Trojaner-Board - Antimalware Doctor und weitere entfernt, aber GMER hängt. Sauber?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antimalware Doctor und weitere entfernt, aber GMER hängt. Sauber? (https://www.trojaner-board.de/89787-antimalware-doctor-entfernt-gmer-haengt-sauber.html)

Deinstalliere bitte AdAware und beantworte die Fragen:

Ist der VeohPlayer bewusst installiert worden?
Ist c:\users\mathias grot\Documents\Registry Backup.reg von dir angelegt worden?

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

drivers to disable:

lwyqplx
 

drivers to delete:

lwyqplx
 

files to delete:

C:\Windows\system32\drivers\lwyqplx.sys

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und mir den Link als Private Nachricht zuschicken.

9.) Packe den Ordner c:\qoobox mit ZIP oder RAR und gehe wie in Schritt 8.) vor.

ciao, andreas

[QUOTE=john.doe;558104]Deinstalliere bitte AdAware und beantworte die Fragen:
[quote]

Zitat:

Ist der VeohPlayer bewusst installiert worden?

Nö, hab ich runtergeworfen.

[quote]Ist c:\users\mathias grot\Documents\Registry Backup.reg von dir angelegt worden?[/qoute]Ja, glaub schon. Aber CCleaner hat eh ein paar Backups gemacht, insofern nicht so wichtig würd ich sagen.

Zitat:

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

Tja, wär schön, wenn ich mit dem verwanzten Rechner ins Netz könnte. Aber dann macht er ja sofort nen Shutdown. Aber ich hab's aus ner Datei geladen. Ergebnis war unspektakulär:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

hxxp://swandog46.geekstogo.com
 

Platform:  Windows Vista
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  could not open driver "lwyqplx"

Disablement of driver "lwyqplx" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\lwyqplx" not found!

Deletion of driver "lwyqplx" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

File "C:\Windows\system32\drivers\lwyqplx.sys" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Du hast PM.

Zitat:

Du hast PM.

Jo, angekommen, 21MB, da muss ich mich erstmal durchgraben. Vermutlich das letzte Mal CF.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

aawservice

gupdate1c9cb4595762660
 

Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kwyoc]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\Program Files\BitTorrent\bittorrent.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"=-

"Adobe Reader Speed Launcher"=-

"TkBellExe"=-

"SunJavaUpdateSched"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lwyqplx]
 

Folder::

C:\rsit

C:\Users\mathias grot\AppData\Roaming\3CCD00A54774D2828984593391155E04
 

File::

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Ich drücke euch die Daumen! Sitze gerade ähnlich verzweifelt vor meinem Rechner und staune, was Andreas für eine tolle "Fernwartung" macht. Ob sich die Mistkerle, die diese Dinger programmieren, eigentlich eine Vorstellung davon machen, was für Arbeit sie damit auslösen?!

Beste Grüße und viel Erfolg,

Wolfgang

Danke nochmal!

Das hat diesemal das ergeben:

Code:

ComboFix 10-08-19.02 - mathias grot 21.08.2010   0:00.4.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6000.0.1252.49.1031.18.2046.1306 [GMT 2:00]

ausgeführt von:: c:\users\mathias grot\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\users\mathias grot\Desktop\cfscript.txt

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
 

FILE ::

"c:\windows\tasks\GoogleUpdateTaskMachineCore.job"

"c:\windows\tasks\GoogleUpdateTaskMachineUA.job"

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\rsit

c:\rsit\info.txt

c:\rsit\log.txt

c:\windows\tasks\GoogleUpdateTaskMachineCore.job

c:\windows\tasks\GoogleUpdateTaskMachineUA.job
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_gupdate1c9cb4595762660
 
 

(((((((((((((((((((((((   Dateien erstellt von 2010-07-20 bis 2010-08-20  ))))))))))))))))))))))))))))))

.
 

2010-08-20 22:03 . 2010-08-20 22:05        --------        d-----w-        c:\users\mathias grot\AppData\Local\temp

2010-08-20 22:03 . 2010-08-20 22:03        --------        d-----w-        c:\users\Public\AppData\Local\temp

2010-08-20 22:03 . 2010-08-20 22:03        --------        d-----w-        c:\users\Default\AppData\Local\temp

2010-08-20 17:13 . 2010-08-20 17:13        --------        d-----w-        c:\program files\trend micro

2010-08-20 15:58 . 2010-08-20 15:58        --------        d-----w-        c:\program files\CCleaner

2010-08-20 11:12 . 2010-08-20 11:12        --------        d-----w-        c:\users\mathias grot\AppData\Roaming\Malwarebytes

2010-08-20 11:12 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-08-20 11:12 . 2010-08-20 12:14        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2010-08-20 11:12 . 2010-08-20 11:12        --------        d-----w-        c:\programdata\Malwarebytes

2010-08-20 11:12 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-20 21:40 . 2009-01-07 14:56        --------        d-----w-        c:\programdata\Lavasoft

2010-08-20 21:17 . 2008-12-14 16:06        --------        d-----w-        c:\program files\Veoh Networks

2010-08-20 13:11 . 2008-09-17 11:14        --------        d-----w-        c:\users\mathias grot\AppData\Roaming\OpenOffice.org2

2010-08-20 10:36 . 2006-11-02 15:33        641344        ----a-w-        c:\windows\system32\perfh007.dat

2010-08-20 10:36 . 2006-11-02 15:33        116706        ----a-w-        c:\windows\system32\perfc007.dat

2010-07-30 09:36 . 2008-09-17 11:15        1        ----a-w-        c:\users\mathias grot\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys

2010-06-27 22:06 . 2008-10-28 21:20        --------        d-----w-        c:\users\mathias grot\AppData\Roaming\Skype

2010-06-27 22:05 . 2008-10-28 21:22        --------        d-----w-        c:\users\mathias grot\AppData\Roaming\skypePM

2010-06-16 21:33 . 2010-06-16 21:33        1079048        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

2010-05-29 02:40 . 2010-03-03 09:13        443912        ----a-w-        c:\users\mathias grot\AppData\Roaming\Real\Update\setup3.10\setup.exe

2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\program files\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\program files\mozilla firefox\plugins\ssldivx.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-09-14 1232896]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-09-25 1006264]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]

"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-05-03 174872]

"IaNvSrv"="c:\program files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe" [2007-05-03 33048]

"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2007-01-02 520192]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\herbert.exe" [2010-04-29 1090952]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001
 

S0 iaNvStor;Intel(R) Turbo Memory  Technology NAND Controller;c:\windows\system32\DRIVERS\iaNvStor.sys [2007-05-03 208896]

S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2006-12-08 5120]

S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-04-04 46592]
 

.

Inhalt des "geplante Tasks" Ordners
 

2010-08-20 c:\windows\Tasks\User_Feed_Synchronization-{A1F4FE0B-7504-454F-9783-1D39ADA99147}.job

- c:\windows\system32\msfeedssync.exe [2010-04-07 04:54]

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyServer = http=127.0.0.1:6522

uInternet Settings,ProxyOverride = <local>

TCP: {80421AE8-53A1-4018-9AB5-663EB61CE6F9} = 192.168.1.1

FF - ProfilePath - c:\users\mathias grot\AppData\Roaming\Mozilla\Firefox\Profiles\1d3be6za.default\

FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/

FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll

FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.
 

**************************************************************************

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000001

"MSCurrentCountry"=dword:000000b5

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Google\Update\GoogleUpdate.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

c:\windows\system32\WUDFHost.exe

c:\windows\system32\conime.exe

c:\windows\RtHDVCpl.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

c:\windows\ehome\ehmsas.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-08-21  00:08:57 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-08-20 22:08

ComboFix2.txt  2010-08-20 21:00

ComboFix3.txt  2010-08-20 20:12

ComboFix4.txt  2010-08-20 19:20
 

Vor Suchlauf: 19 Verzeichnis(se), 13.188.263.936 Bytes frei

Nach Suchlauf: 19 Verzeichnis(se), 12.927.803.392 Bytes frei
 

- - End Of File - - 9B75583C4F955A34E32D72024AF087E6

Das sieht schon viel besser aus.

Jetzt weiter mit Malwarebytes. Vor dem Scan updaten und Quickscan reicht diesmal. Log posten. Du solltest jetzt wieder ins Netz kommen.

Virustotal will gerade nicht. Laut Jotti handelt es sich um Bubak (Avast) oder Bubnix (F-Secure) und wieder einmal recht neu das Teil.

ciao, andreas

Edit: VT hat es doch noch geschafft.

Code:

File name: 

lwyqplx.sys

Submission date: 

2010-08-20 22:07:13 (UTC)

Current status: 

finished

Result: 

11/ 42 (26.2%)

Print results  Antivirus        Version        Last Update        Result

AhnLab-V3        2010.08.21.00        2010.08.20        -

AntiVir        8.2.4.38        2010.08.20        -

Antiy-AVL        2.0.3.7        2010.08.16        -

Authentium        5.2.0.5        2010.08.20        -

Avast        4.8.1351.0        2010.08.20        Win32:Bubak

Avast5        5.0.332.0        2010.08.20        Win32:Bubak

AVG        9.0.0.851        2010.08.20        -

BitDefender        7.2        2010.08.20        Gen:Variant.Bubnix.1

CAT-QuickHeal        11.00        2010.08.20        -

ClamAV        0.96.2.0-git        2010.08.20        -

Comodo        5799        2010.08.20        -

DrWeb        5.0.2.03300        2010.08.20        -

Emsisoft        5.0.0.37        2010.08.20        Virus.Win32.Bubak!IK

eSafe        7.0.17.0        2010.08.19        -

eTrust-Vet        36.1.7802        2010.08.20        -

F-Prot        4.6.1.107        2010.08.20        -

F-Secure        9.0.15370.0        2010.08.20        Gen:Variant.Bubnix.1

Fortinet        4.1.143.0        2010.08.20        -

GData        21        2010.08.20        Gen:Variant.Bubnix.1

Ikarus        T3.1.1.88.0        2010.08.20        Virus.Win32.Bubak

Jiangmin        13.0.900        2010.08.19        -

Kaspersky        7.0.0.125        2010.08.20        -

McAfee        5.400.0.1158        2010.08.21        Suspect-D!92DE414EBC83

McAfee-GW-Edition        2010.1B        2010.08.20        -

Microsoft        1.6103        2010.08.20        -

NOD32        5383        2010.08.20        a variant of Win32/Bubnix.AZ

Norman        6.05.11        2010.08.20        -

nProtect        2010-08-20.01        2010.08.20        Gen:Variant.Bubnix.1

Panda        10.0.2.7        2010.08.20        -

PCTools        7.0.3.5        2010.08.20        -

Prevx        3.0        2010.08.21        -

Rising        22.61.04.04        2010.08.20        -

Sophos        4.56.0        2010.08.20        Sus/UnkPack-C

Sunbelt        6767        2010.08.20        -

SUPERAntiSpyware        4.40.0.1006        2010.08.20        -

Symantec        20101.1.1.7        2010.08.20        -

TheHacker        6.5.2.1.352        2010.08.20        -

TrendMicro        9.120.0.1004        2010.08.20        -

TrendMicro-HouseCall        9.120.0.1004        2010.08.20        -

VBA32        3.12.14.0        2010.08.20        -

ViRobot        2010.8.16.3990        2010.08.20        -

VirusBuster        5.0.27.0        2010.08.20        -

Additional information

Show all 

MD5   : 92de414ebc83633f4ab6206d9f14e774

SHA1  : 566a29f625368c94cc008ae44ff7d4609b3e4106

SHA256: 2bcd0a2ecd8bd4a8fdb3c72fdabad69cccab309a6231caacdf5dd694662beba8

ssdeep: 12288:B4bGhZW2KQiBfMh7eQiLy8CtfzPWkGeUUfAXJ6nDaIzuAFp1Xr8ym0922ciA:6GlqfLL+

