Fake "Security Center Alert" für Win32.Brontok -Wurm |
||
---|---|---|
#0
| ||
24.07.2009, 09:42
...neu hier
Beiträge: 6 |
||
|
||
24.07.2009, 09:46
...neu hier
Themenstarter Beiträge: 6 |
#2
Zitat Piet002 posteteHier das HJT-Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:45:23, on 24.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\atievxx.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\PeterW\Eigene Dateien\Downloads\Security-Software\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office2K\Office\OSA9.EXE O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189174216317 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe -- End of file - 4302 bytes |
|
|
||
24.07.2009, 11:29
...neu hier
Themenstarter Beiträge: 6 |
#3
... Habe danach ComboFix ausgeführt. Hier das dazugehörige Log-File. ...
---------------------------------------------------------------------- ComboFix 09-07-23.02 - PeterW 24.07.2009 10:44.2.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.127.72 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\PeterW\Eigene Dateien\Downloads\Security-Software\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Google\ocprg23017248.exe c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Google\Shell32.dll c:\windows\system32\tmp.reg c:\windows\Sysvxd.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-06-24 bis 2009-07-24 )))))))))))))))))))))))))))))) . 2009-07-24 05:50 . 2009-07-24 05:50 4956408 ----a-w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\pdinstall.exe 2009-07-24 05:34 . 2009-07-24 05:34 422 ----a-w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\BitTorrent\mario.exe 2009-07-24 05:34 . 2009-07-24 05:34 16141 ----a-w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Help\flamiks32.exe 2009-07-24 05:34 . 2009-07-24 05:34 145131 ----a-w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Corel\pingo.dll 2009-07-24 05:34 . 2009-07-24 05:34 13221 ----a-w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\AdobeUM\xl12.exe 2009-07-24 05:34 . 2009-07-24 05:34 11232 ----a-w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Adobe\norigami.dll 2009-07-14 07:18 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-07-14 07:18 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-07-14 07:18 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-07-14 07:18 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-07-14 07:17 . 2009-07-14 07:17 -------- d-----w- c:\programme\Avira 2009-07-14 07:17 . 2009-07-14 07:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-07-14 06:23 . 2009-07-14 06:23 -------- d-sh--w- c:\dokumente und einstellungen\PeterW\PrivacIE 2009-06-26 01:01 . 2009-06-26 01:01 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache 2009-06-25 14:41 . 2009-06-25 14:41 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-06-25 14:39 . 2009-06-25 14:40 -------- d-sh--w- c:\dokumente und einstellungen\PeterW\IETldCache 2009-06-25 13:11 . 2009-06-02 10:12 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll 2009-06-25 13:09 . 2009-06-25 13:12 -------- d-----w- c:\windows\ie8updates 2009-06-25 13:07 . 2009-04-30 21:13 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll 2009-06-25 13:07 . 2009-04-30 21:12 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll 2009-06-25 13:02 . 2009-06-25 13:07 -------- dc-h--w- c:\windows\ie8 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-24 07:42 . 2007-09-20 03:45 -------- d-----w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\uTorrent 2009-07-24 05:34 . 2007-09-20 22:59 -------- d-----w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\BitTorrent 2009-07-24 05:34 . 2006-01-21 20:51 -------- d-----w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Corel 2009-07-24 05:34 . 2005-11-08 14:54 -------- d-----w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\AdobeUM 2009-07-14 08:28 . 2005-10-29 17:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-07-14 08:23 . 2005-10-29 17:25 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-07-14 07:01 . 2005-10-31 12:51 -------- d-----w- c:\programme\Google 2009-07-14 06:51 . 2007-12-09 19:06 -------- d-----w- c:\programme\PartyGaming.Net 2009-07-14 06:39 . 2007-09-08 21:45 -------- d-----w- c:\programme\Opera 2009-07-13 07:59 . 2007-09-20 03:44 -------- d-----w- c:\programme\uTorrent 2009-06-16 14:53 . 2004-08-05 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll 2009-06-16 14:53 . 2004-08-05 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-03 19:26 . 2004-08-05 12:00 1296384 ----a-w- c:\windows\system32\quartz.dll 2009-05-13 05:02 . 2004-08-05 12:00 915456 ----a-w- c:\windows\system32\wininet.dll 2009-05-09 16:04 . 2004-08-05 12:00 63976 ----a-w- c:\windows\system32\perfc007.dat 2009-05-09 16:04 . 2004-08-05 12:00 391574 ----a-w- c:\windows\system32\perfh007.dat 2009-05-07 15:42 . 2004-08-05 12:00 346624 ----a-w- c:\windows\system32\localspl.dll 2007-09-07 13:14 . 2005-10-31 12:52 135680 ----a-w- c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EPSON Stylus C66 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE" [2003-11-27 99840] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696] Microsoft Office.lnk - c:\programme\Office2K\Office\OSA9.EXE [1999-2-17 65588] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0pgdfgsvc C 1 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\uTorrent\\utorrent.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\drivers\\svchost.exe"= S1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [2005-12-26 81408] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-07-14 108289] S3 ALiIRDA;ALi-Infrarotgerätetreiber;c:\windows\system32\DRIVERS\alifir.sys [2001-08-17 26624] S3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\DRIVERS\LTSM.sys [2001-08-17 802683] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . Inhalt des "geplante Tasks" Ordners 2009-07-21 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job - c:\programme\Spybot - Search & Destroy\SpybotSD.exe [2009-07-14 13:31] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-realteks - c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Google\ocprg23017248.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 mWindow Title = Microsoft Internet Explorer uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://www.google.com/search?q=%s . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-24 11:02 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2420) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir Desktop\avguard.exe c:\windows\system32\atievxx.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-07-24 11:22 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-07-24 09:22 ComboFix2.txt 2007-09-11 10:38 Vor Suchlauf: 1.480.531.968 Bytes frei Nach Suchlauf: 1.471.070.208 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 137 --- E O F --- 2009-07-15 04:23 |
|
|
||
24.07.2009, 12:25
...neu hier
Themenstarter Beiträge: 6 |
#4
Zitat Piet002 posteteNach der Ausführung von ComboFix scheint das Problem behoben zu sein. Der gefälschte "Security-Alert" tritt jedenfalls nicht mehr als PopUp auf. Falls jemand mit mehr Wissen über diesen Fall noch ein Problem aus dem oben geposteten Log-Files erkennt, wäre es nett, dies in diesem Thread mir mitzuteilen. Danke in voraus.... Piet002 |
|
|
||
24.07.2009, 17:33
Ehrenmitglied
Beiträge: 6028 |
#5
MalwareBytes' Anti-Malware
Platform: Windows NT/2000/XP/2003 Server/Vista/2008 Server Download MalwareBytes' Anti-Malware Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Wähle bei Reiter: “Scanner”>> "Quick-scan durchführen". Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen Starte dein Rechner neu Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Malwarebytes Anti-Malware kann man nachher behalten ! Später kann man noch ein "Vollständiger Suchlauf“durchführen __________ MfG Argus |
|
|
||
Alle 15 Minuten und direkt nach dem Hochfahren des Systems erscheint ein PopUp-Fenster, das vortäuscht, dass die Windows-Firewall die verdächtige Software "Win32.Brontok" geblockt wurde. Klickt man die einzige Option "Enable Protection", so wird man nach dem (wiederum täuschend echten) Update Fenster aufgefordert eine Anti-Viren-Software herunterzuladen, die nichts mit Windows-Update usw. zu tun hat.
Etwas ähnliches ist mir vor einiger Zeit schon mal passiert und mir wurde klar gemacht, dass ich mir einen sog. "ZLOB" eingefangen habe.
Anti-Vir findet und hilft in diesem Fall nicht. Das mal zum Anfang; in kürze folgt das HiJackThis-Logfile....
Für Hilfe voraus schon Dankbar...
Piet002