Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Laptop bekommen .. (https://www.trojaner-board.de/90412-laptop-bekommen.html)

wutentbrannt 05.09.2010 11:14
Laptop bekommen ..
 
Meine Freundin hat von ner Verwandten einen Laptop bekommen.

Habe mal GMER laufen lassen und der hat folgendes gefunden.
Ist hier was veranlasst?
Vielen Dank im Voraus!


GMER Logfile:
Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-05 12:11:59
Windows 6.0.6002 Service Pack 2
Running: rmv2cex3.exe; Driver: C:\Users\Julia\AppData\Local\Temp\fgrdapog.sys


---- System - GMER 1.0.15 ----

SSDT  9E54AAE4                      ZwCreateThread
SSDT  9E54AAD0                      ZwOpenProcess
SSDT  9E54AAD5                      ZwOpenThread
SSDT  9E54AADF                      ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!KeSetEvent + 221  822F7984 4 Bytes  [E4, AA, 54, 9E] {IN AL, 0xaa; PUSH ESP; SAHF }
.text  ntkrnlpa.exe!KeSetEvent + 3F1  822F7B54 4 Bytes  [D0, AA, 54, 9E]
.text  ntkrnlpa.exe!KeSetEvent + 40D  822F7B70 4 Bytes  [D5, AA, 54, 9E] {AAD 0xaa; PUSH ESP; SAHF }
.text  ntkrnlpa.exe!KeSetEvent + 621  822F7D84 4 Bytes  [DF, AA, 54, 9E]

---- EOF - GMER 1.0.15 ----
--- --- ---


Hab auch nochmal ein Logfile von Hijackthis gepostet

HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:28:01, on 05.09.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\***\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msi.com.tw
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Eraser] "C:\PROGRA~1\Eraser\Eraser.exe" --atRestart
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; InfoPath.2; .NET CLR 3.5.30729; .NET CLR 1.1.4322; .NET CLR 3.0.30729)" -"hxxp://www.miniclip.com/games/migo-land/de/"
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {195B4BBF-E1E4-4020-9773-0A8C6F65EA35} (CPlayFirstCookingDasControl Object) - hxxp://www.shockwave.com/content/cookingdash/sis/CookingDashWeb.1.0.0.9.cab
O16 - DPF: {B516CA4E-A5BA-405C-AFCF-A97F08CC7429} (GoBit Games Player) - hxxp://www.shockwave.com/content/burgershop/sis/GoBitGamesPlayer_v5.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - hxxp://game.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: 
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 6393 bytes
--- --- ---

cosinus 05.09.2010 17:29
Zitat:
Meine Freundin hat von ner Verwandten einen Laptop bekommen.
Warum wieso weshalb?? Bitte genauer beschreiben aus welchem Anlass.

wutentbrannt 06.09.2010 05:46
Zitat:
Zitat von cosinus (Beitrag 564196)
Warum wieso weshalb?? Bitte genauer beschreiben aus welchem Anlass.
Genauer gesagt handelt es sich um die Frau ihres Bruder, weil Sie sich ein Netbook gekauft hat und deswegen ihren alten Laptop meiner Freundin recht günstig verkauft hat!

wutentbrannt 08.09.2010 19:00
SUPERAntiSpyware hat gestern noch folgendes gefunden:

Trojan.Agent/Gen-FakeAlert
C:\WINDOWS\SYSTEM32\ADOBE\SHOCKWAVE 11\UNWISE.EXE

Hier noch das LOG

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/07/2010 at 08:37 PM

Application Version : 4.42.1000

Core Rules Database Version : 5463
Trace Rules Database Version: 3275

Scan type : Complete Scan
Total Scan Time : 01:21:30

Memory items scanned : 762
Memory threats detected : 0
Registry items scanned : 9057
Registry threats detected : 0
File items scanned : 123167
File threats detected : 1

Trojan.Agent/Gen-FakeAlert
C:\WINDOWS\SYSTEM32\ADOBE\SHOCKWAVE 11\UNWISE.EXE



Malwarebytes hat nix gefunden.


Hab heute nochmal GMER laufen lassen.
Sieht ähnlich aus wie das alte.

GMER Logfile:
Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-08 19:10:05
Windows 6.0.6002 Service Pack 2
Running: rmv2cex3.exe; Driver: C:\Users\Julia\AppData\Local\Temp\fgrdapog.sys


---- System - GMER 1.0.15 ----

SSDT  9EABDD8C                                            ZwCreateThread
SSDT  9EABDD78                                            ZwOpenProcess
SSDT  9EABDD7D                                            ZwOpenThread
SSDT  \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS  ZwTerminateProcess [0x920CB620]

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!KeSetEvent + 221                      822BD984 4 Bytes  [8C, DD, AB, 9E] {MOV EBP, DS; STOSD ; SAHF }
.text  ntkrnlpa.exe!KeSetEvent + 3F1                      822BDB54 4 Bytes  [78, DD, AB, 9E] {JS 0xffffffffffffffdf; STOSD ; SAHF }
.text  ntkrnlpa.exe!KeSetEvent + 40D                      822BDB70 4 Bytes  [7D, DD, AB, 9E] {JGE 0xffffffffffffffdf; STOSD ; SAHF }
.text  ntkrnlpa.exe!KeSetEvent + 621                      822BDD84 4 Bytes  [20, B6, 0C, 92]

---- EOF - GMER 1.0.15 ----
--- --- ---


Hab dann noch Sophos Anti-Rootkit drüber laufen lassen,
hat dann noch dies gefunden ..

C:\Users\***\AppData\Roaming\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρϴϱЄϱЃϵϳЅ
C:\Users\***\AppData\Roaming\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρЂϻϵЉЃϵϳЅ


Kann mir irgendjemand sagen was da so läuft oder sind das evtl. Fehlmeldungen?

Vielen Dank für die Hilfe!!!

cosinus 08.09.2010 20:10
Zitat:
ihren alten Laptop meiner Freundin recht günstig verkauft hat!
Bei Besitzerwechsel sollte man grundsätzlich das OS neu aufspielen, formatieren natürlich vorher auch. Unabhängig davon ob Schälinge drauf sind (waren) oder nicht. Eigentlich muss der Verkäufer schon dafür sorgen aus seinem eigenen Interesse, sonst kommen evtl seine private Daten an den Käufer. Und der Käufer will auch nicht mit der Altlast des Vorbesitzers kämpfen.

wutentbrannt 09.09.2010 06:38
Zitat:
Zitat von cosinus (Beitrag 565855)
Bei Besitzerwechsel sollte man grundsätzlich das OS neu aufspielen, formatieren natürlich vorher auch. Unabhängig davon ob Schälinge drauf sind (waren) oder nicht. Eigentlich muss der Verkäufer schon dafür sorgen aus seinem eigenen Interesse, sonst kommen evtl seine private Daten an den Käufer. Und der Käufer will auch nicht mit der Altlast des Vorbesitzers kämpfen.
Leider findet die Freundin die Original CD nicht mehr ...


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19