zPhtnf0J6DaIF1XCY2Vl

File size : 786432 bytes

First seen: 2010-08-20 22:07:13

Last seen : 2010-08-20 22:07:13

TrID: 

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

sigcheck: 

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

PEInfo: PE structure information
 

[[ basic data ]]

entrypointaddress: 0x1110

timedatestamp....: 0x4C6D8687 (Thu Aug 19 19:31:19 2010)

machinetype......: 0x14c (I386)
 

[[ 5 section(s) ]]

name, viradd, virsiz, rawdsiz, ntropy, md5

.text, 0x1000, 0x57402, 0x57600, 8.00, f6ef5ce53446e2e1ba50de18ea328491

.rdata, 0x59000, 0x140, 0x200, 3.10, 49159aa08dc60c21d58085d784f70b5f

.data, 0x5A000, 0x69FF, 0x3200, 7.87, 7942aa457df7cb1918bc45b881fc46a0

INIT, 0x61000, 0x802, 0xA00, 4.84, 2476a1ef23799dea5bbdd7aac9e8dede

.reloc, 0x62000, 0x64750, 0x64800, 8.00, b58abe42cddce846bf1d94ea89caf36d
 

[[ 1 import(s) ]]

ntoskrnl.exe: sprintf, ZwQuerySystemInformation, ExAllocatePoolWithTag, ExFreePoolWithTag, PsReturnPoolQuota, SeMarkLogonSessionForTerminationNotification, IoDeleteDevice, FsRtlGetFileSize, ZwCreateSection, FsRtlLookupLastMcbEntry, ExRaiseStatus, KeSetTimeIncrement, IoGetDeviceObjectPointer, IoCreateDevice, FsRtlLookupLastLargeMcbEntry, KeInitializeEvent, RtlClearBits, IoCreateSymbolicLink, ZwSetEaFile, ExSetTimerResolution, FsRtlOplockIsFastIoPossible, PsInitialSystemProcess, RtlUnwind, RtlEnlargedUnsignedDivide, ExInterlockedInsertTailList, RtlAddAtomToAtomTable, RtlInsertUnicodePrefix, _wcsrev, KeI386Call16BitCStyleFunction, isprint, RtlDowncaseUnicodeString, RtlInsertElementGenericTableFull, FsRtlTruncateLargeMcb, CcPreparePinWrite, PsAssignImpersonationToken, FsRtlInitializeLargeMcb, ExWindowStationObjectType, KeInitializeMutant, FsRtlNumberOfRunsInMcb, MmAllocateNonCachedMemory, CcCopyRead, KeLoaderBlock, IoRaiseInformationalHardError, MmGetSystemRoutineAddress, wcscpy, NtQueryInformationFile, PsReferencePrimaryToken, SeAssignSecurity, IoGetConfigurationInformation, KeRemoveEntryDeviceQueue, RtlRealPredecessor, IoGetBootDiskInformation, InbvEnableDisplayString, KeDelayExecutionThread, IoCreateSynchronizationEvent, ExRaiseDatatypeMisalignment, KeGetCurrentThread, RtlPrefixString, SeLockSubjectContext, ObGetObjectSecurity, IoUnregisterFileSystem, strncmp, InbvDisplayString, ExfInterlockedAddUlong, KeClearEvent, KeProfileInterrupt, ExfInterlockedRemoveHeadList, ZwSetValueKey, RtlLookupElementGenericTable, tolower, ZwDeleteFile, IoQueryDeviceDescription, IoGetDeviceProperty

Symantec reputation:Suspicious.Insight

Das hier kam dabei heraus - diesmal sogar vom befallenen Rechner.

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4453
 

Windows 6.0.6000

Internet Explorer 8.0.6001.18904
 

21.08.2010 00:31:15

mbam-log-2010-08-21 (00-31-15).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 131785

Laufzeit: 4 Minute(n), 14 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Gut. :daumenhoc

Jetzt Gmer. Beim ersten Mal nur Haken bei Driver und Registry, Log posten. Beim zweiten Durchlauf alles testen. Falls er durchkommt, Log posten.

ciao, andreas

Ist durchgelaufen. "Treiber" oder "Driver" gabs nicht anzuhaken, hab stattdessen Registry und "Modules" durchsucht. Dabei wurde nix gefunden. Dann hab ich alles außer IAT/EAT angehakt. Ist durchgelaufen aber hat nix gesagt. Hab auch keine Logs entdeckt. Schmeißt der die irgendwo ins Dateisystem?

Wenn er nichts findet, dann gibt es auch kein Log. :)

Kontrollscan mit SuperAntispyware ist ziemlich sinnlos, weil er den nicht erkennt. Deshalb noch einmal frische Logs mit RSIT.

Zur Sicherheit noch ein Scan mit F-Secure Security Lab - Online-Scanner

Haben wir keine Anleitung für, versuche irgendwie ein Log oder ein Screenshot mit dem Ergebnis zu posten. Damit sollten wir dann auch schon fast durch sein.

Die Proxyeinstellungen wurden noch vermurkst, das lässt sich aber mit HJT richten.

Gute Nacht,
Andreas

GMER hat gezickt. Der ist zwar scheinbar durchgelaufen, hat danach aber nicht mehr reagiert (im Sinne von "Anwendung reagiert nicht") --> Not-Aus.

Der Online-Scanner von F-Secure war zufrieden mit uns:

Code:

Scanbericht

Samstag, August 21, 2010 02:14:56 - 02:17:52
 

Name des Computers: FOOBAR-PC

Scantyp: Quick-Scan

Ziel: System

Keine Malware gefunden

Statistik

Gescannt:
 

    * Dateien: 3550

    * System: 3550

    * Nicht gescannt: 0 
 

Aktionen:
 

    * Desinfiziert: 0

    * Umbenannt: 0

    * Gelöscht: 0

    * Nicht bereinigt: 0

    * Übermittelt: 0

Ich geh jetzt mal pennen. Vielen herzlichen Dank!

Hmpf, derjenige, dessen Rechner das war, hat offenbar nicht das Bedürfnis, sich nochmal hier zu bedanken. Daher danke von mir, wirklich erstaunlich und unglaublich nett, wie hartnäckig Du das Problem angepackt hast, Andreas.

Ich hoffe, es ist dabei wenigstens ein klein wenig neues Wissen über diesen Schädling abgefallen. Ich hab jedenfalls auch etwas gelernt: Ich sollte noch etwas härter sein, was Hilfegesuche angeht ("Sorry, keine Zeit. Ach so, Du willst linux? Komm doch rein." ;-) )

So ganz fertig sind wir noch nicht. Es fehlt noch das HJT-Log, da ist der Download schiefgelaufen, die Proxyeinstellungen sind noch vermurkst.

Die Software ist z.T. veraltet, da würde sich in dem Fall Secunia anbieten. Es sind gleich 4 Javaversionen installiert, allerdings alle veraltet.

ciao, andreas

Lange her, sorry, dass ich damals gar nicht mehr hier reingeschaut und die letzten Schritte nicht mehr nachvollzogen habe. Ich fürchte, das tun Viele, wenn ihr Problem gelöst wurde (obwohls in diesem Fall gar nicht mein eigenes war). Jedenfalls nochmal danke für die Aktion.