| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Zwei Plagegeister entdeckt: ShellChanger und AgentWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
20.07.2013, 17:45
| #1 |
 |  Zwei Plagegeister entdeckt: ShellChanger und Agent Hallo Matthias, vielen Dank für deine Hilfe! Interessanter Hinweis mit Antivir, das wusste ich noch nicht. Gibt es denn eine (evtl. kostenlose) Alternative? Combolog habe ich entsprechend durchgeführt, anbei das Ergebnis: Combofix Logfile: Code:
ATTFilter ComboFix 13-07-20.02 - Tina 20.07.2013 18:13:33.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1015.677 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Tina\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\906753.js
c:\dokumente und einstellungen\All Users\Anwendungsdaten\906753.pad
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\Tina\Anwendungsdaten\skype.dat
c:\dokumente und einstellungen\Tina\Anwendungsdaten\skype.ini
c:\dokumente und einstellungen\Tina\ms.exe
C:\Recycle.Bin
c:\windows\IsUn0407.exe
c:\windows\system32\kock
c:\windows\system32\SET38.tmp
c:\windows\system32\SET3D.tmp
c:\windows\system32\xmldm
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-06-20 bis 2013-07-20 ))))))))))))))))))))))))))))))
.
.
2013-07-20 07:59 . 2013-07-20 07:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\StarMoney 8.0
2013-07-20 07:51 . 2013-07-20 07:51 -------- d-----w- c:\programme\Business Objects
2013-07-20 07:49 . 2013-07-20 07:49 -------- d-----w- c:\programme\Gemeinsame Dateien\StarFinanz
2013-07-20 07:49 . 2013-07-20 08:12 -------- d-----w- c:\programme\StarMoney 8.0 S-Edition
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-05 09:08 . 2004-08-04 10:00 1876864 ----a-w- c:\windows\system32\win32k.sys
2013-06-04 07:22 . 2004-08-04 10:00 563712 ----a-w- c:\windows\system32\qedit.dll
2013-05-29 07:41 . 2006-03-04 03:34 674304 ----a-w- c:\windows\system32\wininet.dll
2013-05-29 07:41 . 2004-08-04 10:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2013-05-29 07:41 . 2004-08-04 10:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2013-05-29 07:40 . 2004-08-04 10:00 371200 ----a-w- c:\windows\system32\html.iec
2013-05-08 09:58 . 2006-10-18 19:47 1543680 ------w- c:\windows\system32\wmvdecod.dll
2013-05-03 05:39 . 2005-03-30 17:36 2195840 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-05-03 05:39 . 2005-03-30 17:36 2072448 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-29 09:58 . 2011-12-15 22:09 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-10-14 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-10-14 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-10-14 114688]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2007-02-20 1191936]
"SigmatelSysTrayApp"="c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"Adobe Reader Speed Launcher"="c:\programme\Adobe Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"ControlCenter4"="c:\programme\ControlCenter4\BrCcBoot.exe" [2011-04-20 139264]
"BrStsMon00"="c:\programme\Browny02\Brother\BrStMonW.exe" [2010-12-23 2629632]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-07-01 345144]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 254896]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-15 00:04 39792 ----a-w- c:\programme\Adobe Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ApnUpdater]
2012-01-04 19:20 1391272 ----a-w- c:\programme\Ask.com\Updater\Updater.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
2007-11-19 17:33 1015808 ----a-w- c:\programme\Brother\ControlCenter2\brctrcen.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2005-04-14 14:56 1957888 ------w- c:\programme\Nero\Nero BackItUp\NBJ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
2005-01-26 16:02 49152 ------w- c:\programme\Brother\Brmfl05a\BrStDvPt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"Microsoft Office Groove Audit Service"=3 (0x3)
"gusvc"=3 (0x3)
"Brother XP spl Service"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.12.2012 21:48 37352]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.12.2012 21:48 84024]
R2 AntiVirWebService;Avira Browser-Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [17.12.2012 21:48 589368]
R3 BrYNSvc;BrYNSvc;c:\programme\Browny02\BrYNSvc.exe [08.12.2012 10:36 245760]
S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [20.07.2013 10:02 699680]
S3 BrSerIb;Brother Serial Interface Driver(WDM);c:\windows\system32\drivers\BrSerIb.sys [08.12.2012 10:37 71424]
S3 BrUsbSIb;Brother Serial USB Driver(WDM);c:\windows\system32\drivers\BrUsbSib.sys [08.12.2012 10:37 11520]
S3 CyUsbNT;Cypress Manufacturing Driver;c:\windows\system32\drivers\CyUsbNT.sys [16.02.2005 07:43 28800]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30.05.2008 07:31 717296]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-07-20 07:51 1173456 ----a-w- c:\programme\Google\Chrome\Application\28.0.1500.72\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-07-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2013-07-20 07:45]
.
2013-07-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2013-07-20 07:45]
.
2013-07-20 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2012-01-04 19:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\
FF - prefs.js: browser.startup.homepage - hxxps://www.stuempflhof-shop.de/
FF - ExtSQL: !HIDDEN! 2010-11-09 21:15; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - ExtSQL: !HIDDEN! 2012-07-15 15:57; {9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}; c:\windows\system32\12001.041
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Explorer_Run-8901 - c:\dokume~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.cmd
MSConfigStartUp-xooq - c:\dokumente und einstellungen\Tina\Anwendungsdaten\Syby\xooq.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-07-20 18:26
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(696)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2013-07-20 18:31:36
ComboFix-quarantined-files.txt 2013-07-20 16:31
.
Vor Suchlauf: 8 Verzeichnis(se), 18.073.595.904 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 18.483.453.952 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 527A6AD6188CB1DB19C71E995F8892F4
72B8CE41AF0DE751C946802B3ED844B4 Was meinst du dazu? |
|
21.07.2013, 10:42
| #2 | ||
| /// TB-Ausbilder   | Zwei Plagegeister entdeckt: ShellChanger und Agent Servus,
__________________Zitat:
Zitat:
 So geht es weiter: Schritt 1 Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Schritt 2 Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Schritt 3 Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
Bitte poste mit deiner nächsten Antwort
|
|
23.07.2013, 21:11
| #3 |
| | Zwei Plagegeister entdeckt: ShellChanger und Agent Hallo Matthias,
__________________das klingt schon mal sehr gut.. :-) Da der Laptop in meiner Heimat steht und ich selbst dort gerade nicht bin, kann es jetzt etwas länger als drei Tage dauern bis zum nächsten Post. Habe die Anweisungen weitergegeben und warte auf die Antwort von dort.. Beste Grüße und vielen vielen Dank! Martina |
|
24.07.2013, 18:44
| #4 |
| /// TB-Ausbilder | Zwei Plagegeister entdeckt: ShellChanger und Agent Servus Martina, danke für den Hinweis. Dann warte ich noch die ganze Woche auf deine nächste Rückmeldung.  |
|
| Themen zu Zwei Plagegeister entdeckt: ShellChanger und Agent |
| adobe, antivir, avg, avira, avira searchfree toolbar, bho, canon, einstellungen, error, excel, failed, fatal error, fehler, firefox, flash player, format, google, helper, hijack, home, intranet, logfile, plug-in, registry, rundll, scan, security, software, starmoney, temp, udp |
Hybrid-Darstellung
