Rootkit und Onlinebanking |
||
---|---|---|
#0
| ||
24.10.2008, 23:40
Ehrenmitglied
Beiträge: 6028 |
||
|
||
24.10.2008, 23:58
Member
Themenstarter Beiträge: 19 |
#17
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:52:09, on 24.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\acs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\Programme\UPHClean\uphclean.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Multimedia Card Reader\shwicon2k.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\NETGEAR\WPN311\wlancfg5.exe C:\Programme\USB Sharing\usbshare.exe C:\VSTASCAN\vsaccess.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\net.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NETGEAR WPN311 Wireless Assistant.lnk = C:\Programme\NETGEAR\WPN311\wlancfg5.exe O4 - Global Startup: USB Sharing.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/OnlineScanner.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142645671245 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20080128-1 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1 O17 - HKLM\System\CCS\Services\Tcpip\..\{99532BD7-8FF7-46A4-9BCB-D96CF6CA7799}: Domain = mein.Netz O17 - HKLM\System\CCS\Services\Tcpip\..\{99532BD7-8FF7-46A4-9BCB-D96CF6CA7799}: NameServer = 192.168.1.1 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe -- End of file - 8263 bytes |
|
|
||
25.10.2008, 00:14
Ehrenmitglied
Beiträge: 6028 |
#18
Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, klicke auf "Advanced mode" >"JA">"Tools">Menu> klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) Download ResetTeaTimer zum Desktop Doppelklik ResetTeaTimer Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten! Note:ResetTeaTimer nicht fuer Vista Lade dich von hier (Anhang) Norman Sinowal Cleaner Achte darauf das Antivir abgeschaltet ist und scan dein Rechner Anhang: Norman_Sinowal_Cleaner.exe __________ MfG Argus |
|
|
||
25.10.2008, 01:53
Member
Themenstarter Beiträge: 19 |
#19
Norman SinowalMBR Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 16:21:18 Norman Scanner Engine Version: 5.92.04 Nvcbin.def Version: 5.92.00, Date: 2008/05/13 16:21:18, Variants: 0 Running pre-scan cleanup routine: Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3 Logged on user: CLIENT3\Benutzer Scan started: 25/10/2008 00:27:24 Scanning bootsectors... No SinowalMBR hooks found Number of sectors found: 3 Number of sectors scanned: 3 Number of sectors not scanned: 0 Number of infections found: 0 Number of infections removed: 0 Total scanning time: 1s 156ms Scanning running processes and process memory... Number of processes/threads found: 2205 Number of processes/threads scanned: 2205 Number of processes/threads not scanned: 0 Number of infected processes/threads terminated: 0 Total scanning time: 21s Scanning file system... Scanning: C:\*.* C:\Programme\Windows Media Player\Skins\QuickSilver.wmz/Shutter.gif (Error whilst scanning file: I/O Error) C:\Programme\Windows Media Player\Skins\QuickSilver.wmz/Shutterbg.gif (Error whilst scanning file: I/O Error) C:\Programme\Windows Media Player\Skins\QuickSilver.wmz/Base.png (Error whilst scanning file: I/O Error) C:\Programme\Windows Media Player\Skins\QuickSilver.wmz/Eq-Bg.png (Error whilst scanning file: I/O Error) C:\Programme\Windows Media Player\Skins\QuickSilver.wmz/Eq-Prevpres.png (Error whilst scanning file: I/O Error) Scanning: D:\*.* Scanning: E:\*.* Running post-scan cleanup routine: Number of files found: 612119 Number of archives unpacked: 3209 Number of files scanned: 612072 Number of files not scanned: 47 Number of files skipped due to exclude list: 0 Number of infected files found: 0 Number of infected files repaired/deleted: 0 Number of infections removed: 0 Total scanning time: 54m 41s |
|
|
||
25.10.2008, 02:09
Ehrenmitglied
Beiträge: 6028 |
||
|
||
25.10.2008, 02:30
Member
Themenstarter Beiträge: 19 |
#21
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
|
|
||
25.10.2008, 02:32
Ehrenmitglied
Beiträge: 6028 |
#22
Im ComboFix log steht diesen satz
"C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Datei c9a6b08c96ca8b92core.doc.LNK Kannst du mal nachschauen ob die auch da ist und was sie bedeutet? Lasse sie mal bei VirusTotal überprüfen __________ MfG Argus |
|
|
||
25.10.2008, 02:43
Member
Themenstarter Beiträge: 19 |
#23
Die Datei ist inzwischen gelöscht. Sie enthielt die Pfade zu den zuletzt gespeicherten word-Dateien. Eine Überprüfung bei virustotal brachte ein 0 Ergebnis.
|
|
|
||
25.10.2008, 03:12
Ehrenmitglied
Beiträge: 6028 |
#24
Bei der Postbank in Holland muss man auch TAN codes eingeben dafür hat Kaspersky ein Special Tool entwickelt leider nur in Hollaendisch
Versuchen? oder nicht Anhang: klrtpbnl.exe __________ MfG Argus |
|
|
||
25.10.2008, 03:35
Member
Themenstarter Beiträge: 19 |
#25
Danke. Habs probiert. Das Tool hat leider nichts gefunden.
Es erscheint weiterhin die Phishing-Maske beim Einloggen. Brauche dringend auch so ein "Special-Tool" für meinen Schädling. |
|
|
||
25.10.2008, 03:46
Ehrenmitglied
Beiträge: 6028 |
||
|
||
25.10.2008, 09:49
Member
Beiträge: 3716 |
#27
Hallo, versuche avira resque cd... am besten währe es, wenn du sie von einem sauberen rechner aus brennen könntest..
wenn nicht nimm halt den, den du verwendest... am besten währe ein rw-roling... www.avira.com/de/support/support_downloads.html - 34k - vor 9 Stunden scanne damit deinen rechner. funde bitte posten. |
|
|
||
25.10.2008, 10:47
Member
Themenstarter Beiträge: 19 |
#28
Die Rescue-CD funktioniert leider nicht.
Nach dem Laden der ersten beiden Dateien vmlinuz und intrd.gz wird der Bildschirm schwarz und es tut sich nichts mehr. Gebrannt auf befallenem Rechner. Einen cleanen Rechner hab ich frühestens ab Montag wieder zur Verfügung. |
|
|
||
25.10.2008, 11:05
Member
Beiträge: 3716 |
#29
hallo wir werden jetzt rootkitscans durchführen.
wichtig ist, dass alle programme abgeschalten werden (antivirus etc) und keine verbindung zum internet besteht! http://virus-protect.org/rootkitscanner.html nimm folgende scanner und poste die logs: Blacklight catchme Gmer Rootkitbuster von allen die logs bitte |
|
|
||
25.10.2008, 12:50
Member
Themenstarter Beiträge: 19 |
#30
Hier die gewünschten Logs. Gmer liefert im Fenster "Log" keinen Text.
10/25/08 11:54:36 [Info]: BlackLight Engine 2.2.1092 initialized 10/25/08 11:54:36 [Info]: OS: 5.1 build 2600 (Service Pack 3) 10/25/08 11:54:36 [Note]: 7019 4 10/25/08 11:54:36 [Note]: 7005 0 10/25/08 11:54:40 [Note]: 7006 0 10/25/08 11:54:40 [Note]: 7011 1968 10/25/08 11:54:40 [Note]: 7035 0 10/25/08 11:54:40 [Note]: 7026 0 10/25/08 11:54:40 [Note]: 7026 0 10/25/08 11:54:42 [Note]: FSRAW library version 1.7.1024 10/25/08 12:09:28 [Note]: 2000 1012 10/25/08 12:09:28 [Note]: 2000 1012 10/25/08 12:09:28 [Note]: 2000 1012 10/25/08 12:11:47 [Note]: 7007 0 ******************************************************************* catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ********************************************************************** +---------------------------------------------------- | Trend Micro RootkitBuster | Module version: 2.2.0.1014 +---------------------------------------------------- --== Dump Hidden MBR and Hidden File on C:\ ==-- No hidden files found. --== Dump Hidden Registry Value on HKLM ==-- No hidden registry entries found. --== Dump Hidden Process ==-- No hidden processes found. --== Dump Hidden Driver ==-- No hidden drivers found. |
|
|
||
__________
MfG Argus