Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Sinowal + TR/Small.ahzz Infektion

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.04.2011, 18:44   #1
dose123
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Hallo zusammen,

dies ist mein erster Beitrag in diesem Forum, deswegen bitte ich euch nachsichtig zu sein.

aber nun zu meinem Problem:

Gmer findet das Rootkit Sinowal in meinem MBR. Avira Antivir meldet den Trojaner TR/Small.ahzz in der Datei dll.dll im System32-Verzeichnis.
Mithilfe von SysInternals habe ich herausgefunden, das diese als svchost Verbindungen zu mir unbekannten Hosts auf Port 6346 aufbaut.

Infiziert hab ich mich anscheinend durch ein infiziertes PDF.

Anbei sind die Logs OTL, Gmer und Extra.

Eine Neuinstallation würde ich gerne wegen meiner Mutter, die nur schwer mit Veränderungen am PC klarkommt vermeiden.

Ich hoffe, dass ihr mir helfen könnt und bedanke mich im Voraus.

Alt 07.04.2011, 10:54   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________

__________________

Alt 07.04.2011, 15:09   #3
dose123
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Danke für die Antwort,

soll ich einen Quick- oder Vollscan machen.
Ist es möglich, dass Sinowal nur festgestellt wurde, weil ich grub2 im MBR installiert habe?

mfg
__________________

Alt 07.04.2011, 15:23   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Zitat:
weil ich grub2 im MBR installiert habe?
Glaub ich nicht.
Mach bitte einen Vollscan mit Malwarebytes.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.04.2011, 15:39   #5
dose123
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Wie ich deine Antwort erhalten habe, abe ich schon ein Quick-Scan gemacht. Anbei ist das Log. Aber Qctray kann es nicht sein weil es der Spybot DB als Autostart bekannt ist. Es gehört zu den Thinkpads. Ich reich den Komplettscan noch nach.

mfg


Geändert von dose123 (07.04.2011 um 15:44 Uhr)

Alt 07.04.2011, 19:08   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Die anderen Funde solltest du aber schon entfernen!
__________________
--> Sinowal + TR/Small.ahzz Infektion

Alt 07.04.2011, 22:19   #7
dose123
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Der komplette Scan hat 4 Stunden und 45 Minuten gedauert!
Anbei ist das Log.

mfg

Alt 08.04.2011, 05:13   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.04.2011, 14:54   #9
dose123
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Ich habe deine Anweisungen befolgt. Hier ist das Ergebnis.

mfg

Alt 08.04.2011, 15:03   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Code:
ATTFilter
2011/04/08 15:34:56.0949 4080	Detected object count: 1
2011/04/08 15:35:23.0457 4080	\HardDisk0 (Backdoor.Win32.Sinowal.knf) - will be cured after reboot
2011/04/08 15:35:23.0467 4080	\HardDisk0 - ok
2011/04/08 15:35:23.0467 4080	Backdoor.Win32.Sinowal.knf(\HardDisk0) - User select action: Cure 
2011/04/08 15:35:31.0809 0768	Deinitialize success
         
Sinowal wurde erkannt und entfernt. Bitte Windows neu starten und den TDSS-Killer zur Kontrolle nochmal ausführen - Log posten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.04.2011, 15:12   #11
dose123
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Er hat nichts mehr gefunden. Die unbekannten Verbindungen sind auch verschwunden. Wie stelle ich nun sicher , dass das System nicht mehr verseucht ist?

mfg

Alt 08.04.2011, 15:19   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.04.2011, 16:25   #13
dose123
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Hallo,

hier ist das Ergebnis:
Combofix Logfile:
Code:
ATTFilter
ComboFix 11-04-07.08 - gturetschek 08.04.2011  16:46:52.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\gturetschek\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\Default User\WINDOWS
c:\dokumente und einstellungen\gturetschek\WINDOWS
c:\progra~1\ThinkPad\CONNEC~1\Qctray.exe
c:\windows\system32\config\systemprofile\WINDOWS
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-08 bis 2011-04-08  ))))))))))))))))))))))))))))))
.
.
2011-04-08 14:31 . 2011-04-08 14:31	--------	d-----w-	c:\programme\CCleaner
2011-04-08 13:22 . 2011-01-21 11:11	95672	----a-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-04-07 14:03 . 2011-04-07 14:03	--------	d-----w-	c:\dokumente und einstellungen\gturetschek\Anwendungsdaten\Malwarebytes
2011-04-07 14:03 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-07 14:03 . 2011-04-07 14:03	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-07 14:03 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-07 14:03 . 2011-04-07 14:03	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-04-06 13:49 . 2011-04-06 13:49	--------	d-----w-	c:\programme\ERUNT
2011-04-04 10:51 . 2011-04-06 13:15	296487	----a-w-	c:\windows\system32\shimg.dll
2011-03-24 18:00 . 2011-03-24 18:00	781272	----a-w-	c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-03-24 18:00 . 2011-03-24 18:00	1874904	----a-w-	c:\programme\Mozilla Firefox\mozjs.dll
2011-03-24 18:00 . 2011-03-24 18:00	728024	----a-w-	c:\programme\Mozilla Firefox\libGLESv2.dll
2011-03-24 18:00 . 2011-03-24 18:00	15832	----a-w-	c:\programme\Mozilla Firefox\mozalloc.dll
2011-03-24 18:00 . 2011-03-24 18:00	142296	----a-w-	c:\programme\Mozilla Firefox\libEGL.dll
2011-03-24 18:00 . 2011-03-24 18:00	1893336	----a-w-	c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-03-24 18:00 . 2011-03-24 18:00	1975768	----a-w-	c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-03-24 18:00 . 2011-03-24 18:00	142296	----a-w-	c:\programme\Mozilla Firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:53 . 2008-09-10 12:21	186880	------w-	c:\windows\system32\encdec.dll
2011-02-09 13:53 . 2008-09-10 12:21	270848	------w-	c:\windows\system32\sbe.dll
2011-02-02 19:40 . 2010-07-10 12:08	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 17:19 . 2008-09-16 14:52	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-02-02 07:58 . 2008-09-10 12:18	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2008-09-10 12:18	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2008-09-10 12:18	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-03-24 18:00 . 2011-03-24 18:00	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AEIWLSTA.EXE"="AEIWLSTA.EXE START" [X]
"AGRSMMSG"="AGRSMMSG.exe" [2002-01-15 87037]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"AtiPTA"="atiptaxx.exe" [2002-01-18 311296]
"TrackPointSrv"="tp4serv.exe" [2002-01-18 176128]
"TP4EX"="tp4ex.exe" [2002-01-09 53248]
"TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2002-01-28 69632]
"TPTRAY"="c:\progra~1\ThinkPad\UTILIT~1\TP98TRAY.EXE" [2002-02-19 47104]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2002-01-14 57856]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2002-01-21 102453]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2011-01-21 624056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-6-16 49152]
Wireless LAN Utility.lnk - c:\programme\LevelOne WPC-0301\WlanCU.exe [2007-11-28 626688]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CounterPath\\X-Lite\\x-lite.exe"=
"c:\\Programme\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Dokumente und Einstellungen\\gturetschek\\Anwendungsdaten\\Thunderbird\\Profiles\\uv49z4g6.default\\extensions\\{83d1f945-8280-11db-96a7-00e08161165f}\\spambayes\\win\\sbpython.exe"=
"c:\\IBMTOOLS\\UPDATER\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\fotobuch.de\\Designer 2.0\\Designer.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"6316:TCP"= 6316:TCP:Services
"3908:TCP"= 3908:TCP:Services
"3454:TCP"= 3454:TCP:Services
"3451:TCP"= 3451:TCP:Services
"2613:TCP"= 2613:TCP:Services
"3106:TCP"= 3106:TCP:Services
"6178:TCP"= 6178:TCP:Services
"6177:TCP"= 6177:TCP:Services
"1551:TCP"= 1551:TCP:Services
"2973:TCP"= 2973:TCP:Services
"4796:TCP"= 4796:TCP:Services
"7853:TCP"= 7853:TCP:Services
"5921:TCP"= 5921:TCP:Services
"9913:TCP"= 9913:TCP:Services
"2773:TCP"= 2773:TCP:Services
.
R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [09.09.2008 09:18 12288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.08.2009 16:59 108289]
R3 AEIWL;High Rate Wireless LAN MiniPCI Combo Card Driver;c:\windows\system32\drivers\AEIWLNDS.sys [01.01.1980 50688]
R3 Tp4Track;IBM PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [01.01.1980 13055]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-08 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\Bmmtask.exe [2008-09-09 23:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.fbi.h-da.de/
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\gturetschek\Anwendungsdaten\Mozilla\Firefox\Profiles\rz0yswqv.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.fbi.h-da.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-QCTRAY - c:\progra~1\ThinkPad\CONNEC~1\Qctray.exe
HKLM-Run-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe
Notify-cryptnet32 - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-04-08 17:03
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\¹mÑw*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(920)
c:\windows\SYSTEM32\Wireless\WirelessGina.DLL
.
- - - - - - - > 'explorer.exe'(3560)
c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\System32\Ati2evxx.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\QCONSVC.EXE
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\AGRSMMSG.exe
c:\windows\system32\atiptaxx.exe
c:\windows\system32\tp4serv.exe
c:\windows\system32\RunDll32.exe
c:\windows\system32\AEIWLSTA.EXE
c:\windows\system32\rundll32.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-08  17:21:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-04-08 15:21
.
Vor Suchlauf: 221.626.368 Bytes frei
Nach Suchlauf: 148.430.848 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
.
- - End Of File - - C4CBF8D8F41EAE6A43E1560B8F7F499B
         
--- --- ---

Alt 08.04.2011, 17:45   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"=-
"65533:TCP"=-
"52344:TCP"=-
"6316:TCP"=-
"3908:TCP"=-
"3454:TCP"=-
"3451:TCP"=-
"2613:TCP"=-
"3106:TCP"=-
"6178:TCP"=-
"6177:TCP"=-
"1551:TCP"=-
"2973:TCP"=-
"4796:TCP"=-
"7853:TCP"=-
"5921:TCP"=-
"9913:TCP"=-
"2773:TCP"=-
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.04.2011, 10:01   #15
dose123
 
Sinowal + TR/Small.ahzz Infektion - Standard

Sinowal + TR/Small.ahzz Infektion



Kannst mir kurz erklären, was ComboFix eigentlich macht und anhand welcher Kriterien es entscheidet Dateien zu löschen?

Hier ist das Ergebnis:
Combofix Logfile:
Code:
ATTFilter
ComboFix 11-04-07.08 - gturetschek 09.04.2011  10:34:19.2.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\gturetschek\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\gturetschek\Desktop\CFScript.txt.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\crt.dat
c:\windows\system32\shimg.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-09 bis 2011-04-09  ))))))))))))))))))))))))))))))
.
.
2011-04-08 14:31 . 2011-04-08 14:31	--------	d-----w-	c:\programme\CCleaner
2011-04-08 13:22 . 2011-01-21 11:11	95672	----a-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-04-07 14:03 . 2011-04-07 14:03	--------	d-----w-	c:\dokumente und einstellungen\gturetschek\Anwendungsdaten\Malwarebytes
2011-04-07 14:03 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-07 14:03 . 2011-04-07 14:03	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-07 14:03 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-07 14:03 . 2011-04-07 14:03	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-04-06 13:49 . 2011-04-06 13:49	--------	d-----w-	c:\programme\ERUNT
2011-03-24 18:00 . 2011-03-24 18:00	781272	----a-w-	c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-03-24 18:00 . 2011-03-24 18:00	1874904	----a-w-	c:\programme\Mozilla Firefox\mozjs.dll
2011-03-24 18:00 . 2011-03-24 18:00	728024	----a-w-	c:\programme\Mozilla Firefox\libGLESv2.dll
2011-03-24 18:00 . 2011-03-24 18:00	15832	----a-w-	c:\programme\Mozilla Firefox\mozalloc.dll
2011-03-24 18:00 . 2011-03-24 18:00	142296	----a-w-	c:\programme\Mozilla Firefox\libEGL.dll
2011-03-24 18:00 . 2011-03-24 18:00	1893336	----a-w-	c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-03-24 18:00 . 2011-03-24 18:00	1975768	----a-w-	c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-03-24 18:00 . 2011-03-24 18:00	142296	----a-w-	c:\programme\Mozilla Firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:53 . 2008-09-10 12:21	186880	------w-	c:\windows\system32\encdec.dll
2011-02-09 13:53 . 2008-09-10 12:21	270848	------w-	c:\windows\system32\sbe.dll
2011-02-02 19:40 . 2010-07-10 12:08	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 17:19 . 2008-09-16 14:52	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-02-02 07:58 . 2008-09-10 12:18	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2008-09-10 12:18	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2008-09-10 12:18	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-03-24 18:00 . 2011-03-24 18:00	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AEIWLSTA.EXE"="AEIWLSTA.EXE START" [X]
"AGRSMMSG"="AGRSMMSG.exe" [2002-01-15 87037]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"AtiPTA"="atiptaxx.exe" [2002-01-18 311296]
"TrackPointSrv"="tp4serv.exe" [2002-01-18 176128]
"TP4EX"="tp4ex.exe" [2002-01-09 53248]
"TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2002-01-28 69632]
"TPTRAY"="c:\progra~1\ThinkPad\UTILIT~1\TP98TRAY.EXE" [2002-02-19 47104]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2002-01-14 57856]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2002-01-21 102453]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2011-01-21 624056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-6-16 49152]
Wireless LAN Utility.lnk - c:\programme\LevelOne WPC-0301\WlanCU.exe [2007-11-28 626688]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CounterPath\\X-Lite\\x-lite.exe"=
"c:\\Programme\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Dokumente und Einstellungen\\gturetschek\\Anwendungsdaten\\Thunderbird\\Profiles\\uv49z4g6.default\\extensions\\{83d1f945-8280-11db-96a7-00e08161165f}\\spambayes\\win\\sbpython.exe"=
"c:\\IBMTOOLS\\UPDATER\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\fotobuch.de\\Designer 2.0\\Designer.exe"=
.
R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [09.09.2008 09:18 12288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.08.2009 16:59 108289]
R3 AEIWL;High Rate Wireless LAN MiniPCI Combo Card Driver;c:\windows\system32\drivers\AEIWLNDS.sys [01.01.1980 50688]
R3 Tp4Track;IBM PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [01.01.1980 13055]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-08 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\Bmmtask.exe [2008-09-09 23:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.fbi.h-da.de/
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\gturetschek\Anwendungsdaten\Mozilla\Firefox\Profiles\rz0yswqv.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.fbi.h-da.de/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-04-09 10:46
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\¹mÑw*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(924)
c:\windows\SYSTEM32\Wireless\WirelessGina.DLL
.
Zeit der Fertigstellung: 2011-04-09  10:52:48
ComboFix-quarantined-files.txt  2011-04-09 08:52
ComboFix2.txt  2011-04-08 15:21
.
Vor Suchlauf: 123.768.832 Bytes frei
Nach Suchlauf: 112.848.896 Bytes frei
.
- - End Of File - - 862DB9BFA14F5CE7314A8C069DF04261
         
