Trojaner eingefangen! Logfile anbei!!

#0
20.11.2009, 10:11
Member

Beiträge: 18
#1 Ich glaube ich habe mir gestern einen Trojaner eingefangen! Ich bin immer mit einem eingeschränktem Konto angemeldet, sodass fast alle Aktivitäten mit einem Passwort bestätigt werden müssen.

Gestern erhielt ich eine anfrage, dass "WS040e.exe versucht auf mein System zuzugreifen und Adminrechte benötigt, die habe ich natürlich nicht erteielt.

Später sah ich dann auf meinem Desktop plötzlich eine Desktopverknüpfung die ich nicht kannte, sie nannte sich "System Defender".

In unregelmäßigen Abständen erschienen von dieser anwendung einige Meldungen, das mein System mit mehreren Trojanern infiziert sei.Es gab einen Button (Alle Löschen) zum anklicken, ich wurde auf eine Seite weitergeleitet auf der man angeblich Antiviren Programme kaufen kann.

Habe Windows defender durchlaufen lassen, hat einiges von WS040e.exe gefunden und gelöscht. Vor Windows defender hatte die Hijacklist Logfile noch diese 2 Einträge:

C:\ProgramData\040eaa7\WS040e.exe

O4 - HKUS\S-1-5-21-2448137343-1545661572-926876936-1004\..\Run: [System Defender] "C:\ProgramData\040eaa7\WS040e.exe" /s /d (User 'Alex & Anja')

Nachdem Windows defender sein job gemacht hatte, war noch dieser Eintrag in der logfile zu lesen:

O4 - HKUS\S-1-5-21-2448137343-1545661572-926876936-1004\..\Run: [WAB] C:\Users\Alex & Anja\AppData\Roaming\Macromedia\Co,n\279fe02e19.exe (User 'Alex & Anja')

den ich dann gefixt habe!

Könnt ihr mir weiterhelfen oder reichen diese Schritte? Vieleicht endeckt ihr nochmehr in meiner log.

Noch eine Frage: Diese "noname extraButton" einträge, kann ich so oft fixen wie ich will, die kommen immer und immer wieder!

THX

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:03:09, on 20.11.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18319)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Windows\system32\conime.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Bandoo IE Plugin - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Bandoo\Plugins\IE\ieplugin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2448137343-1545661572-926876936-1004\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User '')
O4 - HKUS\S-1-5-21-2448137343-1545661572-926876936-1004\..\Run: [WAB] C:\Users\Alex & Anja\AppData\Roaming\Macromedia\Co,n\279fe02e19.exe (User '')
O4 - S-1-5-21-2448137343-1545661572-926876936-1004 Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (User '
O4 - S-1-5-21-2448137343-1545661572-926876936-1004 User Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (User '')
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll c:\progra~1\bandoo\bndhook.dll
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - D:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bandoo Coordinator - Discordia Limited - C:\PROGRA~1\Bandoo\Bandoo.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
--
End of file - 8149 bytes

neue Logfile nach einer gründlichen DESINFIZIERUNG

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:20:24, on 20.11.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18319)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Windows\Explorer.EXE
C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\conime.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\msfeedssync.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2448137343-1545661572-926876936-1004\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Alex & Anja')
O4 - S-1-5-21-2448137343-1545661572-926876936-1004 Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (User 'Alex & Anja')
O4 - S-1-5-21-2448137343-1545661572-926876936-1004 User Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (User 'Alex & Anja')
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - D:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

--
End of file - 8426 bytes
__________
Gruß
Binary
Dieser Beitrag wurde am 21.11.2009 um 12:12 Uhr von Binary editiert.
Seitenanfang Seitenende
20.11.2009, 12:52
Moderator

Beiträge: 7805
#2 Das ist ein Silent Banker
O4 - HKUS\S-1-5-21-2448137343-1545661572-926876936-1004\..\Run: [WAB] C:\Users\Alex & Anja\AppData\Roaming\Macromedia\Co,n\279fe02e19.exe (User '')

Das bedeutet, Rechner vom Netz(Internet) trennen, schauen, das man von einem sauberen PC aus alle Passworte aendert und erst dann kann man schauen, was man mit dem Rechner machen sollte. Ernst gemeinter Vorschlag, setz den Rechner neu auf.

Obige Empfehlungen sollten schnellst moeglich angegangen werden, ansonsten kann es fuer deine Onlinekonten u spaet sein, fuer alle anderen Dinge, die der Banker gestohlen hat ebenfalls. Beim letzten Befall eines Silent Bankers, den ich hier persoenlich vor Ort "behandeln" durfte, merkte der User erst, das was nicht stimmte, als angefangen wurde mit den geklauten Daten "dummes Zeug" zu machen.
Sprich Emailkonto wurde schon gehijacked und beim Onlinekonto wurde es laut Bank anscheinend auch schon versucht!

Es hat 2 Tage gedauert, bis wir das Emailkonto wieder unter unsere Kontrolle hatten!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.11.2009, 13:06
Member

Themenstarter

Beiträge: 18
#3 Mir wird ganz schlecht, ich muss mich übergeben!!!!!!!!!!! LoooL

Das habe ich jetzt nicht wirklich gelesen!!!!!! BITTTTE NICHT!!

Allein alle PW zu änden dauert Stunden! Alles in allem würde 2 Tage dauern!

Ich habe jetzt Kaspersky internet security 2010 drauf, es wurde nichts mehr gefunden!

Sollte ich das Betriebssystem trotzdem neu aufsetzen?

Danke für die schnelle Antwort.
__________
Gruß
Binary
Dieser Beitrag wurde am 20.11.2009 um 15:18 Uhr von Binary editiert.
Seitenanfang Seitenende
20.11.2009, 13:38
Moderator

Beiträge: 7805
#4 Zumindest deine gespeicherten Passworte sind weg, davon ist auszugehen.

Schaue in den Ordner
C:\Users\Alex & Anja\AppData\Roaming\Macromedia\Co,n

[co,n] sollte common heissen. Was befindet sich in den Ordner und was in dem Ordner

C:\Users\default\AppData\Roaming\Macromedia\Co,n

Ein Kontrollscan mit Mbam sollte da auch weiter helfen:
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.11.2009, 14:08
Member

Themenstarter

Beiträge: 18
#5 Im ordner

tasklist C:\Users\Alex & Anja\AppData\Roaming\Macromedia\Co,n

befindet sich eine Datei 279fe02e19.
Der flashplayer von Macromedia befindet sich auch im Roaming Ordner.

Dieser Pfad C:\Users\default\AppData\Roaming\Macromedia\Co,n
exestiert nicht.


Ich habe in der registry einträge von der WS040e.exe gefunden. Im Anhang ein Screenshot als jpg.


ich weiss nicht welche ich davon löschen kann oder sollte und welche nicht.

PS: MBAM läuft noch.

Anhang: Registry.jpg

__________
Gruß
Binary
Dieser Beitrag wurde am 20.11.2009 um 14:19 Uhr von Binary editiert.
Seitenanfang Seitenende
20.11.2009, 14:16
Moderator

Beiträge: 7805
#6 Von den Eintraegen kannst du keine loeschen. ist 279fe02e19.exe die einzige Datei in dem Ordner? Du kannst sie gerne mal bei Virustotal hochladen und pruefen, aber ich denke, die Erkennung wird mager ausfallen... Wie gesagt, ein Mbam Report waere nicht uebel. Mache nur einen Quickscan und lasse nichts loeschen. Die neueren Banker lassen Mbam beim Reinigen abstuerzen...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.11.2009, 15:01
Member

Themenstarter

Beiträge: 18
#7 Vorab noch eine Frage ich hatte mir vor ca. 3 Wochen Re... Free Keylogger
installiert. Habe es benutzt und einige tage später wieder gelöscht, weil ich es nicht mehr brauchte. Kann der log eintrag noch vom Progi stammen?

Die 279fe02e19.exe ist die einzige Datei im Co,n ordner.
Im Macromedia Ordner haben wir drei unterordner einmal den flash player,Co n und Common.
Im common sind 2 Dateien einmal die 279fe02e19.exe und 279fe02e1.dll.
Im Flash Player sind halt einige Ordner von i-Seiten die der Flash Player benötigt.

Ich habe noch 2 jepg Datei im Anhang, von Kaspersky und Mbam.

Was kann oder soll ich bei Mbam entfernen?

Mbam Logdatei

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3201
Windows 6.0.6001 Service Pack 1

20.11.2009 15:21:37
mbam-log-2009-11-20 (15-21-19).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 104533
Laufzeit: 4 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Users\Alex & Anja\AppData\Roaming\System Defender (Rogue.SystemDefender) -> No action taken.

Infizierte Dateien:
C:\Users\Alex & Anja\AppData\Roaming\System Defender\cookies.sqlite (Rogue.SystemDefender) -> No action taken.
C:\Users\Alex & Anja\AppData\Roaming\System Defender\Instructions.ini (Rogue.SystemDefender) -> No action taken.
C:\Users\Alex & Anja\AppData\Roaming\Microsoft\Windows\Start Menu\System Defender.lnk (Rogue.SystemDefender) -> No action taken.
C:\Users\Alex & Anja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Defender.lnk (Rogue.SystemDefender) -> No action taken.
C:\Users\Alex & Anja\AppData\Roaming\Macromedia\Common\279fe02e1.dll (Hijack.Sound) -> No action taken.



Virustotal ergebniss:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.20 Trojan.Win32.Riern!IK
AhnLab-V3 5.0.0.2 2009.11.19 -
AntiVir 7.9.1.72 2009.11.20 TR/ATRAPS.Gen
Antiy-AVL 2.0.3.7 2009.11.20 -
Authentium 5.2.0.5 2009.11.20 -
Avast 4.8.1351.0 2009.11.20 Win32:Riern-H
AVG 8.5.0.425 2009.11.20 -
BitDefender 7.2 2009.11.20 Trojan.Riern.B
CAT-QuickHeal 10.00 2009.11.20 Trojan.Agent.ATV
ClamAV 0.94.1 2009.11.20 -
Comodo 2983 2009.11.19 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.11.20 -
eSafe 7.0.17.0 2009.11.19 -
eTrust-Vet 35.1.7132 2009.11.20 -
F-Prot 4.5.1.85 2009.11.20 -
F-Secure 9.0.15370.0 2009.11.20 Trojan.Riern.B
Fortinet 3.120.0.0 2009.11.20 W32/Riern!tr
GData 19 2009.11.20 Trojan.Riern.B
Ikarus T3.1.1.74.0 2009.11.20 Trojan.Win32.Riern
Jiangmin 11.0.800 2009.11.20 -
K7AntiVirus 7.10.900 2009.11.19 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.11.20 -
McAfee 5807 2009.11.19 Riern
McAfee+Artemis 5807 2009.11.19 Riern
McAfee-GW-Edition 6.8.5 2009.11.20 Trojan.ATRAPS.Gen
Microsoft 1.5302 2009.11.20 Trojan:Win32/Riern.A
NOD32 4624 2009.11.20 a variant of Win32/Starter.NAI
Norman 6.03.02 2009.11.20 -
nProtect 2009.1.8.0 2009.11.20 -
Panda 10.0.2.2 2009.11.20 Generic Trojan
PCTools 7.0.3.5 2009.11.20 Trojan.Generic
Prevx 3.0 2009.11.20 Medium Risk Malware
Rising 22.22.04.09 2009.11.20 -
Sophos 4.47.0 2009.11.20 Troj/Riern-Fam
Sunbelt 3.2.1858.2 2009.11.19 -
Symantec 1.4.4.12 2009.11.20 Trojan Horse
TheHacker 6.5.0.2.074 2009.11.19 -
TrendMicro 9.0.0.1003 2009.11.20 -
VBA32 3.12.12.0 2009.11.20 -
ViRobot 2009.11.20.2047 2009.11.20 -
VirusBuster 5.0.21.0 2009.11.19 -
weitere Informationen
File size: 3584 bytes
MD5...: 1ae3ffd50ac11231435821116a421cd1
SHA1..: d3a5485fcc9c4661545729c3a15c6264b7cf7e27
SHA256: 95f72cd8352fc0f996cee669c577a1d95b806e572655c523017db0bd3981c5d7
ssdeep: 48:quYNuuFlBXnuNy5cXKqzz8LT/36/gBZK+VHexIE9eZB:dYnFXuNyqXKqzgL73
Kgq+emw
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1185
timedatestamp.....: 0x4abd0dbd (Fri Sep 25 18:36:45 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x38f 0x400 5.83 9b99c9c68f7664ec507fd92994019414
.rdata 0x2000 0x54 0x200 0.63 16b4ff9036790e407462d181731d53a4
.data 0x3000 0x264 0x400 4.47 5f0ba7cd9521a03cfbafc3f6bfaa3b2f

( 1 imports )
> KERNEL32.dll: ExitProcess

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=1ae3ffd50ac11231435821116a421cd1' target='_blank'>http://www.threatexpert.com/report.aspx?md5=1ae3ffd50ac11231435821116a421cd1</a>
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=63DDA755009EAD210E7400609A135000B79BCD14' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=63DDA755009EAD210E7400609A135000B79BCD14</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
__________
Gruß
Binary
Dieser Beitrag wurde am 20.11.2009 um 15:25 Uhr von Binary editiert.
Seitenanfang Seitenende
20.11.2009, 15:41
Moderator

Beiträge: 7805
#8 Da ist er ja doch "deine" Banker
C:\Users\Alex & Anja\AppData\Roaming\Macromedia\Common\279fe02e1.dll


Also gilt mein Vorschlag aus meinem ersten Posting! ;) Ich wuerde nicht zu lange warten, zumindest mit den wichtigen Passworten...!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.11.2009, 15:54
Member

Themenstarter

Beiträge: 18
#9 Reicht es wirklich nicht aus wenn ich alle von Mbam angezeigten infizierten Dateien entferne??? Das kann doch nicht war sein!!!!!!!!! Alle progis, alle einstellungen, alles neu machen. Irgendwann erwische ich einen, den hau ich dann auf die Finger.

*heuel* Binary <---- hat so viel arbeit vor sich!!! Für andere mach ich das gerne, aber nicht beim eigenen System!


__________
Gruß
Binary
Seitenanfang Seitenende
20.11.2009, 16:03
Moderator

Beiträge: 7805
#10 Es ist an sich nicht das neu aufsetzen, es sind die Daten die geklaut wurden, um die du dir sorgen machen solltest. Neu aufsetzen hat Zeit, sofern der Rechner nicht ins Internet kann.

Davon einmal abgesehen ist auch dein Windows bei weitem nicht auf dem neusten Stand. Du nutzt noch Servicepack1, obwohl es schon seit geraumer Zeit SP2 gibt....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.11.2009, 16:19
Member

Themenstarter

Beiträge: 18
#11 @ raman das einzige um was ich mir sorgen mache sind meine Kredit- und Bankdaten! Die habe ich aber schon ändern lassen. Was meinst du eigentlich mit Datenklau, klaut der Banker nur login Daten wie ein keylogger oder kann er sich auch pics, Dokumente etc. klauen?

Was mich wunder ist, ich überprüfe fast wöchentlich meine Logfile nach ungebetenen Gästen, aber erst seit heute früh gegen 2 Uhr habe ich diesen Virusarlarm.
Wie gesagt er hat erst heute morgen nach den Adminrechten gefragt.
Jedes Progi was sich installieren muss braucht adminrechte.
Ich bin immer mit dem eingeschränkten Konto unterwegs im net.
Wenn er erst seit heute morgen hier sein unwesen treibt, kann er nur vom Protecus und 2 anderen Webseiten Login Daten haben. Wenn...

Soll er mit dem Rest meiner Login Daten glücklich werden!

Raman ich wusste nicht, dass es für Vista schon ein Service Pack 2 gibt. Wo hast du es denn her? Windows macht bei mir TÄGLICH ein automatisches Update, ich habe daran keine Schuld!

Leider habe ich mir mein Spiele Rechner zerschossen und der Laptop ist nun erstmal meine einzige Lösung um ins world wide web zu kommen!
__________
Gruß
Binary
Dieser Beitrag wurde am 20.11.2009 um 16:35 Uhr von Binary editiert.
Seitenanfang Seitenende
20.11.2009, 16:33
Moderator

Beiträge: 7805
#12 Das sp2 gibt es seit ca Maerz, wenn ich das richtig in Erinnerung habe. Ueber den Updater ist es dann einen Monat spaeter verteilt worden. Da scheint mit deinem Windowsupdate nicht zu stimmen...

Der Silent Baner ist ein "allrounder". Sprich Keylogger, Formgrabber, Passwort stehler. Das Ganze Programm halt.

Schau mal auf das Datum der dll aus dem common Ordner. Dann hast du den eigentlichen Infektionszeitpunkt.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.11.2009, 16:38
Member

Themenstarter

Beiträge: 18
#13 Mist +*@§$%&$§""§ arrggg!!!!

Mbam hat volle Arbeit geleistet!!! Ist nichtmehr da!!! Wurde terminiert!!!
__________
Gruß
Binary
Seitenanfang Seitenende
20.11.2009, 16:40
Moderator

Beiträge: 7805
#14 Na, das will ich sehen. Wenn du etwas "experimentierfreudig" bist, dann nutze bitte Combofix. Combofix braucht Adminrechte und das AV darf nicht aktiv sein!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.11.2009, 20:36
Member

Themenstarter

Beiträge: 18
#15 Habe dieses Combofix Progi seit 17 Uhr zu laufen gehabt und nichts ist passiert!!!
__________
Gruß
Binary
Seitenanfang Seitenende