| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
22.07.2008, 20:02
| #1 |
 |  Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! Liebe Experten, am 20.07.2008 habe ich mich für mein Online Banking bei der Sparkasse angemeldet. Beim Wechsel von meiner Statusanzeige zur Umsatzanzeige wurden 10 TANs abgefragt, die ich natürlich nicht angegeben habe. Ich arbeite auf Windows XP, habe eine Festplatte in zwei Platten C: und F: partioniert. D: und E: sind DVD Player und Brenner, wobei D: schon 1 Jahr defekt ist. Die Leistung ist AMD Athlon 64 Prozessor 3000+, 2.01 GHz, 1,00 GB RAM. Am Donnerstag - vor dem Online Banking- habe ich das SP3 für XP mit allen Updates installiert. Zudem habe ich AntiVir, AdAware, Spybot und Zonealarm upgedatet und durchlaufen lassen. Es wurde nichts gefunden. Anmerkung: Mit firefox werden keine 10 TANs abgefragt. Heute habe ich nod32 installiert, nachdem ich meine Sicherheitsprogramme deinstalliert und Kaspersky nicht installiert bekommen habe. Mir wurde folgendes gemeldet: "Arbeitsspeicher - Win32/Mebroot Trojaner - Säubern nicht möglich" Auf meiner Suche in diesem Forum bin ich auf den Thread h**p://w*w.trojaner-board.de/54836-virus-trojan-mebroot-b-post349749.html#post349749 gestoßen. Die Anweisungen habe ich bis GMER - Rootkit Detection verfolgt, ich weiß aber nicht wie weit ich die Ergebnisse auf mein Problem übertragen kann. Kann hier jemand einsteigen und mir Laien weiterhelfen? Mein HijackThis Log lautet: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:42:43, on 22.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\svchost.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft Location Finder\LocationFinder.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\MSI\Bluetooth Software\BTTray.exe C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\+++\Desktop\gmer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w+w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NVidia System Utility] "C:\Programme\NVIDIA Corporation\NVIDIA System Utility\\NVSystemUtility.exe" clear O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Location Finder] "C:\Programme\Microsoft Location Finder\LocationFinder.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe (file missing) O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 5359 bytes mbr.log nach öffnen der mbr.bat: Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://w+w.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully MBR rootkit code detected ! malicious code @ sector 0x17499f00 size 0x1fd ! copy of MBR has been found in sector 62 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. original MBR restored successfully ! gmer hat folgendes protokolliert: GMER 1.0.14.14536 - h++p://w*w.gmer.net Rootkit scan 2008-07-22 20:45:03 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) ZwOpenFile [0xF72E6030] ---- Kernel code sections - GMER 1.0.14 ---- PAGE CLASSPNP.SYS!ClassInitialize + F4 F764342C 4 Bytes [ 56, 27, 72, 86 ] PAGE CLASSPNP.SYS!ClassInitialize + FF F7643437 4 Bytes [ AC, E1, 71, 86 ] PAGE CLASSPNP.SYS!ClassInitialize + 10A F7643442 4 Bytes [ 68, 27, 72, 86 ] PAGE CLASSPNP.SYS!ClassInitialize + 111 F7643449 4 Bytes [ 5C, 27, 72, 86 ] PAGE CLASSPNP.SYS!ClassInitialize + 118 F7643450 4 Bytes [ 62, 27, 72, 86 ] PAGE ... ? C:\DOKUME~1\FOREVE~1\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.14 ---- .text C:\WINDOWS\Explorer.EXE[1304] ADVAPI32.dll!CryptDestroyKey 77DB9E9C 7 Bytes JMP 00F62B93 .text C:\WINDOWS\Explorer.EXE[1304] ADVAPI32.dll!CryptDecrypt 77DBA109 7 Bytes JMP 00F62B50 .text C:\WINDOWS\Explorer.EXE[1304] ADVAPI32.dll!CryptEncrypt 77DBE340 7 Bytes JMP 00F62B14 .text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00F62AF9 .text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!send 71A14C27 5 Bytes JMP 00F62985 .text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00F62A77 .text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00F629BD .text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00F629F5 .text C:\Programme\Internet Explorer\iexplore.exe[2312] ADVAPI32.dll!CryptDestroyKey 77DB9E9C 7 Bytes JMP 03072B93 .text C:\Programme\Internet Explorer\iexplore.exe[2312] ADVAPI32.dll!CryptDecrypt 77DBA109 7 Bytes JMP 03072B50 .text C:\Programme\Internet Explorer\iexplore.exe[2312] ADVAPI32.dll!CryptEncrypt 77DBE340 7 Bytes JMP 03072B14 .