Home » Viren, Trojaner & Malware Forum » Trojaner TR/Drop.Booty.A.2 entfernen » Themenansicht

Trojaner TR/Drop.Booty.A.2 entfernen
#0
05.10.2007, 21:16
Camailleon
Member

Beiträge: 34
#1 Hallo liebes Protectus-Team,

Antivir hat mir diesen Trojaner angezeigt (durch den Guard aufgetaucht). Ich habe ihn löschen lassen. Nach einem Neustart habe ich den Computer nochmal duchsuchen lassen und der Trojaner war noch da. Hier der Scanreport:

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '33' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{FE55F41D-0F38-4E2A-A6F6-623A55DDF598}\RP611\A0148646.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Booty.A.2
[INFO] Eine Sicherungskopie wurde unter dem Namen 47376c9c.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.


Ende des Suchlaufs: Freitag, 5. Oktober 2007 18:59

Wie dort steht ist der Virus gelöscht und eben eine Kopie in Quarantäne. Ein weitere Scan (ohne Neustart) war ohne Funde.

Nun bin ich nicht sicher ob der Trojaner wirklich weg ist. Deswegen hier die gewünschten Logs:

Als Vorarbeit arbeite folgende Punkte ab


1. Temporaere Dateien beseitigen mit ATF-Cleaner --> erledigt

2.
Combofix

ComboFix 07-10-05.3 - Alex 2007-10-05 20:47:17.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.92 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Alex\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sys.txt

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-05 bis 2007-10-05 ))))))))))))))))))))))))))))))
.

2007-10-05 20:44 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-05 17:31 <DIR> d--hs---- C:\FOUND.009
2007-10-04 18:55 <DIR> d-------- C:\Programme\Ovine
2007-09-27 13:29 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-09-16 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Andere\Anwendungsdaten\Talkback
2007-09-13 17:51 <DIR> d-------- C:\Programme\Maniac Mansion Mania

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-16 13:46 2967127 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2007-08-21 14:59 --------- d-------- C:\Programme\DesignPro
2007-08-16 15:36 --------- d-------- C:\Programme\PDFCreator
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2005-11-04 23:23 21 --a------ C:\Programme\AVPersonalAVWIN.INI
2004-04-03 16:20 9366392 --a------ C:\Dokumente und Einstellungen\Alex\START.EXE
1999-01-19 09:57 1283760 --------- C:\Dokumente und Einstellungen\Alex\TUTOR.EXE
1999-01-19 09:45 565504 --------- C:\Dokumente und Einstellungen\Alex\VIEW16.DLL
1999-01-19 09:45 463872 --------- C:\Dokumente und Einstellungen\Alex\VIEW32.DLL
1997-01-14 21:02 315840 --------- C:\Dokumente und Einstellungen\Alex\ILIB31HT.DLL
1996-05-12 17:00 208896 --------- C:\Dokumente und Einstellungen\Alex\ILIB95HT.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-01-23 16:17]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-01-23 16:05]
"SENS Keyboard V4 Launcher"="C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE" [2002-07-17 17:05]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe" [2004-02-22 23:44]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-06 00:45]
"D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2005-07-22 10:42]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-12-16 17:49]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 02:36]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-04-05 19:53]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 14:42]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1177761272\ee\AOLSoftware.exe" [2006-11-17 15:16]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SpeedTouch USB Diagnostics"="C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
"Ulead Memory Card Detector"=C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
"AWatch"=C:\Programme\FRITZ!DSL\Awatch.exe
"AGRSMMSG"=AGRSMMSG.exe
"Omnipage"=C:\Programme\ScanSoft\OmniPageSE\opware32.exe
"AOLDialer"=C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys
R3 {5C8B2B62-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-A;C:\WINDOWS\system32\drivers\A311.sys
R3 {5C8B2B65-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-B;C:\WINDOWS\system32\drivers\A310.sys
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS
S2 SPF4;Sunbelt Personal Firewall 4;"C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe"
S3 alcan5ln;Alcatel SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS);C:\WINDOWS\system32\DRIVERS\alcan5ln.sys
S3 ATWPKT;ATWPKT;\??\C:\WINDOWS\system32\Drivers\ATWPKT.SYS
S3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys
S3 DOSMEMIO;MEMIO;\??\D:\MEMIO.SYS
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdlubase.sys
S3 P1130VID;Creative WebCam NX Pro;C:\WINDOWS\system32\DRIVERS\P1130Vid.sys
S3 SWLD12;SAMSUNG 11Mbps WLAN MiniPCI/PCI Card;C:\WINDOWS\system32\DRIVERS\swld12.sys

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2003-07-24 15:14:52 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
"2007-10-05 15:15:02 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-05 20:53:04
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-05 20:55:42
C:\ComboFix2.txt ... 2007-03-28 13:27
C:\ComboFix-quarantined-files.txt ... 2007-10-05 20:55
.
--- E O F ---


3.
Erstellen eines Hijackthis-Logfiles

Logfile of HijackThis v1.99.1
Scan saved at 21:03:53, on 05.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\1177761272\ee\AOLSoftware.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Alex\Desktop\Alex-Ordner\hijackthis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webpuzzle.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177761272\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://support.f-secure.com
O15 - Trusted Zone: http://support.f-secure.de
O15 - Trusted Zone: http://www.kaspersky.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124659065548
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--------------------------------------------------------------------------------
4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)

Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 206B-5E21

Verzeichnis von C:\WINDOWS\system32

05.10.2007 17:34 1.158 wpa.dbl
05.10.2007 10:07 279.552 swreg.exe
16.09.2007 12:04 3.284 ANIWZCS{4835A301-A493-4439-B036-90408D01FEE8}
06.09.2007 04:50 17.474.680 MRT.exe
29.08.2007 09:40 249.852 TZLog.log
21.08.2007 15:04 162.728 FNTCACHE.DAT
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
18.07.2007 14:42 60.416 tzchange.exe
13.07.2007 22:05 552 d3d8caps.dat
26.06.2007 16:09 664.576 wininet.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 206B-5E21

Verzeichnis von C:\DOKUME~1\Alex\LOKALE~1\Temp

05.10.2007 21:07 104.862 datfind.txt
1 Datei(en) 104.862 Bytes
0 Verzeichnis(se), 1.779.367.936 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 206B-5E21

Verzeichnis von C:\WINDOWS

05.10.2007 19:41 778 win.ini
05.10.2007 17:33 0 0.log
05.10.2007 17:33 159 wiadebug.log
05.10.2007 17:31 2.048 bootstat.dat
05.10.2007 00:43 32.578 SchedLgU.Txt
05.10.2007 00:43 50 wiaservc.log
05.10.2007 00:42 1.353.848 WindowsUpdate.log
28.09.2007 09:06 135.168 catchme.exe
14.09.2007 20:20 583 Ulead32.ini
30.08.2007 11:13 259.014.656 MEMORY.DMP
29.08.2007 09:41 21.525 KB933360.log
29.08.2007 09:41 187.249 iis6.log
29.08.2007 09:41 357.510 comsetup.log
29.08.2007 09:41 458.301 tsoc.log
29.08.2007 09:41 216.887 ntdtcsetup.log
29.08.2007 09:41 1.374 imsins.log
29.08.2007 09:41 48.932 ocmsn.log
29.08.2007 09:40 59.085 msgsocm.log
29.08.2007 09:40 1.173.867 FaxSetup.log
29.08.2007 09:40 584.106 ocgen.log
29.08.2007 09:40 978.857 setupapi.log
24.08.2007 20:04 12.862 EPISMG00.SWB
22.08.2007 10:36 30 Iedit.INI
21.08.2007 14:59 23.467 MDACSET.log
15.08.2007 22:51 33.494 spupdsvc.log
15.08.2007 19:53 16.334 KB936021.log
15.08.2007 19:53 1.374 imsins.BAK
15.08.2007 19:53 66.218 updspapi.log
15.08.2007 19:52 15.860 KB938828.log
15.08.2007 19:50 12.262 KB936782.log
15.08.2007 19:50 22.670 wmsetup.log
15.08.2007 19:50 702 avmcoins.log
15.08.2007 19:48 15.110 KB921503.log
15.08.2007 19:48 14.969 KB938829.log
15.08.2007 19:43 14.739 KB938127.log
15.08.2007 19:42 18.569 KB937143.log
06.08.2007 18:26 210.651 setupact.log
27.07.2007 18:05 31.465 KB885295.log
11.07.2007 22:48 12.409 KB936357.log
23.06.2007 14:30 18.330 mozver.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 206B-5E21

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 206B-5E21

Verzeichnis von C:\WINDOWS\Downloaded Program Files

29.03.2007 12:46 54.382 daas.log
08.08.2006 11:45 576 kavwebscan.inf


Schonmal vielen Dank für die Hilfe!
Seitenanfang Seitenende
05.10.2007, 23:20
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Entferne auf C:\ Qoobox-->Papierkorb leeren

Dein Java software ist veraltet,
Download jre-6u3-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u3
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf " Download "
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\ Java entfernen!
Nachdem alles entfernt wurde ---> Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u3-windows-i586-p-s.exe

Onlinescanner
Nod32
Bitdefender
F-secure
Housecall
eTrust
__________
MfG Argus
Seitenanfang Seitenende
05.10.2007, 23:37
Camailleon
Member

Themenstarter

Beiträge: 34
#3 Okay, Qoobox ist gelöscht, Papierkorb leer.

Java Update beim Runterladen.

Ist das Ding weg oder sollte ich noch mit einem (oder allen?) der Online-Scanner testen?
Seitenanfang Seitenende
05.10.2007, 23:48
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Im Netz ist nichts ueber diesen Trojaner zu finden ;)
"System Volume Information\_restore"ist die Systemwiederherstellung

Scanne mit Ewido Micro
Danach wähle “remove infections
__________
MfG Argus
Seitenanfang Seitenende
06.10.2007, 01:06
Camailleon
Member

Themenstarter

Beiträge: 34
#5 Ich habe auch nichts gefunden im Netz, habe zuerst bei Google den Namen eingegeben (und hier ja auch die Forensuche benutzt).

Was bedeutet das für mich, dass der Trojaner in der Systemwiederherstellung ist / war?

Danke übrigens für den Hinweise mit dem Java, ich war bisher immer der Meinung das updatet sich selbst und war mir nicht sicher ob ich alte Versionen deinstallieren kann. Hat mir ein bissl Platz wieder gemacht auf der Platte ;).

Scan mache ich wenn ich wieder aus dem Schlaf erwache.


EDIT: Der Scan von Ewido bringt den PC leider immer zum Absturz.

Was kann ich noch machen?
Dieser Beitrag wurde am 06.10.2007 um 10:56 Uhr von Camailleon editiert.
Seitenanfang Seitenende
06.10.2007, 15:13
Camailleon
Member

Themenstarter

Beiträge: 34
#6 Habe einen Online-Scanner laufen lassen (Housecall) der hat außer einer Spyware und den üblichen Cookies nichts gefunden.

Ich lasse nochmal den Antivir laufen.
Seitenanfang Seitenende
06.10.2007, 15:21
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Ach,du hast ja ein guten scanner ;)
Stelle Antivir so ein wie hier angegeben
http://board.protecus.de/t23979.htm

Es gibt in letzter Zeit immer wieder Sicherheitsluecken in Programme so auch in Java
__________
MfG Argus
Seitenanfang Seitenende
06.10.2007, 16:25
Camailleon
Member

Themenstarter

Beiträge: 34
#8 Okay, ich seh mir das mal an.

Kann ich den jetzt davon ausgehen, dass der Antivir den Trojaner abgefangen hat, bevor er was anrichten konnte?
Seitenanfang Seitenende
07.10.2007, 00:26
Camailleon
Member

Themenstarter

Beiträge: 34
#9 So der neue Suchlauf des Antivir ist durch (nach Einstellung der sehr scharfen Einstellungen, wie empfohlen).

Hier das Log:

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '40' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\gendel32.exe
[FUND] Enthält Erkennungsmuster des SPR/Hcktool.Gendel.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4775c0f5.qua' verschoben!
C:\Dokumente und Einstellungen\Alex\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> setpath.cfexe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4774f458.qua' verschoben!
C:\Dokumente und Einstellungen\Alex\Desktop\Alex-Ordner\hexenkueche1\hexenkueche1\treble.dll
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476cf6bc.qua' verschoben!
C:\System Volume Information\_restore{FE55F41D-0F38-4E2A-A6F6-623A55DDF598}\RP616\A0152049.exe
[FUND] Enthält Erkennungsmuster des SPR/Hcktool.Gendel.A-Programmes
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{FE55F41D-0F38-4E2A-A6F6-623A55DDF598}\RP616\A0152050.exe
[0] Archivtyp: RAR SFX (self extracting)
--> setpath.cfexe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47390c0e.qua' verschoben!
C:\System Volume Information\_restore{FE55F41D-0F38-4E2A-A6F6-623A55DDF598}\RP616\A0152051.dll
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47390c16.qua' verschoben!

Die Heurstikmeldungen machen mir hier keine Sorgen, aber das:
Enthält Erkennungsmuster des SPR/Hcktool.Gendel.A-Programmes

Kann ich das was unternehmen, um zu sehen ob sich der Verdacht erhärtet?
Seitenanfang Seitenende
07.10.2007, 16:41
Camailleon
Member

Themenstarter

Beiträge: 34
#10 Habe den Online-Scanner eTrust laufen lassen, der nichts findet.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1