Warning! Spyware detected on....XP Antivirus 2008

DomLin · 28.08.2008, 17:07

Hallo zusammen,

seit gestern wird mein Rechner von einem Virus gequält der sich wie folgt zu erkennen gibt:

Auf dem Desktop erscheint anstatt des Wallpapers die Meldung:

1.

Waring! Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer!

Warning! Win32/Adware.Virtumonde
Warning! Win32/PrivacyRemover.M64

2.

Beim Start läd ein Fenster, dass mich auffordert den XP Antivirus 2008 zu installieren

3.

Im Browser (Firefox 3) werde ich, wenn ich aus Google heraus auf einen Link klicke, immer auf Werbeseiten weitergeleitet.
Seiten von den gängigen Antivirus-Programm, Onlinescans, etc. sind "tod"

Kann mir bitte jemand helfen? Wäre echt lieb, langsam nervt es

Danke!

Anbei ein Logfile aus Highjackthis:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:42, on 28.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20627)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Java\jre1.5.0_12\bin\jusched.exe
C:\Windows\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Windows\System32\alg.exe
C:\Windows\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Macromedia\Dreamweaver 8\Dreamweaver.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\Windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\Windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\Windows\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\Windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\Windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2007_2008_PLUS\TrayServer.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [lphc3ddj0er3c] C:\Windows\system32\lphc3ddj0er3c.exe
O4 - HKLM\..\Run: [inrhc7ddj0er3c] C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\.tt74.tmp.exe
O4 - HKLM\..\Run: [sysrest32.exe] C:\Windows\system32\sysrest32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\Windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\Windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\Windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\Windows\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

--
End of file - 7935 bytes

cosinus · 28.08.2008, 17:31

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\Windows\system32\sysrest32.exe
C:\Windows\system32\lphc3ddj0er3c.exe

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Someonelse · 28.08.2008, 18:22

Ich habe das Problem auch, ist voll stressig!
Was hier nicht beschrieben wird, ist wie du den Desktophintergrund zurückkriegst. Das machst du so:
Klicke auf Start, dann Ausführen und gib regedit ein und bestätige mit OK.
Nun öffnet sich der Registrierunge-Editor.Bitte nimm keine eigenmächtigen Änderungen daran vor, dies könnte die Leistung deines PCs beeinträchtigen.

Nun öffne diesen Pfad:

Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\policies\system
für alle Benutzer

Arbeitsplatz\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Currentversion\policies\system
für den jetzigen Benutzer

erstelle nun im rechten Teil des Fensters einen neuen DWORD-Wert (rechtsklick/neu/DWORD-Wert). Nenne ihn "NoDispBackgroundPage" und setzte ihn auf "0"(Standart) um die Registerkarte "Desktop" in "Eigenschaften von Anzeige" wieder erscheinen zu lassen.
Wiederhole den Vorgang und nenne den Wert "NoDispScrSavPage" um die Registerkarte "Bildschirmschoner" in "EIgenschaften von ANzeige" wieder erscheinen zu lassen.
Viel Glück noch mit dem Rest des Problems!

cosinus · 28.08.2008, 18:29

Hallo Someonelse,

Dein Tipp ist ja gut gemeint, aber ich fürchte es ist lediglich eine Symptombekämpfung, die Punkte die ich dem TO zum Abackern aufgegeben habe (besonders das Tool Combofix) sind da gründlicher als ein einfacher Registryhack.

DomLin · 28.08.2008, 18:37

Hi Ihr beiden ..

Danke für die schnellen Antwort...

Bin gerade am Abrackern der Punkte von root24.. Ziemlich witzig, da ich mit dem "viruspc" nicht mehr richtig ins internet komme, wie weiter oben erwähnt...

nun bin ich gerade dabei, mit dem laptop die dateien auf den "viruspc" zu ziehen.. melde mich später sobald ic alles komplett habe .. danke euch !

DomLin · 28.08.2008, 19:28

So da bin ich wieder:

Also los:

1. Systemwiederherstellung ist deaktiviert

2.

Sysrest ist verschwunden? kann die Datei nicht mehr finden...auch nciht bei den versteckten dateien und den prozessen

C:\Windows\system32\lphc3ddj0er3c.exe

Code:

ATTFilter

MD5:  	609e59d17a35e514caea543868134d7a
First received: 	2008.08.25 09:04:49 (CET)
Datum 	2008.08.26 09:56:21 (CET) [>2D]
Ergebnisse 	12/36
Permalink: 	analisis/4ccfb99b60b4aa1598f2ae27ba71e4b1

File size: 199168 bytes
MD5...: 609e59d17a35e514caea543868134d7a
SHA1..: eb5db8bc5ae5687361549197b55a4f56c5a394e5
SHA256: d566ad1822c2246a943a5c448dcc1b09b3ba1440d6c690391aa5ecc9f80e6cd4
SHA512: 7ffd7e65d75f112694607b152c93fc3d93ab10afabd1b55bd1ff5c1d1a5c0c33
ae37aa3375d02c9d3647bdddee6959c1984b8149b87d3e958311204ff1ade818
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4066c9
timedatestamp.....: 0x48a5befd (Fri Aug 15 17:38:05 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xecfb 0x9200 7.99 67795eee06789c0a2f8e2358e9a8e0b6
.rdata 0x10000 0x3cd3 0x1800 7.97 b3c34e7072bce1c86ac8b15408500f54
.data 0x14000 0xb66fa 0x22c00 8.00 349e385fc500f5fdf2e5a7ea28e0072b
.rsrc 0xcb000 0xf000 0x3000 6.62 d2f28c23e77dbea4100179f07bcfc66f

( 4 imports )
> wsock32.dll: bind, WSAStartup, listen
> kernel32.dll: CreatePipe, TerminateProcess, VirtualProtect
> gdi32.dll: SetRelAbs, StretchBlt, SetICMMode, ResetDCW, UpdateColors, SaveDC, TextOutW, SetDIBColorTable
> shell32.dll: SHAppBarMessage, StrRChrIA, StrStrIA

( 0 exports )

Weitere dateien gefunden:

blphc3ddj0er3c.scr
phc3ddj0er3c.bmp (ist auch das desktop auf dem pc derzeit)

3. MBR Tool

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

4.1 Blacklight

startet nicht

4.2 Malwarebytes

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1092
Windows 5.1.2600 Service Pack 2

19:40:30 28.08.2008
mbam-log-08-28-2008 (19-40-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 143059
Laufzeit: 23 minute(s), 21 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 32

Infizierte Speicherprozesse:
C:\Windows\system32\lphc3ddj0er3c.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Windows\system32\blphc3ddj0er3c.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc3ddj0er3c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhc7ddj0er3c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\blphc3ddj0er3c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UQ5OA14A\sysftp[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\1F.tmp (Backdoor.Rustock) -> Quarantined and deleted successfully.
C:\Neuer Ordner\blphc3ddj0er3c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\Temp\33998C78.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\system32\sysrest32.exe (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\tdssmain.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\lphc3ddj0er3c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\system32\phc3ddj0er3c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt74.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\system32\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

5. Combofix

Code:

ATTFilter

ComboFix 08-08-27.06 - Wayne 2008-08-28 20:15:00.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.621 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Wayne\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Wayne\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOOF\system32\actskn43.ocx
C:\WINDOOF\system32\dao350.dll
C:\WINDOOF\system32\drivers\232bf7cb.sys

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSREST.SYS
-------\Legacy_TDSSSERV
-------\Service_232bf7cb
-------\Service_tdssserv


(((((((((((((((((((((((   Dateien erstellt von 2008-07-28 bis 2008-08-28  ))))))))))))))))))))))))))))))
.

2008-08-28 20:17 . 2008-08-28 20:17	<DIR>	d--------	C:\WINDOOF\system32\xircom
2008-08-28 20:17 . 2008-08-28 20:17	<DIR>	d--------	C:\Programme\microsoft frontpage
2008-08-28 20:06 . 2008-08-28 20:06	<DIR>	d--------	C:\Programme\CCleaner
2008-08-28 19:04 . 2008-08-28 19:04	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-28 19:04 . 2008-08-28 19:04	<DIR>	d--------	C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Malwarebytes
2008-08-28 19:04 . 2008-08-28 19:04	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-28 19:04 . 2008-08-17 15:01	38,472	--a------	C:\WINDOOF\system32\drivers\mbamswissarmy.sys
2008-08-28 19:04 . 2008-08-17 15:01	17,144	--a------	C:\WINDOOF\system32\drivers\mbam.sys
2008-08-28 18:50 . 2008-08-28 20:11	<DIR>	d--------	C:\Neuer Ordner
2008-08-27 20:55 . 2008-08-27 20:55	<DIR>	d--------	C:\Programme\Panda Security
2008-08-26 23:08 . 2008-08-26 23:08	<DIR>	d--------	C:\Programme\Enigma Software Group
2008-08-26 18:46 . 2008-03-07 21:44	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-26 18:46 . 2008-03-07 21:38	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmen
2008-08-26 18:46 . 2008-03-07 21:38	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-26 18:46 . 2008-03-07 21:38	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-26 18:46 . 2008-03-07 21:49	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-26 18:46 . 2008-03-07 21:49	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-08-26 18:46 . 2008-03-07 21:38	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-26 18:46 . 2008-03-08 15:10	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
2008-08-26 18:46 . 2008-08-26 20:40	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-26 18:46 . 2008-08-26 18:59	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-08-26 18:15 . 2008-08-26 18:15	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-02 15:45 . 2008-08-07 19:42	<DIR>	d--------	C:\SPG-Verein
2008-08-02 15:45 . 1998-10-26 10:56	436,736	--a------	C:\WINDOOF\system32\cm32b2.dll
2008-08-02 15:45 . 1998-10-22 14:44	256,000	--a------	C:\WINDOOF\system32\cm32ct5.dll
2008-08-02 15:45 . 1998-07-21 09:31	122,880	--a------	C:\WINDOOF\system32\cm32b2o.ocx
2008-08-02 15:45 . 1997-10-13 17:14	114,176	--a------	C:\WINDOOF\system32\imdt4s32.ocx
2008-08-02 15:45 . 1998-04-29 18:04	100,864	--a------	C:\WINDOOF\system32\cm32ut4.dll
2008-08-02 15:45 . 1998-10-22 14:39	63,488	--a------	C:\WINDOOF\system32\cm32cr2.dll
2008-08-02 15:45 . 1998-10-22 11:24	38,400	--a------	C:\WINDOOF\system32\cm32b200.lng
2008-08-02 15:44 . 2008-08-02 15:44	<DIR>	d--------	C:\Dokumente und Einstellungen\Wayne\WINDOWS
2008-08-02 15:44 . 1998-02-06 22:35	304,128	--a------	C:\WINDOOF\unin0407.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-28 17:40	---------	d-----w	C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Desktopicon
2008-08-28 15:49	---------	d-----w	C:\Programme\Mozilla Thunderbird
2008-08-27 17:19	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-25 17:34	---------	d-----w	C:\Programme\a-squared Free
2008-08-24 21:23	---------	d-----w	C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\FileZilla
2008-08-06 21:12	---------	d-----w	C:\Programme\Google
2008-07-20 19:29	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Roxio
2008-07-20 14:52	---------	d-----w	C:\Programme\Gemeinsame Dateien\Research In Motion
2008-07-20 14:20	---------	d-----w	C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Research In Motion
2008-07-20 14:17	---------	d-----w	C:\Programme\Gemeinsame Dateien\Sonic Shared
2008-07-20 14:17	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic
2008-07-20 14:17	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-07-20 14:16	---------	d-----w	C:\Programme\Roxio
2008-07-20 14:15	---------	d-----w	C:\Programme\Gemeinsame Dateien\Roxio Shared
2008-07-20 13:58	---------	d-----w	C:\Programme\Research In Motion
2008-07-02 19:38	---------	d-----w	C:\Programme\VOX3DPlaner2
2008-07-02 18:18	---------	d-----w	C:\Programme\Java
2008-06-30 19:24	---------	d-----w	C:\Programme\AppleJuice
2008-06-30 16:36	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-06-30 16:35	---------	d-----w	C:\Programme\Gemeinsame Dateien\AVSMedia
2008-06-30 16:35	---------	d-----w	C:\Programme\AVS4YOU
2008-06-30 16:34	---------	d-----w	C:\Programme\Mini-stream
2008-03-07 23:41	32,768	--sha-w	C:\WINDOOF\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008030820080309\index.dat
.

------- Sigcheck -------

2007-03-17 20:06  508928  10d53e677a6962b964839073e492c84b	C:\WINDOOF\system32\winlogon.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOOF\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"GMX_GMX MultiMessenger"="C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" [2008-07-10 16:23 4744616]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2007-03-17 20:59 1694208]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 11:37 2321600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"IMJPMIG8.1"="C:\WINDOOF\IME\imjp8_1\IMJPMIG.EXE" [2007-03-17 20:06 208952]
"MSPY2002"="C:\WINDOOF\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 22:31 59392]
"PHIME2002ASync"="C:\WINDOOF\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 22:32 455168]
"PHIME2002A"="C:\WINDOOF\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 22:32 455168]
"EPSON Stylus D68 Series"="C:\WINDOOF\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 07:00 98304]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"TrayServer"="C:\Programme\MAGIX\Video_deluxe_2007_2008_PLUS\TrayServer.exe" [2007-03-29 13:05 90112]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-03-01 07:10 15872]
"NeroFilterCheck"="C:\WINDOOF\system32\NeroCheck.exe" [2006-01-12 16:40 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 04:15 75520]
"RoxWatchTray"="C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-08-16 08:56 236016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\GMX\\GMX MultiMessenger\\MESSENGR.EXE"=
"C:\\Programme\\ICQ6\\ICQ.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\setup.exe
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Mozilla\Firefox\Profiles\kf2d124h.default\
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1172.2021\npCIDetect11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJPI150_12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 20:18:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOOF\system32\ati2evxx.exe
C:\WINDOOF\system32\ati2evxx.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOOF\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-28 20:23:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-08-28 18:22:58

Pre-Run: 13 Verzeichnis(se), 21,345,013,760 Bytes frei
Post-Run: 18 Verzeichnis(se), 22,952,968,192 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOOF
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOOF="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

178

Ein riesen Danke für die Mühen im vorraus!

Das System läuft jetzt schon besser - ich komme wieder auf die Websites und mache gerade einen Onlinescan bei Panda - Desweiteren habe ich auch meinen Desktop wieder...

Der "Fall" ist aber noch nicht abgeschlossen, oder?

cosinus · 28.08.2008, 19:39

Hier haben wir den Salat:

Zitat:

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\1F.tmp (Backdoor.Rustock)
C:\Windows\system32\drivers\tdssserv.sys (Trojan.Agent)

Treiber/Dienste:
-------\Legacy_TDSSSERV
-------\Service_232bf7cb
-------\Service_tdssserv

Zum TDSSSERV kann ich Dir diese nette Anekdote verlinken...

=> tdssserv.sys, Clbdriver/Troj/NtRootK-DR malware.

Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung

Zumindest Dein MBR scheint i.O. zu sein, so daß ein normales Formatieren und Neuaufsetzen ausreicht.

Änder ALLE Paßwörter von einem sauberen PC aus oder spätestens dann wenn der PC neu installiert ist!!

Warning! Spyware detected on....XP Antivirus 2008

Log-Analyse und Auswertung: Warning! Spyware detected on....XP Antivirus 2008