| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.07.2008, 20:02
| #1 |
 |  Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! Liebe Experten, am 20.07.2008 habe ich mich für mein Online Banking bei der Sparkasse angemeldet. Beim Wechsel von meiner Statusanzeige zur Umsatzanzeige wurden 10 TANs abgefragt, die ich natürlich nicht angegeben habe. Ich arbeite auf Windows XP, habe eine Festplatte in zwei Platten C: und F: partioniert. D: und E: sind DVD Player und Brenner, wobei D: schon 1 Jahr defekt ist. Die Leistung ist AMD Athlon 64 Prozessor 3000+, 2.01 GHz, 1,00 GB RAM. Am Donnerstag - vor dem Online Banking- habe ich das SP3 für XP mit allen Updates installiert. Zudem habe ich AntiVir, AdAware, Spybot und Zonealarm upgedatet und durchlaufen lassen. Es wurde nichts gefunden. Anmerkung: Mit firefox werden keine 10 TANs abgefragt. Heute habe ich nod32 installiert, nachdem ich meine Sicherheitsprogramme deinstalliert und Kaspersky nicht installiert bekommen habe. Mir wurde folgendes gemeldet: "Arbeitsspeicher - Win32/Mebroot Trojaner - Säubern nicht möglich" Auf meiner Suche in diesem Forum bin ich auf den Thread h**p://w*w.trojaner-board.de/54836-virus-trojan-mebroot-b-post349749.html#post349749 gestoßen. Die Anweisungen habe ich bis GMER - Rootkit Detection verfolgt, ich weiß aber nicht wie weit ich die Ergebnisse auf mein Problem übertragen kann. Kann hier jemand einsteigen und mir Laien weiterhelfen? Mein HijackThis Log lautet: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:42:43, on 22.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\svchost.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft Location Finder\LocationFinder.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\MSI\Bluetooth Software\BTTray.exe C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\+++\Desktop\gmer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w+w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NVidia System Utility] "C:\Programme\NVIDIA Corporation\NVIDIA System Utility\\NVSystemUtility.exe" clear O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Location Finder] "C:\Programme\Microsoft Location Finder\LocationFinder.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe (file missing) O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 5359 bytes mbr.log nach öffnen der mbr.bat: Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://w+w.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully MBR rootkit code detected ! malicious code @ sector 0x17499f00 size 0x1fd ! copy of MBR has been found in sector 62 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. original MBR restored successfully ! gmer hat folgendes protokolliert: GMER 1.0.14.14536 - h++p://w*w.gmer.net Rootkit scan 2008-07-22 20:45:03 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) ZwOpenFile [0xF72E6030] ---- Kernel code sections - GMER 1.0.14 ---- PAGE CLASSPNP.SYS!ClassInitialize + F4 F764342C 4 Bytes [ 56, 27, 72, 86 ] PAGE CLASSPNP.SYS!ClassInitialize + FF F7643437 4 Bytes [ AC, E1, 71, 86 ] PAGE CLASSPNP.SYS!ClassInitialize + 10A F7643442 4 Bytes [ 68, 27, 72, 86 ] PAGE CLASSPNP.SYS!ClassInitialize + 111 F7643449 4 Bytes [ 5C, 27, 72, 86 ] PAGE CLASSPNP.SYS!ClassInitialize + 118 F7643450 4 Bytes [ 62, 27, 72, 86 ] PAGE ... ? C:\DOKUME~1\FOREVE~1\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.14 ---- .text C:\WINDOWS\Explorer.EXE[1304] ADVAPI32.dll!CryptDestroyKey 77DB9E9C 7 Bytes JMP 00F62B93 .text C:\WINDOWS\Explorer.EXE[1304] ADVAPI32.dll!CryptDecrypt 77DBA109 7 Bytes JMP 00F62B50 .text C:\WINDOWS\Explorer.EXE[1304] ADVAPI32.dll!CryptEncrypt 77DBE340 7 Bytes JMP 00F62B14 .text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00F62AF9 .text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!send 71A14C27 5 Bytes JMP 00F62985 .text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00F62A77 .text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00F629BD .text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00F629F5 .text C:\Programme\Internet Explorer\iexplore.exe[2312] ADVAPI32.dll!CryptDestroyKey 77DB9E9C 7 Bytes JMP 03072B93 .text C:\Programme\Internet Explorer\iexplore.exe[2312] ADVAPI32.dll!CryptDecrypt 77DBA109 7 Bytes JMP 03072B50 .text C:\Programme\Internet Explorer\iexplore.exe[2312] ADVAPI32.dll!CryptEncrypt 77DBE340 7 Bytes JMP 03072B14 .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 44671667 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 446715E8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 4467162C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 44671574 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446715AE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446716A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!InternetCloseHandle 441EDA59 5 Bytes JMP 03073098 .text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!HttpOpenRequestA 441F4341 5 Bytes JMP 03072DD1 .text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!InternetConnectA 441F499A 5 Bytes JMP 03072BAE .text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!InternetReadFile 441FABB4 5 Bytes JMP 03073043 .text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!HttpSendRequestA 441FCD40 5 Bytes JMP 03072F11 .text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!HttpSendRequestW 44210825 5 Bytes JMP 030739D8 .text C:\Programme\Internet Explorer\iexplore.exe[2312] CRYPT32.dll!CertGetCertificateChain 77A62F67 5 Bytes JMP 03073578 .text C:\Programme\Internet Explorer\iexplore.exe[2312] CRYPT32.dll!CertVerifyCertificateChainPolicy 77A6B76F 5 Bytes JMP 03073581 .text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[3268] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 4 Bytes [ C2, 04, 00, 00 ] ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET) AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys Device \Driver\Cdrom \Device\CdRom0 86722756 Device \Driver\Cdrom \Device\CdRom1 86722756 Device \Driver\Disk \Device\Harddisk0\DR0 86722756 ---- Threads - GMER 1.0.14 ---- Thread 4:472 867618D0 Thread 4:476 8674EBE0 Thread 4:480 86796DF0 Thread 4:484 8672F110 Thread 4:1596 867618D0 Thread 4:1600 8674EBE0 Thread 4:1604 86796DF0 Thread 4:1608 8672F110 ---- Disk sectors - GMER 1.0.14 ---- Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior; ---- EOF - GMER 1.0.14 ---- Wie soll ich jetzt weiterverfahren? Geändert von foreveryoung (22.07.2008 um 20:37 Uhr) |
| Themen zu Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! |
| amd athlon, antivir, antivirus, avp, avp.exe, bho, classpnp.sys, desktop, encrypt, eset nod32, excel, festplatte, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, ieframe.dll, internet, internet explorer, internet security, kaspersky, location, mbr rootkit, nicht installiert, nicht möglich, problem, prozessor, rootkit, security, server, software, system, trojaner, updates, win32/mebroot, windows, windows xp, windows xp sp3, xp sp3 |
Baum-Darstellung