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 44671667 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 446715E8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 4467162C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 44671574 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446715AE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446716A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!InternetCloseHandle 441EDA59 5 Bytes JMP 03073098 .text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!HttpOpenRequestA 441F4341 5 Bytes JMP 03072DD1 .text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!InternetConnectA 441F499A 5 Bytes JMP 03072BAE .text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!InternetReadFile 441FABB4 5 Bytes JMP 03073043 .text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!HttpSendRequestA 441FCD40 5 Bytes JMP 03072F11 .text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!HttpSendRequestW 44210825 5 Bytes JMP 030739D8 .text C:\Programme\Internet Explorer\iexplore.exe[2312] CRYPT32.dll!CertGetCertificateChain 77A62F67 5 Bytes JMP 03073578 .text C:\Programme\Internet Explorer\iexplore.exe[2312] CRYPT32.dll!CertVerifyCertificateChainPolicy 77A6B76F 5 Bytes JMP 03073581 .text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[3268] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 4 Bytes [ C2, 04, 00, 00 ] ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET) AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys Device \Driver\Cdrom \Device\CdRom0 86722756 Device \Driver\Cdrom \Device\CdRom1 86722756 Device \Driver\Disk \Device\Harddisk0\DR0 86722756 ---- Threads - GMER 1.0.14 ---- Thread 4:472 867618D0 Thread 4:476 8674EBE0 Thread 4:480 86796DF0 Thread 4:484 8672F110 Thread 4:1596 867618D0 Thread 4:1600 8674EBE0 Thread 4:1604 86796DF0 Thread 4:1608 8672F110 ---- Disk sectors - GMER 1.0.14 ---- Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior; ---- EOF - GMER 1.0.14 ---- Wie soll ich jetzt weiterverfahren? Geändert von foreveryoung (22.07.2008 um 20:37 Uhr) |
|
22.07.2008, 22:07
| #2 |
| | Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! Zum oberen Post muss ich ergänzen, dass ich vor dem Durchführen von hijackthis, mbr und gmer, also vor meinem Eröffnungsposting, Ccleaner laufen gelassen habe. Daraufhin hatte nod32 keinen Trojaner mehr gemeldet. Nachdem ich mich beim Online Banking eingeloggt habe, kam allerdings wieder die Aufforderung nach 10 TANs.
__________________Daraufhin startete ich wiederum nod32 und der Trojaner war wieder da. In der Zwischenzeit, seit meinem Eingangsposting, habe ich Java deinstalliert und CCleaner laufen lassen. Beim start von nod32 wurde keine Meldung mehr angezeigt. Zudem konnte ich mich zum Online Banking anmelden und es gab keine Aufforderung für die TANs. hijackthis meldet nun: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:50:22, on 22.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe C:\Programme\Microsoft Location Finder\LocationFinder.exe C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\system32\tcpsvcs.exe C:\Programme\MSI\Bluetooth Software\BTTray.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NVidia System Utility] "C:\Programme\NVIDIA Corporation\NVIDIA System Utility\\NVSystemUtility.exe" clear O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Location Finder] "C:\Programme\Microsoft Location Finder\LocationFinder.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe (file missing) O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 5140 bytes Zudem habe ich Blacklight installiert und auch dort wurde nichts gefunden. Im log steht: 07/22/08 22:42:46 [Info]: BlackLight Engine 1.0.70 initialized 07/22/08 22:42:46 [Info]: OS: 5.1 build 2600 (Service Pack 3) 07/22/08 22:42:46 [Note]: 7019 4 07/22/08 22:42:46 [Note]: 7005 0 07/22/08 22:42:53 [Note]: 7006 0 07/22/08 22:42:53 [Note]: 7011 1564 07/22/08 22:42:53 [Note]: 7035 0 07/22/08 22:42:53 [Note]: 7026 0 07/22/08 22:42:53 [Note]: 7026 0 07/22/08 22:42:57 [Note]: FSRAW library version 1.7.1024 07/22/08 22:45:11 [Note]: 2000 1012 07/22/08 22:50:02 [Note]: 7007 0 Und mbr meldet Stealth MBR rootkit detector 0.2.4 by Gmer, h++p://w*w.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Bin ich den Trojaner los? Oder hat er sich nur getarnt? Sollte er weg sein, dann hat bereits der oben genannte Thread geholfen. Aber wie weit muss man mit wie vielen Programmen suchen? |
|
22.07.2008, 22:20
| #3 |
| /// AVZ-Toolkit Guru   | Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! Hallo foreveryoung und ein großes Dankeschön an diesen hervorragenden Post und die Bereitschaft zur Selbsthilfe!
__________________ Das sehen wir leider immer weniger hier...Der Rechner sieht schon ganz gut aus. Ein paar kleinere Test werden Gewissheit schaffen. Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen! Systemanalyse
__________________ |
|
23.07.2008, 00:16
| #4 |
| | Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! log von Blacklight näheres kommt gleich: 07/22/08 22:42:46 [Info]: BlackLight Engine 1.0.70 initialized 07/22/08 22:42:46 [Info]: OS: 5.1 build 2600 (Service Pack 3) 07/22/08 22:42:46 [Note]: 7019 4 07/22/08 22:42:46 [Note]: 7005 0 07/22/08 22:42:53 [Note]: 7006 0 07/22/08 22:42:53 [Note]: 7011 1564 07/22/08 22:42:53 [Note]: 7035 0 07/22/08 22:42:53 [Note]: 7026 0 07/22/08 22:42:53 [Note]: 7026 0 07/22/08 22:42:57 [Note]: FSRAW library version 1.7.1024 07/22/08 22:45:11 [Note]: 2000 1012 07/22/08 22:50:02 [Note]: 7007 0 |
|
23.07.2008, 09:13
| #6 | |
| /// AVZ-Toolkit Guru | Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! Guten Morgen. Führe bitte folgendes Skript mit AVZ unter File -> Custom Skripts aus. Code:
ATTFilter begin
QuarantineFile('C:\WINDOWS\system32\Drivers\kl1.sys','');
StopService('ssmdrv');
end.
Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________ --> Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! |
|
23.07.2008, 16:58
| #7 |
| | Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! So Arbeit ist vorbei, jetzt geht es weiter. Anbei das Ergebnis: Datei ssmdrv.sys empfangen 2008.07.23 17:56:00 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/35 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.24.0 2008.07.23 - AntiVir 7.8.1.11 2008.07.23 - Authentium 5.1.0.4 2008.07.23 - Avast 4.8.1195.0 2008.07.23 - AVG 8.0.0.130 2008.07.23 - BitDefender 7.2 2008.07.23 - CAT-QuickHeal 9.50 2008.07.22 - ClamAV 0.93.1 2008.07.23 - DrWeb 4.44.0.09170 2008.07.23 - eSafe 7.0.17.0 2008.07.23 - eTrust-Vet 31.6.5976 2008.07.23 - Ewido 4.0 2008.07.23 - F-Prot 4.4.4.56 2008.07.22 - F-Secure 7.60.13501.0 2008.07.23 - Fortinet 3.14.0.0 2008.07.23 - GData 2.0.7306.1023 2008.07.23 - Ikarus T3.1.1.34.0 2008.07.23 - Kaspersky 7.0.0.125 2008.07.23 - McAfee 5344 2008.07.22 - Microsoft 1.3704 2008.07.23 - NOD32v2 3292 2008.07.23 - Norman 5.80.02 2008.07.23 - Panda 9.0.0.4 2008.07.23 - PCTools 4.4.2.0 2008.07.23 - Prevx1 V2 2008.07.23 - Rising 20.54.22.00 2008.07.23 - Sophos 4.31.0 2008.07.23 - Sunbelt 3.1.1536.1 2008.07.18 - Symantec 10 2008.07.23 - TheHacker 6.2.96.387 2008.07.23 - TrendMicro 8.700.0.1004 2008.07.23 - VBA32 3.12.8.1 2008.07.23 - VIRobot 2008.7.23.1307 2008.07.23 - VirusBuster 4.5.11.0 2008.07.23 - Webwasher-Gateway 6.6.2 2008.07.23 - weitere Informationen File size: 21248 bytes MD5...: 71d609c5dff067906d930bde031c4cfe SHA1..: adeea881cb4f450a476a8fb3d698e8d936d57a0a SHA256: 937822679f9d05ac91e9484c19c26dbf6432c7046dd31fa9ea2cb5788cb9c718 SHA512: f78bc1376bb5d8d1f2abda8a7660519c1652f759fef337204e5290faf7a00ef8 6e76bc3ca8cf945b6f42394063719060208e8555bf7fdbebf8b44b1e5f6cba08 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x14146 timedatestamp.....: 0x473340f1 (Thu Nov 08 17:01:37 2007) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x480 0x38de 0x3900 6.35 a58e836d26d72f70785364757605778a .rdata 0x3d80 0x246 0x280 4.25 cdec8024ed638626696ff6e99ecd8628 .data 0x4000 0x64 0x80 1.27 29465b933f7084c36fbc87b0aabd976f INIT 0x4080 0x982 0xa00 5.41 7948f29f4b6b0f59dfd9ef186bb9b3bc .rsrc 0x4a80 0x428 0x480 3.15 e40ae2a7f66d9a124da392d72368418e .reloc 0x4f00 0x39a 0x400 5.23 41943573b7335e118fd2252d0d0d5994 ( 2 imports ) > ntoskrnl.exe: PsGetCurrentProcessId, KeInitializeEvent, ExFreePoolWithTag, ZwClose, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, RtlAppendUnicodeStringToString, RtlCopyUnicodeString, ExAllocatePoolWithTag, RtlStringFromGUID, ExUuidCreate, ExDeletePagedLookasideList, ExReleaseResourceLite, ExFreeToPagedLookasideList, ExAcquireResourceExclusiveLite, _alldiv, ObfDereferenceObject, KeWaitForSingleObject, KeReleaseSemaphore, IoFreeWorkItem, IoReleaseRemoveLockAndWaitEx, IoAcquireRemoveLockEx, IoQueueWorkItem, IoAllocateWorkItem, IoReleaseRemoveLockEx, ExfInterlockedInsertTailList, memset, _allshl, _allshr, memcpy, ExAllocateFromPagedLookasideList, IoCreateDevice, PsTerminateSystemThread, ExfInterlockedRemoveHeadList, ExAcquireResourceSharedLite, MmMapLockedPagesSpecifyCache, IoInitializeRemoveLockEx, ObReferenceObjectByHandle, PsCreateSystemThread, KeInitializeSemaphore, ExInitializePagedLookasideList, RtlAppendUnicodeToString, IofCallDriver, IoBuildDeviceIoControlRequest, IoBuildSynchronousFsdRequest, ExAllocatePoolWithTagPriority, ObfReferenceObject, IoFileObjectType, ZwOpenFile, IoGetRelatedDeviceObject, ObQueryNameString, ZwQuerySystemInformation, RtlEqualUnicodeString, ZwWaitForSingleObject, ZwFsControlFile, ZwCreateEvent, ZwQueryVolumeInformationFile, _allmul, ExDeleteResourceLite, ExInitializeResourceLite, KeTickCount, KeBugCheckEx, IoCreateSymbolicLink, IofCompleteRequest, RtlInitUnicodeString, IoDeleteSymbolicLink, _allrem, IoDeleteDevice, DbgPrint, RtlAnsiCharToUnicodeChar > HAL.dll: ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql ( 0 exports ) |
|
23.07.2008, 17:19
| #8 |
| /// Helfer-Team   | Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! Waidmannsheil! Ein Stück Avira Antivir erlegt  |
|
23.07.2008, 18:06
| #9 |
| /// AVZ-Toolkit Guru | Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! ist aus guten Grund nur beendet worden..Aber warum ist der Treiber noch drauf und läuft?? Avira sollte eigentlich deinstalliert sein oder foreveryoung? Du nutzt doch nun NOD32 ?! Hattest du AntiVir ordentlich deinstalliert?
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Geändert von undoreal (23.07.2008 um 18:12 Uhr) |
|
23.07.2008, 18:18
| #10 |
| | Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! Eigentlich habe ich alle alten Virenprogramme inkl. AntiVir über Windows-Software-Deinstallieren deinstalliert. Mit Kaspersky hatte ich Probleme mir die ComputerBild Version aus Heft 16/2008 zu installieren und dann auch wieder zu löschen. Zudem hatte ich hier die Notfall CD auf Linuxbasis getestet, die hat auch Kaspersky installiert aber beim Durchlauf immer nur Code 10 gemeldet hat. Anstelle Code 25 für Viren oder Code 0 für in Ordnung. Danach habe ich versucht alles aufzuräumen. Bedeutet der Smiley, dass ich den Trojaner los bin? |
|
23.07.2008, 18:25
| #11 |
| /// AVZ-Toolkit Guru | Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! Jup, der Rechner ist sauber. Aber ich würde den Avira Treiber noch löschen. C:\WINDOWS\system32\DRIVERS\ssmdrv.sys Und räume mal mit CCleaner auf. Punkt 1&2.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
23.07.2008, 19:16
| #12 |
| | Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! Hurra und vielen lieben Dank für die kompetente und nachvollziehbare Unterstützung.  Macht es Sinn zu nod32 auch SUPERAntiSpyware Home als Ergänzung von nod32 Lücken zu installieren und regelmäßig über das System laufen zu lassen? Oder ist das keine echte Ergänzung? Ich frage mich natürlich, wo ich den Trojaner her habe. Da ich regelmäßig im Online Banking bin, kann er noch nicht lange da gewesen sein. Ich habe folgende Vermutungen: 1. Update auf Windows SP3 am Donnerstag 2. Update der Sicherheitssoftware am Donnerstag 3. Ein an die E-Mail angehängter link aus einer paypal Zahlungsanweisung, deren Kaufpreis 60% über den normalen Gebühren liegt. bzw. Alternativ die Seite auf der ich Football Tickets in den USA kaufen wollte. Lassen sich folgende Links testen? h++ps://w*w.paypal.com/us/cmd=_prq&id=BzhgKZIrCsbOy4vIJHs08GOULTzGfo1ZJFzOMw h++p://w*w.sf49ertickets.com/shop/openstore.htm Und nun noch eine Anekdote zum Schluss: Den größten Schaden, den der Trojaner angerichtet hat ist, dass ich Sonntag Nacht Football Tickets kaufen wollte und nicht konnte. Der Vorverkauf per Internet ging einen Tag vor dem telefonischen Verkauf los, aber wegen des Trojaners habe ich mich nicht getraut Online zu shoppen. Daraufhin bin ich leer ausgegangen. Das Team, das ich sehen wollte sind die USC Trojans  |
|
23.07.2008, 19:23
| #13 | |
| /// AVZ-Toolkit Guru | Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!Zitat:
 L das ist ja die Härte.SuperAntiSpyware in der FREE Edition ist eine sinnvolle Ergänzung! Der HintergrundWächter ist nicht zu gebrauchen (wie bei allen AntiSpy-/Adware Progs) aber der Scanner ist gut! Die Links sind auf den ersten Blick sauber. Zu Punkt2: Welche Sicherheitssoftware und was wurde geupdatet? Zu Punkt3: e-Mail Anhänge niemals öffnen!
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
23.07.2008, 19:33
| #14 |
| | Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! Upgedated hatte ich AntiVir, AdAware und Spybot. Ach ja der Link war nicht an die E-Mail angehängt, sondern zur Zahlungsabwicklung in die E-Mail eingebunden. Da hab ich mich falsch ausgedrückt. So nun werde ich noch SUPERAntiSpyware herunterladen. Nochmals Vielen Dank und diesem Fall hoffentlich und ausnahmsweise nicht auf Wiedersehen. Tschüß |
|
| Themen zu Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! |
| amd athlon, antivir, antivirus, avp, avp.exe, bho, classpnp.sys, desktop, encrypt, eset nod32, excel, festplatte, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, ieframe.dll, internet, internet explorer, internet security, kaspersky, location, mbr rootkit, nicht installiert, nicht möglich, problem, prozessor, rootkit, security, server, software, system, trojaner, updates, win32/mebroot, windows, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
