Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG

TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG


Log-Analyse und Auswertung: TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 12.06.2008, 03:44   #1
KarlKarl
/// Helfer-Team
 
TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG - Standard

TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG


Hi,

ntos.exe ist eben keine Kleinigkeit und weiß sich sehr gut zu verteidigen. Setzt eine ganze Reihe Techniken ein, sich Tools und Virenscannern zu entziehen. auch Combofix ist kein Wundermittel, sondern eine ganz gewöhnliche Batchdatei. Dem sind Grenzen gesetzt.

ntos.exe ist dafür bekannt, alle Zugangsdaten zu klauen, insbesondere Daten, bei denen es um Geld geht, z.B. Onlinebanking, Ebay, Paypal. Das istdas erste, wo Du dich drum kümmern musst. Die Zugangsdaten von einem sauberen Computer aus sofort ändern, die Bank eventuell auch telefonsich benachrichtigen, damit sie das Konto sperrt.

Danach ist eine Neuinstallation des Systems angemessen, jedenfalls wenn man auf Sicherheit Wert liegt.

Gruß, Karl

Alt 12.06.2008, 03:54   #2
Ness
 
TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG - Standard

TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG


Zitat:
Zitat von KarlKarl Beitrag anzeigen
Hi,

ntos.exe ist dafür bekannt, alle Zugangsdaten zu klauen, insbesondere Daten, bei denen es um Geld geht, z.B. Onlinebanking, Ebay, Paypal. Das istdas erste, wo Du dich drum kümmern musst. Die Zugangsdaten von einem sauberen Computer aus sofort ändern, die Bank eventuell auch telefonsich benachrichtigen, damit sie das Konto sperrt.
Gott sei Dank wurden von diesem Rechner keine Bankgeschäfte abgewickelt, Ebay und Paypal verwende ich nicht. Alle anderen Passwörter (Emailkonten, FTP-Zugänge etc.) habe ich von meinem Labtop aus geändert.

Zitat:
Zitat von KarlKarl Beitrag anzeigen

Danach ist eine Neuinstallation des Systems angemessen, jedenfalls wenn man auf Sicherheit Wert liegt.

Gruß, Karl
Würde es erst gerne so versuchen, wenn es überhaupt nicht geht dann eine Neuinstallation des Systems.
Würde gerne nachvollziehen, woher es kam, seit wann es drauf ist und vor allem, daraus lernen wie ich unseren PC noch besser schützen kann.

Bankgeschäfte werden nur von einem PC aus gemacht, mit dem wir nicht "surfen".

LG
Ness
__________________
Alt 12.06.2008, 04:17   #3
Ness
 
TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG - Standard

TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG


So, habe noch einmal den Eintrag gefixed uuuuund er ist nun tatsächlich weg:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:10:23, on 12.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Command Software\Command AntiVirus\avinitnt.exe
C:\Program Files\avmwlanstick\WlanNetService.exe
C:\Program Files\Common Files\Command Software\dvpapi.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Command Software\Command AntiVirus\schscnt.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sistray.EXE
C:\PROGRA~1\COMMAN~1\COMMAN~1\untray.exe
C:\PROGRA~1\COMMAN~1\COMMAN~1\dvprpt.exe
C:\PROGRA~1\COMMAN~1\COMMAN~1\avtray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
C:\Program Files\avmwlanstick\wlangui.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\1&1\1&1 EasyLogin\EasyLogin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://192.168.1.1/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [untray] C:\PROGRA~1\COMMAN~1\COMMAN~1\untray.exe
O4 - HKLM\..\Run: [CSAV_CheckViruses] C:\PROGRA~1\COMMAN~1\COMMAN~1\vchk.exe
O4 - HKLM\..\Run: [dvprpt] C:\PROGRA~1\COMMAN~1\COMMAN~1\dvprpt.exe
O4 - HKLM\..\Run: [avtray] C:\PROGRA~1\COMMAN~1\COMMAN~1\avtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SMSTray] D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [HPWS myPrintMileage Agent] C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Program Files\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [SoundMan] " SOUNDMAN.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: Add to Media Manager... - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199775831859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199775816890
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game12.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avinitnt - Command Software Systems, Inc. - C:\Program Files\Command Software\Command AntiVirus\avinitnt.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: DvpApi (dvpapi) - Command Software Systems, Inc. - C:\Program Files\Common Files\Command Software\dvpapi.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: schscnt - Command Software Systems, Inc. - C:\Program Files\Command Software\Command AntiVirus\schscnt.exe
O24 - Desktop Component 0: (no name) - h**p://www.***.de/images/***/***8M3.jpg
O24 - Desktop Component 1: (no name) - E:\***\Homepage\***\images\***\***8M1.jpg

--
End of file - 8006 bytes
Vielleícht hat jemand noch einen Tip - wurschtel mich tapfer durch

LG
Ness
__________________
Alt 12.06.2008, 04:35   #4
Ness
 
TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG - Standard

TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG


Noch einmal Combofix:

Code:
ATTFilter
ComboFix 08-06-10.5 - **** 2008-06-12  5:23:27.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.182 [GMT 2:00]
Running from: C:\Documents and Settings\****\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((   Files Created from 2008-05-12 to 2008-06-12  )))))))))))))))))))))))))))))))
.

2008-06-12 03:59 . 2008-06-12 03:59	<DIR>	d--------	C:\Program Files\Malwarebytes' Anti-Malware
2008-06-12 03:59 . 2008-06-12 03:59	<DIR>	d--------	C:\Documents and Settings\****\Application Data\Malwarebytes
2008-06-12 03:59 . 2008-06-12 03:59	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-12 03:59 . 2008-06-10 19:02	34,296	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-12 03:59 . 2008-06-10 19:02	15,864	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-06-12 01:38 . 2008-06-12 01:42	<DIR>	d--------	C:\Program Files\Yahoo!
2008-06-12 01:38 . 2008-06-12 01:42	<DIR>	d--------	C:\Program Files\CCleaner
2008-06-11 18:18 . 2008-06-11 18:18	<DIR>	d--------	C:\Program Files\Trend Micro
2008-06-11 14:50 . 2008-04-14 13:01	272,128	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 12:17 . 2006-12-28 01:02	7,031	-ra------	C:\WINDOWS\instwcli.inf
2008-06-11 12:16 . 2007-01-26 01:00	74,752	--a------	C:\WINDOWS\system32\fwlanci.org
2008-06-11 10:30 . 2006-12-28 01:02	74,240	-ra------	C:\WINDOWS\system32\fwlanci.dll
2008-06-11 10:30 . 2006-12-28 01:02	4,352	-ra------	C:\WINDOWS\system32\drivers\avmeject.sys
2008-05-27 17:08 . 2008-05-27 17:08	<DIR>	d--------	C:\Program Files\****
2008-05-21 17:43 . 2006-12-01 22:54	1,175,552	--a------	C:\WINDOWS\system32\msvcr80d.dll
2008-05-21 17:43 . 2005-09-22 23:28	1,097,728	--a------	C:\WINDOWS\system32\msvcp80.dll
2008-05-21 17:43 . 2006-12-01 22:54	1,036,288	--a------	C:\WINDOWS\system32\msvcp80d.dll
2008-05-21 17:43 . 2006-12-01 22:54	1,015,808	--a------	C:\WINDOWS\system32\msvcm80d.dll
2008-05-21 17:43 . 2005-09-22 23:26	822,784	--a------	C:\WINDOWS\system32\msvcr80.dll
2008-05-21 17:43 . 2005-09-22 23:27	516,096	--a------	C:\WINDOWS\system32\msvcm80.dll
2008-05-16 21:09 . 2008-05-16 21:09	<DIR>	d--h-----	C:\WINDOWS\PIF
2008-05-16 21:08 . 2008-05-16 21:08	<DIR>	d--h-----	C:\WINDOWS\system32\GroupPolicy
2008-05-16 20:28 . 2008-05-16 20:28	<DIR>	d--------	C:\Documents and Settings\***\Application Data\1&1
2008-05-16 14:35 . 2004-09-15 17:20	61,440	-ra------	C:\WINDOWS\scrub2k.exe
2008-05-16 14:35 . 2004-09-15 18:18	83	-ra------	C:\WINDOWS\hpw1280k.ini
2008-05-16 14:34 . 2008-05-16 14:34	<DIR>	d--------	C:\Program Files\Hewlett-Packard
2008-05-16 14:33 . 2008-05-16 14:33	103	--a------	C:\WINDOWS\system32\hptrace.ini
2008-05-16 14:32 . 2008-05-16 14:36	408,697	--a------	C:\WINDOWS\hpdj1280.his
2008-05-16 14:32 . 2008-05-16 14:36	17,091	--a------	C:\WINDOWS\hpdj1280.ini

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-11 10:17	---------	d-----w	C:\Program Files\avmwlanstick
2008-05-21 14:11	491,520	----a-w	C:\WINDOWS\ii4file.exe
2008-05-08 12:28	202,752	----a-w	C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:18	1,287,680	----a-w	C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-04-22 20:19	---------	d-----w	C:\Program Files\HSM
2008-04-14 11:01	272,128	------w	C:\WINDOWS\system32\drivers\bthport.sys
2008-03-27 08:12	151,583	----a-w	C:\WINDOWS\system32\msjint40.dll
2008-03-19 09:47	1,845,248	----a-w	C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((((   snapshot@2008-06-12_ 2.03.18.10   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-11 23:58:39	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
+ 2008-06-12 03:08:34	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
- 2008-06-11 23:58:50	214,890	----a-w	C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2008-06-12 03:12:43	214,890	----a-w	C:\WINDOWS\system32\inetsrv\MetaBase.bin
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-04 00:16 401491]
"1&1 EasyLogin"="C:\Program Files\1&1\1&1 EasyLogin\EasyLogin.exe" [2007-06-12 17:51 1313792]
"SoundMan"=" SOUNDMAN.EXE" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:56 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2002-05-09 03:19 303104]
"SiSUSBRG"="C:\WINDOWS\sisUSBrg.exe" [2002-04-25 18:06 32768]
"untray"="C:\PROGRA~1\COMMAN~1\COMMAN~1\untray.exe" [2005-06-14 12:44 97360]
"CSAV_CheckViruses"="C:\PROGRA~1\COMMAN~1\COMMAN~1\vchk.exe" [2005-06-14 12:44 56400]
"dvprpt"="C:\PROGRA~1\COMMAN~1\COMMAN~1\dvprpt.exe" [2005-06-14 12:44 68688]
"avtray"="C:\PROGRA~1\COMMAN~1\COMMAN~1\avtray.exe" [2005-06-14 12:44 52304]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-09-28 13:30 286720]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2008-01-02 13:04 185896]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-24 20:50 262401]
"SMSTray"="D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-09-20 09:23 132624]
"HPWS myPrintMileage Agent"="C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe" [2004-10-31 05:47 102400]
"AVMWlanClient"="C:\Program Files\avmwlanstick\wlangui.exe" [2006-12-28 01:02 1454080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:56 15360]

C:\Documents and Settings\****\Start Menu\Programs\Startup\
Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= E:\***\Homepage\***\images\***\***8M1.jpg
FriendlyName= 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{88485281-8b4b-4f8d-9ede-82e29a064277}"= C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 17:51 192512]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Microsoft ActiveSync\\WcesMgr.exe"=
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"E:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\muzapp.exe"=
"D:\\Program Files\\FileZilla\\FileZilla.exe"=
"E:\\HSM\\Programme\\FilePrint\\FilePrint\\FilePrint.exe"=
"C:\\Program Files\\avmwlanstick\\FRITZWLanMini.exe"=
"C:\\Program Files\\1&1\\1&1 EasyLogin\\EasyLogin.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-18 00:36]
R3 AVMWAN;AVM NDIS WAN CAPI Driver;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 ENE;ENE;C:\WINDOWS\system32\DRIVERS\EMCR7SK.sys [2003-02-11 03:12]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 15:28]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2002-11-04 09:39]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 01:02]
S3 fus2base;AVM ISDN-Controller FRITZ!Card USB v2.0;C:\WINDOWS\system32\DRIVERS\fus2base.sys [2001-08-17 12:15]
S3 p2pgasvc;Peer Networking Group Authentication;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:56]
S3 p2pimsvc;Peer Networking Identity Manager;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:56]
S3 p2psvc;Peer Networking;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:56]
S3 PNRPSvc;Peer Name Resolution Protocol;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:56]
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\PRISMUSB.sys [2003-10-02 16:47]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc	REG_MULTI_SZ   	p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1d42b3e-a51a-11dc-88fa-000ea6367ac6}]
\Shell\AutoRun\command - G:\pushinst.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-12 05:24:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-06-12  5:26:07
ComboFix-quarantined-files.txt  2008-06-12 03:25:51
ComboFix2.txt  2008-06-12 03:21:54
ComboFix3.txt  2008-06-12 00:53:22
ComboFix4.txt  2008-06-12 00:04:33

Pre-Run: 7,783,100,416 bytes free
Post-Run: 7,770,931,200 bytes free

149	--- E O F ---	2008-06-11 15:44:52
So, was kann ich noch machen? Außer einer eventuellen Neuinstallation. Was sieht noch verdächtig aus?

Oh mann, draußen wird es schon hell

müde Grüße
Ness

Alt 12.06.2008, 04:39   #5
BataAlexander
> MalwareDB
 
TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG - Standard

TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG


Was soll man noch schreiben? Karl hat alles wichtige richtig zusammengefaßt.
Allerdings ist HijackThis wahrlich keine Löscung für derartige Probleme.
Wenn, versuche es so

GMER - Rootkit Detection

* Lade GMER von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt



* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Sophos Anti-RootKit

- Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
- Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
- Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
- Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
- Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.
(Thx to Argos)

SDFIX ausführen

Download SDFix und speichere es auf dem Desktop.
Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken
(X = Dein Windowslaufwerk)
  • Bitte starte Deinen Pc im abgesicherten Modus neu
  • Starte den PC neu
  • Nachdem dein Rechner einmal bei starten gepiept hat, bevor das Windows Logo erscheint, drücke die F8 Taste mehrfach
  • Anstatt Windows normal zu starten wird ein Menü erscheinen
  • Wähle die Option "Starte Windows im abgesicherten Modus", dann drücke "Enter"
  • Wähle Deinen Anmeldenamen
  • Im abgesicherten Modus, gehst Du zum SDFix Ordner X:\SDFix (X = Dein Windowslaufwerk)
  • Öffne den Ordner und doppelklicke die Datei RunThis.bat um das Script zu starten
  • Drücke "Y" um das Script zu starten.
  • Es entfernt bösartige Dienste und repariert die Registry. Wenn es durchgelaufen ist, bittet es eine Taste zu drücken um zu rebooten.
  • Drücke eine Taste um zu reboooten.
  • Dein System wird länger brauchen um jetzt wieder im normalen Modus zu starten, denn das fixtool startet mit und löscht noch einige Dateien.
  • Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden.
  • Jetzt öffne den SDFix Ordner auf Deinem Desktop und copy & paste den Inhalt der Report.txt in Deinen Thread.

__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 12.06.2008, 07:14   #6
Ness
 
TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG - Standard

TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG


uff - danke erstmal.

Hier ist Eintrag von gmer:

Code:
ATTFilter
GMER 1.0.14.14536 - h**p://www.gmer.net
Rootkit scan 2008-06-12 08:09:38
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            F7E58174                                                                                            ZwCreateThread
SSDT            F7E58160                                                                                            ZwOpenProcess
SSDT            F7E58165                                                                                            ZwOpenThread
SSDT            F7E5816F                                                                                            ZwTerminateProcess
SSDT            F7E5816A                                                                                            ZwWriteVirtualMemory

Code            \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)  ZwClose [0xF0F0F1CF]
Code            \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)  ZwCreateSection [0xF0F0F43A]
Code            \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)  ZwSetInformationFile [0xF0F0E916]
Code            \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)  ZwWriteFile [0xF0F0E562]
Code            \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)  IoCreateFile
Code            \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)  NtClose
Code            \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)  NtCreateSection
Code            \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)  NtSetInformationFile
Code            \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)  NtWriteFile

---- Kernel code sections - GMER 1.0.14 ----

PAGE            ntoskrnl.exe!NtCreateSection                                                                        8056461B 7 Bytes  JMP F0F0F43E \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)
PAGE            ntoskrnl.exe!NtClose                                                                                80566D49 5 Bytes  JMP F0F0F1D3 \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)
PAGE            ntoskrnl.exe!IoCreateFile                                                                           8056FAA3 5 Bytes  JMP F0F0E155 \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)
PAGE            ntoskrnl.exe!NtSetInformationFile                                                                   80576E9C 5 Bytes  JMP F0F0E91A \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)
PAGE            ntoskrnl.exe!NtWriteFile                                                                            80577145 7 Bytes  JMP F0F0E566 \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)
PAGE            Fastfat.SYS                                                                                         F350C948 7 Bytes  JMP F0F0FA22 \SystemRoot\system32\DRIVERS\css-dvp.sys (Dynamic Virus Protection/Command Software Systems, Inc.)
?               C:\WINDOWS\system32\Drivers\PROCEXP90.SYS                                                           Das System kann die angegebene Datei nicht finden. !
?               C:\ComboFix\catchme.sys                                                                             Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text           C:\Program Files\Internet Explorer\iexplore.exe[2088] USER32.dll!DialogBoxParamW                    7E42555F 5 Bytes  JMP 42F0F301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2088] USER32.dll!DialogBoxIndirectParamW            7E432032 5 Bytes  JMP 430A1667 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2088] USER32.dll!MessageBoxIndirectA                7E43A04A 5 Bytes  JMP 430A15E8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2088] USER32.dll!DialogBoxParamA                    7E43B10C 5 Bytes  JMP 430A162C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2088] USER32.dll!MessageBoxExW                      7E4505D8 5 Bytes  JMP 430A1574 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2088] USER32.dll!MessageBoxExA                      7E4505FC 5 Bytes  JMP 430A15AE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2088] USER32.dll!DialogBoxIndirectParamA            7E456B50 5 Bytes  JMP 430A16A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2088] USER32.dll!MessageBoxIndirectW                7E4662AB 5 Bytes  JMP 42F316B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----
Schluck... ist das schlimm?
Gehe nun zu sophos...

LG
Ness

Alt 12.06.2008, 07:28   #7
Ness
 
TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG - Standard

TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG


Hier ist die logfile von Sarscan:

Code:
ATTFilter
Sophos Anti-Rootkit Version 1.3.1 (data 1.08)  (c) 2006 Sophos Plc
Started logging on 12.06.2008 at 08:20:43
Stopped logging on 12.06.2008 at 08:23:30
Muss nun arbeiten

LG
Ness

Alt 12.06.2008, 07:38   #8
BataAlexander
> MalwareDB
 
TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG - Standard

TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG


Beide unauffällig.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Antwort

Themen zu TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG
adobe, antivir, antivirus, avira, backdoor, bho, desktop, e-mails, excel, explorer, heulen, hijack, hijackthis, hkus\s-1-5-18, homepage, internet, internet explorer, logfile, mp3, programme, software, stick, studio, surfen, system, trojaner, unknown file in winsock lsp, urlsearchhook, userinit.exe, warnung, windows, windows xp


« Smitfraud | ständig öffnen sich dateien beim hochfahren »


Ähnliche Themen: TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG


  1. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  2. Sinowal ?!
    Plagegeister aller Art und deren Bekämpfung - 27.10.2011 (28)
  3. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (1)
  4. Exp/Sinowal.F ?
    Log-Analyse und Auswertung - 09.05.2011 (1)
  5. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  6. BOO/Sinowal.F
    Log-Analyse und Auswertung - 22.07.2010 (2)
  7. BOO/ Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 11.08.2009 (4)
  8. BOO/Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 02.08.2009 (18)
  9. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 19.04.2009 (15)
  10. B00 / Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (4)
  11. B00 / Sinowal.A
    Log-Analyse und Auswertung - 05.03.2009 (0)
  12. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 21.02.2009 (4)
  13. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (1)
  14. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 14.01.2009 (5)
  15. boo/sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (21)
  16. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 03.11.2008 (7)
  17. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 01.09.2008 (9)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG - Hi, ntos.exe ist eben keine Kleinigkeit und weiß sich sehr gut zu verteidigen. Setzt eine ganze Reihe Techniken ein, sich Tools und Virenscannern zu entziehen. auch Combofix ist kein Wundermittel, - TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG...
Archiv
Du betrachtest: TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132