Trojaner-Board - kennt jemand den trojan.gen.2

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - kennt jemand den trojan.gen.2 (https://www.trojaner-board.de/95241-kennt-jemand-trojan-gen-2-a.html)

kennt jemand den trojan.gen.2

Hallo Leute,

ich habe seit einigen Tagen einen ziemlichen Plagegeist am Hals. Laut Symantec EndpointProtection 11 (alles am neuesten Stand) findet er nach jedem Start des Systems (Win7 pro 32 bit) zahlreiche Dateien mit dem Muster DWH***.tmp im Pfad C:\Users\*Username*\AppData\Local\Temp. Der gefundene Plagegeist nennt sich trojan.gen.2. Laut Symantec gibt es als Workaround nur den Hinweis, die Signaturen und das gesaqmte Produkt immer schön aktuell zu halten und eine entsprechende Anleitung dazu. Nun, dies ist bei mir ja der Fall. Die gefundenen Dateien werden immer in Quarantäne verschoben oder gelöscht (alternative Aktion). Aber nach geraumer Zeit tauchen immer wieder neue auf. An die Hundert kommen da schnell zusammen.

Nun meine Frage kennt jemand dieses Phänomän? Kann man es evtl. entfernen ohne das System platt zu machen (sehr aufwendige Konfiguration)?

Folgendes habe ich schon gemacht:
- Fullscan im normalen Betrieb mit Symentec Endpoint Protection
- Fullscann im abgesicherten Modus mit Symentec Endpoint Protection
- Fullscan mit aktualisierten Spybot im abgesicherten Modus
Alles ohne einen konkreten Befund.

Ich hoffe ihr könnt mir helfen.
Gruß
Tom

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

... tschuldigung. In der Hektik hatte ich vergessen, die Aufgaben abzuarbeiten. Hier nun also im Anhang die Logfiles. Alles nach Anleitung durchgeführt.

Ich hoffe die sind aussagekräftig. Ich habe den Eindruck, dass es täglich mehr gefundene Dateien werden.

Gruß
Tom

Sry aber ich wollte einen Vollscan sehen.
Poste auch alle etwaigen anderen Logs von MBAM, die du im Reiter Logdateien siehst.

Hallo Cosinus,
im Anhang das Logfile vom Fullscan. Zusätzlich mal noch 2 Screenshots von der Meldung von Symantec Endpoint Protection.

Ich hoffe das hilft weiter.

Gruß
Tom

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.3 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SEI-COM.LOC

Sagmal, bist du dieser Admin in dieser Firma oder bist ein Mitarbeiter in der EDV-Abteilung? :wtf:

Moin,

ich bin ein (kürzlich erst ausgelernter) MA dieser IT Firma und der Rechner ist das System eines externen MA von uns. Die Domain ist eine Quarantänedomäne innerhalb der Firmendomäne. Hier behandeln wir Patienten wie diesen.

Hilft das jetzt weiter?

Gruß
Tom

Und hier habt echt keine Möglichkeit das System neu zu bespielen, entweder mit manueller Neuinstallation oder sauberen Images? Arbeiten ihr mit solchen Programmen wie Acronis denn nicht? :balla:

Bereinigung eines Firmen-PCs würd ich mir gründlich an deiner Stelle überlegen. :pfeiff:

... natürlich haben wir eine Backupstrategie für Workstations. Und natürlich auch mittels Acronis (Backup&Recovery 10 inkl. Universalrestore und Deduplikate ;-)
Aber bei dem System handelt es sich um den Rechner eines externen MA und der fällt nun mal nicht unter unsere Backuprichtlinien. Also, Image fällt aus. Einen Neuinstallation ist immer möglich, aber die Bitte des Kollegen war ganz einfach dies zu vermeiden.

Vielleicht können wir uns ja doch wieder auf die Möglichkeit der Bereinigung konzentrieren. Eventualitäten helfen hier sicher nicht weiter. Ausserdem bin ich davon überzeugt, dass es zukünftig mehr Fragen nach diesem Schädling geben wird. Wir können doch nicht pauschal jedem raten das System neu aufzusetzen.

Bis jetzt habe ich noch nichts sinnvolles über den, mir absolut unbekannten, Schädling gelesen. Auch Google ist hier nicht wirklich hilfreich. Scheinbar handelt es sich hier um etwas neues. Eigenartiger Weise hat auch Symantec noch keine Infos parat.

Ok, aber bevor da irgendwas gefixt wird, Backup/Image von dem Gerät machen!!!

Hatte Malwarebytes denn garnichts gefunden oder sind das nur Logs ohne Funde?