--- --- ---

Antwort

Themen zu Sinowal + TR/Small.ahzz Infektion
antivir, antivir meldet, aufbau, avira, avira antivir, beitrag, datei, forum, hallo zusammen, hosts, infektion, infiziertes, meldet, neuinstallation, port, problem, rootkit, schwer, sinowal, svchost, system, trojaner, unbekannte, verbindungen, zusammen



Ähnliche Themen: Sinowal + TR/Small.ahzz Infektion


  1. Avast: Infektion blockiert , Infektion: URL:Mal (bei Ebay.de)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (3)
  2. T-Online meldet Infektion mit Torpig/Sinowal und Mebroot - 3 PCs, welcher hats?
    Plagegeister aller Art und deren Bekämpfung - 28.10.2012 (34)
  3. trojan.win32.small.bmrh, Trojan.win32.small.Zapchast.acjy
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (22)
  4. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  5. Absicherung des Systems nach BDS/Sinowal.knfa Infektion
    Plagegeister aller Art und deren Bekämpfung - 28.12.2011 (4)
  6. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  7. BOO/Sinowal.f Infektion
    Plagegeister aller Art und deren Bekämpfung - 26.01.2011 (19)
  8. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  9. TR/Dldr.Small.baxe und TR/Dldr.Small.baxg. Ich krieg sie nicht mehr los!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  10. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  11. BOO.Sinowal.F - Infektion, Fragen bzgl. des Virus
    Plagegeister aller Art und deren Bekämpfung - 14.11.2010 (1)
  12. BOO/Sinowal.F
    Log-Analyse und Auswertung - 22.07.2010 (2)
  13. BOO/Sinowal.A
    Log-Analyse und Auswertung - 08.11.2008 (20)
  14. BOO/Sinowal.A
    Mülltonne - 29.06.2008 (0)
  15. Infiziert mit TR/Dldr.small.cnh.14 und TR/Trop.Small.XL, was nun?
    Plagegeister aller Art und deren Bekämpfung - 24.10.2006 (1)
  16. Hilfe bei 2 Trojanern:Small.GQ.4 und Dldr.Small.buy
    Log-Analyse und Auswertung - 15.06.2006 (3)
  17. Trojaner Dldr.Small.UV.3 und Small.AR.1.C
    Log-Analyse und Auswertung - 14.03.2005 (6)

Zum Thema Sinowal + TR/Small.ahzz Infektion - Hallo zusammen, dies ist mein erster Beitrag in diesem Forum, deswegen bitte ich euch nachsichtig zu sein. aber nun zu meinem Problem: Gmer findet das Rootkit Sinowal in meinem MBR. - Sinowal + TR/Small.ahzz Infektion...
Archiv
Du betrachtest: Sinowal + TR/Small.ahzz Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.