Sinowal Beseitigung gelungen (?)

#0
21.02.2009, 11:37
Member

Beiträge: 18
#1 Hallo,

das ist eine Fortsetzung des Threads "Viren auf meinen Webseiten" im allgemeinen Security Forum.

Mir war aufgefallen, daß auf meine Webseiten am 25.12. ein Virus/Trojaner... hochgeladen wurde. Meine Vermutung, daß jemand sich online Zugang zu den Zugangsdaten, die in Leech ftp gespeichert sind, verhärtet sich.

Aufgrund des Tips von virenfinder habe ich mal Malwarebytes arbeiten lassen:

Habe den Sinowal :-(

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> No action taken.

Ein weiteres Programm, mbr.exe sagt:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x951dfc5 size 0x1a9 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.


da ich gestern abend keine Antwort von Euch mehr bekommen habe, habe ich alleine weitergemacht:

habe den mbr neu schreiben lassen von mbr.exe, die log Datei danach war o.k

habe malwarebytes den Reg-schlüssel beseitigen lassen. danach (auch nach Neustart) gab es keinen Hinweis mehr.

Ich habe dann noch den Kaspersky Online Scanner laufen lassen. Der hat noch 2 "Trojanerreste" in nicht komprimierten Ordnern von Thunderbird gefunden - nach der Komprimierung war die Meldung auch weg.

Hier Info zu dem üblen Trojaner: http://www.computerworld.ch/aktuell/news/36233/index.html


Mein Fazit:

1. Ohne Euch hätte ich das nicht geschafft! Vielen Dank dafür.

2. Es ist durch diese Maßnahmen vielleicht möglich gewesen, den Trojaner ohne Formatierung zu beseitigen. Jedenfalls habe ich keine Hinweise, daß er noch da wäre.

3. Selbst die ständig sich aktualisierende Software Avira hat es nicht geschafft, den Trojaner zu erkennen. Sehr traurig. Welche hätte es geschafft??

4. Die Installation auf mein System ist wahrscheinlich über ein gefaktes Windows Update passiert. So arbeitet Sinowal jedenfalls. In so einem Fall hätte auch ein eingeschränktes Benutzerkonto nichts genützt, weil die Windows Updates ja doch auf dem Admin Konto ablaufen müssen. Wenn man aber glaubt, es handle sich um ein echtes Update ist man dran...

5. ich werde die automatischen Updates komplett deaktivieren und dann und wann ein Update von Hand machen.

6. Bloß gut, daß ich die Bankgeschäfte auf meinem WIN98 PC ohne WLAN mache und nicht auf diesem Laptop mit XP und WLAN.

7. Auf dem PC gespeicherte Zugangsdaten sind immer schlecht. Vor allem, wenn sie in den Programmen selbst (wie hier Leech ftp) ohne Passwort gespeichert werden. Die entsprechende log-Datei kann jeder auslesen. So konnten bei mir alle Webseiten angesteuert werden.

8. Gut, daß Firefox und Thunderbird Masterpasswortschutz haben. Das Masterpasswort existiert nur in meinem Kopf.



Würde mich interessieren, wie Eure Meinung dazu ist.

(Kann aber erst in ein paar Tagen antworten wegen Urlaub :-)

Tschüß
Michael
Seitenanfang Seitenende
21.02.2009, 11:42
Member

Beiträge: 3716
#2 hallo,
1. arbeite das mbr rootkit tool weiter ab:
http://virus-protect.org/artikel/tools/mbr.html
2. poste das gesammte malwarebytes-log
3. wenn combofixlog forhanden, poste das auch.
4. scanne erneut mit malwarebytes (updaten) wenn funde log posten
5. auch ein neues combofix-log.
(bitte reihenfolge abarbeiten)
Seitenanfang Seitenende
21.02.2009, 12:01
Member

Themenstarter

Beiträge: 18
#3

Zitat

virenfinder postete
hallo,
1. arbeite das mbr rootkit tool weiter ab:
http://virus-protect.org/artikel/tools/mbr.html
2. poste das gesammte malwarebytes-log
3. wenn combofixlog forhanden, poste das auch.
4. scanne erneut mit malwarebytes (updaten) wenn funde log posten
5. auch ein neues combofix-log.
(bitte reihenfolge abarbeiten)
Hi,


hier :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


und hier:



Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1780
Windows 5.1.2600 Service Pack 3

21.02.2009 09:18:55
mbam-log-2009-02-21 (09-18-55).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 67487
Laufzeit: 4 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sieht doch gut aus, oder? Ich habe allerdings mit malwarebytes nur den Quickscan gemacht, weil ich gleich weg muss.

Mache später dann noch mal den vollständigen

Tschüß

Michael
Seitenanfang Seitenende
21.02.2009, 12:19
Member

Beiträge: 3716
#4 combofix log. malwareBytes dann bitte updaten! und von nem sauberen rechner aus musst du all deine passwörter endern!
Seitenanfang Seitenende
23.02.2009, 20:43
Member

Themenstarter

Beiträge: 18
#5

Zitat

virenfinder postete
combofix log. malwareBytes dann bitte updaten! und von nem sauberen rechner aus musst du all deine passwörter endern!
Hallo,

wenn ich combofix installieren möchte, muß Antivir völlig deaktiviert sein.

Wie geht das vollständig? Combofix hat mir 4 laufende Prozesse von Antivir gezeigt. Ich konnte nur den Guard deaktivieren. Wie die anderen heißen, weiß ich nicht.

Tschüß

Michael
Seitenanfang Seitenende
26.02.2009, 15:20
Member

Beiträge: 3716
#6 schau mal im taskmanager wenn nicht, lass combofix laufen, dass sollte antivir komplett ausschalten können
Seitenanfang Seitenende
27.02.2009, 18:14
Member

Themenstarter

Beiträge: 18
#7 hallo,

nachdem ich Malwarebytes habe laufen lassen (ohne Ergebnis bei vollständigem scan) habe ich mal das combofix.log und hijackthis.log hier, bitte mal schauen, was das ist:

Logfile of HijackThis v1.99.1
Scan saved at 12:40:57, on 25.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\ATnotes\ATnotes.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Free Download Manager\FUM\fumoei.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\BBar\BBar.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdiehlp.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Programme\Free Download Manager\FUM\fumoei.exe
O4 - HKCU\..\Run: [MCW Startup] "C:\Programme\Monitor Calibration Wizard\MCW.exe" /s
O4 - Startup: ButtonBar.lnk = C:\Programme\BBar\BBar.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {CB4D6A72-2B96-460F-AAEB-840C1E4A3BC6} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {CB4D6A72-2B96-460F-AAEB-840C1E4A3BC6} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3DF6983D-D415-4AE5-8106-43987731DAA5} (AldiActiveFormX Element) - https://shop.aldi-fotoservice-druck.de/shop/activex/aldi_nord_express_upload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - http://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

.....................................................................................................


und jetzt combofix:


ComboFix 09-02-19.01 - Michael 2009-02-27 17:18:07.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.511.208 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-27 bis 2009-02-27 ))))))))))))))))))))))))))))))
.

2009-02-27 16:15 . 2009-02-27 16:15 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-27 16:15 . 2009-02-27 16:15 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Malwarebytes
2009-02-27 16:15 . 2009-02-27 16:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-27 16:15 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-27 16:15 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-23 14:49 . 2009-02-23 14:49 <DIR> d-------- c:\programme\Windows Defender
2009-02-21 10:48 . 2009-02-22 17:56 <DIR> d-------- c:\programme\Spyware Doctor
2009-02-21 10:48 . 2009-02-21 10:48 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\PC Tools
2009-02-21 10:48 . 2009-02-24 00:05 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-02-21 10:48 . 2008-08-25 12:36 81,288 --a------ c:\windows\system32\drivers\iksyssec.sys
2009-02-21 10:48 . 2008-08-25 12:36 66,952 --a------ c:\windows\system32\drivers\iksysflt.sys
2009-02-21 10:48 . 2008-08-25 12:36 40,840 --a------ c:\windows\system32\drivers\ikfilesec.sys
2009-02-21 10:48 . 2008-06-02 16:19 29,576 --a------ c:\windows\system32\drivers\kcom.sys
2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Vorlagen
2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d---s---- c:\dokumente und einstellungen\Admin\UserData
2009-02-21 10:36 . 2005-01-15 14:33 <DIR> dr------- c:\dokumente und einstellungen\Admin\Startmenü
2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Netzwerkumgebung
2009-02-21 10:36 . 2009-02-27 17:20 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Lokale Einstellungen
2009-02-21 10:36 . 2009-02-21 10:37 <DIR> dr------- c:\dokumente und einstellungen\Admin\Favoriten
2009-02-21 10:36 . 2009-02-21 10:37 <DIR> dr------- c:\dokumente und einstellungen\Admin\Eigene Dateien
2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Druckumgebung
2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\You've Got Pictures Screensaver
2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\CyberLink
2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Ahead
2009-02-21 10:36 . 2009-02-21 10:36 <DIR> dr-h----- c:\dokumente und einstellungen\Admin\Anwendungsdaten
2009-02-21 10:36 . 2009-02-21 10:36 <DIR> d-------- c:\dokumente und einstellungen\Admin
2009-02-21 01:51 . 2009-02-21 01:52 <DIR> d-------- c:\programme\X-Cleaner
2009-02-20 20:23 . 2009-02-20 20:23 66,048 --a------ C:\mbr.exe
2009-02-08 00:25 . 2009-02-08 00:44 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\RidNacs
2009-01-30 23:06 . 2009-01-30 23:06 <DIR> d-------- c:\programme\Auslogics
2009-01-30 23:06 . 2009-01-30 23:06 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Auslogics

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-22 18:10 --------- d-----w c:\programme\Deep Paint
2009-02-21 22:47 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-21 00:42 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Free Download Manager
2009-02-20 23:16 --------- d-----w c:\programme\Mozilla Thunderbird
2009-02-20 09:17 --------- d-----w c:\programme\ProcessGuard
2009-02-17 14:06 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\OpenOffice.org2
2009-02-17 14:04 3,976 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\wklnhst.dat
2009-02-15 13:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-14 20:53 --------- d-----w c:\programme\Google
2009-02-07 19:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-01-17 20:37 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\JAlbum
2009-01-17 20:33 --------- d-----w c:\programme\JalbumWin
2009-01-17 20:27 --------- d-----w c:\programme\Jalbum8.1
2009-01-14 14:29 --------- d-----w c:\programme\Digital Image Recovery
2009-01-12 20:24 --------- d-----w c:\programme\Videograbber 5.0
2009-01-12 20:23 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\AD ON Multimedia
2009-01-09 11:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\hps
2009-01-09 11:19 --------- d-----w c:\programme\OnlineFotoservice
2009-01-04 11:30 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-01-04 11:30 --------- d-----w c:\programme\Java
2008-10-31 11:33 18,835 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mdb.bin
2005-12-26 20:53 3,584 ----a-w c:\dokumente und einstellungen\Michael\netcache.dat
2008-05-23 12:21 56 --sh--r c:\windows\system32\1884386E2A.sys
2004-11-05 08:47 8 --sh--r c:\windows\system32\18F1AB3FF0.sys
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2008-05-23 12:21 10,332 --sha-w c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATnotes.exe"="c:\programme\ATnotes\ATnotes.exe" [2005-01-05 1015808]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 405583]
"Free Uploader Oe Integration"="c:\programme\Free Download Manager\FUM\fumoei.exe" [2007-06-10 40960]
"MCW Startup"="c:\programme\Monitor Calibration Wizard\MCW.exe" [2002-12-20 321024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-09-15 98304]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-09-15 507904]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-06 344064]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2004-11-08 81920]
"DAEMON Tools-1033"="c:\programme\D-Tools\daemon.exe" [2004-08-22 81920]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-04 136600]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 c:\windows\AGRSMMSG.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-04-28 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

c:\dokumente und einstellungen\Michael\Startmen\Programme\Autostart\
ButtonBar.lnk - c:\programme\BBar\BBar.exe [2004-11-21 158720]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
TabUserW.exe.lnk - c:\windows\system32\WTablet\TabUserW.exe [2007-11-18 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"vidc.dvsd"= miroDV2avi.dll
"vidc.i420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%ProgramFiles%\\MSN Messenger\\msnmsgr.exe"=
"%ProgramFiles%\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\Skype\\Phone\\Skype.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\ATnotes\\ATnotes.exe"=
"c:\\Programme\\Blobby\\volley.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-01-31 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2006-01-31 45376]
R1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [2005-02-22 76800]
R2 LogWatch;Ereignisprotokoll-Überwachung;c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 53248]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2004-11-03 945152]
S3 CA_LIC_CLNT;CA-Lizenz-Client;c:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;c:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 77824]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2006-06-19 1527900]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [2009-02-21 356920]
S3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [2004-07-13 48512]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4079c042-ef51-11dc-8d7f-0040d066f1d1}]
\Shell\AutoRun\command - H:\PStart.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc1f2723-71f9-11dd-8e7a-0040d066f1d1}]
\Shell\AutoRun\command - H:\Menu.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-27 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
IE: Webseiten mit FDM herunterladen - file://c:\programme\Free Download Manager\dlpage.htm
IE: {{FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - c:\programme\Free Download Manager\FUM\fumiebtn.dll
DPF: {3DF6983D-D415-4AE5-8106-43987731DAA5} - hxxps://shop.aldi-fotoservice-druck.de/shop/activex/aldi_nord_express_upload.cab
DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} - hxxp://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\zh7odxf9.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.de
FF - component: c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\zh7odxf9.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin2.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin3.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin4.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin5.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-27 17:20:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-819518464-2184663644-3692875349-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
@SACL=

