Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit/ Malware Befall

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Alt 17.09.2012, 17:05   #1
B29Korn
 
Rootkit/ Malware Befall - Standard

Rootkit/ Malware Befall



Hallo liebes Trojaner-Board!
ich wende mich heute aufgrund eines Virenbefalls am PC meiner Mutter an euch.
Seit einigen Tagen funktionierte ihr google.de nichtmehr, andere Websites schon. Wie ich dann recht schnell herausgefunden habe, verbindet der PC dann nichtmehr auf die richtige Google Ip sondern auf einen Server in Jerusalem oder irgendwo da im Eck.
AntiVir hatte bis zu diesem Zeitpunkt auch noch nichts gefunden.
Die IP des Servers auf den Verbunden wird ist:
77.125.87.160
Die Host-Datei habe ich direkt geprüft, ist aber sauber.
Danach habe ich einen Scan mit SUPERAntiSpyware und Malwarebytes gemacht.
Schlussendlich schlug dann auch AntiVir an..
Sämtliche Ergebnisse von AntiVir sind im folgenden Code Feld zu finden.
Code:
ATTFilter
E:\Dokumente und Einstellungen\Anita\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FZBBJ4AS\wmWH9Vh-ZgT[1]
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Redirector.SY.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '524744ce.qua' verschoben!


E:\Dokumente und Einstellungen\Anita\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\5e70536b-24d1ca81
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AW.2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52674491.qua' verschoben!
         
SuperAntiSpyware hat bis auf Cookies nichts gefunden, daher erspare ich euch den Scan.
Der Malwarebytes Scan ist im folgenden Codefeld:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.13.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Pc-Name ^^ [Administrator]

13.09.2012 13:42:51
mbam-log-2012-09-13 (15-48-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 280857
Laufzeit: 1 Stunde(n), 56 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
E:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> Keine Aktion durchgeführt.

(Ende)
         
Nun noch der HijackThis Scan:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:44:07, on 16.09.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir Desktop\sched.exe
E:\Programme\SUPERAntiSpyware\SASCORE.EXE
E:\DOKUME~1\Anita\LOKALE~1\Temp\DAT23.tmp.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Avira\AntiVir Desktop\avguard.exe
E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
E:\Programme\avmwlanstick\WlanNetService.exe
E:\Programme\Bonjour\mDNSResponder.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\D-Link\AirPlus G\AirGCFG.exe
E:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\ScanSoft\PaperPort\pptd40nt.exe
E:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
E:\Programme\Ask.com\Updater\Updater.exe
E:\Programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
E:\Programme\avmwlanstick\wlangui.exe
E:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
E:\Programme\iTunes\iTunesHelper.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
E:\Programme\Brother\ControlCenter3\brccMCtl.exe
E:\Programme\Brother\Brmfcmon\BrMfcmon.exe
E:\Programme\Avira\AntiVir Desktop\avshadow.exe
E:\Programme\Avira\AntiVir Desktop\avmailc.exe
E:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
E:\Programme\iPod\bin\iPodService.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\WINDOWS\system32\cmd.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Dokumente und Einstellungen\Anita\Desktop\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://bing.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com/?crg=3.16010003&st=10
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Conduit Engine  - {30F9B915-B755-4826-820B-08FBA6BD249D} - E:\Programme\ConduitEngine\prxConduitEngine.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Avira SearchFree Toolbar plus WebGuard - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] E:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] E:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] E:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [SSBkgdUpdate] "E:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "E:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "E:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "E:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [BrMfcWnd] E:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] E:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [ApnUpdater] "E:\Programme\Ask.com\Updater\Updater.exe"
O4 - HKLM\..\Run: [NUSB3MON] "E:\Programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [AVMWlanClient] E:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [APSDaemon] "E:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Update] "E:\Dokumente und Einstellungen\Anita\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SUPERAntiSpyware] E:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Google Sidewiki... - res://E:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\system32\browseui.dll
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - E:\Programme\SUPERAntiSpyware\SASCORE.EXE
O23 - Service: ahruezoctwclvfu - Unknown owner - E:\DOKUME~1\Anita\LOKALE~1\Temp\DAT23.tmp.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - E:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira Email Schutz (AntiVirMailService) - Avira Operations GmbH & Co. KG - E:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - E:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - E:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Browser Schutz (AntiVirWebService) - Avira Operations GmbH & Co. KG - E:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - E:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - E:\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9072 bytes
         
Ich hab meine Mutter bereits angewiesen, kein Online Banking mit dem PC mehr zu betreiben. Passwort fürs Online-Banking und andere Institutionen sind schon geändert.


Hoffe ihr könnt mir uns da helfen.
Vielen Dank!
Gruß Korn

 

Themen zu Rootkit/ Malware Befall
administrator, avira, avira searchfree toolbar, bho, bonjour, browser, conduit, cyberghost, desktop, e-banking, einstellungen, email, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, logfile, malware, nvidia, plug-in, rundll, scan, schutz, server, software, stick, superantispyware, trojaner-board, usb, usb 3.0, virus, windows internet




Ähnliche Themen: Rootkit/ Malware Befall


  1. TR/Crypt.EPACK.15032-, TR/Rootkit.Gen-Befall
    Plagegeister aller Art und deren Bekämpfung - 19.05.2014 (3)
  2. Notebook ASUS Win 8.1 64bit Rootkit befall ...
    Log-Analyse und Auswertung - 17.04.2014 (24)
  3. Datenübertragung auf einen neuen PC nach Befall mit Rootkit und Trojaner.
    Plagegeister aller Art und deren Bekämpfung - 15.08.2012 (1)
  4. Rootkit Befall C:\Windows\Installer
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (31)
  5. Rootkit Befall
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (1)
  6. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  7. Rootkit/Trojaner - Befall --- Neuaufsetzung gewünscht
    Plagegeister aller Art und deren Bekämpfung - 11.04.2012 (34)
  8. Rootkit/Backdoor befall ist da aber nicht zu beseitigen
    Plagegeister aller Art und deren Bekämpfung - 18.11.2011 (4)
  9. Log-Analyse nach Trojaner/Malware befall (Malware.Trace / Trojan.BHO)
    Log-Analyse und Auswertung - 26.09.2011 (16)
  10. Evtl Trojaner Befall / Rootkit / a1vcwtl4.exe
    Log-Analyse und Auswertung - 09.01.2011 (2)
  11. Befall : Rootkit tdjzasdk, diverse Trojaner & monmvr32.exe
    Plagegeister aller Art und deren Bekämpfung - 28.09.2010 (36)
  12. atapi.sys-Rootkit (TDSS) und weiterer Befall
    Plagegeister aller Art und deren Bekämpfung - 22.05.2010 (3)
  13. Frage zu Formatierung/ Neuaufspielung von XP nach Rootkit-Befall
    Alles rund um Windows - 19.01.2010 (7)
  14. Virus/Rootkit Befall? H8SRTkuuotrpkjl.sys
    Log-Analyse und Auswertung - 11.01.2010 (3)
  15. möglicherweise rootkit virus befall
    Plagegeister aller Art und deren Bekämpfung - 22.12.2009 (11)
  16. ROOTKIT-Befall? PC startet WinXP nicht mehr richtig!
    Alles rund um Windows - 17.02.2009 (3)
  17. Befall durch Rootkit oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 20.11.2006 (17)

Zum Thema Rootkit/ Malware Befall - Hallo liebes Trojaner-Board! ich wende mich heute aufgrund eines Virenbefalls am PC meiner Mutter an euch. Seit einigen Tagen funktionierte ihr google.de nichtmehr, andere Websites schon. Wie ich dann recht - Rootkit/ Malware Befall...
Archiv
Du betrachtest: Rootkit/ Malware Befall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.