Rootkit und Onlinebanking |
||
---|---|---|
#0
| ||
22.10.2008, 18:53
Member
Beiträge: 19 |
||
|
||
23.10.2008, 07:28
Moderator
Beiträge: 5694 |
#2
>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html >> Erstelle ein neues Combofix-Log und poste das ganze hier. Gruss Swiss |
|
|
||
23.10.2008, 11:37
Member
Themenstarter Beiträge: 19 |
#3
Hallo,
Malwarebytes findet den Schädling jedoch NICHT und folglich sieht das combofix-Log auch weiterhin so aus wie oben. Hier das Ergebnis von virustotal: Datei c9a6b08c96ca8b92.exe empfangen 2008.10.23 10:16:50 (CET) Status: Beendet Ergebnis: 8/36 (22.23%) Filter Drucken der Ergebnisse Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.22.0 2008.10.23 - AntiVir 7.9.0.5 2008.10.22 - Authentium 5.1.0.4 2008.10.23 - Avast 4.8.1248.0 2008.10.22 Win32:Gamona AVG 8.0.0.161 2008.10.23 Win32/Heur BitDefender 7.2 2008.10.23 - CAT-QuickHeal 9.50 2008.10.23 - ClamAV 0.93.1 2008.10.23 - DrWeb 4.44.0.09170 2008.10.23 - eSafe 7.0.17.0 2008.10.22 Suspicious File eTrust-Vet 31.6.6164 2008.10.22 - Ewido 4.0 2008.10.22 - F-Prot 4.4.4.56 2008.10.22 - F-Secure 8.0.14332.0 2008.10.23 Suspicious:W32/Malware!Gemini Fortinet 3.113.0.0 2008.10.22 - GData 19 2008.10.23 Win32:Gamona Ikarus T3.1.1.44.0 2008.10.23 - K7AntiVirus 7.10.503 2008.10.22 - Kaspersky 7.0.0.125 2008.10.23 - McAfee 5412 2008.10.23 - Microsoft 1.4005 2008.10.23 - NOD32 3547 2008.10.22 - Norman 5.80.02 2008.10.22 - Panda 9.0.0.4 2008.10.22 - PCTools 4.4.2.0 2008.10.22 - Prevx1 V2 2008.10.23 Worm Rising 21.00.31.00 2008.10.23 Trojan.DL.Win32.Undef.bfi SecureWeb-Gateway 6.7.6 2008.10.22 - Sophos 4.34.0 2008.10.23 - Sunbelt 3.1.1747.1 2008.10.23 - Symantec 10 2008.10.23 - TheHacker 6.3.1.0.124 2008.10.23 - TrendMicro 8.700.0.1004 2008.10.23 - VBA32 3.12.8.8 2008.10.22 - ViRobot 2008.10.23.1433 2008.10.23 - VirusBuster 4.5.11.0 2008.10.22 Trojan.Monder.Gen!Pac.2 weitere Informationen File size: 44544 bytes MD5...: 99faa05177ce42b7c18ccacf81852611 SHA1..: d6fe3bbd9f4d3f88a73e7b4a684ba60b6c576be6 SHA256: 0d284c1840b14ea5afabb835c44e4b3df58ba02847c64f1095aaf6f36efa6ede SHA512: 14344ea5793edb49425d62ab22cf5c767e201c69cc9c32fe45d7f27a21c5f80c e6d3d46797066d17febc764b415b0ab5633ab0b1b2eec098317ecf874e93d2bb PEiD..: - TrID..: File type identification Win32 Dynamic Link Library (generic) (65.4%) Generic Win/DOS Executable (17.2%) DOS Executable Generic (17.2%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40c000 timedatestamp.....: 0x8a2b1 (Wed Jan 07 13:12:17 1970) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x7000 0x400 0.00 0f343b0931126a20f133d67c2b018a3b UPX1 0x8000 0x3000 0x2600 7.92 777a1993236666ef719a3818985cef2d .rsrc 0xb000 0x1000 0x600 2.72 c3e604386b7cf3faa16a0d701bf458de .protect 0xc000 0x8000 0x7a00 7.23 944e9881fb642e8040f7af77ab2375e9 ( 2 imports ) > KERNEL32.DLL: CompareStringA, ExitThread, GetLastError, GetPrivateProfileStringA, GetStartupInfoA, GetSystemTime, GetTimeFormatA, GetVersion, InitializeCriticalSection, RaiseException, RtlUnwind, SetCurrentDirectoryA, SetEndOfFile, SetLastError, TlsSetValue, VirtualAlloc, lstrcatA, lstrcmpiA, lstrcpyA, lstrcpynA, lstrlenA > USER32.DLL: ActivateKeyboardLayout, BeginPaint, ChangeMenuA, CharToOemBuffA, CopyRect, CreatePopupMenu, DestroyIcon, DestroyMenu, DestroyWindow, DialogBoxParamA, DrawIcon, DrawMenuBar, EnableWindow, EndDialog, EndMenu, GetDlgItem, GetFocus, IsCharLowerA, IsCharUpperA, LoadAcceleratorsW, SetCursor ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=CABBAEC2004AF8D1AE15009B2623C6005F1D642A |
|
|
||
23.10.2008, 11:58
Moderator
Beiträge: 7805 |
#4
Du solltest C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.core.dll bei Virustotal pruefen und den Rest vom Combofix Report.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.10.2008, 12:49
Member
Themenstarter Beiträge: 19 |
#5
OK. Erst einmal das Ergebnis für die dll:
Datei c9a6b08c96ca8b92.core.dll empfangen 2008.10.23 12:36:38 (CET) Status: Beendet Ergebnis: 6/36 (16.67%) Filter Drucken der Ergebnisse Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.22.0 2008.10.23 - AntiVir 7.9.0.5 2008.10.23 - Authentium 5.1.0.4 2008.10.23 - Avast 4.8.1248.0 2008.10.22 Win32:Gamona AVG 8.0.0.161 2008.10.23 - BitDefender 7.2 2008.10.23 - CAT-QuickHeal 9.50 2008.10.23 - ClamAV 0.93.1 2008.10.23 - DrWeb 4.44.0.09170 2008.10.23 - eSafe 7.0.17.0 2008.10.22 Suspicious File eTrust-Vet 31.6.6164 2008.10.22 - Ewido 4.0 2008.10.22 - F-Prot 4.4.4.56 2008.10.22 - F-Secure 8.0.14332.0 2008.10.23 - Fortinet 3.113.0.0 2008.10.22 - GData 19 2008.10.23 Win32:Gamona Ikarus T3.1.1.44.0 2008.10.23 Virus.Win32.Gamona K7AntiVirus 7.10.503 2008.10.22 - Kaspersky 7.0.0.125 2008.10.23 - McAfee 5412 2008.10.23 - Microsoft 1.4005 2008.10.23 - NOD32 3548 2008.10.23 - Norman 5.80.02 2008.10.22 - Panda 9.0.0.4 2008.10.23 - PCTools 4.4.2.0 2008.10.22 - Prevx1 V2 2008.10.23 Worm Rising 21.00.32.00 2008.10.23 - SecureWeb-Gateway 6.7.6 2008.10.23 - Sophos 4.34.0 2008.10.23 - Sunbelt 3.1.1747.1 2008.10.23 - Symantec 10 2008.10.23 - TheHacker 6.3.1.0.124 2008.10.23 - TrendMicro 8.700.0.1004 2008.10.23 - VBA32 3.12.8.8 2008.10.22 - ViRobot 2008.10.23.1434 2008.10.23 - VirusBuster 4.5.11.0 2008.10.22 Trojan.Monder.Gen!Pac.2 weitere Informationen File size: 140288 bytes MD5...: d19789cdc94d3240bc560e53e5f9290c SHA1..: 7d3fda2e78e6d6b10ece943e8afe5c0af33cdeff SHA256: 61a7e89a3d0c1944225b865110bc3ce9901aadd3c9ed2a9f8342ef4f2163012f SHA512: f9404c070fdcc2378015d63c44a5a3b2c741f8f8b5ad80d6b1bf883466f74e10 3c029b6a03a93c237db240ad7bb7656f1a62fb66da04a77d228d8bd29f09f260 PEiD..: - TrID..: File type identification Win32 Dynamic Link Library (generic) (65.4%) Generic Win/DOS Executable (17.2%) DOS Executable Generic (17.2%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1005e000 timedatestamp.....: 0x8a31e (Wed Jan 07 13:14:06 1970) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x41000 0x400 0.00 0f343b0931126a20f133d67c2b018a3b UPX1 0x42000 0x1b000 0x1a800 8.00 2f7abca73ef1e13f5e19e0a520027f2e .rsrc 0x5d000 0x1000 0x600 2.72 ba4e7820396f669af88bbaf565b11604 .protect 0x5e000 0x7000 0x6e00 7.23 f71cbd46ceed61687d0bda50b0b723b6 ( 2 imports ) > KERNEL32.DLL: CompareStringA, ExitThread, GetLastError, GetPrivateProfileStringA, GetStartupInfoA, GetSystemTime, GetTimeFormatA, GetVersion, InitializeCriticalSection, RaiseException, RtlUnwind, SetCurrentDirectoryA, SetEndOfFile, SetLastError, TlsSetValue, VirtualAlloc, lstrcatA, lstrcmpiA, lstrcpyA, lstrcpynA, lstrlenA > USER32.DLL: ActivateKeyboardLayout, BeginPaint, ChangeMenuA, CharToOemBuffA, CopyRect, CreatePopupMenu, DestroyIcon, DestroyMenu, DestroyWindow, DialogBoxParamA, DrawIcon, DrawMenuBar, EnableWindow, EndDialog, EndMenu, GetDlgItem, GetFocus, IsCharLowerA, IsCharUpperA, LoadAcceleratorsW, SetCursor ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=45CD036600D7039A246D020688E9AB00232CFD3C |
|
|
||
23.10.2008, 17:52
Moderator
Beiträge: 5694 |
#6
>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html >> Erstelle ein neues Combofix-Log und poste das ganze hier. |
|
|
||
23.10.2008, 19:12
Member
Themenstarter Beiträge: 19 |
#7
Zitat raman posteteOK, habe inzwischen sämtliche im Combofix-Log aufgeführten Dateien bei Virustotal überprüfen lassen: Funde gabs bei folgenden 3 Dateien: C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\Mozilla Firefox\plugins\npbasic.dll Und das sind die Ergebnisse von Virustotal: Datei bwUnin-8.1.1.50-8876480SL.exe empfangen 2008.10.23 13:50:24 (CET) Status: Beendet Ergebnis: 1/36 (2.78%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.22.0 2008.10.23 - AntiVir 7.9.0.5 2008.10.23 - Authentium 5.1.0.4 2008.10.23 - Avast 4.8.1248.0 2008.10.22 - AVG 8.0.0.161 2008.10.23 - BitDefender 7.2 2008.10.23 - CAT-QuickHeal 9.50 2008.10.23 - ClamAV 0.93.1 2008.10.23 - DrWeb 4.44.0.09170 2008.10.23 - eSafe 7.0.17.0 2008.10.22 - eTrust-Vet 31.6.6164 2008.10.22 - Ewido 4.0 2008.10.23 - F-Prot 4.4.4.56 2008.10.22 - F-Secure 8.0.14332.0 2008.10.23 Suspicious:W32/Netsnake.n!Gemini Fortinet 3.113.0.0 2008.10.22 - GData 19 2008.10.23 - Ikarus T3.1.1.44.0 2008.10.23 - K7AntiVirus 7.10.503 2008.10.22 - Kaspersky 7.0.0.125 2008.10.23 - McAfee 5412 2008.10.23 - Microsoft 1.4005 2008.10.23 - NOD32 3548 2008.10.23 - Norman 5.80.02 2008.10.22 - Panda 9.0.0.4 2008.10.23 - PCTools 4.4.2.0 2008.10.22 - Prevx1 V2 2008.10.23 - Rising 21.00.32.00 2008.10.23 - SecureWeb-Gateway 6.7.6 2008.10.23 - Sophos 4.34.0 2008.10.23 - Sunbelt 3.1.1747.1 2008.10.23 - Symantec 10 2008.10.23 - TheHacker 6.3.1.0.124 2008.10.23 - TrendMicro 8.700.0.1004 2008.10.23 - VBA32 3.12.8.8 2008.10.22 - ViRobot 2008.10.23.1434 2008.10.23 - VirusBuster 4.5.11.0 2008.10.22 - weitere Informationen File size: 127034 bytes MD5...: 21007bd289539a3ca0d0f3653dc11258 SHA1..: 3f748144d07cd7609dae51ae0588f46e994c73c4 SHA256: 072408c4c02de98c6dfcfa83b86f2dfebeadd1a085c371d2d8b78df9c9e670dc SHA512: 1063aac29899b35575a6f6369033b4855dcfcddfe733b7690042cd7af9d692c5 ca62c73f4fbb12707abb4ed8be4215b4b369f5a55a34407309bb815bf51cf90b PEiD..: Armadillo v1.71 TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40e536 timedatestamp.....: 0x455910f7 (Tue Nov 14 00:42:31 2006) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xe10e 0xf000 6.21 e916f8864e9c7b2fe0b96bef1e5f7e45 .rdata 0x10000 0x3c02 0x4000 5.35 5a9c9f9f9ff15ff15dcdd43eb0033aa1 .data 0x14000 0xb6e8 0x9000 4.90 fa1f2d7ab0d9fd1e4b379009d219da58 .rsrc 0x20000 0x1480 0x2000 3.33 5d1e5c5971a2cfe084c97dd0e154025e ( 8 imports ) > MSVCRT.dll: _except_handler3, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, _chsize, fseek, fwrite, fread, _get_osfhandle, sscanf, _stat, swprintf, memset, strchr, realloc, atoi, fgets, _mbschr, _mbsdec, strncat, malloc, free, _purecall, ctime, fprintf, fflush, ftell, rename, memcpy, _iob, vfprintf, fopen, _unlink, _ftime, _strnicmp, memcmp, strrchr, _setmbcp, _snprintf, _mbslwr, strcpy, strlen, _errno, sprintf, _mbsrchr, __CxxFrameHandler, _mbsicmp, __3@YAXPAX@Z, strcat, strcmp, _rmdir, toupper, _ultoa, strncmp, _findnext, remove, strncpy, strstr, _findclose, __2@YAPAXI@Z, _chmod, _findfirst, _stricmp, fclose > MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > KERNEL32.dll: ReleaseMutex, GetModuleHandleA, GetFileType, PeekNamedPipe, GetFileTime, GetFileSize, RemoveDirectoryA, LocalFree, OpenMutexA, Sleep, lstrlenW, WideCharToMultiByte, GetTickCount, MultiByteToWideChar, CreateDirectoryA, MoveFileExA, GetWindowsDirectoryA, GetCurrentThread, GetPrivateProfileSectionNamesA, GetPrivateProfileStringA, GetPrivateProfileSectionA, SetLastError, ExpandEnvironmentStringsA, GetEnvironmentVariableA, SetEnvironmentVariableA, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetCurrentThreadId, GetCurrentProcess, OpenProcess, TerminateProcess, GetSystemDirectoryA, WritePrivateProfileStringA, lstrcmpA, GetTempPathA, LoadLibraryExA, GetFileAttributesA, DeleteFileA, CopyFileA, GetLocaleInfoA, SetFileAttributesA, lstrcatA, SleepEx, FindResourceA, LoadResource, SearchPathA, GetShortPathNameA, GetModuleFileNameA, GetStartupInfoA, CreateProcessA, LoadLibraryA, GetProcAddress, FreeLibrary, CloseHandle, CreateMutexA, lstrlenA, GetLastError, lstrcpyA, GetVersionExA, WaitForSingleObject > USER32.dll: GetClassNameA, SendMessageTimeoutA, FindWindowA, EnumWindows, GetLastActivePopup, IsWindow, PostMessageA, ExitWindowsEx, IsIconic, GetClientRect, DrawIcon, MessageBoxA, SystemParametersInfoA, UpdateWindow, KillTimer, SendMessageA, SetTimer, EnableWindow, LoadIconA, MsgWaitForMultipleObjects, PeekMessageA, GetSystemMetrics, DispatchMessageA, TranslateMessage, LoadStringA > ADVAPI32.dll: RegEnumKeyA, RegDeleteKeyA, RegFlushKey, GetServiceKeyNameA, OpenSCManagerA, CloseServiceHandle, LookupPrivilegeValueA, AdjustTokenPrivileges, GetUserNameA, RegSetValueExA, RegEnumValueA, RegCloseKey, RegCreateKeyExA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, OpenProcessToken, RegDeleteValueA, RegQueryInfoKeyA, RegOpenKeyExA, RegQueryValueExA > SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc > ole32.dll: CoTaskMemFree, CoUninitialize, StringFromCLSID, CLSIDFromProgID, CoInitialize, CoCreateInstance > OLEAUT32.dll: -, - ( 2 exports ) GetUninstallerPath, RemoveUnusedVersions ******************************************************* Datei QTTask.exe empfangen 2008.10.23 18:06:55 (CET) Status: Beendet Ergebnis: 2/36 (5.56%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.22.0 2008.10.23 - AntiVir 7.9.0.5 2008.10.23 - Authentium 5.1.0.4 2008.10.23 - Avast 4.8.1248.0 2008.10.23 - AVG 8.0.0.161 2008.10.23 - BitDefender 7.2 2008.10.23 - CAT-QuickHeal 9.50 2008.10.23 - ClamAV 0.93.1 2008.10.23 - DrWeb 4.44.0.09170 2008.10.23 - eSafe 7.0.17.0 2008.10.22 - eTrust-Vet 31.6.6164 2008.10.22 - Ewido 4.0 2008.10.23 - F-Prot 4.4.4.56 2008.10.23 - F-Secure 8.0.14332.0 2008.10.23 Suspicious:W32/MicroFake.b!Gemini Fortinet 3.113.0.0 2008.10.23 - GData 19 2008.10.23 - Ikarus T3.1.1.44.0 2008.10.23 - K7AntiVirus 7.10.505 2008.10.23 - Kaspersky 7.0.0.125 2008.10.23 - McAfee 5412 2008.10.23 - Microsoft 1.4005 2008.10.23 - NOD32 3549 2008.10.23 - Norman 5.80.02 2008.10.23 - Panda 9.0.0.4 2008.10.23 - PCTools 4.4.2.0 2008.10.23 - Prevx1 V2 2008.10.23 - Rising 21.00.32.00 2008.10.23 - SecureWeb-Gateway 6.7.6 2008.10.23 - Sophos 4.34.0 2008.10.23 - Sunbelt 3.1.1747.1 2008.10.23 - Symantec 10 2008.10.23 - TheHacker 6.3.1.0.124 2008.10.23 - TrendMicro 8.700.0.1004 2008.10.23 - VBA32 3.12.8.8 2008.10.22 suspected of Win32 Shadow AutoStart Install ViRobot 2008.10.23.1434 2008.10.23 - VirusBuster 4.5.11.0 2008.10.22 - weitere Informationen File size: 413696 bytes MD5...: 6cd5c3276c83f72677d647f27ee14abd SHA1..: 78fb733fa12b63aac95524e457e72de628d374c1 SHA256: d609ebaaeb14d9c60785efc3062bebd19bee80b47a53aa415cef6d11658d188b SHA512: c570cebbcd1d0c9258d283b17cc1a12b7be6ede6eef9152315a6ccf94555d586 bc74d293c579286751e4a4ca602cb0770caeb333940e4536b11e7d959ec210ae PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4273c1 timedatestamp.....: 0x48ba2c7c (Sun Aug 31 05:30:36 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x48275 0x49000 6.20 3294fa4cd6c77a6738e651aa140f5dc0 .rdata 0x4a000 0x4db6 0x5000 5.44 1a0b973f37f4a2ab49f9b60e0afd0c3e .data 0x4f000 0x3284 0x2000 2.48 15e51fe03aa128f0efe44e5d456f0087 .rsrc 0x53000 0xc5f0 0xd000 5.00 2bd36d688b07b38119f568d0388bdf1d .reloc 0x60000 0x6450 0x7000 6.06 a41d8e0b74a1516f677471cf4c4d11a5 ( 6 imports ) > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA > KERNEL32.dll: GetVersionExA, WaitForSingleObject, CreateProcessA, ResetEvent, SetEvent, WaitForMultipleObjects, Sleep, CreateThread, GetLastError, CreateMutexA, GetSystemDirectoryA, GetModuleHandleA, TerminateProcess, GlobalFree, GlobalAlloc, ReleaseMutex, GetCurrentProcessId, ReadFile, SetStdHandle, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetFilePointer, FindFirstFileA, GetLocaleInfoW, HeapSize, FlushFileBuffers, GetConsoleMode, GetConsoleCP, VirtualAlloc, HeapReAlloc, IsValidLocale, EnumSystemLocalesA, GetLocaleInfoA, GetUserDefaultLCID, GetDateFormatA, GetTimeFormatA, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, OpenProcess, FindClose, CloseHandle, LoadLibraryA, GetProcAddress, FreeLibrary, CreateEventA, GetModuleFileNameA, CreateFileA, CompareStringA, CompareStringW, GetTimeZoneInformation, SetEnvironmentVariableA, RaiseException, InitializeCriticalSection, InterlockedExchange, EnterCriticalSection, LeaveCriticalSection, ExitProcess, GetFileAttributesA, RtlUnwind, GetCommandLineA, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoA, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, GetCurrentThread, LCMapStringA, WideCharToMultiByte, MultiByteToWideChar, LCMapStringW, SetHandleCount, GetStdHandle, GetFileType, DeleteCriticalSection, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, FatalAppExitA, WriteFile, SetConsoleCtrlHandler, FreeEnvironmentStringsA > USER32.dll: LoadIconA, LoadCursorA, RegisterClassExA, CreateWindowExA, SetWindowLongA, GetWindowLongA, DefWindowProcA, PostQuitMessage, LoadMenuA, GetSubMenu, DestroyMenu, SetMenuDefaultItem, GetCursorPos, SetForegroundWindow, TrackPopupMenu, CreatePopupMenu, GetMenuStringA, ModifyMenuA, EnableMenuItem, FindWindowA, GetWindowThreadProcessId, SendMessageA, AppendMenuA, MessageBoxA, LoadStringA, GetMessageA, TranslateMessage, DispatchMessageA, PostMessageA, wsprintfA > GDI32.dll: GetStockObject > ADVAPI32.dll: RegDeleteKeyA, RegCreateKeyExA, RegOpenKeyExA, RegQueryInfoKeyA, RegEnumValueA, RegDeleteValueA, RegQueryValueExA, RegSetValueExA, RegCloseKey, RegEnumKeyA > SHELL32.dll: Shell_NotifyIconA, ShellExecuteA ( 0 exports ) ********************************************************** Datei npbasic.dll empfangen 2008.10.23 18:48:15 (CET) Status: Beendet Ergebnis: 1/36 (2.78%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.22.0 2008.10.23 - AntiVir 7.9.0.5 2008.10.23 - Authentium 5.1.0.4 2008.10.23 - Avast 4.8.1248.0 2008.10.23 - AVG 8.0.0.161 2008.10.23 - BitDefender 7.2 2008.10.23 - CAT-QuickHeal 9.50 2008.10.23 - ClamAV 0.93.1 2008.10.23 - DrWeb 4.44.0.09170 2008.10.23 - eSafe 7.0.17.0 2008.10.23 - eTrust-Vet 31.6.6164 2008.10.22 - Ewido 4.0 2008.10.23 - F-Prot 4.4.4.56 2008.10.23 - F-Secure 8.0.14332.0 2008.10.23 - Fortinet 3.113.0.0 2008.10.23 - GData 19 2008.10.23 - Ikarus T3.1.1.44.0 2008.10.23 - K7AntiVirus 7.10.505 2008.10.23 - Kaspersky 7.0.0.125 2008.10.23 - McAfee 5412 2008.10.23 - Microsoft 1.4005 2008.10.23 - NOD32 3549 2008.10.23 - Norman 5.80.02 2008.10.23 - Panda 9.0.0.4 2008.10.23 Suspicious file PCTools 4.4.2.0 2008.10.23 - Prevx1 V2 2008.10.23 - Rising 21.00.32.00 2008.10.23 - SecureWeb-Gateway 6.7.6 2008.10.23 - Sophos 4.34.0 2008.10.23 - Sunbelt 3.1.1747.1 2008.10.23 - Symantec 10 2008.10.23 - TheHacker 6.3.1.0.124 2008.10.23 - TrendMicro 8.700.0.1004 2008.10.23 - VBA32 3.12.8.8 2008.10.22 - ViRobot 2008.10.23.1434 2008.10.23 - VirusBuster 4.5.11.0 2008.10.22 - weitere Informationen File size: 11781 bytes MD5...: fdaa8a1db9e5da61db319678e567e625 SHA1..: b7aaacdc8afada1a33f4a673b7c129642476ce44 SHA256: bb2dc01a2ffd1a09b9968aa6508fe38ac5afb3435dac6537e67f40f23a2a19ac SHA512: 1c4690aee032cbb20504a03fe2b6e0cf86162906c7bdf70363ff3830338c7219 09240171153011bf4029d20a75acb995b9582c254cb6aeac9c40687a3cacf817 PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001f56 timedatestamp.....: 0x48f279ca (Sun Oct 12 22:27:22 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1aae 0x1c00 5.85 d54135d5030bfbb4e28e20341fc8e75f .data 0x3000 0x11dc 0x200 2.05 be5db5789e524c1aa88882cdd9865687 .CRT 0x5000 0x4 0x200 0.06 f01f1f342839ff76b6775e68ee44b60c .rsrc 0x6000 0x450 0x600 2.50 bc999faf47730fc7fdb6dc4f7c9e3007 .reloc 0x7000 0x2d6 0x400 4.07 cbdc71092a2aaa1a28cebf774836cd4c ( 6 imports ) > MSVCRT.dll: strcpy, __2@YAPAXI@Z, __3@YAXPAX@Z, memcmp, memset, _EH_prolog, __CxxFrameHandler, _onexit, __dllonexit, __1type_info@@UAE@XZ > MFC42.DLL: -, -, -, -, -, -, -, -, - > KERNEL32.dll: LocalAlloc, LocalFree, MultiByteToWideChar, GetProcessHeap, HeapAlloc, CreateThread, GetModuleHandleA, GetLastError > USER32.dll: DispatchMessageA, TranslateMessage, GetMessageA, MessageBoxA, SetWindowLongA, ShowWindow, GetWindowLongA, GetClientRect, GetClassInfoExA, LoadCursorA, RegisterClassExA, DestroyWindow, DefWindowProcA > ole32.dll: CoCreateInstance, OleInitialize, CoInitializeEx, OleSetContainedObject, OleRun > OLEAUT32.dll: -, - ( 3 exports ) NP_GetEntryPoints, NP_Initialize, NP_Shutdown |
|
|
||
23.10.2008, 22:10
Member
Beiträge: 3716 |
#8
du sollst
1. malwarebytes updaten vollständigen scan auf allen laufwerken wählen und das log posten. 2. das log von combofix posten! |
|
|
||
23.10.2008, 23:04
Moderator
Beiträge: 5694 |
#9
Danke Virenfinder
Vielleicht habe ich es nichct verständlich genug geschrieben |
|
|
||
23.10.2008, 23:58
Member
Themenstarter Beiträge: 19 |
#10
Ok. Hier also das Malwarebytes-Log:
Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1310 Windows 5.1.2600 Service Pack 3 23.10.2008 23:52:29 mbam-log-2008-10-23 (23-52-29).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|J:\|L:\|M:\|N:\|) Durchsuchte Objekte: 223992 Laufzeit: 47 minute(s), 33 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ******************************************************* ComboFix 08-10-23.03 - Benutzer 2008-10-24 0:00:32.7 - NTFSx86 ... ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-24 00:03:54 Windows 5.1.2600 Service Pack 3 NTFS detected NTDLL code modification: ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation Scanne versteckte Prozesse... C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.exe [1944] 0x895E7BC0 Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Datei c9a6b08c96ca8b92core.doc.LNK 614 bytes C:\WINDOWS\system32\.c9a6b08c96ca8b92 Scan erfolgreich abgeschlossen versteckte Dateien: 2 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet002\Services\c9a6b08c96ca8b92] "ImagePath"="C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.exe" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\WINDOWS\explorer.exe -> C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.core.dll . Zeit der Fertigstellung: 2008-10-24 0:06:56 ComboFix-quarantined-files.txt 2008-10-23 22:06:41 ComboFix2.txt 2008-10-23 18:18:43 ComboFix3.txt 2008-10-23 17:25:21 ComboFix4.txt 2008-10-23 09:21:24 ComboFix5.txt 2008-10-23 21:59:44 Vor Suchlauf: 18 Verzeichnis(se), 141.434.335.232 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 141,419,532,288 Bytes frei 271 --- E O F --- 2008-10-17 08:09:03 Dieser Beitrag wurde am 24.10.2008 um 00:20 Uhr von Ricklef editiert.
|
|
|
||
24.10.2008, 09:47
Member
Beiträge: 3716 |
#11
mühsam ernährt sich das eichhörnchen.... combofix bitte das GANZE log!!!!
und klar dürfte auch sein, verzichte auf onlinegeschäfte aller art! teile deiner bank unbedingt mit, das du einen rootkit hast deine zugangsdaten müssen DRINGEND geendert werden!!!! |
|
|
||
24.10.2008, 10:30
Moderator
Beiträge: 5694 |
#12
>>
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat registry keys to delete:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen ------------------------------------------------------------------- «« otmoveIt http://virus-protect.org/artikel/tools/otmoveIt.html Download OTMoveIt zum Desktop - öffne: OTMoveIt.exe - Kopiere rein: im linken (gelb gekennzeichnetem Fenster , wo steht: Paste Instructions for Items to be Moved Zitat [kill explorer]- Klicke auf den Roten MoveIt! >> loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb >> Wieso postest du nicht das ganze Log von Combofix??? >> Lade Dir Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in das Feld: "Enter search strings" (reinschreiben oder reinkopieren) c9a6b08c96ca8b92 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. Gruss Swiss |
|
|
||
24.10.2008, 11:50
Member
Themenstarter Beiträge: 19 |
#13
Hi,
zunächst vielen Dank an die Helfer in diesem Thread. Die empfohlenen Sicherungsmaßnahmen wurden ergriffen! Kleines Update von mir: Das Kit hat offenbar fleißig nachgeladen. Inzwischen sind beide Browser auf dem Rechner betroffen. Weiterhin muss ich meinen Eingangsbeitrag insofern korrigieren, dass die Banking-Seiten doch als verschlüsselt (Vorhängeschloss) angezeigt werden. Auch die Fingerprints scheinen zu stimmen. Einziger Anhaltspunkt dafür, dass etwas nicht stimmen kann, ist lediglich die Aufforderung - unmittelbar nach dem Login - sein wegen Missbrauchs gesperrtes Konto doch mit der TAN Nr. XX wieder freizuschalten. Außerdem ist nun ein weiterer Rechner (Rechner B) befallen. Ich vermute eine Ausbreitung über das Windows-Netzwerk. Werde nun die vorgeschlagenen Tools ausprobieren. Das ist nun geschehen. Hier die Logs. Leider besteht die Problematik weiterhin. Beim Aufruf der Bankseite erscheint immer noch die Phishingmaske. Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Registry key "HKEY_LOCAL_MACHINE\System\ControlSet002\Services\c9a6b08c96ca8b92" deleted successfully. Folder "C:\WINDOWS\system32\.c9a6b08c96ca8b92" deleted successfully. Completed script processing. ******************* Finished! Terminate. ********************************************************************************************** Error: Unable to interpret <[kill explorer]> in the current context! Error: Unable to interpret <EmptyTemp> in the current context! Error: Unable to interpret <[start explorer]> in the current context! OTMoveIt3 by OldTimer - Version 1.0.5.0 log created on 10242008_184715 ********************************************************************** ComboFix 08-10-23.03 - Benutzer 2008-10-24 18:33:13.17 - NTFSx86 Microsoft Windows XP Professional 5.1.26000 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Benutzer\Desktop\ComboFix.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-09-24 bis 2008-10-24 )))))))))))))))))))))))))))))) . 2008-10-24 13:00 . 2008-10-24 13:00 <DIR> d-------- C:\_OTMoveIt 2008-10-24 12:12 . 2008-10-15 18:35 337,408 -----c--- C:\WINDOWS\system32\dllcache\netapi32.dll 2008-10-18 15:14 . 2007-08-01 22:47 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2008-10-18 01:41 . 2008-10-18 15:21 <DIR> d-------- C:\Dokumente und Einstellungen\Benutzer\.housecall6.6 2008-10-16 18:17 . 2008-10-16 18:17 <DIR> d-------- C:\Programme\Panda Security 2008-10-16 18:17 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-10-16 18:09 . 2008-10-16 18:09 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-10-16 18:09 . 2008-10-16 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-10-15 21:54 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys 2008-10-15 21:53 . 2008-08-14 15:19 2,191,488 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2008-10-15 21:53 . 2008-08-14 15:19 2,147,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe 2008-10-15 21:53 . 2008-08-14 15:19 2,068,352 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe 2008-10-15 21:53 . 2008-08-14 15:19 2,026,496 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe 2008-10-15 21:53 . 2008-09-15 17:24 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys 2008-10-12 21:19 . 2008-10-12 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\vlc 2008-10-12 12:32 . 2008-05-02 02:38 301,656 --a------ C:\WINDOWS\system32\BtCoreIf.dll 2008-10-12 12:31 . 2008-10-12 12:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logishrd 2008-10-01 13:47 . 2008-10-23 10:24 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-01 13:47 . 2008-10-01 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Malwarebytes 2008-10-01 13:47 . 2008-10-01 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-01 13:47 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-01 13:47 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-30 10:04 . 2008-09-30 10:04 262,144 --a------ C:\WINDOWS\system32\default_user_class.dat 2008-09-26 11:10 . 2008-09-26 11:33 <DIR> d-------- C:\Programme\CCleaner 2008-09-26 10:20 . 2008-09-26 10:20 5,446,912 --a------ C:\WINDOWS\REGBK05.ZIP 2008-09-26 09:56 . 2008-09-26 09:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-24 13:46 --------- d-----w C:\Programme\Bonjour 2008-10-24 13:39 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-10-24 13:36 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-10-22 22:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-10-12 10:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech 2008-10-01 18:59 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-09-29 16:40 --------- d-----w C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\gtk-2.0 2008-09-26 14:01 --------- d-----w C:\Programme\Windows Desktop Search 2008-09-23 21:56 --------- d-----w C:\Programme\Java 2008-09-22 21:22 27,056 ----a-w C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-09-18 16:01 --------- d-----w C:\Programme\VideoLAN 2008-09-18 09:27 --------- d-----w C:\Programme\UPHClean 2008-09-17 21:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple 2008-09-17 18:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI 2008-09-17 18:25 --------- d-----w C:\Programme\ATI Technologies 2008-09-17 15:56 --------- d-----w C:\Programme\3GP Player 2008-09-17 15:11 --------- d-----w C:\Programme\iTunes 2008-09-17 15:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-09-17 15:10 --------- d-----w C:\Programme\QuickTime 2008-09-17 15:10 --------- d-----w C:\Programme\iPod 2008-09-17 12:18 --------- d-----w C:\Programme\Avira 2008-09-17 12:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-09-17 09:56 --------- d-----w C:\Programme\Yahoo! 2008-09-15 15:24 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys 2008-09-13 16:24 --------- d-----w C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Windows Search 2008-09-10 14:26 --------- d-----w C:\Programme\Gemeinsame Dateien\LogiShared 2008-09-10 14:26 --------- d-----w C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Logitech 2008-09-10 14:25 --------- d-----w C:\Programme\Logitech 2008-09-10 14:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech 2008-09-10 14:22 --------- d-----w C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\InstallShield 2008-09-10 14:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd 2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-08-26 07:57 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-08-14 13:19 2,147,840 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-08-14 13:19 2,026,496 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe 2008-08-01 05:40 9,928,704 ----a-w C:\WINDOWS\system32\atioglxx.dll 2008-08-01 04:58 253,952 ----a-w C:\WINDOWS\system32\atiok3x2.dll 2008-08-01 04:33 425,984 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll 2008-08-01 04:32 311,296 ----a-w C:\WINDOWS\system32\ati2dvag.dll 2008-08-01 04:23 184,320 ----a-w C:\WINDOWS\system32\atipdlxx.dll 2008-08-01 04:23 143,360 ----a-w C:\WINDOWS\system32\Oemdspif.dll 2008-08-01 04:22 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll 2008-08-01 04:22 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe 2008-08-01 04:22 143,360 ----a-w C:\WINDOWS\system32\ati2evxx.dll 2008-08-01 04:21 573,440 ----a-w C:\WINDOWS\system32\ati2evxx.exe 2008-08-01 04:19 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL 2008-08-01 04:10 3,917,568 ----a-w C:\WINDOWS\system32\ati3duag.dll 2008-08-01 03:59 2,183,552 ----a-w C:\WINDOWS\system32\ativvaxx.dll 2008-08-01 03:46 48,640 ----a-w C:\WINDOWS\system32\amdpcom32.dll 2008-08-01 03:42 376,832 ----a-w C:\WINDOWS\system32\atikvmag.dll 2008-08-01 03:40 35,328 ----a-w C:\WINDOWS\system32\atiadlxx.dll 2008-08-01 03:40 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll 2008-08-01 03:39 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll 2008-08-01 03:34 561,152 ----a-w C:\WINDOWS\system32\ati2cqag.dll 2008-07-31 19:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe 2006-07-05 04:33 472,000 ----a-w C:\WINDOWS\inf\WPN311\WPN311.sys 2006-03-31 13:38 35,232 ----a-w C:\WINDOWS\inf\WPN311\ME_INST.EXE 2006-03-31 13:38 26,112 ----a-w C:\WINDOWS\inf\WPN311\install.exe . ((((((((((((((((((((((((((((( snapshot@2008-10-22_17.57.23.90 ))))))))))))))))))))))))))))))))))))))))) . - 2006-06-08 16:19:52 5,967,776 ----a-w C:\WINDOWS\system32\MRT.exe + 2008-10-07 10:19:42 16,721,856 ----a-w C:\WINDOWS\system32\MRT.exe - 2008-04-14 02:22:19 337,408 ----a-w C:\WINDOWS\system32\netapi32.dll + 2008-10-15 16:35:02 337,408 ----a-w C:\WINDOWS\system32\netapi32.dll - 2008-09-26 09:27:55 86,812 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-10-24 13:49:05 85,602 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-09-26 09:27:55 71,954 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-10-24 13:49:05 70,744 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-09-26 09:27:55 443,498 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-10-24 13:49:05 440,814 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-09-26 09:27:55 423,376 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-10-24 13:49:05 420,692 ----a-w C:\WINDOWS\system32\perfh009.dat . ((((((((((((((((((((((((((((((((((((((((((((( AWF )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ----a-w 408,064 2006-12-02 22:37:52 C:\Programme\Windows Media Player\bak\WMPNSCFG.exe ------w 204,288 2006-11-03 08:56:34 C:\Programme\Windows Media Player\wmpnscfg.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] "LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2008-09-10 67128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 344064] "Sunkist2k"="C:\Programme\Multimedia Card Reader\shwicon2k.exe" [2004-12-10 139264] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" [2004-12-06 532480] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-10 289576] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440] "SoundMan"="SOUNDMAN.EXE" [2005-04-15 C:\WINDOWS\SOUNDMAN.EXE] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINDOWS\KHALMNPR.Exe] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINDOWS\KHALMNPR.Exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] C:\Dokumente und Einstellungen\Benutzer\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] UMAX VistaAccess.lnk - C:\VSTASCAN\vsaccess.exe [2006-03-19 158208] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696] Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-09-10 67128] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2008-10-12 805392] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] NETGEAR WPN311 Wireless Assistant.lnk - C:\Programme\NETGEAR\WPN311\wlancfg5.exe [2006-09-15 1503232] USB Sharing.lnk - C:\Programme\USB Sharing\usbshare.exe [2006-04-01 139264] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2008-05-02 02:42 72208 c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.ACDV"= ACDV.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NETGEAR WPN311 Smart Wizard.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WPN311 Smart Wizard.lnk backup=C:\WINDOWS\pss\NETGEAR WPN311 Smart Wizard.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] --a------ 2005-06-23 21:33 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-09-10 17:40 289576 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 16:40 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-09-06 15:09 413696 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2008-06-22 15:40 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=2 (0x2) "ufad-ws60"=3 (0x3) "iPod Service"=3 (0x3) "IDriverT"=3 (0x3) "Adobe LM Service"=3 (0x3) "Apple Mobile Device"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544] R2 io.sys;IO.DLL Driver;C:\WINDOWS\system32\drivers\io.sys [2008-06-01 5152] R2 PPCLASS;PPCLASS;C:\WINDOWS\system32\drivers\PPCLASS.sys [1997-04-09 85868] R2 PPSCAN;PPSCAN;C:\WINDOWS\system32\drivers\PPSCAN.sys [1999-02-10 120544] . Inhalt des "geplante Tasks" Ordners 2008-10-10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\qgt54vjj.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbasic.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-24 18:33:58 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-24 18:36:04 ComboFix-quarantined-files.txt 2008-10-24 16:35:59 ComboFix2.txt 2008-10-24 16:29:51 ComboFix3.txt 2008-10-24 16:22:13 ComboFix4.txt 2008-10-24 16:02:09 ComboFix5.txt 2008-10-24 16:33:04 Vor Suchlauf: 19 Verzeichnis(se), 142.633.721.856 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 142,615,629,824 Bytes frei 226 --- E O F --- 2008-10-24 10:14:09 ********************************************************************* Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 24.10.2008 18:40:05 for strings: ; 'c9a6b08c96ca8b92' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_C9A6B08C96CA8B92] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_C9A6B08C96CA8B92\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_C9A6B08C96CA8B92\0000] "Service"="c9a6b08c96ca8b92" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_C9A6B08C96CA8B92] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_C9A6B08C96CA8B92\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_C9A6B08C96CA8B92\0000] "Service"="c9a6b08c96ca8b92" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_C9A6B08C96CA8B92] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_C9A6B08C96CA8B92\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_C9A6B08C96CA8B92\0000] "Service"="c9a6b08c96ca8b92" ; End Of The Log... Dieser Beitrag wurde am 24.10.2008 um 18:59 Uhr von Ricklef editiert.
|
|
|
||
24.10.2008, 21:28
Member
Beiträge: 3716 |
||
|
||
24.10.2008, 22:11
Member
Themenstarter Beiträge: 19 |
#15
SDFix: Version 1.237
Run by Benutzer on 24.10.2008 at 21:43 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-24 21:52:38 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:65,b4,27,96,7d,2e,36,99,f6,15,c6,8e,d9,60,f4,2c,2d,66,d3,c9,27,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,0c,25,c4,03,6d,e7,35,39,3c,4d,88,86,10,69,d9,9c,02,.. "khjeh"=hex:75,aa,81,8d,3d,fb,e4,c9,6f,a3,72,c8,44,11,8e,9e,61,76,5a,3d,97,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:0f,a8,8b,51,d4,08,5a,d1,00,37,6e,54,74,b3,37,19,8c,a3,3c,c4,3a,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:65,b4,27,96,7d,2e,36,99,f6,15,c6,8e,d9,60,f4,2c,2d,66,d3,c9,27,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,0c,25,c4,03,6d,e7,35,39,3c,4d,88,86,10,69,d9,9c,02,.. "khjeh"=hex:75,aa,81,8d,3d,fb,e4,c9,6f,a3,72,c8,44,11,8e,9e,61,76,5a,3d,97,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:87,72,ff,f6,ed,d1,79,c7,20,f4,7b,b1,60,c1,56,20,2c,d5,6d,b2,2f,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:65,b4,27,96,7d,2e,36,99,f6,15,c6,8e,d9,60,f4,2c,2d,66,d3,c9,27,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,0c,25,c4,03,6d,e7,35,39,3c,4d,88,86,10,69,d9,9c,02,.. "khjeh"=hex:75,aa,81,8d,3d,fb,e4,c9,6f,a3,72,c8,44,11,8e,9e,61,76,5a,3d,97,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:87,72,ff,f6,ed,d1,79,c7,20,f4,7b,b1,60,c1,56,20,2c,d5,6d,b2,2f,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:65,b4,27,96,7d,2e,36,99,f6,15,c6,8e,d9,60,f4,2c,2d,66,d3,c9,27,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,0c,25,c4,03,6d,e7,35,39,3c,4d,88,86,10,69,d9,9c,02,.. "khjeh"=hex:75,aa,81,8d,3d,fb,e4,c9,6f,a3,72,c8,44,11,8e,9e,61,76,5a,3d,97,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:87,72,ff,f6,ed,d1,79,c7,20,f4,7b,b1,60,c1,56,20,2c,d5,6d,b2,2f,.. scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System] "OODEFRAG08.00.00.01WORKSTATION"=" scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*isabled:Nero Home" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger" Remaining Files : Files with Hidden Attributes : Sat 23 Aug 2008 635,848 A.SH. --- "C:\Programme\Internet Explorer\iexplore.exe" Mon 14 Apr 2008 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe" Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" Wed 30 Jul 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe" Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" Sat 23 Dec 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Sun 3 Dec 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Sun 23 Sep 2007 165,232 A..H. --- "C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll" Finished! |
|
|
||
hab mir da offenbar was Nettes eingefangen. Das Programm loggt offenbar den https-traffic mit und bietet mir meine Onlinebanking-Seite in unverschlüsselter Form an. Nach dem Einloggen mit KtoNr. und PIN wird eine Meldung angezeigt, wonach das Konto gesperrt sei und durch eine bestimmte TAN freigeschaltet werden soll. Alles einwandfrei formuliert und schön seriös im Design meiner Bank gehalten, jedoch stammt zumindest dieser Teil der Seite von einer IP aus St.Petersburg.
Ich würde das Programm gerne loswerden - möglichst ohne mein System neu aufzusetzen.
Das Teil wird von Antivir und den mir bekannten Onlinescannern bisher nicht erkannt. Der Combofix-Scan brachte dann aber Folgendes (Auszug):
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-22 17:52:10
Windows 5.1.2600 Service Pack 3 NTFS
detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation
Scanne versteckte Prozesse...
C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.exe [1812] 0x8A411320
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
C:\WINDOWS\system32\.c9a6b08c96ca8b92
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\c9a6b08c96ca8b92]
"ImagePath"="C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.exe"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.core.dll