       MS07-020   

  157259  HIGH       MS07-019 

  156477  HIGH       MS07-017  

  150249  HIGH       MS07-013   

  150248  HIGH       MS07-012     

  150247  HIGH       MS07-011 

  150243  HIGH       MS07-008    

  150242  HIGH       MS07-007   

  150241  MEDIUM     MS07-006    

  145501  HIGH       MS07-004   

  141033  MEDIUM     MS06-075    

  137571  HIGH       MS06-070    

  133386  MEDIUM     MS06-064    

  133385  MEDIUM     MS06-063   

  133379  HIGH       MS06-057  

  129977  MEDIUM     MS06-053    

  129976  MEDIUM     MS06-052     

  126093  HIGH       MS06-051      

  126092  MEDIUM     MS06-050  

  126087  HIGH       MS06-046

  108738  HIGH       MS06-004    

  126082  HIGH       MS06-041

  126081  HIGH       MS06-040  

  123421  HIGH       MS06-036     

  123420  HIGH       MS06-035   

  120825  MEDIUM     MS06-032   

  120823  MEDIUM     MS06-030    

  120818  HIGH       MS06-025    

  120815  HIGH       MS06-022 

  117384  MEDIUM     MS06-018 

  114666  HIGH       MS06-015   

  108738  HIGH       MS06-004 

  108738  HIGH       MS06-004  

  108738  HIGH       MS06-004  

  104567  HIGH       MS06-002  

  104237  HIGH       MS06-001  

   96574  HIGH       MS05-053    

   93395  HIGH       MS05-051 

   93454  MEDIUM     MS05-049

;=============================

Das sieht aber gar nicht gut aus. :(

Alles, was zuerst gefunden wurde, war in der Quarantäne von ComboFix und in der Systemwiederherstellung. Darum muss man sich keine Sorgen machen. Aber das nächste Post zeigt überdeutlich, dass du eines der "Grundgesetze", die du lesen kannst, wenn du auf die letzten beiden Links in meiner Signatur klickst, nicht eingehalten hast, und dadurch grundsätzlich gefährdet bist.

Du musst deine Software aktuell halten. Zumindest wöchentlich schauen, was habe ich installiert, gibt es Updates? Gegen diese Regel hast du verstoßen.

Von dem Auslöser, sprich der Autoplayfunktion von Windows hat dich ComboFix befreit, das kann dir nicht wieder passieren. Trotzdem musst du die Regeln beachten. Immer!

Installiere:

Poste ein aktuelles HJT-Log.

ciao, andreas

Je mehr ich mache, desto mehr Probleme scheine ich zu bekommen :confused:

Ich hab das SP3 installiert, Automatische Updates zugelassen, IE8 ist grade in der Installation, und während ich mit FlashGet versuche, den KMPlayer zu bekommen, tut sich ein Fensterchen mit folgendem Inhalt auf:

Code:

Microsoft Windows XP Service Pack 3 [Build:5.1.2600]
 

FlashGet 2.11.0.1188   96F86FEACA32A66EBD772F55991467A0   00:04:54

----------------------------------------------------

Type: EXCEPTION_ACCESS_VIOLATION

Address: 0x0000000B

Description: Read the address 0x0000000B
 

Call Stack:
 

Load Module List:

C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe [0x00400000] (Ver:2.11.0.1188)

C:\WINDOWS\system32\ntdll.dll [0x7C910000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\kernel32.dll [0x7C800000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\USER32.dll [0x7E360000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\GDI32.dll [0x77EF0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\comdlg32.dll [0x76350000] (Ver:6.0.2900.5512)

C:\WINDOWS\system32\ADVAPI32.dll [0x77DA0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\RPCRT4.dll [0x77E50000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\Secur32.dll [0x77FC0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\COMCTL32.dll [0x5D450000] (Ver:5.82.2900.5512)

C:\WINDOWS\system32\SHELL32.dll [0x7E670000] (Ver:6.0.2900.5512)

C:\WINDOWS\system32\msvcrt.dll [0x77BE0000] (Ver:7.0.2600.5512)

C:\WINDOWS\system32\SHLWAPI.dll [0x77F40000] (Ver:6.0.2900.5512)

C:\WINDOWS\system32\ole32.dll [0x774B0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\OLEAUT32.dll [0x770F0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\MSIMG32.dll [0x76320000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\MSVCP60.dll [0x76020000] (Ver:6.2.3104.0)

C:\Programme\FlashGet Network\FlashGet universal\dbghelp.dll [0x6D510000] (Ver:5.1.2600.1106)

C:\WINDOWS\system32\VERSION.dll [0x77BD0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\PSAPI.DLL [0x76BB0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\NETAPI32.dll [0x597D0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\WININET.dll [0x441E0000] (Ver:7.0.6000.16791)

C:\WINDOWS\system32\Normaliz.dll [0x00330000] (Ver:6.0.5441.0)

C:\WINDOWS\system32\iertutil.dll [0x43F60000] (Ver:7.0.6000.16791)

C:\Programme\FlashGet Network\FlashGet universal\storage.dll [0x10000000] (Ver:2.0.0.1003)

C:\Programme\FlashGet Network\FlashGet universal\LiveUpdateUI.dll [0x00340000] (Ver:1.1.0.1002)

C:\WINDOWS\system32\MFC42.DLL [0x73D30000] (Ver:6.2.4131.0)

C:\WINDOWS\system32\WSOCK32.dll [0x71A30000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\WS2_32.dll [0x71A10000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\WS2HELP.dll [0x71A00000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\imagehlp.dll [0x76C50000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\IMM32.DLL [0x76330000] (Ver:5.1.2600.5512)

C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll [0x773A0000] (Ver:6.0.2900.5512)

C:\WINDOWS\system32\MFC42LOC.DLL [0x61DC0000] (Ver:6.0.8665.0)

C:\Programme\FlashGet Network\FlashGet universal\BugReport.dll [0x00F20000] (Ver:1.1.0.1001)

C:\Programme\FlashGet Network\FlashGet universal\zlib.dll [0x00F60000] (Ver:1.1.4.0)

C:\WINDOWS\system32\CRTDLL.dll [0x73D00000] (Ver:4.0.1183.1)

C:\WINDOWS\system32\WINSPOOL.DRV [0x72F70000] (Ver:5.1.2600.5512)

C:\Programme\FlashGet Network\FlashGet universal\modules\ComHelper\ComHelper.dll [0x00FA0000] (Ver:1.0.0.1002)

C:\WINDOWS\system32\urlmon.dll [0x442C0000] (Ver:7.0.6000.16791)

C:\WINDOWS\system32\SETUPAPI.dll [0x778F0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\iphlpapi.dll [0x76D20000] (Ver:5.1.2600.5512)

C:\Programme\FlashGet Network\FlashGet universal\modules\Downstat\Downstat.dll [0x00FE0000] (Ver:1.0.0.1008)

C:\Programme\FlashGet Network\FlashGet universal\modules\P4pclient\P4pclient.dll [0x01010000] (Ver:1.0.0.1005)

C:\WINDOWS\system32\uxtheme.dll [0x5B0F0000] (Ver:6.0.2900.5512)

C:\WINDOWS\system32\MSCTF.dll [0x746A0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\msctfime.ime [0x75250000] (Ver:5.1.2600.5512)

C:\Programme\FlashGet Network\FlashGet universal\modules\SearchTop\SearchTop.dll [0x01120000] (Ver:1.0.0.1002)

C:\Programme\FlashGet Network\FlashGet universal\modules\Security\Security.dll [0x01160000] (Ver:1.0.0.1006)

C:\Programme\FlashGet Network\FlashGet universal\modules\SnapShot\SnapShot.dll [0x011E0000] (Ver:1.0.0.1027)

C:\WINDOWS\system32\AVIFIL32.dll [0x73AC0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\WINMM.dll [0x76AF0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\MSACM32.dll [0x77BB0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\MSVFW32.dll [0x75EC0000] (Ver:5.1.2600.5512)

C:\Programme\FlashGet Network\FlashGet universal\modules\tasknotifier\tasknotifier.dll [0x01330000] (Ver:1.0.0.1002)

C:\WINDOWS\system32\RASAPI32.dll [0x76EA0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\rasman.dll [0x76E50000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\TAPI32.dll [0x76E70000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\rtutils.dll [0x76E40000] (Ver:5.1.2600.5512)

C:\Programme\FlashGet Network\FlashGet universal\modules\SnapShot\SamplerCli.dll [0x01690000] (Ver:1.0.0.1002)

C:\WINDOWS\system32\USERENV.dll [0x76620000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\mswsock.dll [0x719B0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\msv1_0.dll [0x77C40000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\hnetcfg.dll [0x66710000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\sensapi.dll [0x72240000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\RICHED32.DLL [0x73250000] (Ver:5.1.2600.0)

C:\WINDOWS\system32\RICHED20.dll [0x74DB0000] (Ver:5.30.23.1230)

C:\WINDOWS\system32\rasadhlp.dll [0x76F80000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\DNSAPI.dll [0x76EE0000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\wshtcpip.dll [0x719F0000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\winrnr.dll [0x76F70000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\WLDAP32.dll [0x76F20000] (Ver:5.1.2600.5512)

C:\Programme\FlashGet Network\FlashGet universal\explorerbar.dll [0x02540000] (Ver:1.0.0.1)

C:\WINDOWS\system32\CLBCATQ.DLL [0x76F90000] (Ver:2001.12.4414.700)

C:\WINDOWS\system32\COMRes.dll [0x77010000] (Ver:2001.12.4414.700)

C:\WINDOWS\system32\appHelp.dll [0x77B10000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\cscui.dll [0x779F0000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\CSCDLL.dll [0x765A0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\ieframe.dll [0x444C0000] (Ver:7.0.6000.16791)

C:\WINDOWS\system32\SXS.DLL [0x76970000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\mshtml.dll [0x44BA0000] (Ver:7.0.6000.16809)

C:\WINDOWS\system32\msls31.dll [0x02C60000] (Ver:3.10.349.0)

C:\Programme\FlashGet Network\FlashGet universal\btcore.dll [0x02DF0000] (Ver:2.1.0.42)

C:\Programme\FlashGet Network\FlashGet universal\p2spmgr.dll [0x02EC0000] (Ver:1.8.11.24)

C:\Programme\FlashGet Network\FlashGet universal\p2snetio.dll [0x02F00000] (Ver:1.0.0.7925)

C:\Programme\FlashGet Network\FlashGet universal\p2sprot.dll [0x03050000] (Ver:1.8.11.17)

C:\Programme\FlashGet Network\FlashGet universal\p2pprot.dll [0x03090000] (Ver:1.8.11.17)

C:\WINDOWS\System32\msimtf.dll [0x74670000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\MLANG.dll [0x75DC0000] (Ver:6.0.2900.5512)

C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx [0x031D0000] (Ver:10.0.22.87)

C:\WINDOWS\system32\CRYPT32.dll [0x77A50000] (Ver:5.131.2600.5512)

C:\WINDOWS\system32\MSASN1.dll [0x77AF0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\mscms.dll [0x73AA0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\WINTRUST.dll [0x76BF0000] (Ver:5.131.2600.5512)

C:\WINDOWS\system32\wdmaud.drv [0x72C90000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\msacm32.drv [0x72C80000] (Ver:5.1.2600.0)

C:\WINDOWS\system32\midimap.dll [0x77BA0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\jscript.dll [0x75BF0000] (Ver:5.7.0.16599)

C:\WINDOWS\system32\xpsp2res.dll [0x04DD0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\ImgUtil.dll [0x1B000000] (Ver:7.0.5730.13)

C:\WINDOWS\system32\pngfilt.dll [0x433A0000] (Ver:7.0.6000.16791)

C:\WINDOWS\System32\shdocvw.dll [0x7E1E0000] (Ver:6.0.2900.5512)

C:\WINDOWS\system32\CRYPTUI.dll [0x76880000] (Ver:5.131.2600.5512)

C:\WINDOWS\System32\browseui.dll [0x75F20000] (Ver:6.0.2900.5512)

C:\WINDOWS\system32\MPR.dll [0x71A80000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\drprov.dll [0x75F00000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\ntlanman.dll [0x71B90000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\NETUI0.dll [0x71C50000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\NETUI1.dll [0x71C10000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\NETRAP.dll [0x71C00000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\SAMLIB.dll [0x71B70000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\davclnt.dll [0x75F10000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\MSGINA.dll [0x75910000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\ODBC32.dll [0x745D0000] (Ver:3.525.1132.0)

C:\WINDOWS\system32\WINSTA.dll [0x76300000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\odbcint.dll [0x1F840000] (Ver:3.525.1117.0)

C:\WINDOWS\system32\LINKINFO.dll [0x76930000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\ntshrui.dll [0x76940000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\ATL.DLL [0x76AD0000] (Ver:3.5.2284.1)

C:\WINDOWS\System32\sti.dll [0x73B10000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\CFGMGR32.dll [0x74A60000] (Ver:5.1.2600.5512)

C:\Programme\FlashGet Network\FlashGet universal\p2spwrap.dll [0x05B50000] (Ver:1.0.1.1008)

C:\Programme\FlashGet Network\FlashGet universal\hashgen.dll [0x02950000] (Ver:1.0.0.1)

C:\Programme\FlashGet Network\FlashGet universal\btwrap.dll [0x04CD0000] (Ver:1.0.1.1007)

C:\WINDOWS\system32\MPRAPI.dll [0x76D00000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\ACTIVEDS.dll [0x77C90000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\adsldpc.dll [0x76DD0000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\mshtmled.dll [0x44160000] (Ver:7.0.6000.16791)

C:\WINDOWS\System32\netshell.dll [0x763A0000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\credui.dll [0x76BC0000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\dot3api.dll [0x5F8F0000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\dot3dlg.dll [0x71260000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\OneX.DLL [0x72760000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\WTSAPI32.dll [0x76F10000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\eappcfg.dll [0x6DB40000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\eappprxy.dll [0x47700000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\wbem\wbemprox.dll [0x74E70000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\wbem\wbemcomn.dll [0x75210000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\wbem\wbemsvc.dll [0x74E50000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\wbem\fastprox.dll [0x75620000] (Ver:5.1.2600.5512)

C:\WINDOWS\system32\NTDSAPI.dll [0x76750000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\netcfgx.dll [0x75580000] (Ver:5.1.2600.5512)

C:\WINDOWS\System32\CLUSAPI.dll [0x76D60000] (Ver:5.1.2600.5512)
 

Register Information:

EAX=0x0000000B        EBX=0x00000000        ECX=0x02F4639C        EDX=0x00000002        

ESI=0x02F438E8        EDI=0x000000BC        EBP=0x02F464E8        ESP=0x00000004
 

System Time: 2009-09-06 16:23:24
 

Process Information:

CPU Share: 0

CPU Time: 0:00:05

Memory Usage: 22388KB

Virtual Memory: 31060KB

Peak Memory Usage: 67828KB

Handle: 513

USER Object: 194

GDI Object: 357

Thread: 29
 

Task List

0                [System Process]

4                System

760                smss.exe

808                csrss.exe

832                winlogon.exe

876                services.exe

888                lsass.exe

1056                svchost.exe

1136                svchost.exe

1280                svchost.exe

1340                S24EvMon.exe

1424                svchost.exe

1588                svchost.exe

1948                spoolsv.exe

788                AppleMobileDeviceService.exe

1188                prevx.exe

1448                RegSrvc.exe

1740                SMAgent.exe

1780                svchost.exe

1808                wdfmgr.exe

584                alg.exe

1460                ZCfgSvc.exe

176                wscntfy.exe

620                explorer.exe

792                1XConfig.exe

1480                prevx.exe

2400                jusched.exe

2640                msnmsgr.exe

2784                ctfmon.exe

4000                usnsvc.exe

3212                iexplore.exe

2836                WLLoginProxy.exe

3272                IE8-WindowsXP-x86-DEU[1].exe

1396                iesetup.exe

1612                rundll32.exe

1572                update.exe

2636                flashget.exe

Darauf reagieren kann ich entweder mit "????" oder "??", was mein Gehirn jetzt etwas überfordert. Was hat das schon wieder zu bedeuten? :confused:

Auch wenn Windows vorgibt, Multitasking zu beherrschen, so stimmt das in der Realität nicht immer. Eines nach dem Anderen. :)

ciao, andreas

Zitat:

Zitat von john.doe (Beitrag 463209)

Auch wenn Windows vorgibt, Multitasking zu beherrschen, so stimmt das in der Realität nicht immer. Eines nach dem Anderen. :)

Okay, werd ich mir merken ;)
IE8 ist fertig und will neustarten, also lass ich das FlashGet Fensterchen einfach und warte, ob es nach einem Neustart wiederkommt? :D

Und dann wollte ich noch fragen: Du hast ja gesagt, ich war mit den Updates faul (was ja stimmt). Reicht es, einfach Windows das alles automatisch machen zu lassen, oder muss ich selbst auch noch die Augen danach offenhalten?

Zitat:

IE8 ist fertig und will neustarten, also lass ich das FlashGet Fensterchen einfach und warte, ob es nach einem Neustart wiederkommt?

Nach Neustart muss das Programm wieder gestartet werden. Der Download beginnt allerdings nicht von vorne, sondern an der Stelle, an der unterbrochen wurde.

Zitat:

Reicht es, einfach Windows das alles automatisch machen zu lassen, oder muss ich selbst auch noch die Augen danach offenhalten?

Windows macht leider gar nichts automatisch. Die automatischen Updates finden (in der Standardeinstellung) nachts von 2-3 Uhr statt, nur da hat kein Mensch (oder nur die wenigsten) seinen Rechner an. Dazu kommen noch alle anderen Programme, besonders gefährdet sind Java und Acrobat Reader, aber eigentlich gilt das für alle Programme. Unterstützung bietet => Download - Personal (PSI) - Vulnerability Scanning - Secunia.com

1.) Start => Ausführen => combofix /u => OK

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

3.) Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten oder Meldungen?

ciao, andreas

Okay, KMPlayer ist jetzt drauf und funktioniert, IE8 ist in Benutzung (auch wenn noch alles ein wenig gewöhnungsbedürftig für mich ist, er funktioniert einwandfrei), ComboFix ist runter.

Meiner Meinung nach ist der Laptop ein kleines Bisschen langsamer geworden, was für mich aber kein Problem darstellt, ansonsten scheint alles okay. Die Systemwiderherstellung musste ich nicht selbst wieder aktivieren (ist das denn normal?) und das Fensterchen kam auch nicht wieder.

Sollte ich die Schutzprogramme, die ich im Laufe der Behandlung heruntergeladen habe, behalten?

Aktuelles HJT-Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:39:25, on 06.09.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Prevx\prevx.exe

C:\WINDOWS\system32\RegSrvc.exe

C:\WINDOWS\system32\ZCfgSvc.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\1XConfig.exe

C:\Programme\Prevx\prevx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe

C:\Programme\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [FlashGet] "C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe" /min

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm

O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 

--

End of file - 5638 bytes

Lg, freakout

Zitat:

IE8 ist in Benutzung

Missverständnis. Er muss zwar installiert sein, ich würde aber niemandem raten, damit zu surfen. Lade dir einen vernünftigen Browser wie Firefox oder Opera.

Zitat:

Meiner Meinung nach ist der Laptop ein kleines Bisschen langsamer geworden

Das werden wir noch ändern. :)

Zitat:

Sollte ich die Schutzprogramme, die ich im Laufe der Behandlung heruntergeladen habe, behalten?

Nein, alle deinstallieren/löschen. Das ist ein Grund, warum es jetzt langsamer ist. ;)

Starte HJT => Do a system scan only => Markiere:

Code:

Alle R0, R1, O2, O3, O8, O9 und O16-Einträge

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [FlashGet] "C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe" /min

=> Fix checked => Neustart

Poste ein letztes HJT-Log.

ciao, andreas

So, alles deinstalliert, gefixt und neugestartet.

Wieso brauche ich zwar die neueste IE Version, soll sie aber nicht benutzen?

Hier das kürzeste HJT-Log, das ich je gesehen hab:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:28:10, on 06.09.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\RegSrvc.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZCfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\1XConfig.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 

--

End of file - 2044 bytes

Das der Rechner z.Z. langsamer ist liegt auch daran:

Zitat:

C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe

Wenn die Updates alle geladen und installiert sind, dann ist er wieder schneller. ;)

Zitat:

Wieso brauche ich zwar die neueste IE Version, soll sie aber nicht benutzen?

Gegenüber anderslautender Aussagen lässt sich der MSIE komplett deinstallieren. Damit habe ich auch mehrere Jahre gelebt. Es hat sich nur herausgestellt, dass einige Programme darauf vertrauen, dass er da ist und die funktionieren dann nicht. Du brauchst ihn in jedem Fall, falls du die Windowsupdates manuell installieren möchtest. Einige Onlinevirenscanner funktionieren nur mit dem MSIE.

Gegen den MSIE spricht vor Allem der Sicherheitsaspekt. Da er immer noch der verbreiteste Browser ist, wird er von Schädlingsprogrammierern gezielt angegriffen und dessen Schwachstellen genutzt.

Du bist entlassen. :)

ciao, andreas

Achso... klingt irgendwie logisch ;)

Wow... super :)

Vielen Dank für deine Hilfe, jetzt bin ich auch um einiges schlauer geworden, was die Sicherheit anbetrifft ;) Danke!