Sparkassen Online Banking Virus

Arnold85 · 21.03.2013, 18:58

OK, ist erledigt.

Combofix Logfile:

Code:

ATTFilter

ComboFix 13-03-21.01 - User 21.03.2013  18:44:15.2.3 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2633 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\drivers\i8042prt.sys . . . fehlt!!
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-02-21 bis 2013-03-21  ))))))))))))))))))))))))))))))
.
.
2013-03-14 09:35 . 2013-03-14 09:35	--------	d-----w-	C:\TDSS
2013-03-14 08:52 . 2013-03-14 08:52	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes
2013-03-14 08:51 . 2013-03-14 08:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-03-14 08:51 . 2013-03-14 08:51	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2013-03-14 08:51 . 2012-12-14 15:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-03-14 08:44 . 2013-03-14 08:44	--------	d-----w-	C:\_OTL
2013-03-13 16:03 . 2013-03-13 16:03	--------	d-----w-	c:\programme\SecurityXploded
2013-03-13 15:47 . 2013-02-12 00:32	12928	-c----w-	c:\windows\system32\dllcache\usb8023x.sys
2013-03-13 15:42 . 2013-03-13 15:42	--------	d-----w-	c:\windows\system32\wbem\Repository
2013-03-04 16:44 . 2013-03-14 09:39	--------	d-----w-	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2013-03-04 16:23 . 2013-03-04 16:23	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Avira
2013-03-04 16:17 . 2012-11-27 09:01	83944	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-03-04 16:17 . 2012-11-22 14:51	36552	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2013-03-04 16:17 . 2012-11-22 14:50	134336	----a-w-	c:\windows\system32\drivers\avipbb.sys
2013-03-04 16:17 . 2013-03-04 16:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2013-03-04 16:17 . 2013-03-04 16:17	--------	d-----w-	c:\programme\Avira
2013-02-28 10:21 . 2013-02-28 10:21	--------	d-----w-	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Adobe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-13 16:25 . 2012-05-24 08:02	693976	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-03-13 16:25 . 2011-08-10 10:45	73432	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-12 00:32 . 2008-04-13 21:26	12928	----a-w-	c:\windows\system32\drivers\usb8023.sys
2013-02-05 19:56 . 2008-04-14 04:52	916480	----a-w-	c:\windows\system32\wininet.dll
2013-02-05 19:56 . 2008-04-14 04:52	43520	----a-w-	c:\windows\system32\licmgr10.dll
2013-02-05 19:56 . 2008-04-14 04:53	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2013-02-05 05:53 . 2008-04-14 04:25	385024	----a-w-	c:\windows\system32\html.iec
2013-01-26 03:55 . 2008-04-14 04:52	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-07 07:24 . 2008-04-14 04:29	2151424	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24 . 2008-04-14 07:30	2030080	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09 . 2008-04-14 04:23	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2008-04-14 04:53	148992	----a-w-	c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2008-04-14 04:52	1297920	----a-w-	c:\windows\system32\quartz.dll
2013-03-14 08:55 . 2013-03-14 08:55	263064	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HW_OPENEYE_OUC_T-Mobile Internet Manager"="c:\programme\T-Mobile\T-Mobile Internet Manager\UpdateDog\ouc.exe" [2009-12-31 110592]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2011-08-12 2433024]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2011-04-14 20053608]
"NUSB3MON"="c:\programme\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-11-17 113288]
"DataCardMonitor"="c:\programme\T-Mobile\T-Mobile Internet Manager\DataCardMonitor.exe" [2011-08-07 253952]
"D-Link D-Link Wireless N Dual Band DWA-160 "="c:\programme\D-Link\DWA-160\AirNCFG.exe" [2010-09-08 1041728]
"D-Link Wireless N Dual Band DWA-160  WZCSLDR2"="c:\programme\D-Link\DWA-160\WZCSLDR2.exe" [2010-07-11 122880]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-04-05 98304]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-18 946352]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-01-23 385248]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\User\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2013-1-20 28539272]
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\3.0.318\SSScheduler.exe [2013-2-5 272248]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\User\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [04.03.2013 17:17 36552]
R2 ANPD;ANPD Service;c:\windows\system32\ANPD.SYS [08.08.2011 01:56 29411]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.03.2013 17:17 86752]
R2 AntiVirWebService;Avira Browser-Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [04.03.2013 17:17 565472]
R2 D-Link Wireless N Dual Band DWA-160 _WPS;D-Link Wireless N Dual Band DWA-160 _WPS Service;c:\programme\D-Link\DWA-160\ANIWConnService.exe [08.08.2011 01:56 53248]
R3 arusb(Atheros);D-Link Wireless Network Adapter Service;c:\windows\system32\drivers\dwarusb.sys [08.08.2011 01:56 604160]
R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [12.05.2012 13:11 99856]
R3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [10.02.2011 13:52 63872]
R3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [10.02.2011 13:52 141952]
S2 D-Link Wireless N Dual Band DWA-160 ;D-Link Wireless N Dual Band DWA-160  Service;c:\programme\D-Link\DWA-160\ANIWZCSdS.exe [08.08.2011 01:56 126976]
S2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [14.03.2013 09:51 398184]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [14.03.2013 09:51 682344]
S2 XGames Datenbank Login;XGames Datenbank Login;c:\xgames\XGames Datenbank Login.exe -s --> c:\xgames\XGames Datenbank Login.exe -s [?]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [09.06.2011 17:17 1691480]
S3 filtertdidriver;filtertdidriver;c:\windows\system32\drivers\ewfiltertdidriver.sys [08.08.2011 00:59 7552]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [08.08.2011 00:59 100736]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [14.03.2013 09:51 21104]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\3.0.318\McCHSvc.exe [05.02.2013 16:48 235216]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - BMLoad
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-03-15 09:04	1629648	----a-w-	c:\programme\Google\Chrome\Application\25.0.1364.172\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-24 16:25]
.
2013-03-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-08-08 02:10]
.
2013-03-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-08-08 02:10]
.
2013-03-21 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-08-09 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\qpw9eszm.default\
FF - prefs.js: browser.startup.homepage - hxxp://intern.spielemarkt.at/dongle.html
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-21 18:49
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  DataCardMonitor = c:\programme\T-Mobile\T-Mobile Internet Manager\DataCardMonitor.exe?at1.tmp\T-Mo???? ?n???=???=?nager\setup.exe?????????E?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????   
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,cc,61,f0,d6,f9,1a,67,43,bd,99,3e,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,cc,61,f0,d6,f9,1a,67,43,bd,99,3e,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(924)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
- - - - - - - > 'lsass.exe'(980)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - - - - > 'explorer.exe'(1408)
c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2013-03-21  18:49:46
ComboFix-quarantined-files.txt  2013-03-21 17:49
.
Vor Suchlauf: 11 Verzeichnis(se), 129.391.181.824 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 129.379.348.480 Bytes frei
.
- - End Of File - - C59B06E7C762A4687734159F0AD25185

--- --- ---

Sparkassen Online Banking Virus

Plagegeister aller Art und deren Bekämpfung: Sparkassen Online Banking Virus

Sparkassen Online Banking Virus

Ähnliche Themen: Sparkassen Online Banking Virus