... Image ist doch schon lange gemacht.:D

Also, Malwarebytes hat wirklich nichts gefunden.

Auch die Prozessübersicht (Prozessexplorer) hat keinen auffälligen Prozess gezeigt.

Auffällig ist aber, dass die Echtzeitüberwachung von Symantec erst anschlägt, wenn man nach dem Neustart eine Anwendung startet, bei der im Hintergrund oder auch offensichtlich eine Autentifizierung stattfindet. Z.B. Outlook, Bankingsoftware, Internetexplorer oder ähnliches. Für mich sieht das nach einem Stück Software aus, welches gezielt nach Passworten und Zugangsdaten schnüffelt. Oder was sagst du?

Gruß
Tom

Endpoint Connection kenn ich nicht, aber das Teil könnte falsch konfiguriert sein oder es meldet die tw. unter manchen Sicherheitssoftwareprodukten allgemein bekannten hysterischen "Angriffe" etc. die eigentlich gar keine sind :D

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\{2aaa2450-cb06-11df-b813-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{2aaa2450-cb06-11df-b813-806e6f6e6963}\Shell\AutoRun\command - "" = D:\autorun.exe

O3 - HKCU\..\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)

O4 - HKLM..\Run: []  File not found

O3 - HKLM\..\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)

[2011.01.31 15:57:40 | 000,135,551 | ---- | M] () -- C:\Windows\System32\Unbenannt.b02

[2011.01.26 09:18:36 | 000,000,000 | ---- | M] () -- C:\t174.2

[2011.01.11 09:49:16 | 000,000,000 | ---- | M] () -- C:\t1ac.2

[2011.01.30 19:36:29 | 000,134,441 | ---- | C] () -- C:\Windows\System32\Unbenannt.b01

[2011.01.28 12:19:16 | 000,134,441 | ---- | C] () -- C:\Windows\System32\Unbenannt.b00

[2011.01.26 09:19:45 | 000,133,056 | ---- | C] () -- C:\Windows\System32\Unbenannt.b06

[2011.01.26 09:18:36 | 000,000,000 | ---- | C] () -- C:\t174.2

[2011.01.24 16:39:44 | 000,132,231 | ---- | C] () -- C:\Windows\System32\Unbenannt.b05

[2011.01.21 18:04:24 | 000,131,090 | ---- | C] () -- C:\Windows\System32\Unbenannt.b04

[2011.01.16 15:39:37 | 000,131,090 | ---- | C] () -- C:\Windows\System32\Unbenannt.b03

@Alternate Data Stream - 237 bytes -> C:\ProgramData\TEMP:D2397415

@Alternate Data Stream - 233 bytes -> C:\ProgramData\TEMP:38FF076E

@Alternate Data Stream - 217 bytes -> C:\ProgramData\TEMP:FB97DB91

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

im Anhang das Logfile. Beim fixen ist der Virenscanner schier amok gelaufen.
Aber es ist durchgelaufen.

Übrigens der Virenscanner heißt Symantec Endpoint Protection (siehe 1. Anfrage). Das ist die professionelle Version für kleine bis mittlere Unternehmen, mit zentralem Management. Bisher gibt es diesen Effekt aber nirgendwo in unserer Firma. Das bedeutet aber nicht zwangsläufig, dass Symantec nicht doch evtl. der Verursacher ist.

nach dem Neustart ist der Virenscanner bisher unauffällig. :abklatsch:
Ich traue dem frieden aber noch nicht so richtig.

Gruß
Tom

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Moin,

ich bin erst wieder heute Abend wieder in der Firma, dann werde ich deiner Anleitung folgen und die Dateien hochladen.
Also, besten Dank schon mal.

Gruß
Tom

_OTL.ZIP ist hochgladen.

Gruß
Tom

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

hier die CF Log-Datei.

Combofix Logfile:

Code:

ComboFix 11-02-06.02 - tse 07.02.2011  10:25:28.2.2 - x86

Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.2046.1135 [GMT 1:00]

ausgeführt von:: c:\users\tse.SEI-COM\Desktop\MFTools\CoFi.exe

AV: Symantec Endpoint Protection *Disabled/Updated* {88C95A36-8C3B-2F2C-1B8B-30FCCFDC4855}

FW: Symantec Endpoint Protection *Disabled* {B0F2DB13-C654-2E74-30D4-99C9310F0F2E}

SP: Symantec Endpoint Protection *Disabled/Updated* {33A8BBD2-AA01-20A2-213B-0B8EB45B02E8}

SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.
 

(((((((((((((((((((((((   Dateien erstellt von 2011-01-07 bis 2011-02-07  ))))))))))))))))))))))))))))))

.
 

2011-02-07 09:32 . 2011-02-07 09:32        --------        d-----w-        c:\windows\system32\config\systemprofile\AppData\Local\temp

2011-02-07 09:32 . 2011-02-07 09:32        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-02-04 16:22 . 2011-02-04 16:22        --------        d-----w-        c:\programdata\HP Product Assistant

2011-02-04 16:20 . 2011-02-04 16:20        --------        d-----w-        c:\program files\Common Files\HP

2011-02-03 16:44 . 2011-02-03 16:44        --------        d-----w-        C:\_OTL

2011-02-02 15:40 . 2011-02-02 18:15        --------        d-----w-        c:\programdata\Norton

2011-01-31 14:36 . 2011-01-31 14:37        --------        d-----w-        c:\program files\ERUNT

2011-01-31 14:30 . 2011-01-31 14:30        --------        d-----w-        c:\users\tse.SEI-COM\AppData\Roaming\Malwarebytes

2011-01-31 14:30 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-01-31 14:30 . 2011-01-31 14:30        --------        d-----w-        c:\programdata\Malwarebytes

2011-01-31 14:30 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-01-31 14:30 . 2011-01-31 14:32        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2011-01-28 11:16 . 2011-01-28 11:16        --------        d-----w-        c:\windows\system32\%LOCALAPPDATA%

2011-01-28 11:16 . 2011-01-28 11:16        --------        d---a-w-        c:\users\Default\favoriten

2011-01-28 11:16 . 2011-01-28 11:16        --------        d-sh--w-        c:\windows\system32\%APPDATA%

2011-01-28 11:16 . 2011-01-28 11:16        --------        d-----w-        C:\Symantec

2011-01-28 11:15 . 2011-02-07 09:17        --------        d-----w-        c:\users\TEMP

2011-01-11 19:31 . 2011-01-11 19:31        --------        d-----w-        c:\users\tse.SEI-COM\AppData\Local\Nero

2011-01-11 19:16 . 2011-01-11 19:17        --------        d-----w-        c:\program files\Common Files\Nero

2011-01-11 18:37 . 2010-10-14 21:28        307748864        ----a-w-        c:\temp\Nero 10.0.13.exe

2011-01-11 16:50 . 2011-01-11 16:50        --------        d-----w-        c:\users\tse.SEI-COM\AppData\Roaming\Nero

2011-01-10 18:52 . 2011-01-10 18:54        --------        d-----w-        c:\users\tse.SEI-COM\AppData\Roaming\PeaceCraft2

2011-01-10 14:47 . 2011-01-10 14:47        --------        d-----w-        c:\programdata\LightScribe

2011-01-10 14:46 . 2011-01-11 09:22        --------        d-----w-        c:\program files\Common Files\LightScribe

2011-01-10 14:46 . 2011-01-10 14:47        --------        d-----w-        c:\users\tse.SEI-COM\AppData\Local\Ahead

2011-01-10 14:45 . 2011-01-11 15:40        --------        d-----w-        c:\users\tse.SEI-COM\AppData\Roaming\Ahead

2011-01-10 14:42 . 2011-01-11 19:22        --------        d-----w-        c:\program files\Nero

2011-01-10 14:42 . 2011-01-11 18:17        --------        d-----w-        c:\programdata\Nero

2011-01-10 13:35 . 2011-01-10 13:35        --------        d-----w-        c:\users\tse.SEI-COM\AppData\Roaming\AVS4YOU

2011-01-10 13:35 . 2011-01-10 13:35        --------        d-----w-        c:\programdata\AVS4YOU

2011-01-10 12:37 . 2011-01-10 14:39        --------        d-----w-        c:\program files\Common Files\AVSMedia

2011-01-10 12:37 . 2011-01-10 14:39        --------        d-----w-        c:\program files\AVS4YOU

2011-01-10 12:36 . 2011-01-10 12:36        43322248        ----a-w-        c:\temp\AVSVideoReMaker.exe

2011-01-09 16:23 . 2011-01-09 16:23        --------        d-----w-        c:\users\tse.SEI-COM\AppData\Roaming\BigFishv1002

2011-01-09 16:04 . 2011-01-09 16:04        --------        d-----w-        c:\program files\Escape Rosecliff Island

2011-01-09 16:00 . 2011-01-09 16:00        --------        d-----w-        c:\program files\My Kingdom for the Princess II

2011-01-09 15:38 . 2011-01-09 15:45        --------        d-----w-        c:\users\tse.SEI-COM\AppData\Roaming\Peace Craft

2011-01-09 15:37 . 2011-01-09 15:37        --------        d-----w-        c:\program files\Mein Koenigreich fuer die Prinzessin

2011-01-09 15:32 . 2011-01-09 15:32        --------        d-----w-        c:\program files\bfgclient

2011-01-09 15:31 . 2011-01-09 15:37        --------        d-----w-        C:\BigFishGamesCache
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-04 15:54 . 2011-02-04 15:54        252222        ----a-w-        C:\_OTL.zip

2011-01-12 08:36 . 2010-09-28 16:22        2516        --sha-w-        c:\programdata\KGyGaAvL.sys

2011-01-09 15:28 . 2010-11-13 13:53        167936        ----a-w-        c:\windows\system32\drivers\wpshelper.sys

2010-12-22 15:22 . 2010-12-22 15:22        271360        ----a-w-        c:\windows\system32\drivers\atksgt.sys

2010-12-22 15:21 . 2010-12-22 15:21        18048        ----a-w-        c:\windows\system32\drivers\lirsgt.sys

2010-11-13 13:52 . 2010-11-13 13:52        124976        ----a-w-        c:\windows\system32\drivers\SYMEVENT.SYS

2010-11-13 12:47 . 2010-11-13 12:47        87368        ----a-w-        c:\windows\system32\FwsVpn.dll

2010-11-13 12:47 . 2010-11-13 12:47        43336        ----a-w-        c:\windows\system32\drivers\WPSDRVnt.sys

2010-11-13 12:47 . 2010-11-13 12:47        353608        ----a-w-        c:\windows\system32\sysfer.dll

2010-11-13 12:47 . 2010-11-13 12:47        107848        ----a-w-        c:\windows\system32\SymVPN.dll

2010-11-13 12:47 . 2010-11-13 12:47        43696        ----a-w-        c:\windows\system32\drivers\srtspx.sys

2010-11-13 12:47 . 2010-11-13 12:47        320944        ----a-w-        c:\windows\system32\drivers\srtspl.sys

2010-11-13 12:47 . 2010-11-13 12:47        283184        ----a-w-        c:\windows\system32\drivers\srtsp.sys

2010-11-13 12:47 . 2010-11-13 13:52        97096        ----a-w-        c:\windows\system32\drivers\SysPlant.sys

2010-11-13 12:47 . 2010-11-13 12:47        67472        ----a-w-        c:\windows\system32\drivers\Teefer2.sys

2010-11-13 12:47 . 2010-11-13 12:47        39856        ----a-w-        c:\windows\system32\drivers\symids.sys

2010-11-13 12:47 . 2010-11-13 12:47        38448        ----a-w-        c:\windows\system32\drivers\symndisv.sys

2010-11-13 12:47 . 2010-11-13 12:47        26416        ----a-w-        c:\windows\system32\drivers\symredrv.sys

2010-11-13 12:47 . 2010-11-13 12:47        188080        ----a-w-        c:\windows\system32\drivers\symtdi.sys

2010-11-13 12:47 . 2010-11-13 12:47        145968        ----a-w-        c:\windows\system32\drivers\symfw.sys

2010-11-13 12:47 . 2010-11-13 12:47        12720        ----a-w-        c:\windows\system32\drivers\symdns.sys

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Kalender"="c:\program files\Kalender\Kalender.exe" [2009-07-11 933888]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"HideLogonScripts"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2216260222-2881205745-3982873180-1109\Scripts\Logon\0\0]

"Script"=Logon_tse.bat
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]

@="Service"
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]

@="Service"
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]

@="Service"
 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Acrobat - Schnellstart.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat - Schnellstart.lnk

backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnk.CommonStartup

backupExtension=.CommonStartup
 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader - Schnellstart.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader - Schnellstart.lnk

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnk.CommonStartup

backupExtension=.CommonStartup
 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk

backup=c:\windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup

backupExtension=.CommonStartup
 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup

backupExtension=.CommonStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]

2010-09-23 12:36        624056        ----a-w-        c:\program files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-09-21 18:37        932288        ----a-w-        c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2010-11-10 11:49        35736        ----a-w-        c:\program files\Adobe\Reader 10.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCSSync]

2010-03-13 13:54        91520        ----a-w-        c:\program files\Microsoft Office\Office14\BCSSync.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

2007-05-08 14:24        54840        ----a-w-        c:\program files\HP\HP Software Update\hpwuSchd2.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]

2008-11-03 11:21        339240        ----a-w-        c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-02-18 09:43        248040        ----a-w-        c:\program files\Common Files\Java\Java Update\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001
 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 cpudrv;cpudrv;c:\program files\SystemRequirementsLab\cpudrv.sys [2009-12-18 11336]

R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2010-03-25 30969208]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]

R4 NAUpdate;Nero Update;c:\program files\Nero\Update\NASvc.exe [2010-03-25 490280]

S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-10-16 369256]

S3 ElgTaDrv;T-Concept X USB System Driver;c:\windows\system32\Drivers\ElgTaDrv.sys [2002-07-15 73660]

S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2010-11-13 102448]

S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2010-09-07 123496]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

WindowsMobile        REG_MULTI_SZ           wcescomm rapimgr

LocalServiceRestricted        REG_MULTI_SZ           WcesComm RapiMgr

HPService        REG_MULTI_SZ           HPSLPSVC

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = *.local

IE: An OneNote s&enden - c:\progra~1\MICROS~1\Office14\ONBttnIE.dll/105

IE: An vorhandenes PDF anfügen - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Auswahl in Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: In Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000

IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'lsass.exe'(516)

c:\program files\Bonjour\mdnsNSP.dll

.

Zeit der Fertigstellung: 2011-02-07  10:35:11

ComboFix-quarantined-files.txt  2011-02-07 09:35

ComboFix2.txt  2011-02-07 09:17
 

Vor Suchlauf: 16 Verzeichnis(se), 268.093.829.120 Bytes frei

Nach Suchlauf: 17 Verzeichnis(se), 268.013.068.288 Bytes frei
 

- - End Of File - - C8E4138D2454D9835AB5AEB3F1060A06

--- --- ---

CC Cleaner ist auch abgearbeitet.

Bisher ist es ruhig, was den Plagegeist angeht.
Konntest du eigentlich was konkretes feststellen?

Groß
Tom

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Moin Arne,

also Files im Anhang, außer dem OSAM. Der Download funktioniert nicht mehr. Auch eine manuelle Suche nach dem Tool war erfolglos.

Übrigens, so langsam mehren sich die Meldungen über den trojan.gen.2 im Internet.

Gruß
Tom

Probier für OSAM mal diesen Ersatzlink => File-Upload.net - osam.zip

... so hier noch das OSAM LOG.

Gruß
Tom

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

... sch... gerade flipt der Symantec wieder aus. ca. 200 gefundene Dateien im bekannten Pfad mit der bekannten Meldung. Eigentlich war Ruhe bis jetzt. :killpc:
Wohl zu früh gefreut.

Ich glaub die Neuinstallation wird wohl unumgänglich.
Konntest du eigentlich bisher irgendetwas feststellen?

Gruß
Tom

Ein paar unbekannte (Müll-)Objekte, aber sah nicht nach virulenten Dateien aus.
Mach mal bitte die Kontrollscans. Vllt ist Symantec da nur zu hysterisch und meldet lauter Fehlalarme. Evtl. diese Symantec-Lösung "wegwerfen" :rolleyes:

An alle die es interessiert, das Problem ist gelöst und hat erstaunliches ergeben.

Auslöser ist in diesem Fall das Setup von Nero 10 MMS. Sobald man die Setup-datei (NeroMMS.exe original von Ahead in der Version 10.13) ausführt und mit dem Entpacken begonnen wird, springt der Virenscanner an und läuft ab diesem Moment Amok. Auch nach Auswertung sämtlicher Logfiles von Symantec war es mir nicht möglich alle angeblich befallenen Dateien zu entfernen und es wurden tatsächlich von mal zu mal mehr. Eine offizielle Anfrage an Ahead ist bis jetzt unbeantwortet geblieben. :daumenrunter: Hab aber auch nichts anderes erwartet. Ob das Phänomän bei einem neueren Setup auch noch auftritt kann ich bisher nicht sagen. Ich habe aber nach einer kleinen Googlesession mit geänderter Anfrageformulierung festgestellt, dass ich mit dem Problem nicht allein war. Es gab halt niemanden mit Symantec Endpointprotection. Aber betroffen waren wohl auch der Bitdefender in der aktuellen Version und Panda AntiVirus ebenfalls aktuell. Ebenso wurden Fälle gemeldet, bei dennen nach dem Einspielen von automatischen Nero-Updates plötzliche Viren bzw. trojaner gefunden wurden. Der Name des Trojaners hat übrigens variiert, was den Schluß zulässt, dass kein Virenscanner so richtig was mit dem Neroproblem anfangen kann. Ob es nun tatsächlich ein echter Schädling ist, oder ob evtl. Ahead durch das Verhalten des Setups diverse Virenscanner provoziert ist damit leider auch noch nicht klar.

Ich hoffe das hilft evtl. weiter.

Gruß
Tom

Ich danke dir für die Aufklärung/Rückmeldung! :dankeschoen: