SDBot.MAL und anderes

#0
03.03.2009, 19:09
Member

Themenstarter

Beiträge: 28
#46 Hab grad mal nachgeschaut: SP3 und Microsoft Net Framework 3.5 SP1 sind droben. Ich hab mir deinen Artikel mal durchgelesen und schau, was ich da machen kann. Läuft aber auf Wochenende hinaus ;o)

Aktuellster Stand? Also über "Microsoft Updates" kriege ich atm. keine Updates mehr, weil ich alle schon habe. Zusätzlich habe ich mir für Word ein Update geholt. Am WE hole ich mir dann nach längerer Zeit mal wieder ZA und wenn KAS-Trial ausläuft, sollten ZA und Antivir ausreichen. IE7 brauche ich eigentlich nicht, weil ich Firefox nutze. Den Software Inspector lasse ich dann am WE mal durchlaufen. Mic SQL-Server habe ich nicht droben ;o)

Danke soweit und dir noch einen schönen Abend.
Seitenanfang Seitenende
08.03.2009, 18:26
Member

Themenstarter

Beiträge: 28
#47 Habe mal Secunia PSI durchlaufen lassen, wie du gesagt hast: Adobe Flash Player und Winamp wurden "gemeldet" mit einem gewissen Risiko nicht up-to-date zu sein. Den Flash Player habe ich aktualisiert, aber auch hier glaube ich nicht, dass da eine Gefahr bestanden hätte/hat.

Habe ich das jetzt richtig verstanden? Wenn ich ZA und Antivir drauf habe, sollte eigentlich ja nichts durch "Hellkern" passieren?
Installiere im Moment ZA.

Hier nochmal das HJT-File:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:09, on 08.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Razer\Tarantula\razerhid.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Razer\Tarantula\razertra.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/webhp?sourceid=navclient&hl=de&ie=UTF-8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Tarantula] C:\Programme\Razer\Tarantula\razerhid.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ApplyEsf-eDocPrintPro] "C:\Programme\Gemeinsame Dateien\MAYComputer\eDocPrintPro\\ApplyEsf.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1234377836187
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9034 bytes


==========

Im Anhang die Meldung, die ich von Kaspersky immer kriege.

Grüße

Dieser Beitrag wurde am 08.03.2009 um 18:30 Uhr von MyHome editiert.
Seitenanfang Seitenende
08.03.2009, 18:28
Member

Beiträge: 3716
#48 kaspersky alein reicht, auch winamp muss aktualisiert werden!
Seitenanfang Seitenende
08.03.2009, 18:30
Member

Themenstarter

Beiträge: 28
#49 Gut, Kaspersky läuft aber ja aus.... d.h. Antivir und ZA ohne Kaspersky dürften auch ausreichen, nicht?
ZA bricht installation immer ab, d.h. das dauert noch etwas. Muss mal probieren, obs anders zu installieren geht.
Seitenanfang Seitenende
08.03.2009, 18:34
Member

Beiträge: 3716
#50 also wenn du geld ausgeben wilst würde ich dir antivir premium empfehlen 20 € finde ich ist ok
Seitenanfang Seitenende
08.03.2009, 18:37
Member

Themenstarter

Beiträge: 28
#51 Bin schon die ganze Zeit am überlegen ;o)
Zumindest sollte das Thema "Hellkern" aber für mich jetzt vom Tisch sein, was meinst du?

lol, da habe ich grad Kaspersky mal aus gehabt, um zu schauen, ob ich so ZA installieren kann. Nach 5 min wieder eingeschaltet und wumms, 2 Computerverbindungen werden gemeldet und unterbrochen... Ich frag mich langsam ob das nur an Kaspersky liegt und das alles früher auch schon war (alles ohne Probleme) und K nur Bullshit verzählt. KA XoD Werde langsam paranoid, hehe.
Intrusion.Win.LSASS.exploit und Intrusion.Win.LSASS.ASN1-kill-bill.exploit
Dieser Beitrag wurde am 08.03.2009 um 18:46 Uhr von MyHome editiert.
Seitenanfang Seitenende
08.03.2009, 18:44
Member

Beiträge: 3716
#52 dieser wurm ist kein problem für dein pc
Seitenanfang Seitenende
08.03.2009, 18:49
Member

Themenstarter

Beiträge: 28
#53 zumindest das wäre also geklärt ;)
Seitenanfang Seitenende
12.03.2009, 13:34
Member

Themenstarter

Beiträge: 28
#54 Hallo, ich mal wieder :oP

Bin ja froh, dass der Wurm mir nix kann. Aber wegen den regelmäßigen Meldungen von Kaspersky und meinem Nichtkönnen eine Installation von ZA zu beenden (bricht immer ab), habe ich Antivir in Version der Boot-CD (startet beim Systemstart ohne das Betriebssystem zu benutzen und man kann hiermit das System scannen, ohne dass der Rechner dies bemerkt) durchleuchtet.

Dabei gabs paar Warnungen, aber hauptsächlich weil die Files verschlüsselt sind. Jedoch ein Fund. An diesem könnte es liegen, dass ZA nicht installiert werden kann und auch die regelmäßigen Meldungen von Kaspersky. Folgende Fundmeldung steht im Log:

Alert: [TR/Dldr.100352.C] /mnt/sda6/SystemVolume
Information/restore{42823287-598F-44D9-9643-4692DFA28814}/RP50/A0024842.exe
--> Trojan horse TR/Dldr.100352.C

Kann ich diese Datei, irgendwie konkret löschen, oder wie muss ich da vorgehen, da das ja in einem restore-Ordner liegt.

Gruß

Edit: eben im Standby hat Antivir genau diese exe identifiziert. Über das Pop-Up habe ichs mit der Funktion "löschen" abgefertigt. Sollte also jetzt auch weg sein. Wenn keine Meldungen von Kaspersky kommen, ist die Sache erledigt (mal abwarten, was passiert.)
Dieser Beitrag wurde am 12.03.2009 um 19:12 Uhr von MyHome editiert.
Seitenanfang Seitenende
16.03.2009, 17:23
Member

Beiträge: 3716
#55 die systemwiederherstellung ab und anschalten, aber da du dauernd probleme hast, setze das system lieber neu auf, anleitung findest du im forum.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: