![]() |
|
Plagegeister aller Art und deren Bekämpfung: Rootkit/ Malware BefallWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
![]() | ![]() Rootkit/ Malware Befall Hallo liebes Trojaner-Board! ich wende mich heute aufgrund eines Virenbefalls am PC meiner Mutter an euch. Seit einigen Tagen funktionierte ihr google.de nichtmehr, andere Websites schon. Wie ich dann recht schnell herausgefunden habe, verbindet der PC dann nichtmehr auf die richtige Google Ip sondern auf einen Server in Jerusalem oder irgendwo da im Eck. AntiVir hatte bis zu diesem Zeitpunkt auch noch nichts gefunden. Die IP des Servers auf den Verbunden wird ist: 77.125.87.160 Die Host-Datei habe ich direkt geprüft, ist aber sauber. Danach habe ich einen Scan mit SUPERAntiSpyware und Malwarebytes gemacht. Schlussendlich schlug dann auch AntiVir an.. Sämtliche Ergebnisse von AntiVir sind im folgenden Code Feld zu finden. Code:
ATTFilter E:\Dokumente und Einstellungen\Anita\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FZBBJ4AS\wmWH9Vh-ZgT[1] [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Redirector.SY.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '524744ce.qua' verschoben! E:\Dokumente und Einstellungen\Anita\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\5e70536b-24d1ca81 [FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AW.2 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52674491.qua' verschoben! Der Malwarebytes Scan ist im folgenden Codefeld: Code:
ATTFilter Malwarebytes Anti-Malware 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.09.13.03 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Pc-Name ^^ [Administrator] 13.09.2012 13:42:51 mbam-log-2012-09-13 (15-48-06).txt Art des Suchlaufs: Vollständiger Suchlauf (E:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 280857 Laufzeit: 1 Stunde(n), 56 Minute(n), 9 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 E:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> Keine Aktion durchgeführt. (Ende) Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 12:44:07, on 16.09.2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\nvsvc32.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Avira\AntiVir Desktop\sched.exe E:\Programme\SUPERAntiSpyware\SASCORE.EXE E:\DOKUME~1\Anita\LOKALE~1\Temp\DAT23.tmp.exe E:\WINDOWS\Explorer.EXE E:\Programme\Avira\AntiVir Desktop\avguard.exe E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe E:\Programme\avmwlanstick\WlanNetService.exe E:\Programme\Bonjour\mDNSResponder.exe E:\Programme\Java\jre6\bin\jqs.exe E:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe E:\WINDOWS\system32\svchost.exe E:\Programme\D-Link\AirPlus G\AirGCFG.exe E:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe E:\WINDOWS\system32\RUNDLL32.EXE E:\Programme\ScanSoft\PaperPort\pptd40nt.exe E:\Programme\Brother\Brmfcmon\BrMfcWnd.exe E:\Programme\Ask.com\Updater\Updater.exe E:\Programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe E:\Programme\avmwlanstick\wlangui.exe E:\Programme\Avira\AntiVir Desktop\avgnt.exe E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe E:\Programme\iTunes\iTunesHelper.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\Messenger\msmsgs.exe E:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe E:\Programme\Brother\ControlCenter3\brccMCtl.exe E:\Programme\Brother\Brmfcmon\BrMfcmon.exe E:\Programme\Avira\AntiVir Desktop\avshadow.exe E:\Programme\Avira\AntiVir Desktop\avmailc.exe E:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE E:\Programme\iPod\bin\iPodService.exe E:\Programme\Internet Explorer\iexplore.exe E:\Programme\Internet Explorer\iexplore.exe E:\WINDOWS\system32\cmd.exe E:\Programme\Internet Explorer\iexplore.exe E:\Programme\Internet Explorer\iexplore.exe E:\Dokumente und Einstellungen\Anita\Desktop\HiJackThis204.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://bing.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com/?crg=3.16010003&st=10 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - E:\Programme\ConduitEngine\prxConduitEngine.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Avira SearchFree Toolbar plus WebGuard - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll O4 - HKLM\..\Run: [D-Link AirPlus G] E:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] E:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] E:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet O4 - HKLM\..\Run: [SSBkgdUpdate] "E:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] "E:\Programme\ScanSoft\PaperPort\pptd40nt.exe" O4 - HKLM\..\Run: [IndexSearch] "E:\Programme\ScanSoft\PaperPort\IndexSearch.exe" O4 - HKLM\..\Run: [PPort11reminder] "E:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini" O4 - HKLM\..\Run: [BrMfcWnd] E:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ControlCenter3] E:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [ApnUpdater] "E:\Programme\Ask.com\Updater\Updater.exe" O4 - HKLM\..\Run: [NUSB3MON] "E:\Programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" O4 - HKLM\..\Run: [AVMWlanClient] E:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [APSDaemon] "E:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Google Update] "E:\Dokumente und Einstellungen\Anita\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [SUPERAntiSpyware] E:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Google Sidewiki... - res://E:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\system32\browseui.dll O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - E:\Programme\SUPERAntiSpyware\SASCORE.EXE O23 - Service: ahruezoctwclvfu - Unknown owner - E:\DOKUME~1\Anita\LOKALE~1\Temp\DAT23.tmp.exe O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - E:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Avira Email Schutz (AntiVirMailService) - Avira Operations GmbH & Co. KG - E:\Programme\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - E:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - E:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira Browser Schutz (AntiVirWebService) - Avira Operations GmbH & Co. KG - E:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Apple Mobile Device - Apple Inc. - E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - E:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - E:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - E:\CyberGhost VPN\CGVPNCliService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe -- End of file - 9072 bytes Hoffe ihr könnt mir uns da helfen. Vielen Dank! Gruß Korn |
Themen zu Rootkit/ Malware Befall |
administrator, avira, avira searchfree toolbar, bho, bonjour, browser, conduit, cyberghost, desktop, e-banking, einstellungen, email, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, logfile, malware, nvidia, plug-in, rundll, scan, schutz, server, software, stick, superantispyware, trojaner-board, usb, usb 3.0, virus, windows internet |