[HKEY_USERS\S-1-5-21-819518464-2184663644-3692875349-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{22FCF1A6-4083-B344-0234-8439FAD63433}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"hacoaaiehkgnmool"=hex:61,62,70,64,6d,68,6c,69,65,68,66,61,64,6b,65,69,68,68,
6f,69,64,70,6a,70,68,65,6d,62,66,6d,6f,69,66,67,00,00
"gacoaaiekjhlkb"=hex:64,62,6a,64,6f,6d,66,69,64,67,70,68,65,61,62,66,6f,64,6e,
6b,65,69,68,63,6a,66,64,69,65,61,6a,68,68,6b,66,67,6e,6b,6e,70,00,00
"gadopfmhphaajl"=hex:63,61,64,63,64,6a,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(476)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-02-27 17:22:17
ComboFix-quarantined-files.txt 2009-02-27 16:22:01

Vor Suchlauf: 6.630.121.472 Bytes frei
Nach Suchlauf: 6,680,268,800 Bytes frei

203 --- E O F --- 2009-02-15 21:58:39
Seitenanfang Seitenende
27.02.2009, 18:20
Member

Beiträge: 3716
#8 wie läuft der pc?
öffne CCleaner liste der instalierten programme, zu finden unter extras.
Erstelle die textdatei und poste deren inhalt
Seitenanfang Seitenende
27.02.2009, 22:40
Member

Themenstarter

Beiträge: 18
#9

Zitat

virenfinder postete
wie läuft der pc?
öffne [url="http://www.CCleaner.de"]CCleaner[/url] liste der instalierten programme, zu finden unter extras.
Erstelle die textdatei und poste deren inhalt
Hallo,

der PC läuft gut.

Die Dinge, die mir aufgefallen waren:

Seit ein paar Wochen poppt ab und zu der gelbe Schild für das Microsoft Update unten in der taskleiste auf, aber wenn man mit der maus drübergeht oder klickt, passiert nichts. da stand sonst doch immer soundsoviel Prozent noch.

Ich hatte automatische Updates aktiviert.

Mir ist noch ein weiteres "Benutzerkonto" aufgefallen mit dem Namen "Administrator", was, glaube ich, früher fehlte.

Malwarebytes konnte ich plötzlich nicht mehr starten, es kam Fehlercode 723 (2,0). Nach Deinstallierung und Neuinstallation gings wieder.

Hier ist die Textdatei:

3D Shadow by Lokas Software
ABBYY FineReader 6.0 Professional
Acronis PartitionExpert
Adobe Download Manager 2.0 (Nur entfernen)
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Photoshop 6.0
Adobe Reader 7.0.8 - Deutsch
AFPL Ghostscript 8.53
AFPL Ghostscript Fonts
Agere Systems AC'97 Modem
AIDA32 v3.93
ALDI Foto Manager Free Nord
ALDI Foto Service Nord
Aldi Nord Fotoservice
ALDI Online Druck Service (Nord)
AMP Font Viewer
Anti-Twin (Installation 05.04.2008)
Anvil Studio
A-one DVD Ripper 6.34
Appomatox Ver. 3.43
A-Ray Scanner 2.0.1.0
ArtRage 2 Starter Edition
Artweaver
Ashampoo UnInstaller 2002-2003
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
ATnotes Version 9.5
Audacity 1.3.6 (Unicode)
AusLogics Disk Defrag
AutoUpdate
Avira AntiVir Personal - Free Antivirus
BlindWrite5
ButtonBar
CA Licensing
CCleaner (remove only)
CDBurnerXP
CDex extraction audio
Clickster
C-Media USB Mass Storage Driver
Compatibility Pack für 2007 Office System
Corel KPT3®
Corel Painter Essentials 3
Crazy Machines
CSS-Editor
Cuttermaran 1.62
DAEMON Tools
DAMPSOFT auf Laufwerk C
Deep Paint
DIE SIEDLER - Das Erbe der Könige (Alle Produkte)
Die Siedler III Gold Edition
Digital Image Recovery 1.47
Digitale Bibliothek 4
DivX Player
DivX Pro
DivX Web Player
DriveImage XML
DVD Decrypter (Remove Only)
DVD Shrink 3.2 deutsch
DVDFab HD Decrypter 3.2.0.0
Equation Wizard
Exif-Viewer 2.40
eXPert PDF 4
Faraday's Electromagnetic Lab
ffdshow
Firebird SQL Server (D)
Free Download Manager 2.5
FreshDownload 3.00
Galileo Video-Training
Ghost Explorer
GIMP 2.4.6
Google Earth
Google Toolbar for Internet Explorer
GraphCalc v4.0.1
GSpot Codec Information Appliance
GSview 4.6
GUI for dvdauthor 1.04
Harry's Filters
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 1.99.1
ImgBurn (Remove Only)
Informationen über Ihren PC
InfraRecorder
IrfanView (remove only)
IsoBuster 1.9
J2SE Runtime Environment 5.0 Update 11
Jalbum 8.1
Java 2 Runtime Environment, SE v1.4.2_05
Java(TM) 6 Update 11
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 4
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
KompoZer 0.77
Learn2 Player (Uninstall Only)
LeechFTP
Macromedia Shockwave Player
MAGIX Foto Clinic 4.5 (D)
MAGIX Foto Manager 2006 (D)
MAGIX Music Manager (D)
MAGIX Online Druck Service
MAGIX Video deLuxe 2006 PLUS (D)
Malwarebytes' Anti-Malware
MediaJoin
MediaShow 3.0
Micrografx Picture Publisher 10
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft ActiveSync 3.8
Microsoft AutoRoute 2005
Microsoft Encarta Enzyklopädie 2005
Microsoft Visual C++ 2005 Redistributable
Microsoft Windows-Journal-Viewer
Microsoft Word 2002
Microsoft Works
Microsoft Works Suite-Add-Ins für Microsoft Word
Microsoft XML Parser
Monitor Calibration Wizard 1.0
Mozilla Firefox (2.0.0.12)
Mozilla Firefox (3.0.6)
Mozilla Thunderbird (2.0.0.19)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Musicmatch® Jukebox
Neat Image v5 Demo (with plug-in)
Nero Suite
NetObjects Fusion 5.0
OnlineFotoservice
OpenOffice.org 2.4
Panda ActiveScan
PDFCreator
Photomatix Pro v1.3
PhotoNow! 1.0
Pinnacle DV25 Codec
PowerCinema 3.0
PowerDirector
PowerDVD
PowerProducer
PPC 2003 eVB
Pruef-ZFA
QuickTime Alternative 1.81
RagTime Privat
Real Alternative 1.52
Realtek AC'97 Audio
REALTEK Gigabit and Fast Ethernet NIC Driver
SDP Downloader
Security Update für Microsoft .NET Framework 2.0 (KB928365)
Setup-Start von Microsoft Works 2005
Shockwave
ShrinkTo5Basic
Skype 1.0
Spybot - Search & Destroy 1.4
Spyware Doctor 6.0
SUPER © Version 2007.bld.21 (Jan 4, 2007)
Synaptics Pointing Device Driver
SyncBack
Tablett
The FilmMachine 1.5.0.173 beta
The Off By One Web Browser
Triptych
UFRaw 0.13
Uninstall DreamSuite Bonus
VEdit
VeryPDF PDF2Word v3.0
Videograbber 5.0
videon
Viewpoint Media Player
Virtual Pool Mobile
VLC media player 0.9.4
VNC 3.3.7
WebFldrs XP
Winamp
Windows Defender
Windows Genuine Advantage Validation Tool (KB892130)
Windows Media Connect
Windows Media Format Runtime
Windows Media Player 10
Windows-Sicherungsprogramm
Works Update
X10 Hardware(TM)
X-Cleaner Deluxe
xp-AntiSpy 3.93


Tschüß
Michael
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: