Sinowal Beseitigung gelungen (?) |
||
---|---|---|
#0
| ||
21.02.2009, 11:37
Member
Beiträge: 18 |
||
|
||
21.02.2009, 11:42
Member
Beiträge: 3716 |
#2
hallo,
1. arbeite das mbr rootkit tool weiter ab: http://virus-protect.org/artikel/tools/mbr.html 2. poste das gesammte malwarebytes-log 3. wenn combofixlog forhanden, poste das auch. 4. scanne erneut mit malwarebytes (updaten) wenn funde log posten 5. auch ein neues combofix-log. (bitte reihenfolge abarbeiten) |
|
|
||
21.02.2009, 12:01
Member
Themenstarter Beiträge: 18 |
#3
Zitat virenfinder posteteHi, hier : Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK und hier: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1780 Windows 5.1.2600 Service Pack 3 21.02.2009 09:18:55 mbam-log-2009-02-21 (09-18-55).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 67487 Laufzeit: 4 minute(s), 29 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Sieht doch gut aus, oder? Ich habe allerdings mit malwarebytes nur den Quickscan gemacht, weil ich gleich weg muss. Mache später dann noch mal den vollständigen Tschüß Michael |
|
|
||
21.02.2009, 12:19
Member
Beiträge: 3716 |
#4
combofix log. malwareBytes dann bitte updaten! und von nem sauberen rechner aus musst du all deine passwörter endern!
|
|
|
||
23.02.2009, 20:43
Member
Themenstarter Beiträge: 18 |
#5
Zitat virenfinder posteteHallo, wenn ich combofix installieren möchte, muß Antivir völlig deaktiviert sein. Wie geht das vollständig? Combofix hat mir 4 laufende Prozesse von Antivir gezeigt. Ich konnte nur den Guard deaktivieren. Wie die anderen heißen, weiß ich nicht. Tschüß Michael |
|
|
||
26.02.2009, 15:20
Member
Beiträge: 3716 |
#6
schau mal im taskmanager wenn nicht, lass combofix laufen, dass sollte antivir komplett ausschalten können
|
|
|
||
27.02.2009, 18:14
Member
Themenstarter Beiträge: 18 |
#7
hallo,
nachdem ich Malwarebytes habe laufen lassen (ohne Ergebnis bei vollständigem scan) habe ich mal das combofix.log und hijackthis.log hier, bitte mal schauen, was das ist: Logfile of HijackThis v1.99.1 Scan saved at 12:40:57, on 25.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Tablet.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\D-Tools\daemon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\ATnotes\ATnotes.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Free Download Manager\FUM\fumoei.exe C:\WINDOWS\system32\WTablet\TabUserW.exe C:\Programme\BBar\BBar.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdiehlp.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Programme\Free Download Manager\FUM\fumoei.exe O4 - HKCU\..\Run: [MCW Startup] "C:\Programme\Monitor Calibration Wizard\MCW.exe" /s O4 - Startup: ButtonBar.lnk = C:\Programme\BBar\BBar.exe O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU) O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {CB4D6A72-2B96-460F-AAEB-840C1E4A3BC6} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {CB4D6A72-2B96-460F-AAEB-840C1E4A3BC6} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {3DF6983D-D415-4AE5-8106-43987731DAA5} (AldiActiveFormX Element) - https://shop.aldi-fotoservice-druck.de/shop/activex/aldi_nord_express_upload.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - http://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing) O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe ..................................................................................................... und jetzt combofix: ComboFix 09-02-19.01 - Michael 2009-02-27 17:18:07.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.511.208 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-01-27 bis 2009-02-27 )))))))))))))))))))))))))))))) . 2009-02-27 16:15 . 2009-02-27 16:15 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-02-27 16:15 . 2009-02-27 16:15 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Malwarebytes 2009-02-27 16:15 . 2009-02-27 16:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-02-27 16:15 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-27 16:15 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-02-23 14:49 . 2009-02-23 14:49 <DIR> d-------- c:\programme\Windows Defender 2009-02-21 10:48 . 2009-02-22 17:56 <DIR> d-------- c:\programme\Spyware Doctor 2009-02-21 10:48 . 2009-02-21 10:48 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\PC Tools 2009-02-21 10:48 . 2009-02-24 00:05 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-02-21 10:48 . 2008-08-25 12:36 81,288 --a------ c:\windows\system32\drivers\iksyssec.sys 2009-02-21 10:48 . 2008-08-25 12:36 66,952 --a------ c:\windows\system32\drivers\iksysflt.sys 2009-02-21 10:48 . 2008-08-25 12:36 40,840 --a------ c:\windows\system32\drivers\ikfilesec.sys 2009-02-21 10:48 . 2008-06-02 16:19 29,576 --a------ c:\windows\system32\drivers\kcom.sys 2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Vorlagen 2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d---s---- c:\dokumente und einstellungen\Admin\UserData 2009-02-21 10:36 . 2005-01-15 14:33 <DIR> dr------- c:\dokumente und einstellungen\Admin\Startmenü 2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Netzwerkumgebung 2009-02-21 10:36 . 2009-02-27 17:20 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Lokale Einstellungen 2009-02-21 10:36 . 2009-02-21 10:37 <DIR> dr------- c:\dokumente und einstellungen\Admin\Favoriten 2009-02-21 10:36 . 2009-02-21 10:37 <DIR> dr------- c:\dokumente und einstellungen\Admin\Eigene Dateien 2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Druckumgebung 2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\You've Got Pictures Screensaver 2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\CyberLink 2009-02-21 10:36 . 2005-01-15 14:33 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Ahead 2009-02-21 10:36 . 2009-02-21 10:36 <DIR> dr-h----- c:\dokumente und einstellungen\Admin\Anwendungsdaten 2009-02-21 10:36 . 2009-02-21 10:36 <DIR> d-------- c:\dokumente und einstellungen\Admin 2009-02-21 01:51 . 2009-02-21 01:52 <DIR> d-------- c:\programme\X-Cleaner 2009-02-20 20:23 . 2009-02-20 20:23 66,048 --a------ C:\mbr.exe 2009-02-08 00:25 . 2009-02-08 00:44 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\RidNacs 2009-01-30 23:06 . 2009-01-30 23:06 <DIR> d-------- c:\programme\Auslogics 2009-01-30 23:06 . 2009-01-30 23:06 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Auslogics . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-22 18:10 --------- d-----w c:\programme\Deep Paint 2009-02-21 22:47 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-02-21 00:42 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Free Download Manager 2009-02-20 23:16 --------- d-----w c:\programme\Mozilla Thunderbird 2009-02-20 09:17 --------- d-----w c:\programme\ProcessGuard 2009-02-17 14:06 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\OpenOffice.org2 2009-02-17 14:04 3,976 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\wklnhst.dat 2009-02-15 13:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-02-14 20:53 --------- d-----w c:\programme\Google 2009-02-07 19:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink 2009-01-17 20:37 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\JAlbum 2009-01-17 20:33 --------- d-----w c:\programme\JalbumWin 2009-01-17 20:27 --------- d-----w c:\programme\Jalbum8.1 2009-01-14 14:29 --------- d-----w c:\programme\Digital Image Recovery 2009-01-12 20:24 --------- d-----w c:\programme\Videograbber 5.0 2009-01-12 20:23 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\AD ON Multimedia 2009-01-09 11:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\hps 2009-01-09 11:19 --------- d-----w c:\programme\OnlineFotoservice 2009-01-04 11:30 410,984 ----a-w c:\windows\system32\deploytk.dll 2009-01-04 11:30 --------- d-----w c:\programme\Java 2008-10-31 11:33 18,835 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mdb.bin 2005-12-26 20:53 3,584 ----a-w c:\dokumente und einstellungen\Michael\netcache.dat 2008-05-23 12:21 56 --sh--r c:\windows\system32\1884386E2A.sys 2004-11-05 08:47 8 --sh--r c:\windows\system32\18F1AB3FF0.sys 2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll 2008-05-23 12:21 10,332 --sha-w c:\windows\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATnotes.exe"="c:\programme\ATnotes\ATnotes.exe" [2005-01-05 1015808] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 405583] "Free Uploader Oe Integration"="c:\programme\Free Download Manager\FUM\fumoei.exe" [2007-06-10 40960] "MCW Startup"="c:\programme\Monitor Calibration Wizard\MCW.exe" [2002-12-20 321024] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-09-15 98304] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-09-15 507904] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-06 344064] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2004-11-08 81920] "DAEMON Tools-1033"="c:\programme\D-Tools\daemon.exe" [2004-08-22 81920] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-04 136600] "AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 c:\windows\AGRSMMSG.exe] "SoundMan"="SOUNDMAN.EXE" [2004-04-28 c:\windows\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264] c:\dokumente und einstellungen\Michael\Startmen\Programme\Autostart\ ButtonBar.lnk - c:\programme\BBar\BBar.exe [2004-11-21 158720] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ TabUserW.exe.lnk - c:\windows\system32\WTablet\TabUserW.exe [2007-11-18 114688] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm "vidc.dvsd"= miroDV2avi.dll "vidc.i420"= i420vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%ProgramFiles%\\Messenger\\msmsgs.exe"= "%ProgramFiles%\\MSN Messenger\\msnmsgr.exe"= "%ProgramFiles%\\Microsoft Games\\Flight Simulator 9\\fs9.exe"= "%ProgramFiles%\\AOL 9.0\\AOL.exe"= "%ProgramFiles%\\AOL 9.0\\WAOL.exe"= "%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"= "%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"= "%WinDir%\\system32\\fxsclnt.exe"= "%ProgramFiles%\\Skype\\Phone\\Skype.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"= "c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"= "c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"= "c:\\WINDOWS\\system32\\dpnsvr.exe"= "c:\\Programme\\ATnotes\\ATnotes.exe"= "c:\\Programme\\Blobby\\volley.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-01-31 22336] R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2006-01-31 45376] R1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [2005-02-22 76800] R2 LogWatch;Ereignisprotokoll-Überwachung;c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 53248] R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [2006-11-03 13592] S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2004-11-03 945152] S3 CA_LIC_CLNT;CA-Lizenz-Client;c:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 77824] S3 CA_LIC_SRVR;CA-Lizenzserver;c:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 77824] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2006-06-19 1527900] S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [2009-02-21 356920] S3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [2004-07-13 48512] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4079c042-ef51-11dc-8d7f-0040d066f1d1}] \Shell\AutoRun\command - H:\PStart.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc1f2723-71f9-11dd-8e7a-0040d066f1d1}] \Shell\AutoRun\command - H:\Menu.exe . Inhalt des "geplante Tasks" Ordners 2009-02-27 c:\windows\Tasks\MP Scheduled Scan.job - c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm IE: Webseiten mit FDM herunterladen - file://c:\programme\Free Download Manager\dlpage.htm IE: {{FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - c:\programme\Free Download Manager\FUM\fumiebtn.dll DPF: {3DF6983D-D415-4AE5-8106-43987731DAA5} - hxxps://shop.aldi-fotoservice-druck.de/shop/activex/aldi_nord_express_upload.cab DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} - hxxp://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\zh7odxf9.default\ FF - prefs.js: browser.startup.homepage - hxxp://google.de FF - component: c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\zh7odxf9.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAdbESD.dll FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin.dll FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin2.dll FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin3.dll FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin4.dll FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin5.dll FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-27 17:20:19 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-819518464-2184663644-3692875349-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID] @Denied: (Full) (LocalSystem) @SACL= [HKEY_USERS\S-1-5-21-819518464-2184663644-3692875349-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{22FCF1A6-4083-B344-0234-8439FAD63433}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "hacoaaiehkgnmool"=hex:61,62,70,64,6d,68,6c,69,65,68,66,61,64,6b,65,69,68,68, 6f,69,64,70,6a,70,68,65,6d,62,66,6d,6f,69,66,67,00,00 "gacoaaiekjhlkb"=hex:64,62,6a,64,6f,6d,66,69,64,67,70,68,65,61,62,66,6f,64,6e, 6b,65,69,68,63,6a,66,64,69,65,61,6a,68,68,6b,66,67,6e,6b,6e,70,00,00 "gadopfmhphaajl"=hex:63,61,64,63,64,6a,00,00 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(476) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-02-27 17:22:17 ComboFix-quarantined-files.txt 2009-02-27 16:22:01 Vor Suchlauf: 6.630.121.472 Bytes frei Nach Suchlauf: 6,680,268,800 Bytes frei 203 --- E O F --- 2009-02-15 21:58:39 |
|
|
||
27.02.2009, 18:20
Member
Beiträge: 3716 |
||
|
||
27.02.2009, 22:40
Member
Themenstarter Beiträge: 18 |
#9
Zitat virenfinder posteteHallo, der PC läuft gut. Die Dinge, die mir aufgefallen waren: Seit ein paar Wochen poppt ab und zu der gelbe Schild für das Microsoft Update unten in der taskleiste auf, aber wenn man mit der maus drübergeht oder klickt, passiert nichts. da stand sonst doch immer soundsoviel Prozent noch. Ich hatte automatische Updates aktiviert. Mir ist noch ein weiteres "Benutzerkonto" aufgefallen mit dem Namen "Administrator", was, glaube ich, früher fehlte. Malwarebytes konnte ich plötzlich nicht mehr starten, es kam Fehlercode 723 (2,0). Nach Deinstallierung und Neuinstallation gings wieder. Hier ist die Textdatei: 3D Shadow by Lokas Software ABBYY FineReader 6.0 Professional Acronis PartitionExpert Adobe Download Manager 2.0 (Nur entfernen) Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Adobe Photoshop 6.0 Adobe Reader 7.0.8 - Deutsch AFPL Ghostscript 8.53 AFPL Ghostscript Fonts Agere Systems AC'97 Modem AIDA32 v3.93 ALDI Foto Manager Free Nord ALDI Foto Service Nord Aldi Nord Fotoservice ALDI Online Druck Service (Nord) AMP Font Viewer Anti-Twin (Installation 05.04.2008) Anvil Studio A-one DVD Ripper 6.34 Appomatox Ver. 3.43 A-Ray Scanner 2.0.1.0 ArtRage 2 Starter Edition Artweaver Ashampoo UnInstaller 2002-2003 ATI - Dienstprogramm zur Deinstallation der Software ATI Control Panel ATI Display Driver ATnotes Version 9.5 Audacity 1.3.6 (Unicode) AusLogics Disk Defrag AutoUpdate Avira AntiVir Personal - Free Antivirus BlindWrite5 ButtonBar CA Licensing CCleaner (remove only) CDBurnerXP CDex extraction audio Clickster C-Media USB Mass Storage Driver Compatibility Pack für 2007 Office System Corel KPT3® Corel Painter Essentials 3 Crazy Machines CSS-Editor Cuttermaran 1.62 DAEMON Tools DAMPSOFT auf Laufwerk C Deep Paint DIE SIEDLER - Das Erbe der Könige (Alle Produkte) Die Siedler III Gold Edition Digital Image Recovery 1.47 Digitale Bibliothek 4 DivX Player DivX Pro DivX Web Player DriveImage XML DVD Decrypter (Remove Only) DVD Shrink 3.2 deutsch DVDFab HD Decrypter 3.2.0.0 Equation Wizard Exif-Viewer 2.40 eXPert PDF 4 Faraday's Electromagnetic Lab ffdshow Firebird SQL Server (D) Free Download Manager 2.5 FreshDownload 3.00 Galileo Video-Training Ghost Explorer GIMP 2.4.6 Google Earth Google Toolbar for Internet Explorer GraphCalc v4.0.1 GSpot Codec Information Appliance GSview 4.6 GUI for dvdauthor 1.04 Harry's Filters HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs HijackThis 1.99.1 ImgBurn (Remove Only) Informationen über Ihren PC InfraRecorder IrfanView (remove only) IsoBuster 1.9 J2SE Runtime Environment 5.0 Update 11 Jalbum 8.1 Java 2 Runtime Environment, SE v1.4.2_05 Java(TM) 6 Update 11 Java(TM) 6 Update 2 Java(TM) 6 Update 3 Java(TM) 6 Update 4 Java(TM) 6 Update 5 Java(TM) 6 Update 7 Java(TM) SE Runtime Environment 6 Update 1 KompoZer 0.77 Learn2 Player (Uninstall Only) LeechFTP Macromedia Shockwave Player MAGIX Foto Clinic 4.5 (D) MAGIX Foto Manager 2006 (D) MAGIX Music Manager (D) MAGIX Online Druck Service MAGIX Video deLuxe 2006 PLUS (D) Malwarebytes' Anti-Malware MediaJoin MediaShow 3.0 Micrografx Picture Publisher 10 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Microsoft ActiveSync 3.8 Microsoft AutoRoute 2005 Microsoft Encarta Enzyklopädie 2005 Microsoft Visual C++ 2005 Redistributable Microsoft Windows-Journal-Viewer Microsoft Word 2002 Microsoft Works Microsoft Works Suite-Add-Ins für Microsoft Word Microsoft XML Parser Monitor Calibration Wizard 1.0 Mozilla Firefox (2.0.0.12) Mozilla Firefox (3.0.6) Mozilla Thunderbird (2.0.0.19) MSXML 4.0 SP2 (KB927978) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) Musicmatch® Jukebox Neat Image v5 Demo (with plug-in) Nero Suite NetObjects Fusion 5.0 OnlineFotoservice OpenOffice.org 2.4 Panda ActiveScan PDFCreator Photomatix Pro v1.3 PhotoNow! 1.0 Pinnacle DV25 Codec PowerCinema 3.0 PowerDirector PowerDVD PowerProducer PPC 2003 eVB Pruef-ZFA QuickTime Alternative 1.81 RagTime Privat Real Alternative 1.52 Realtek AC'97 Audio REALTEK Gigabit and Fast Ethernet NIC Driver SDP Downloader Security Update für Microsoft .NET Framework 2.0 (KB928365) Setup-Start von Microsoft Works 2005 Shockwave ShrinkTo5Basic Skype 1.0 Spybot - Search & Destroy 1.4 Spyware Doctor 6.0 SUPER © Version 2007.bld.21 (Jan 4, 2007) Synaptics Pointing Device Driver SyncBack Tablett The FilmMachine 1.5.0.173 beta The Off By One Web Browser Triptych UFRaw 0.13 Uninstall DreamSuite Bonus VEdit VeryPDF PDF2Word v3.0 Videograbber 5.0 videon Viewpoint Media Player Virtual Pool Mobile VLC media player 0.9.4 VNC 3.3.7 WebFldrs XP Winamp Windows Defender Windows Genuine Advantage Validation Tool (KB892130) Windows Media Connect Windows Media Format Runtime Windows Media Player 10 Windows-Sicherungsprogramm Works Update X10 Hardware(TM) X-Cleaner Deluxe xp-AntiSpy 3.93 Tschüß Michael |
|
|
||
das ist eine Fortsetzung des Threads "Viren auf meinen Webseiten" im allgemeinen Security Forum.
Mir war aufgefallen, daß auf meine Webseiten am 25.12. ein Virus/Trojaner... hochgeladen wurde. Meine Vermutung, daß jemand sich online Zugang zu den Zugangsdaten, die in Leech ftp gespeichert sind, verhärtet sich.
Aufgrund des Tips von virenfinder habe ich mal Malwarebytes arbeiten lassen:
Habe den Sinowal :-(
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> No action taken.
Ein weiteres Programm, mbr.exe sagt:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x951dfc5 size 0x1a9 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
da ich gestern abend keine Antwort von Euch mehr bekommen habe, habe ich alleine weitergemacht:
habe den mbr neu schreiben lassen von mbr.exe, die log Datei danach war o.k
habe malwarebytes den Reg-schlüssel beseitigen lassen. danach (auch nach Neustart) gab es keinen Hinweis mehr.
Ich habe dann noch den Kaspersky Online Scanner laufen lassen. Der hat noch 2 "Trojanerreste" in nicht komprimierten Ordnern von Thunderbird gefunden - nach der Komprimierung war die Meldung auch weg.
Hier Info zu dem üblen Trojaner: http://www.computerworld.ch/aktuell/news/36233/index.html
Mein Fazit:
1. Ohne Euch hätte ich das nicht geschafft! Vielen Dank dafür.
2. Es ist durch diese Maßnahmen vielleicht möglich gewesen, den Trojaner ohne Formatierung zu beseitigen. Jedenfalls habe ich keine Hinweise, daß er noch da wäre.
3. Selbst die ständig sich aktualisierende Software Avira hat es nicht geschafft, den Trojaner zu erkennen. Sehr traurig. Welche hätte es geschafft??
4. Die Installation auf mein System ist wahrscheinlich über ein gefaktes Windows Update passiert. So arbeitet Sinowal jedenfalls. In so einem Fall hätte auch ein eingeschränktes Benutzerkonto nichts genützt, weil die Windows Updates ja doch auf dem Admin Konto ablaufen müssen. Wenn man aber glaubt, es handle sich um ein echtes Update ist man dran...
5. ich werde die automatischen Updates komplett deaktivieren und dann und wann ein Update von Hand machen.
6. Bloß gut, daß ich die Bankgeschäfte auf meinem WIN98 PC ohne WLAN mache und nicht auf diesem Laptop mit XP und WLAN.
7. Auf dem PC gespeicherte Zugangsdaten sind immer schlecht. Vor allem, wenn sie in den Programmen selbst (wie hier Leech ftp) ohne Passwort gespeichert werden. Die entsprechende log-Datei kann jeder auslesen. So konnten bei mir alle Webseiten angesteuert werden.
8. Gut, daß Firefox und Thunderbird Masterpasswortschutz haben. Das Masterpasswort existiert nur in meinem Kopf.
Würde mich interessieren, wie Eure Meinung dazu ist.
(Kann aber erst in ein paar Tagen antworten wegen Urlaub :-)
Tschüß
Michael