Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht

Dorthonion · 09.03.2012, 02:30

Und die neuesten Logs:

Gmer:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-09 01:46:59
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 Maxtor_6E040L0 rev.NAR61HA0
Running: moje40rf.exe; Driver: C:\DOKUME~1\BALTHA~1\LOKALE~1\Temp\fwddypoc.sys

---- System - GMER 1.0.15 ----

SSDT            F7ED24AC                                            ZwClose
SSDT            F7ED2466                                            ZwCreateKey
SSDT            F7ED24B6                                            ZwCreateSection
SSDT            F7ED248E                                            ZwCreateSymbolicLinkObject
SSDT            F7ED245C                                            ZwCreateThread
SSDT            F7ED246B                                            ZwDeleteKey
SSDT            F7ED2475                                            ZwDeleteValueKey
SSDT            F7ED24A7                                            ZwDuplicateObject
SSDT            F7ED2493                                            ZwLoadDriver
SSDT            F7ED247A                                            ZwLoadKey
SSDT            F7ED2448                                            ZwOpenProcess
SSDT            F7ED2489                                            ZwOpenSection
SSDT            F7ED244D                                            ZwOpenThread
SSDT            F7ED24CF                                            ZwQueryValueKey
SSDT            F7ED2484                                            ZwReplaceKey
SSDT            F7ED24C0                                            ZwRequestWaitReplyPort
SSDT            F7ED247F                                            ZwRestoreKey
SSDT            F7ED24BB                                            ZwSetContextThread
SSDT            F7ED24C5                                            ZwSetSecurityObject
SSDT            F7ED2498                                            ZwSetSystemInformation
SSDT            F7ED2470                                            ZwSetValueKey
SSDT            F7ED24CA                                            ZwSystemDebugControl
SSDT            F7ED2457                                            ZwTerminateProcess
SSDT            F7ED2452                                            ZwWriteVirtualMemory

Code            \??\C:\DOKUME~1\BALTHA~1\LOKALE~1\Temp\catchme.sys  pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys            section is writeable [0xF6E11360, 0x37388D, 0xE8000020]
?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS          Das System kann die angegebene Datei nicht finden. !
?               C:\DOKUME~1\BALTHA~1\LOKALE~1\Temp\catchme.sys      Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1              tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1              timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2              tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2              timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3              tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3              timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume4              tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume4              timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \FileSystem\Fastfat \Fat                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 01:53:40 on 09.03.2012

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL
"X-Setup Pro" - ? - E:\Systools\X-Setup Pro\bin\xqdcXSPApplet.cpl  (File found, but it contains no detailed information)

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis True Image Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis True Image FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"Acronis Try&Decide and Restore Points filter" (tdrpman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tdrpman.sys
"AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\AnyDVD.sys
"Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\system32\drivers\Aspi32.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"avkmgr" (avkmgr) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avkmgr.sys
"catchme" (catchme) - ? - C:\DOKUME~1\BALTHA~1\LOKALE~1\Temp\catchme.sys  (File not found)
"cdrbsdrv" (cdrbsdrv) - "B.H.A Corporation" - C:\WINDOWS\system32\drivers\cdrbsdrv.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"fwddypoc" (fwddypoc) - ? - C:\DOKUME~1\BALTHA~1\LOKALE~1\Temp\fwddypoc.sys  (Hidden registry entry, rootkit activity | File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"mbr" (mbr) - ? - C:\ComboFix\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"Padus Aspi Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Sentinel" (Sentinel) - "Rainbow Technologies, Inc." - C:\WINDOWS\System32\Drivers\SENTINEL.SYS
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"Treiber für seriellen Anschluss" (Serial) - ? - C:\WINDOWS\System32\DRIVERS\AvidXPSerial.sys  (File found, but it contains no detailed information)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - E:\Programme\Adobe\Acrobat.6\Acrobat Elements\ContextMenu.dll
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - E:\Systools\Acronis.TI\tishell.dll
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Extension" - "Acronis" - E:\Systools\Acronis.TI\tishell.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2} "IntelliType Pro Key Settings Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplkey.dll
{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB} "IntelliType Pro Scrolling Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplwhl.dll
{1825D0FA-5B0C-4e20-A929-3EFD15B6DF71} "IntelliType Pro Touchpad Control Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcpltp.dll
{A2569D1F-4E06-43EC-9825-0088B471BE47} "IntelliType Pro Wireless Control Panel Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplwir.dll
{97FA8AA2-EE77-4FF2-9449-424D8924EF21} "IntelliType Pro Zooming Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplzm.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - D:\Audio\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira Operations GmbH & Co. KG" - E:\Systools\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - E:\Programme\Adobe\Acrobat.6\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - E:\Programme\Adobe\Acrobat.6\Acrobat\AcroIEFavClient.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "AcroIEHlprObj Class" - "Adobe Systems Incorporated" - E:\Programme\Adobe\Acrobat.6\Acrobat\ActiveX\AcroIEHelper.dll
{AE7CD045-E861-484f-8273-0445EE161910} "AcroIEToolbarHelper Class" - "Adobe Systems Incorporated" - E:\Programme\Adobe\Acrobat.6\Acrobat\AcroIEFavClient.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Acronis" - C:\WINDOWS\system32\relog_ap.dll

[Logon]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acronis Scheduler2 Service" - "Acronis" - "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"AcronisTimounterMonitor" - "Acronis" - E:\Systools\Acronis.TI\TimounterMonitor.exe
"APSDaemon" - "Apple Inc." - "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
"avgnt" - "Avira Operations GmbH & Co. KG" - "E:\Systools\Avira\AntiVir Desktop\avgnt.exe" /min
"iTunesHelper" - "Apple Inc." - "D:\Audio\iTunes\iTunesHelper.exe"
"itype" - "Microsoft Corporation" - "C:\Programme\Microsoft IntelliType Pro\itype.exe"
"MSPY2002" - ? - C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC  (File signed by Microsoft | File found, but it contains no detailed information)
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"TrueImageMonitor.exe" - "Acronis" - E:\Systools\Acronis.TI\TrueImageMonitor.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll
"FRITZ!fax Color Monitor" - "AVM Berlin" - C:\WINDOWS\system32\FritzVistaColorMon.dll
"FRITZ!fax Port Monitor" - "AVM Berlin" - C:\WINDOWS\system32\FritzVistaMon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"Acronis Try And Decide Service" (TryAndDecideService) - ? - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe  (File found, but it contains no detailed information)
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"Avira Browser Schutz" (AntiVirWebService) - "Avira Operations GmbH & Co. KG" - E:\Systools\Avira\AntiVir Desktop\AVWEBGRD.EXE
"Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - E:\Systools\Avira\AntiVir Desktop\avguard.exe
"Avira Email Schutz" (AntiVirMailService) - "Avira Operations GmbH & Co. KG" - E:\Systools\Avira\AntiVir Desktop\avmailc.exe
"Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - E:\Systools\Avira\AntiVir Desktop\sched.exe
"AVM IGD CTRL Service" (IGDCTRL) - "AVM Berlin" - E:\Systools\Fritz.box\IGDCTRL.EXE
"B's Recorder GOLD Library General Service" (bgsvcgen) - "B.H.A Corporation" - C:\WINDOWS\system32\bgsvcgen.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"AVSDA" - "Avira Operations GmbH & Co. KG" - E:\Systools\Avira\AntiVir Desktop\avsda.dll

===[ Logfile end ]=========================================[ Logfile end ]===

und ASWMBR:

Code:

ATTFilter

aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-03-09 01:55:00
-----------------------------
01:55:00.531    OS Version: Windows 5.1.2600 Service Pack 3
01:55:00.531    Number of processors: 1 586 0x209
01:55:00.531    ComputerName: DESKTOP-BVW  UserName: Dorthonion
01:55:01.265    Initialize success
01:57:31.046    AVAST engine defs: 12030801
01:58:29.296    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
01:58:29.296    Disk 0 Vendor: Maxtor_6E040L0 NAR61HA0 Size: 39205MB BusType: 3
01:58:29.312    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-c
01:58:29.312    Disk 1 Vendor: WDC_WD3200AAJB-00J3A0 01.03E01 Size: 305245MB BusType: 3
01:58:29.359    Disk 0 MBR read successfully
01:58:29.359    Disk 0 MBR scan
01:58:29.406    Disk 0 unknown MBR code
01:58:29.437    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        39202 MB offset 2048
01:58:29.468    Disk 0 scanning sectors +80287744
01:58:29.562    Disk 0 scanning C:\WINDOWS\system32\drivers
01:58:44.437    Service scanning
01:59:10.546    Modules scanning
01:59:30.031    Disk 0 trace - called modules:
01:59:30.062    ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys vsflt53.sys hal.dll ACPI.sys atapi.sys intelide.sys PCIIDEX.SYS 
01:59:30.062    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86762ab8]
01:59:30.062    3 CLASSPNP.SYS[f788efd7] -> nt!IofCallDriver -> [0x8677c9e0]
01:59:30.062    5 vsflt53.sys[f77c5c2b] -> nt!IofCallDriver -> \Device\0000005d[0x867e94d8]
01:59:30.078    7 ACPI.sys[f77e4620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x867e95f0]
01:59:30.500    AVAST engine scan C:\WINDOWS
02:00:03.250    AVAST engine scan C:\WINDOWS\system32
02:06:39.812    AVAST engine scan C:\WINDOWS\system32\drivers
02:07:19.750    AVAST engine scan C:\Dokumente und Einstellungen\Dorthonion
02:12:58.968    AVAST engine scan C:\Dokumente und Einstellungen\All Users
02:15:16.921    Scan finished successfully
02:17:54.328    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Dorthonion\Desktop\MBR.dat"
02:17:54.343    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Dorthonion\Desktop\aswMBR.txt"

cosinus · 09.03.2012, 09:33

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

cosinus · 15.03.2012, 22:09

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Dorthonion · 13.04.2012, 11:34

Code:

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.04.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Balthasar :: DESKTOP-BVW [limitiert]

13.04.2012 00:07:53
mbam-log-2012-04-13 (00-07-53).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 302630
Laufzeit: 1 Stunde(n), 55 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Jedoch ...

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/13/2012 at 06:15 AM

Application Version : 5.0.1146

Core Rules Database Version : 8451
Trace Rules Database Version: 6263

Scan type       : Complete Scan
Total Scan Time : 03:10:11

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Limited User

Memory items scanned      : 508
Memory threats detected   : 0
Registry items scanned    : 32665
Registry threats detected : 0
File items scanned        : 205322
File threats detected     : 5



Trojan.Agent/Gen-Bancos
	E:\SYSTEM VOLUME INFORMATION\_RESTORE{BD93263E-6C36-437F-8978-577E24FADDDE}\RP36\A0005554.DLL

Trojan.Agent/Gen-Krpytik
	E:\SYSTOOLS\CUSTOMIZER XP\EXIT.EXE

Trojan.Agent/Gen-Zbot
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{BD93263E-6C36-437F-8978-577E24FADDDE}\RP68\A0010449.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{BD93263E-6C36-437F-8978-577E24FADDDE}\RP74\A0010828.EXE

Trojan.Agent/Gen-Cryptic
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{BD93263E-6C36-437F-8978-577E24FADDDE}\RP72\A0010748.EXE

Beide Programme meldeten Vollzug, bei SUPERAntiSpyware wachte dann auch Avira auf und meldete einen der Viren in der System Restore Information.

cosinus · 13.04.2012, 14:32

Zitat:

Balthasar :: DESKTOP-BVW [limitiert]

Mit eingeschränkten Rechten machen die Scans wenig bis keinen Sinn

Zitat:

auch Avira auf und meldete einen der Viren in der System Restore Information.
Dorthonion ist offline Beitrag melden IP Beitrag bearbeiten/löschen

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Dorthonion · 15.04.2012, 20:54

Danke für den Hinweis.

Systemwiederherstellung ist deaktiviert. Habe die Scans der beiden Programme wiederholt.

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/15/2012 at 04:09 AM

Application Version : 5.0.1146

Core Rules Database Version : 8455
Trace Rules Database Version: 6267

Scan type       : Complete Scan
Total Scan Time : 02:07:36

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 602
Memory threats detected   : 0
Registry items scanned    : 34930
Registry threats detected : 0
File items scanned        : 142334
File threats detected     : 14

Adware.Tracking Cookie
	C:\DOKUMENTE UND EINSTELLUNGEN\Dorthonion\Cookies\LMJY9COJ.txt [ Cookie:dorthonion@apmebf.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\Dorthonion\Cookies\WJEYQYOF.txt [ Cookie:dorthonion@doubleclick.net/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\Dorthonion\Cookies\ED49E66M.txt [ Cookie:dorthonion@adfarm1.adition.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\Dorthonion\Cookies\CIKT65E2.txt [ Cookie:dorthonion@ad2.adfarm1.adition.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\Dorthonion\Cookies\Z5UUS6H2.txt [ Cookie:dorthonion@adtech.de/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\Dorthonion\Cookies\JQUQU9GO.txt [ Cookie:dorthonion@www.active-tracking.de/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\Dorthonion\Cookies\XZ9X1179.txt [ Cookie:dorthonion@mediaplex.com/ ]
	.musicsalestracker.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\9S637XWB.DEFAULT\COOKIES.SQLITE ]
	.musicsalestracker.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\9S637XWB.DEFAULT\COOKIES.SQLITE ]
	.musicsalestracker.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\9S637XWB.DEFAULT\COOKIES.SQLITE ]
	delivery.ibanner.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Dorthonion\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\UBT47SMK ]
	.musicsalestracker.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Dorthonion\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\PYC1V3SF.DEFAULT\COOKIES.SQLITE ]
	.musicsalestracker.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Dorthonion\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\PYC1V3SF.DEFAULT\COOKIES.SQLITE ]
	.musicsalestracker.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Dorthonion\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\PYC1V3SF.DEFAULT\COOKIES.SQLITE ]

Code:

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.13.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: DESKTOP-BVW [Administrator]

13.04.2012 17:29:11
mbam-log-2012-04-13 (17-29-11).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 292198
Laufzeit: 2 Stunde(n), 8 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Seit Deinen Ratschlägen achte ich darauf, nur noch mit rechtereduziertem Konto das Internet zu betreten (es sei denn, ich bin in Virussachen oder in diesem Forum unterwegs). Aber wie man sehen kann, stehlen sich trotz Virenscanner immer wieder kleine Fieslinge auf das System. Und Avira verhält sich irrational -- trotz frisch erfolgtem VDF- und Programmupdate weigert sich das kleine Regenschirmchen, sich aufzuklappen. Es kann aber sein, dass ich mich auf das reduzierte Konto zurückmelde und alles ist wieder in bester Ordnung.

cosinus · 16.04.2012, 10:37

Sieht ok aus, da wurden nur Cookies gefunden. Kannst du mit SUPERAntiSpyware löschen.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Zitat:

Aber wie man sehen kann, stehlen sich trotz Virenscanner immer wieder kleine Fieslinge auf das System. Und Avira verhält sich irrational -- trotz frisch erfolgtem VDF- und Programmupdate weigert sich das kleine Regenschirmchen, sich aufzuklappen.

Eingeschränkte Rechte ist NICHT die ultimativ Allzweckwaffe für alle denkbaren Computerprobleme und Programmphänomene. Diese sind "nur" eine wichtige Grundmaßnahme um den möglichen Schaden nicht gleich sicher das ganze System zu übertragen falls Schadcode ausgeführt wird

Dorthonion · 29.04.2012, 23:05

Danke SEHR, ich habe das System jetzt ein paar Tage beobachtet und immer wieder gescannt, derzeit sieht es gut aus!

Gracias!!

Für den Erhalt des Boards habe ich eine kl. Spende angewiesen.

Great work, guys!

cosinus · 30.04.2012, 12:43

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

15.03.2012, 22:09	#3
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ __________________

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht

Plagegeister aller Art und deren Bekämpfung: Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht