Trojaner-Board - wndcom.exe ?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - wndcom.exe ? (https://www.trojaner-board.de/91807-wndcom-exe.html)

Zitat:

Zitat von markusg (Beitrag 580897)

die frage kommt ja wohl n bissel spät :d
aber normaler weise nicht. zu mindest nicht bei dieser art von schädling

Ich kann ja gleich noch meinen Rechner scannen, wenn der andere wieder läuft. Findet Malwarebytes eigentlich Keylogger?

Übrigens hab ich gerade gesehen, dass ich weder meine combofix.exe noch die Anleitung auf meinem Rechner finde (hab sie wahrscheinlich irgendwann mal gelöscht). Wo kann ich die finden?

HRR

lad sie neu runter.
und ja mbam findet keylogger

Zitat:

Zitat von markusg (Beitrag 580902)

lad sie neu runter.
und ja mbam findet keylogger

Warum hat mbam dann den keylogger nicht schon beim reparieren eliminiert?

HRR

mbam hat den fund auf dem ersten pc doch gelöscht. zu mindest siehts so aus, aber mehr kann ich dir nach combofix sagen

Zitat:

Zitat von markusg (Beitrag 580911)

mbam hatt den fund auf dem ersten pc doch gelöscht. zu mindest siehts so aus, aber mehr kann ich dir nach combofix sagen

Combofix lässt sich im Normalmodus nicht starten. Nach dem Doppelklick und dem Laden kommen jede Menge Fehlermeldungen (z.B. NirCmd hat ein Problem festgestellt und muss beendet werden, iexplore hat.... etc.). Dann erscheint noch ein Fenster "Error Win32 only Incompatable OS. Combofix only works for worksations with windows 2000 and XP".

Es ist aber ein Rechner mit XP.

HRR

lösche deine version, lad sie noch mal.
dieses mal, rechtsklick auf download link, ziehl speichern unter, lösche
combofix.exe
schreibe
234.com
starte in den abgesicherten modus, nach speichern. und führe dort combofix aus.
ps. nicht in den abgesicherten modus mit netzwerk.

Zitat:

Zitat von markusg (Beitrag 580931)

Alles so weit verstanden ausser "schreibe 234.com". Meinst Du umbenennen? Edit1: Hab's verstanden. Allerdings hat Combofix wegen Antivir guard "gemault". Der ist doch aber im abgesicherten Modus gar nicht aktiv. Zumindest kann ich ihn nirgendwo deaktivieren.

Edit2: Jetzt hat Combofix eine fehlende Systemwiederherstellungskonsole angemahnt. Ich dachte, die Systemwiederherstellung ist Teil von XP. Ich hab's jetzt mal ohne gestartet.

HRR

So, hier die Combofix logfile:

Combofix Logfile:

Code:

ComboFix 10-10-19.04 - Besitzer 20.10.2010  22:08:58.1.1 - x86 MINIMAL

ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\234.com.exe

AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

 * Neuer Wiederherstellungspunkt wurde erstellt
 

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\Thumbs.db
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-09-20 bis 2010-10-20  ))))))))))))))))))))))))))))))

.
 

2010-10-20 19:34 . 2010-10-20 19:37        --------        d-----w-        C:\32788R22FWJFW.2.tmp

2010-10-20 19:25 . 2010-10-20 19:34        --------        d-----w-        C:\32788R22FWJFW.1.tmp

2010-10-17 20:50 . 2010-10-17 20:50        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Thunderbird

2010-10-17 20:50 . 2010-10-17 20:50        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Thunderbird

2010-10-17 20:49 . 2010-10-17 20:49        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla

2010-10-17 19:27 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-10-17 19:27 . 2010-10-17 19:27        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-10-17 19:27 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-10-17 19:11 . 2010-10-17 18:55        6153352        ----a-w-        c:\temp\mbam-setup-1.46.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Dowin"="c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Adobe\Update\wndcom.exe" [2010-10-14 283648]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2002-03-26 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2002-03-26 106496]

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]

"LXSUPMON"="c:\windows\system32\LXSUPMON.EXE" [2002-01-28 885760]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-06-16 180269]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\Besitzer\Startmen\Programme\Autostart\

FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2007-9-7 1070384]
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ulead Kalendar Checker 4.0 SE.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Ulead Kalendar Checker 4.0 SE.lnk

backup=c:\windows\pss\Ulead Kalendar Checker 4.0 SE.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^OpenOffice.org 2.4.lnk]

path=c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\OpenOffice.org 2.4.lnk

backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2008-01-11 21:16        39792        ----a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

2006-02-10 18:40        2048000        ------w-        c:\programme\Ahead\Nero BackItUp\NBJ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 08:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

2009-03-05 14:07        2260480        --sha-r-        c:\programme\Spybot - Search & Destroy\TeaTimer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WMPNetworkSvc"=3 (0x3)

"gusvc"=3 (0x3)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\InterVideo\\DVD8\\WinDVD.exe"=

"c:\\Programme\\UltraVNC\\winvnc.exe"=
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-07-20 108289]

R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]

R2 vnccom;vnccom;c:\windows\system32\Drivers\vnccom.SYS [2004-06-26 6016]

R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2006-12-27 4352]

R3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\DRIVERS\avmunet.sys [2006-11-07 14976]

R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-12-27 265088]
 

.

Inhalt des "geplante Tasks" Ordners
 

2010-10-11 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]

.

.

------- Zusätzlicher Suchlauf -------

.

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

LSP: c:\programme\FRITZ!DSL\\sarah.dll

TCP: {27F53186-4724-4223-B776-F5ED011ECDE8} = 192.168.2.1

TCP: {A733E954-2AD1-4A20-965D-06AC0CFB206D} = 192.168.2.1

FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\czilyrw8.default\

FF - plugin: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\plugins\npPxPlay.dll

FF - plugin: c:\programme\Picasa3\npPicasa3.dll
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKCU-Run-Getdo - (no file)
 
 

.

Zeit der Fertigstellung: 2010-10-20  22:16:18

ComboFix-quarantined-files.txt  2010-10-20 20:16
 

Vor Suchlauf: 9 Verzeichnis(se), 33.129.615.360 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 33.097.617.408 Bytes frei
 

- - End Of File - - FF9D1B895FAE52E2CA92553A754EAAB2

--- --- ---

HRR

Bump.

Leider warte ich immer noch auf eine Aussage, wie ich den Rechner wieder flott kriege. Anybody?

HRR

mein computer war kaputt!

start programme zubehör editor, kopiere rein:

killall::
Rootkit::
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Adobe\Update\wndcom.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dowin"=-

Datei speichern unter, ort, dort wo sich combofix.exe befindet, dateityp, alle dateien, name:
cfscript.txt

ziehe cfscript auf combofix, programm startet, log posten.

Zitat:

Zitat von markusg (Beitrag 583084)

mein computer war kaputt!

Sorry, konnte ich ja nicht wissen. Dachte, mein Problem interessiert hier keinen mehr.

Also ich hab die txt.file kopiert und auf combofix gezogen. Ging aber wieder nur im Abgesicherten Modus. Da kam wieder die Nachricht, dass Avira Guard aktiv ist, was aber nicht stimmt. AVguard ist ja im abgesicherten Modus nicht aktiv. Ausserdem wurde nach er fehlenden Wiederherstellungskonsole gefragt. Die ist definitiv vorhanden. Vielleicht nicht im abgesicherten Modus.

Combfix läuft nun, aber da hieß es, dass in diesem Modus nicht alle Funktionen laufen.

Also was weiter tun?

So, Combofix hat eine logfile erstellt.

Ich hab im Text was von Rootkit gelesen. Ich muss die Logfile mit Hilfe eines USB Sticks auf meinen PC laden, um sie online zu posten. Kann ich das riskieren?

HRR

ja bzw will combofix doch sicher nen neustart? dann diesen mal durchführen.

Ich glaube, Combofix hatte von sich aus nen Neustart gemacht. Leider saß ich mit dem Rücken zu diesem PC, da ich an meinem anderen PC arbeitete.

Anyway, kann ich bedenkenlos die logfile auf den USB Stick kopieren und an meinen PC andocken ohne diesen zu infizieren?

HRR

das logfile kannst du rüber kopieren.
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Adobe\Update\wndcom.exe
sollte nun nicht mehr laufen.

Zitat:

Zitat von markusg (Beitrag 583441)

das logfile kannst du rüber kopieren.
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Adobe\Update\wndcom.exe
sollte nun nicht mehr laufen.

Alles klar, muss aber bis heute abend warten. Bin noch im Geschäft.

Was also ist wndcom.exe, ein Rootkit? Wenn ja, warum habe ich beim googlen absolut nichts darüber gefunden?

Übrigens, Thunderbird stürzt nach der Combofix Aktion immer noch sofort ab.

Und was war eigentlich mit der Geschichte, das bei Combofix im abgesicherten Modus nicht der volle Funktionsumfang gewährleistet ist (na ja so was ähnliches hat da gestanden)?

HRR