Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Laptop wahrscheinlich mit TR/Dropper infiziert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 31.01.2009, 21:24   #1
sycho
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Hallo,

ich vermute, ich habe auf meinem Laptop das trojanische Pferd TR/Dropper. Habe mir vor 2 Tagen auf der Homepage eines großen Computer-Peripherie Herstellers einen Treiber heruntergeladen, seitdem erscheint in regelmäßigen Abständen eine Warnmeldung von Avira Antivir -> in der Datei 'svxhost.exe' (oder einer Variante davon) sei der Virus TR/Dropper gefunden worden. Merkwürdig dabei ist, dass wenn ich den Pfad verfolge, um in den entsprechenden ORdner zu gelangen in dem sich die Datei befinden soll, so existiert dieser Ordner nicht oder die Datei befindet sich nicht in diesem.

Die Warnmeldung von Avira erscheint kurz nach dem Hochfahren oder zwischendurch bzw. nach dem Aufruf von MS-Outlook. Beim Aufruf von Outlook erscheint auch die Windows-Warnung, dass die Datei 'ntuser.dat' nicht gelöscht werden konnte, obwohl ich dieses gar nicht veranlasst hatte.

Versuche den Virus löschen zu lassen bzw. in Quaratäne zu verschieben scheinen fehlzuschlagen, da die Warnmeldung weiterhin auftaucht. Bei einem kompletten Systemscan wurden insgesamt 8 Funde angezeigt. Wie werde ich diesen üblen Schädling los, ohne mein System formatieren zu müssen? Besteht da eine Möglichkeit? Format c: wäre die aller allerletzte Möglichkeit, der ich nur absolut und äußerst äußerst ungern nachkommen möchte.

Ich habe mir eben das kleine Prog. Hijackthis heruntergeladen und installiert, hier die erste log-file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:25:24, on 31.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\DOKUME~1\BENJAM~1\LOKALE~1\Temp\088.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\DOKUME~1\BENJAM~1\LOKALE~1\Temp\811.exe
C:\Programme\Mozilla Firefox2.0\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heute.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Zango - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - C:\Programme\Zango\bin\10.3.75.0\HostIE.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: Zango - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - C:\Programme\Zango\bin\10.3.75.0\HostIE.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe
O4 - HKCU\..\Run: [Windows Service help] C:\RECYCLER\S-1-5-21-2324000154-8521140725-373164211-2303\winservices.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://h**p://groups.msn.com/control...C/MsnPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://h**p://cdn.scan.onecare.live....scbase9602.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://www.update.microsoft.c...?1191578428500
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://h**p://download.divx.com/play...wserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://www.update.microsoft.c...?1191578396453
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://h**p://www.studivz.net/lib/ph...toUploader.cab
O16 - DPF: {A9ABE65D-87EB-40ED-9BFB-4A1F53320DF3} (Pvapplite_ie Control) - http://h**ps://pvs3.rz.rwth-aachen.d...applite_ie.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://h**p://messenger.msn.com/down...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE4EA364-48CA-436E-B512-37026884E98D}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 8405 bytes


Soeben wurde ich zwei Mal von Avira gewarnt:

C:\Dokumente und Einstellungen\Benjamin Name\Lokale Einstellungen\Temp\svxhost.exe
Die Datei svxhost.exe enthält Erkennungsmuster des Droppers DR/Agent.hua

habe mit erst mit 'in Quarantäne verschieben' reagiert, dann mit 'löschen'

Der Pfad C:\Dokumente und Einstellungen\Benjamin Name\Lokale Einstellungen\Temp\ existiert gar nicht!
Ich komme nur bis 'C:\Dokumente und Einstellungen\Benjamin Name\' !

Für Hilfe, Ratschläge und Lösungsvorschläge bedanke ich mich herzlich im voraus!

Grüße,
Benjamin

Geändert von sycho (31.01.2009 um 21:43 Uhr) Grund: Links bearbeitet

Alt 31.01.2009, 22:00   #2
john.doe
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Hallo Benjamin und

Leider sieht es nach SDBot aus und das bedeutet dann automatisch:
Technische Kompromittierung und Neuaufsetzen.

1.) Um sicher zu sein, starte den Rechner im abgesicherten Modus mit Netzwerkunterstützung.

2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\sysmgr.exe
C:\RECYCLER\S-1-5-21-2324000154-8521140725-373164211-2303\winservices.exe
         
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren.

Sollten die Dateien nicht zu finden sein, dann markiere hier jeweils eine Zeile, drücke [Strg]c, wechsel zu Virustotal, klicke das lange weiße Feld an und drücke [Strg]v. Dann klicke auf Analysieren.

ciao, andreas
__________________


Alt 31.01.2009, 23:07   #3
sycho
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Hallo und danke für das warmherzige 'Willkommen' Andreas.

Habe mein System runtergefahren und im abgesicherten Modus mit Netzwerk neugestartet. Ordneroptionen eingestellt auf 'alle Dateien anzeigen', Haken entfernt bei 'Dateierweiterungen ausblenden' und bei 'geschützte Systemdateien ausblenden'.

Danach die Datei sysmgr.exe wie oben beschrieben von virustotal überprüfen lassen.

Hier ist das Ergebnis von virustotal:

Datei sysmgr.exe empfangen 2009.01.31 23:32:38 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 5/39 (12.83%)


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.01.31 -
AhnLab-V3 5.0.0.2 2009.01.31 -
AntiVir 7.9.0.60 2009.01.30 -
Authentium 5.1.0.4 2009.01.31 -
Avast 4.8.1281.0 2009.01.30 -
AVG 8.0.0.229 2009.01.31 -
BitDefender 7.2 2009.01.31 -
CAT-QuickHeal 10.00 2009.01.31 Trojan.Buzus.ajmi
ClamAV 0.94.1 2009.01.31 -
Comodo 955 2009.01.31 -
DrWeb 4.44.0.09170 2009.01.31 -
eSafe 7.0.17.0 2009.01.29 -
eTrust-Vet 31.6.6335 2009.01.29 -
F-Prot 4.4.4.56 2009.01.31 -
F-Secure 8.0.14470.0 2009.01.31 -
Fortinet 3.117.0.0 2009.01.31 -
GData 19 2009.01.31 -
Ikarus T3.1.1.45.0 2009.01.31 -
K7AntiVirus 7.10.612 2009.01.31 -
Kaspersky 7.0.0.125 2009.01.31 Heur.Trojan.Generic
McAfee 5512 2009.01.31 -
McAfee+Artemis 5512 2009.01.31 -
Microsoft 1.4306 2009.01.31 TrojanProxy:Win32/Agent.HZ
NOD32 3815 2009.01.31 -
Norman 6.00.02 2009.01.31 -
nProtect 2009.1.8.0 2009.01.30 Trojan/W32.Buzus.47559
Panda 9.5.1.2 2009.01.31 -
PCTools 4.4.2.0 2009.01.31 -
Prevx1 V2 2009.01.31 System Back Door
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.30 -
Sophos 4.38.0 2009.01.31 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.31 -
TheHacker 6.3.1.5.242 2009.01.31 -
TrendMicro 8.700.0.1004 2009.01.30 -
VBA32 3.12.8.12 2009.01.30 -
ViRobot 2009.1.31.1583 2009.01.31 -
VirusBuster 4.5.11.0 2009.01.31 -
weitere Informationen
File size: 65009 bytes
MD5...: e082c340efc41416717b17c04b1ce030
SHA1..: 7a73972b4946fe3cd9e7cca38794382352035c35
SHA256: 8a71ffe34294b0fe42933c95e5de9f518a6965e9b57c218f30c38f77ba0381dd
SHA512: e475a1fc6e0c3f3a45a0a5a36b252788ce07d763a417c81fd715cfffb639606e
4e6f22338fe4f34c5aa3e6f33ec9e88fe56de73ed4f63e566dc3ccedab89d9cc

ssdeep: 1536:13dz/1C1L+axXTLx5vIJtBYN7wtfpOHsnyZD:13dT1CR9x5vIJt2Cpcsyp

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3378
timedatestamp.....: 0x497dc21a (Mon Jan 26 14:00:58 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5b1a 0x5c00 6.51 3dc127a912b69643a4b47bee06a758f5
.rdata 0x7000 0xaca 0xc00 4.98 5824fcc53a201443e4de05e3cce0a7d7
.data 0x8000 0x3480 0x2e00 1.30 d43fc68c16a3e0fb35a1f25f53d0a8b5

( 1 imports )
> KERNEL32.dll: OpenProcess, GetModuleHandleA, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetCurrentThreadId, TlsSetValue, TlsAlloc, SetLastError, TlsGetValue, GetLastError, WriteFile, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, InterlockedDecrement, InterlockedIncrement, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW

( 0 exports )

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E5F6F223F16D255CFD4400DDC1FEDE00BD358834' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E5F6F223F16D255CFD4400DDC1FEDE00BD358834</a>


***********************************************************************

die Datei winservices.exe hingegen ist nicht auffindbar!

Der Suchassistent von Windows findet nur eine Prefetch-Datei im Windows-Ordner Prefetch. Es hat nicht funktioniert den hier im Post angegebenen Pfad zu kopieren und bei Virustotal einzufügen. Die Datei kann nicht gefunden werden. Ich habe die Datei daraufhin eigenhändig im Windows Ordner gesucht, auch in den Ordnern System und System32 - ohne Ergebnis. Nach Neustart des Systems im normalen Modus, habe ich im Taskmanager nachgeschaut, die Datei wird auch z. Zt. nicht im Hintergrund ausgeführt!

???


Grüße,
Benjamin
__________________

Alt 01.02.2009, 09:11   #4
john.doe
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Zitat:
Prevx1 V2 2009.01.31 System Back Door
PEiD..: Armadillo v1.71
Nicht das ich jemals irgendeinem Virenscanner trauen würde, aber die Vermutung, die ich eh schon hatte, verdichtet sich leider immer mehr.

Um 1000% sicher zu sein: Prevx CSI Download
und MalwareBytes Antimalware

Frage deine Eltern, ob sie irgendeinen Link über MSN oder sonstigen Messenger bekommen haben. Falls ja, bitte per PN an mich schicken.

ciao, andreas

Alt 01.02.2009, 11:41   #5
sycho
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Hallo,

ich habe heute nach dem Hochfahren des Systems eine neue Warnung von Avira bekommen. Es wurden insgesamt drei Warnungen angezeigt: zwei mit dem TR/Dropper und eine neue: infizierte Datei mit Erkennungsmuster von DR/Agent.hua gefunden.

hier sind die Scan-Ergebnisse von Prevx CSI:






Das Prog Malware Bytes läuft noch...


Grüße!
Benjamin


Alt 01.02.2009, 12:49   #6
sycho
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Ich habe das CSI-Prog offen gelassen (minimiert). Jetzt kam folgende Meldung vom Prog:



Der Pfad zum ordner G:\recycler funktioniert. Es ist das Symbol eines Papierkorbs (versteckt), wie er auf dem Desktop eines jeden Windows Computers zu finden ist. Habe erst versucht ihn zu löschen, bekam aber den Hinweis, dass er System-Dateien beinhaltet (desktop.ini). Habe es daraufhin gelassen.

Gibt es irgendeine Möglichkeit diesen verfluchten Dropper runterzuschmeißen? Mir ist klar, dass format c: wohl eine logische Konsequenz wäre. Ich habe allerdings keine Möglichkeit meine Daten auf einer ext. Festplatte zu sichern. Habe viele Daten auf der Platte, die ich nicht missen möchte (Musik, Fotos, Home-Videos etc.)

Das andere Prog scant übrigens noch...


Grüße!
Benjamin

Alt 01.02.2009, 13:12   #7
sycho
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Malware-Bites scan vollständig. Hier ist das Ergebnis (scan in log-file gespeichert):

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1712
Windows 5.1.2600 Service Pack 3

01.02.2009 14:10:40
mw-log-2009-02-01 (14_10).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 148530
Laufzeit: 1 hour(s), 42 minute(s), 36 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 95
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 9
Infizierte Dateien: 32

Infizierte Speicherprozesse:
C:\WINDOWS\system32\sysmgr.exe (Backdoor.Bot) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\coresrv.lfgax (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{0729f461-8054-47dc-8d39-a31b61cc0119} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{40ca90f3-4098-4877-ae87-23eb612b18c7} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4c3b62af-ca25-4fba-8405-32e44f83bb6f} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{5a635a91-c303-45c9-8db9-f759d98a3b9d} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{7e335d04-2e6e-4d0e-a921-c3d9192e7121} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{99ccfb8c-6380-4a14-8fdd-ef3e7e95335d} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{b20d7add-989c-4bc0-a797-f6fe7998efd7} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{bfc20a15-b0ac-44cc-a25a-a7039014ba9f} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f019aec4-4c95-46de-a107-e302473e3b9a} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2d00aa2a-69ef-487a-8a40-b3e27f07c91e} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{86c5840b-80c4-4c30-a655-37344a542009} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b0cb585f-3271-4e42-88d9-ae5c9330d554} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\coresrv.lfgax.1 (Adware.Zango) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{eddbb5ee-bb64-4bfc-9dbe-e7c85941335b} (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{a57470de-14c7-4fcd-9d4c-e5711f24f0ed} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2557dd3f-23a0-477c-bcd8-90fd0aecc4b8} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2893116c-a176-42b1-8794-da8c9fc45564} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{99fdca0c-7380-4e9c-8d99-5dc4750334ef} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{b1d9f4b1-b9ff-463f-bf15-ab9cb26160f7} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2aa2fbf8-9c76-4e97-a226-25c5f4ab6358} (Adware.180Solutions) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{2aa2fbf8-9c76-4e97-a226-25c5f4ab6358} (Adware.180Solutions) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{2aa2fbf8-9c76-4e97-a226-25c5f4ab6358} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{71f731b3-008b-4052-9ea4-4145acce40c3} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.180Solutions) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.180Solutions) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{8292078f-f6e9-412b-8eb1-360c05c5ece5} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2447e305-5e90-42a8-bd1e-0bc333b807e1} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{50d2fdcc-2707-49cb-8223-7fe0424909aa} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{878ce013-7ba9-4650-a78c-b2234c0c1648} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a5b6fa30-d317-41ca-9cb1-c898d3c7f34e} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cc19a5f2-b4ad-41d5-a5c9-0680904c1483} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{148e1447-c728-48fd-beec-a7d06c5fff58} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8ee46f55-1ce1-4db9-811a-68938ec7f3dd} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{a87dfd99-cf81-4241-85ce-881e0026b686} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{c96b9fae-a032-4100-bb47-32ef05e28be4} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{14113b47-d59c-4f0f-9d10-ff1730265584} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a9c42a57-421c-4572-8b12-249c59183d1c} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{89085678-632d-4deb-bda0-cd912c63203e} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{30b15818-e110-4527-9c05-46ace5a3460d} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{618aad04-921f-44c2-be38-c0818af69861} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{b5d2ed96-62f9-4c2c-956d-e425b1f67337} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{d3a412e8-1e4b-47d2-9b12-f88291f5afbb} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3788e535-897b-463d-b6d6-fee5b86ec144} (Adware.180Solutions) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3788e535-897b-463d-b6d6-fee5b86ec144} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d3f940ea-4e87-423b-9091-934e1e4fceae} (Adware.180Solutions) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{d3f940ea-4e87-423b-9091-934e1e4fceae} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{03d7ff6e-9781-40b5-bb7f-94291a361604} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{3ceb04ab-08af-45f4-81b4-70d13c1f7b85} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{a7213d71-47e1-4832-92d7-d61dfe9f231f} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{cf82f350-e1c4-4916-ac12-ba73db60afb7} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{c62a9e79-2b52-439b-af57-2e60bb06e86c} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{15fd8424-d12a-4c51-8c6c-d5d57b80f781} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{67b3becf-7b6f-42b2-99f0-f7656f89cffa} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{715ffd42-4e05-4eab-9513-c8daa5395ae2} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{759d6f7c-8d30-45b6-abea-fa51c190eed5} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{9a4a64a4-a2fb-48fa-9bba-1ac50267695d} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{62906e60-bce2-4e1b-9ed0-8b9042ee15e4} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f9bfa98d-9935-4ea4-a05a-72c7f0778f02} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{abec1835-3181-4abd-8dde-875aec4df6d2} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{0af9a087-0cbf-46b2-9dc9-52d0d16b5ab6} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{69725738-cd68-4f36-8d02-8c43722ee5da} (Adware.180Solutions) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-cd68-4f36-8d02-8c43722ee5da} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{a56fe01c-77c4-4f5e-8198-e4b72207890a} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{af55160d-cde1-4a8b-8001-66da06bee740} (Adware.180Solutions) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\zangosa (Adware.Zango) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Zango (Adware.Zango) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZangoSA (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\zangoax.clientdetector (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\zangoax.clientdetector.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\zangoax.userprofiles (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\zangoax.userprofiles.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\wallpaper.wallpapermanager (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\wallpaper.wallpapermanager.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\toolbar.toolbarctl (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\toolbar.toolbarctl.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\toolbar.htmlmenuui (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\toolbar.htmlmenuui.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\srv.coreservices (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\srv.coreservices.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostol.webmailsend (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostol.webmailsend.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostol.mailanim (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostol.mailanim.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostie.bho (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostie.bho.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hbr.hbmain (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hbr.hbmain.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hbmain.commband (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hbmain.commband.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\coresrv.coreservices (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\coresrv.coreservices.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\zango (Adware.180Solutions) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.180Solutions) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.180Solutions) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows service help (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft(R) System Manager (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions\Zango@Zango.com (Adware.Zango) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\zango 10.3.75.0 (Adware.Zango) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Zango (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0 (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\firefox (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\firefox\extensions (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\firefox\extensions\components (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\firefox\extensions\plugins (Adware.180Solutions) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZangoSA (Adware.Zango) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> No action taken.

Infizierte Dateien:
C:\Programme\Zango\bin\10.3.75.0\CoreSrv.dll (Adware.Zango) -> No action taken.
C:\Dokumente und Einstellungen\Benjamin Korn\Lokale Einstellungen\Temp\~osB2.tmp\rkupginstaller.exe (Adware.RelevantKnowledge) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\arrow.ico (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\copyright.txt (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\HostIE.dll (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\HostOE.dll (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\HostOL.dll (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\CntntCntr.dll (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\ZangoSA.exe (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\ZangoSAAX.dll (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\ZangoSADF.exe (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\ZangoSAHook.dll (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\ZangoUninstaller.exe (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\link.ico (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\OEAddOn.exe (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\Srv.exe (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\Toolbar.dll (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\Wallpaper.dll (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\Weather.exe (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\WeSkin.dll (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\firefox\extensions\install.rdf (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\firefox\extensions\chrome.manifest (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\firefox\extensions\components\npclntax.xpt (Adware.180Solutions) -> No action taken.
C:\Programme\Zango\bin\10.3.75.0\firefox\extensions\plugins\npclntax_ZangoSA.dll (Adware.180Solutions) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZangoSA\ZangoSAAbout.mht (Adware.Zango) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZangoSA\ZangoSA.dat (Adware.Zango) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZangoSA\ZangoSAEula.mht (Adware.Zango) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZangoSA\ZangoSAau.dat (Adware.Zango) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZangoSA\ZangoSA_kyf.dat (Adware.Zango) -> No action taken.
C:\RECYCLER\S-1-5-21-2324000154-8521140725-373164211-2303\winservices.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysmgr.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\msvcrt2.dll (Trojan.Agent) -> No action taken.

Alt 01.02.2009, 13:24   #8
john.doe
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Zitat:
Gibt es irgendeine Möglichkeit diesen verfluchten Dropper runterzuschmeißen?
Ja. Der Dropper ist aber gar nicht dein Problem, sondern der aktive Backdoor:
Zitat:
C:\WINDOWS\system32\sysmgr.exe (Backdoor.Bot)
Lies genau, was du da eigentlich hast: Technische Kompromittierung
Es gibt nur eine Möglichkeit: Neuaufsetzen
Zitat:
Ich habe allerdings keine Möglichkeit meine Daten auf einer ext. Festplatte zu sichern. Habe viele Daten auf der Platte, die ich nicht missen möchte (Musik, Fotos, Home-Videos etc.)
Dann frage Freunde oder Bekannte. Es gibt auch jede Menge Filehoster im Internet, bei denen du kostenlos Daten zwischenspeichern kannst.

ciao, andreas

Alt 01.02.2009, 13:46   #9
sycho
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Hallo Andreas,

danke für den Hinweis zur technischen Kompromittierung und zum Neuaufsetzen des Systems.

Ich nutze zwar Online-Banking, habe aber keine Passwörter etc. auf der Festplatte gespeichert. Es sind auch keine Passwörter zum Autovervollständigen im Browser irgendwo gespeichert. Passwörter für Emails, andere Nutzeraccounts in Foren etc. sind allerdings auf Platte verfügbar.

Zitat:
"Ja. Der Dropper ist aber gar nicht dein Problem, sondern der aktive Backdoor:

Zitat:
C:\WINDOWS\system32\sysmgr.exe (Backdoor.Bot)"

-> würde es nicht ausreichen diese Datei und die anderen zu löschen oder zu isolieren? Ich müßte mir auch die Registry genauer anschauen, da sie auch betroffen ist, ebenso wie einige System-Dateien im Windows-Ordner. Das ist mir schon klar.

Gibt es denn keine andere Möglichkeit als Neuaufzusetzen? Ich müßte in diesem Fall 70GB Daten irgendwo sichern. Es würde wahrscheinlich Tage dauern das alles irgendwo hochzuladen. Außerdem bin ich mir nicht sicher, ob der Bot dann nicht irgendwo zwischen den hochgeladenen Dateien versteckt bleibt... Dann würde er sich nach dem Neuaufsetzen des Systems wieder im System einklinken können.


Viele Grüße!
Benjamin

Geändert von sycho (01.02.2009 um 13:57 Uhr) Grund: Zusatz

Alt 01.02.2009, 14:09   #10
john.doe
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Zitat:
-> würde es nicht aus reichen diese Datei und evtl. die anderen zu löschen? Mir ist klar dass das keine ganz unkomplizierte Sache ist, weil auch die Registry betroffen ist.
Kannst oder willst du das Problem nicht verstehen?

Zitat:
Was ein Remote-Admin/Botmaster dadurch alles kann:
  • Auslesen oder Ändern von Kennwörtern oder Zugangs- bzw. Logindaten.
  • Installieren von weiterer Malware und Rootkits.
  • Konfigurieren von Firewall- und AVP-Einstellungen, sowie die DNS-Addressen.
  • Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw.
  • Löschen und Bearbeiten von Dateien
  • Verwendung als Zombie:
  • Ausführen von DDoS-Attacken (Distributed Denial of Service)
  • Missbrauchen als Server für die Verbreitung von Spam, pornographische Daten, Warez und Malware.
  • Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien.
  • Löschen von Protokolldateien, um solche Aktivitäten zu verbergen.
http://www.trojaner-board.de/67012-r...tml#post400407
http://www.trojaner-board.de/67012-r...tml#post400448
http://www.trojaner-board.de/67407-z...mpromittierung
http://www.trojaner-board.de/68712-a...tml#post406926

Falls dich interessiert, wie du dich infiziert hast, dann:

1.) Lade LopSD auf den Desktop,
Doppelklick um es zu starten ,Tippe D (Deutsch), [Enter] und tippe 2.
Poste anschliessend die Datei LopR.txt

2.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Alt 01.02.2009, 14:59   #11
sycho
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Hallo Andreas,

ich verstehe das Problem wie folgt: ein kleines Prog. wurde auf meinen Computer heruntergeladen und hat sich ins System eingeklinkt. Nun kann ein anderer User irgendwo auf der Welt unter Nutzung des kleinen Programms über die bestehende Internet-Verbindung auf meinen Computer zugreifen und die Kontrolle über diesen übernehmen - wie mit einer Fernbedienung. Dadurch ist die Systemintegrität gestört und diese kann nur durch ein Neuaufsetzen des Systems wieder hergestellt werden?!

Ich bin kein Computer-Fachmann oder Programmierer, aber wenn ich das Problem wie oben beschrieben richtig verstanden habe, kann die Systemintegrität mit ComboFix wieder hergestellt werden ohne die Festplatte zu formatieren?

Ich habe den USB-Cardreader mit dem angeschlossenen USB-Stick vom Computer getrennt und das Prog. LopSD ausgeführt. Hier sind die Ergebnisse der lopR.txt Datei:


--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft (R) Windows Script Host, Version 5.7
Copyright (C) Microsoft Corporation 1996-2001. Alle Rechte vorbehalten.
Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.86GHz )
BIOS : Phoenix NoteBIOS 4.0 Release 6.1
USER : Benjamin Korn ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
C:\ (Local Disk) - FAT32 - Total:35 Go (Free:1 Go)
D:\ (Local Disk) - FAT32 - Total:35 Go (Free:2 Go)
E:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [2] ( 01.02.2009|15:37 )


\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ FIX

Geloescht ! - C:\DOKUME~1\BENJAM~1\LOKALE~1\Temp\nsj7.tmp
Geloescht ! - C:\DOKUME~1\BENJAM~1\LOKALE~1\Temp\nsqA5.tmp
Geloescht ! - C:\DOKUME~1\BENJAM~1\LOKALE~1\Temp\nsfFF.tmp
Geloescht ! - C:\DOKUME~1\BENJAM~1\Cookies\benjamin korn@advertising[1].txt
Geloescht ! - C:\DOKUME~1\BENJAM~1\Cookies\benjamin korn@advertising[2].txt
Geloescht ! - C:\DOKUME~1\BENJAM~1\Cookies\benjamin_korn@advertising[2].txt
Geloescht ! - C:\DOKUME~1\BENJAM~1\Cookies\benjamin_korn@advertising[1].txt
Geloescht ! - C:\DOKUME~1\BENJAM~1\Cookies\benjamin korn@advertising[4].txt
Geloescht ! - C:\DOKUME~1\BENJAM~1\Cookies\benjamin_korn@adopt.euroclick[2].txt
Geloescht ! - C:\DOKUME~1\BENJAM~1\Cookies\benjamin korn@adopt.euroclick[1].txt
Geloescht ! - C:\DOKUME~1\BENJAM~1\Cookies\benjamin_korn@adopt.euroclick[3].txt
Geloescht ! - C:\DOKUME~1\BENJAM~1\Cookies\benjamin_korn@adopt.euroclick[1].txt
Geloescht ! - C:\DOKUME~1\BENJAM~1\Cookies\benjamin korn@partygaming.122.2o7[1].txt
Geloescht ! - C:\DOKUME~1\BENJAM~1\Cookies\benjamin korn@partypoker[2].txt

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\


--------------------\\ Ordner Verzeichnis unter ANWEND~1

[31.03.2005|17:12] C:\DOKUME~1\DEFAUL~1\ANWEND~1\AOL
[31.03.2005|01:55] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Identities
[26.09.2008|17:36] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Macromedia
[31.03.2005|01:40] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[31.03.2005|17:11] C:\DOKUME~1\DEFAUL~1\ANWEND~1\You've Got Pictures Screensaver
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[7|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[13.09.2008|17:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[22.01.2009|22:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
[06.11.2006|17:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[04.12.2006|15:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
[31.03.2005|17:10] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AOL
[13.09.2008|15:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
[21.12.2005|14:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[07.09.2007|13:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FreeDownloadManager.ORG
[14.09.2006|12:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
[27.04.2008|19:10] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google Updater
[19.12.2005|12:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intel
[21.12.2005|20:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InterVideo
[28.09.2007|16:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Last.fm
[01.02.2009|12:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[31.03.2005|01:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[03.07.2006|20:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NtiDvdCopy
[01.02.2009|12:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PrevxCSI
[31.03.2005|17:11] C:\DOKUME~1\ALLUSE~1\ANWEND~1\QuickTime
[26.01.2008|20:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\RapidSolution
[25.05.2008|01:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Saitek
[04.01.2006|14:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
[03.01.2006|00:39] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec
[26.01.2008|21:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[10.11.2008|19:04] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Trymedia
[09.12.2006|18:22] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[22.01.2009|22:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ZangoSA
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[28|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[31.03.2005|01:40] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[06.09.2006|12:39] C:\DOKUME~1\NETWOR~1\ANWEND~1\Symantec
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

[31.03.2005|01:40] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[09.01.2006|23:15] C:\DOKUME~1\BENJAM~1\ANWEND~1\Adobe
[09.01.2006|23:15] C:\DOKUME~1\BENJAM~1\ANWEND~1\AdobeUM
[31.03.2005|17:12] C:\DOKUME~1\BENJAM~1\ANWEND~1\AOL
[21.12.2005|14:39] C:\DOKUME~1\BENJAM~1\ANWEND~1\Apple Computer
[30.05.2008|21:09] C:\DOKUME~1\BENJAM~1\ANWEND~1\ArcSoft
[27.12.2006|20:01] C:\DOKUME~1\BENJAM~1\ANWEND~1\ATI
[27.12.2006|21:06] C:\DOKUME~1\BENJAM~1\ANWEND~1\atitray
[25.01.2006|23:09] C:\DOKUME~1\BENJAM~1\ANWEND~1\Corel
[20.10.2007|00:38] C:\DOKUME~1\BENJAM~1\ANWEND~1\Cuttermaran
[21.12.2005|20:29] C:\DOKUME~1\BENJAM~1\ANWEND~1\CyberLink
[24.12.2008|21:28] C:\DOKUME~1\BENJAM~1\ANWEND~1\DivX
[07.09.2007|13:05] C:\DOKUME~1\BENJAM~1\ANWEND~1\Free Download Manager
[03.01.2006|03:21] C:\DOKUME~1\BENJAM~1\ANWEND~1\Google
[25.01.2006|23:09] C:\DOKUME~1\BENJAM~1\ANWEND~1\Help
[28.12.2007|18:40] C:\DOKUME~1\BENJAM~1\ANWEND~1\ICQ
[31.03.2005|01:55] C:\DOKUME~1\BENJAM~1\ANWEND~1\Identities
[25.04.2006|21:26] C:\DOKUME~1\BENJAM~1\ANWEND~1\Intel
[21.12.2005|20:43] C:\DOKUME~1\BENJAM~1\ANWEND~1\InterVideo
[03.01.2006|00:46] C:\DOKUME~1\BENJAM~1\ANWEND~1\Macromedia
[01.02.2009|12:23] C:\DOKUME~1\BENJAM~1\ANWEND~1\Malwarebytes
[25.11.2008|20:38] C:\DOKUME~1\BENJAM~1\ANWEND~1\Media Player Classic
[31.03.2005|01:40] C:\DOKUME~1\BENJAM~1\ANWEND~1\Microsoft
[12.10.2007|13:45] C:\DOKUME~1\BENJAM~1\ANWEND~1\Mozilla
[18.10.2006|20:06] C:\DOKUME~1\BENJAM~1\ANWEND~1\OpenOffice.org2
[02.03.2007|12:42] C:\DOKUME~1\BENJAM~1\ANWEND~1\Real
[26.01.2008|21:09] C:\DOKUME~1\BENJAM~1\ANWEND~1\RTPlayer
[04.01.2006|14:23] C:\DOKUME~1\BENJAM~1\ANWEND~1\Skype
[23.06.2008|19:05] C:\DOKUME~1\BENJAM~1\ANWEND~1\SoundSpectrum
[03.01.2006|23:59] C:\DOKUME~1\BENJAM~1\ANWEND~1\Sun
[03.01.2006|00:39] C:\DOKUME~1\BENJAM~1\ANWEND~1\Symantec
[03.11.2007|23:01] C:\DOKUME~1\BENJAM~1\ANWEND~1\Talkback
[26.01.2008|20:46] C:\DOKUME~1\BENJAM~1\ANWEND~1\Tunebite
[26.02.2006|21:36] C:\DOKUME~1\BENJAM~1\ANWEND~1\TuneUp Software
[28.12.2006|00:43] C:\DOKUME~1\BENJAM~1\ANWEND~1\U3
[22.01.2009|22:29] C:\DOKUME~1\BENJAM~1\ANWEND~1\WeatherDPA
[31.03.2005|17:11] C:\DOKUME~1\BENJAM~1\ANWEND~1\You've Got Pictures Screensaver
[22.01.2009|22:29] C:\DOKUME~1\BENJAM~1\ANWEND~1\Zango
[0|Datei(en)] C:\DOKUME~1\BENJAM~1\ANWEND~1\Bytes
[39|Verzeichnis(se),] C:\DOKUME~1\BENJAM~1\ANWEND~1\Bytes frei

[19.12.2005|15:24] C:\DOKUME~1\BESITZER\ANWEND~1\You've Got Pictures Screensaver
[0|Datei(en)] C:\DOKUME~1\BESITZER\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\BESITZER\ANWEND~1\Bytes frei

[31.01.2009|23:27] C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe
[31.03.2005|17:12] C:\DOKUME~1\ADMINI~1\ANWEND~1\AOL
[31.03.2005|01:55] C:\DOKUME~1\ADMINI~1\ANWEND~1\Identities
[26.09.2008|17:36] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia
[31.03.2005|01:40] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
[31.03.2005|17:11] C:\DOKUME~1\ADMINI~1\ANWEND~1\You've Got Pictures Screensaver
[0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
[8|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[24.01.2009 23:29][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[01.02.2009 11:51][--ah-----] C:\WINDOWS\tasks\SA.DAT
[04.08.2004 05:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[19.12.2005|12:24] C:\Programme\acer
[31.03.2005|02:08] C:\Programme\Acer Inc
[31.03.2005|02:10] C:\Programme\Adobe
[04.12.2006|15:58] C:\Programme\AntiVir PersonalEdition Classic
[23.05.2008|18:27] C:\Programme\A-PDF Merger
[11.12.2007|12:16] C:\Programme\Apple Software Update
[31.03.2005|09:39] C:\Programme\Arcade
[30.05.2008|21:08] C:\Programme\ArcSoft_dvb_T
[10.11.2008|21:26] C:\Programme\ashampoo
[19.12.2005|12:19] C:\Programme\ATI Technologies
[07.03.2008|20:11] C:\Programme\Audacity
[13.09.2008|17:18] C:\Programme\Bonjour
[05.02.2006|22:57] C:\Programme\CIB software GmbH
[23.06.2007|15:04] C:\Programme\Cisco Systems
[31.03.2005|01:47] C:\Programme\ComPlus Applications
[13.05.2008|17:44] C:\Programme\CompuLearn
[31.03.2005|02:03] C:\Programme\CONEXANT
[25.01.2006|00:05] C:\Programme\Corel
[20.10.2007|00:37] C:\Programme\Cuttermaran
[31.03.2005|02:12] C:\Programme\CyberLink
[06.12.2006|21:52] C:\Programme\DC++
[09.08.2007|09:23] C:\Programme\DivX
[04.05.2008|16:14] C:\Programme\EPS PDF2JPG
[07.09.2007|13:05] C:\Programme\Free Download Manager
[23.05.2008|18:54] C:\Programme\FreePDF_XP
[10.01.2008|12:29] C:\Programme\Gehalt2008
[31.03.2005|01:41] C:\Programme\Gemeinsame Dateien
[23.05.2008|19:19] C:\Programme\ghostscript
[03.01.2006|03:21] C:\Programme\Google
[30.05.2008|21:07] C:\Programme\HybridTM_IR(A)
[31.03.2005|01:56] C:\Programme\InstallShield Installation Information
[31.03.2005|01:56] C:\Programme\Intel
[31.03.2005|01:47] C:\Programme\Internet Explorer
[21.12.2005|20:39] C:\Programme\InterVideo
[13.09.2008|17:19] C:\Programme\iPod
[13.09.2008|17:19] C:\Programme\iTunes
[03.01.2006|02:01] C:\Programme\Java
[20.11.2008|20:59] C:\Programme\K-Lite Codec Pack
[28.09.2007|16:13] C:\Programme\Last.fm
[19.12.2005|12:24] C:\Programme\Launch Manager
[03.01.2006|02:01] C:\Programme\LimeWire
[14.06.2008|01:36] C:\Programme\Logitech
[01.02.2009|12:23] C:\Programme\Malwarebytes' Anti-Malware
[10.11.2006|14:35] C:\Programme\Medion
[31.03.2005|01:46] C:\Programme\Messenger
[30.05.2007|18:46] C:\Programme\Microsoft CAPICOM 2.1.0.2
[31.03.2005|01:49] C:\Programme\microsoft frontpage
[19.12.2005|15:17] C:\Programme\Microsoft Office
[24.12.2006|20:44] C:\Programme\MMEDIA
[31.03.2005|01:47] C:\Programme\Movie Maker
[03.11.2007|22:59] C:\Programme\Mozilla Firefox2.0
[05.10.2007|12:49] C:\Programme\MSBuild
[12.09.2008|18:37] C:\Programme\MSECache
[31.03.2005|01:46] C:\Programme\MSN
[31.03.2005|01:46] C:\Programme\MSN Gaming Zone
[24.05.2007|00:07] C:\Programme\MSXML 4.0
[05.10.2007|12:51] C:\Programme\MSXML 6.0
[31.03.2005|01:47] C:\Programme\NetMeeting
[31.03.2005|02:17] C:\Programme\NewTech Infosystems
[31.03.2005|01:46] C:\Programme\Online Services
[31.03.2005|01:48] C:\Programme\Online-Dienste
[31.03.2005|01:47] C:\Programme\Outlook Express
[06.05.2007|13:37] C:\Programme\PC VGA Camera
[26.01.2008|20:49] C:\Programme\PixiePack Codec Pack
[01.02.2009|12:05] C:\Programme\Prevx
[19.10.2006|22:22] C:\Programme\ptc
[13.09.2008|17:17] C:\Programme\QuickTime
[11.08.2007|01:54] C:\Programme\Radeon Omega Drivers
[02.03.2007|12:43] C:\Programme\RealPlayer
[05.10.2007|12:42] C:\Programme\Reference Assemblies
[25.05.2008|01:18] C:\Programme\Saitek
[04.01.2006|14:23] C:\Programme\Skype
[23.06.2008|18:57] C:\Programme\SoundSpectrum
[31.03.2005|02:06] C:\Programme\Synaptics
[30.12.2007|15:03] C:\Programme\themexp
[11.08.2007|00:28] C:\Programme\Tremulous
[31.01.2009|21:25] C:\Programme\Trend Micro
[26.02.2006|21:36] C:\Programme\TuneUp Utilities
[03.05.2008|01:51] C:\Programme\TweakRAM
[31.03.2005|01:55] C:\Programme\Uninstall Information
[19.12.2005|15:28] C:\Programme\Vokabeltrainer
[14.02.2007|19:47] C:\Programme\Windows Live Safety Center
[09.12.2006|18:30] C:\Programme\Windows Media Connect 2
[31.03.2005|01:46] C:\Programme\Windows Media Player
[31.03.2005|01:46] C:\Programme\Windows NT
[31.03.2005|01:48] C:\Programme\WindowsUpdate
[19.12.2005|12:21] C:\Programme\WinPCap
[08.08.2006|20:14] C:\Programme\WinRAR
[26.01.2008|21:40] C:\Programme\WMA-MP3.com
[31.03.2005|01:49] C:\Programme\xerox
[15.02.2006|22:55] C:\Programme\Xilisoft
[22.01.2009|22:29] C:\Programme\Zango
[0|Datei(en)] C:\Programme\Bytes
[94|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[09.01.2006|23:15] C:\Programme\Gemeinsame Dateien\Adobe
[31.03.2005|17:10] C:\Programme\Gemeinsame Dateien\aol
[13.09.2008|17:15] C:\Programme\Gemeinsame Dateien\Apple
[30.05.2008|21:08] C:\Programme\Gemeinsame Dateien\ArcSoft
[05.02.2006|23:40] C:\Programme\Gemeinsame Dateien\CIB
[19.12.2005|15:18] C:\Programme\Gemeinsame Dateien\Designer
[23.06.2007|15:04] C:\Programme\Gemeinsame Dateien\Deterministic Networks
[31.03.2005|01:47] C:\Programme\Gemeinsame Dateien\Dienste
[31.03.2005|01:56] C:\Programme\Gemeinsame Dateien\InstallShield
[03.01.2006|02:01] C:\Programme\Gemeinsame Dateien\Java
[14.06.2008|01:36] C:\Programme\Gemeinsame Dateien\Logitech
[31.03.2005|01:41] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[31.03.2005|01:47] C:\Programme\Gemeinsame Dateien\MSSoap
[31.03.2005|02:18] C:\Programme\Gemeinsame Dateien\muvee Technologies
[06.08.2007|15:21] C:\Programme\Gemeinsame Dateien\NewTech Infosystems
[31.03.2005|17:11] C:\Programme\Gemeinsame Dateien\Nullsoft
[31.03.2005|01:41] C:\Programme\Gemeinsame Dateien\ODBC
[06.05.2007|13:37] C:\Programme\Gemeinsame Dateien\PCCamera
[31.03.2005|17:11] C:\Programme\Gemeinsame Dateien\Real
[31.03.2005|01:41] C:\Programme\Gemeinsame Dateien\SpeechEngines
[01.04.2007|15:42] C:\Programme\Gemeinsame Dateien\SWF Studio
[03.01.2006|00:39] C:\Programme\Gemeinsame Dateien\Symantec Shared
[31.03.2005|01:47] C:\Programme\Gemeinsame Dateien\System
[11.12.2007|14:56] C:\Programme\Gemeinsame Dateien\xing shared
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[26|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 43 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-01 15:42:08
Windows 5.1.2600 Service Pack 3 FAT NTAPI
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen


Kein anderen Infektionen gefunden !

[F:11421][D:227]-> C:\DOKUME~1\BENJAM~1\LOKALE~1\Temp
[F:1920][D:0]-> C:\DOKUME~1\BENJAM~1\Cookies
[F:12187][D:4]-> C:\DOKUME~1\BENJAM~1\LOKALE~1\TEMPOR~1\content.IE5
[F:5][D:0]-> C:\Recycled

1 - "C:\Lop SD\LopR_1.txt" - 01.02.2009|15:43 - Option : [2]

--------------------\\ Scan beendet um 15:43:54


Viele Grüße und vielen Dank,
Benjamin

Alt 01.02.2009, 15:21   #12
john.doe
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Zitat:
Dadurch ist die Systemintegrität gestört und diese kann nur durch ein Neuaufsetzen des Systems wieder hergestellt werden?!
Genau, denn niemand kann sagen, was dieser Mensch, der Vollzugriff auf deinen Rechner hatte bzw. immer noch hat, eigentlich gemacht hat. Du hättest den Bot schon längst killen können, wenn du Malwarebytes richtig bedient hättest. Nur das, was der Mensch in der Zwischenzeit gemacht hat, das lässt sich nicht zurückverfolgen.
Zitat:
Ich bin kein Computer-Fachmann oder Programmierer, aber wenn ich das Problem wie oben beschrieben richtig verstanden habe, kann die Systemintegrität mit ComboFix wieder hergestellt werden ohne die Festplatte zu formatieren?
Nein, das geht mit keinem Programm dieser Welt.

In einem der Links habe ich gesagt: Menschen sind (leider) unberechenbar.

Die Kernaussage des Video, für das ich eine Verwarnung erhielt, ist, du hast es nicht mit Virenprogrammierern zu tun, die ihren Namen in der Zeitung lesen möchtest. Mittlerweile geht es nur ums Geld. Es sind Kriminelle, die an dein oder anderer Leute Geld kommen möchten und dazu deinen Computer benutzen. Das ist der Grund, warum es immer schwieriger wird, Rechner zu säubern. Bei Backdoors und Bots hast du verloren. Das sagte ich dir bereits im ersten Post.

Der Grund warum ich dich noch Scans machen lasse ist schlicht und einfach ein Hinweis zu bekommen, wie du dich infiziert hast. Damit das, wovor du dich noch immer zierst und windest, nicht noch einmal auf dich zukommt.

Brenne deine Daten auf DVDs, besorg oder kaufe dir eine externe Festplatte, wie auch immer, um eine Neuinstallation kommst du nicht herum.

ciao, andreas

Alt 01.02.2009, 16:28   #13
sycho
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Hallo Andreas,

Zitat:

Zitat:
Dadurch ist die Systemintegrität gestört und diese kann nur durch ein Neuaufsetzen des Systems wieder hergestellt werden?!

Genau, denn niemand kann sagen, was dieser Mensch, der Vollzugriff auf deinen Rechner hatte bzw. immer noch hat, eigentlich gemacht hat. Du hättest den Bot schon längst killen können, wenn du Malwarebytes richtig bedient hättest. Nur das, was der Mensch in der Zwischenzeit gemacht hat, das lässt sich nicht zurückverfolgen.

-> D.h. vom jetzigen Stand meines Systems ausgesehen, Ich hätte vor dem Befall mit dem Bot die Vollversion von Malwarebytes haben müssen, um diesen in dem Moment wo er auf meine Platte kam erkennen und löschen zu können? Damit der fremde Nutzer erst gar nicht die Möglichkeit bekommt die Kontrolle zu bekommen?
Sprich für die Zukunft mit frischem, neuem System heißt das unbedingt die Vollversion von Malwarebytes kaufen.

Ich bin was die System-Sicherheit betrifft eigentlich kein Schlamper: habe XP mit SP3, aktiver Windows-Firewall und Avira AntiVir VirenGuard, der sich jeden Tag automatisch aktualisiert. Auch mein Browser (Firefox 2.0 mit allen Updates auf Vers. 3.xx) überprüft automatisch auf Updates. Das einzige, das ich mir erspart habe, ist der automatische Update-Dienst von Microsoft, da ich schonmal Probleme hatte, nachdem ein kleines Update heruntergeladen und installiert wurde. Der Dienst schlägt einem ja immer zahlreiche Updates vor, auch wenn man einen Teil davon nicht benötigt.

Das ich mir jetzt trotz der bisherigen Schutzmaßnahmen so einen hartnäckigen Bot eingefangen habe, erstaunt mich doch ein wenig. Wenn ich das richtig verstanden habe, ist es nachdem ein solcher Angriff, wie er auf meinem System stattgefunden hat, jetzt einfach für andere Hacker sich Zugriff auf mein System zu verschaffen, da die Integrität bereits einmal geknackt wurde. Deshalb ist es auch nicht ausreichend den Bot von der Platte zu putzen, sondern ein Neuaufsetzen des Systems ist notwendig, richtig?

Danke und viele Grüße,
Benjamin

Alt 01.02.2009, 16:50   #14
john.doe
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Zitat:
-> D.h. vom jetzigen Stand meines Systems ausgesehen, Ich hätte vor dem Befall mit dem Bot die Vollversion von Malwarebytes haben müssen, um diesen in dem Moment wo er auf meine Platte kam erkennen und löschen zu können?
Nein. Nein. Nein.
Zitat:
Damit der fremde Nutzer erst gar nicht die Möglichkeit bekommt die Kontrolle zu bekommen?
Lies hier, wie sich Schädlinge verbreiten: Homepage von Malte J. Wetz
Du brauchst keine Programme um dich zu schützen. Du musst wissen was gefährlich ist und alles Gefährliche vermeiden. Mit einfachsten Mitteln kannst du jede Kompromittierung vermeiden.

Hauptverbreitungswege von Schädlingen sind:
  • Seiten, auf denen es Warez, Cracks und Keygens gibt
  • Schmuddelseiten
  • P2P, völlig egal welche, besonders übel sind Bearshare und LimeWire
  • Externe Datenträger, wie z.B. USB-Sticks
  • Anhänge in Emails und Links über Messenger
  • Veraltete Betriebssysteme und Anwendungsprogramme
Zitat:
Sprich für die Zukunft mit frischem, neuem System heißt das unbedingt die Vollversion von Malwarebytes kaufen.
Nein. Nein. Nein.
Zitat:
Das einzige, das ich mir erspart habe, ist der automatische Update-Dienst von Microsoft, da ich schonmal Probleme hatte, nachdem ein kleines Update heruntergeladen und installiert wurde. Der Dienst schlägt einem ja immer zahlreiche Updates vor, auch wenn man einen Teil davon nicht benötigt.
Genau damit hast du ein mögliches Einfalltor.
Zitat:
Deshalb ist es auch nicht ausreichend den Bot von der Platte zu putzen, sondern ein Neuaufsetzen des Systems ist notwendig, richtig?
Ja. Leider, aber ja. Lies das hier und du wirst verstehen warum:
http://de.wikipedia.org/wiki/Remote_Administration_Tool

Wenn du noch das ComboFix-Log postest, kann ich versuchen, den Ursprung zu erkennen.

ciao, andreas

Alt 01.02.2009, 18:40   #15
sycho
 
Laptop wahrscheinlich mit TR/Dropper infiziert - Standard

Laptop wahrscheinlich mit TR/Dropper infiziert



Hallo Andreas,

bei all den Ablagerungen, die sich auf der Festplatte ansammeln wenn man im Internet surft ist es wohl sinnvoll einmal pro Woche so ein cleaning tool laufen zu lassen. Damit nicht mehr benötigte Registry-Einträge und Datenansammlungen von der Platte verschwinden und das System fit bleibt. Naja, dieses ist wohl erstmal hin. Habe grade mal nach guten und günstigen ext. HDs geguckt...

Zurück zum Problem:

ich hatte ja nach dem ersten Ausführen von Prevx CSI3.0 das Prog. nur minimiert und die cleaning Funktion noch nicht ausführen lassen. Das habe ich jetzt gemacht. Das Prog. löste alle Probleme, die in der Freeware-Lösung gelöst werden können und verlangte anschließend den Neustart des Systems. Diesen gab ich ihm.

Nach dem Neustart erschienen drei Warnungen von Avira auf meinem LCD:

1. Datei XY enthält Erkennungsmuster von TR\Dropper.Gen
2. Datei XY enthält Erkennungsmuster von TR\Downloader.Gen
und
3. Datei XY enthält Erkennungsmuster von DR\Agent.hua

der letzte scheint mir neu zu sein...


Ich habe nun die von Dir angegebenen Anweisungen ausgeführt:

CCleaner:

meldete insges. 261MB (!) an zu löschenden Daten, davon allein 45MB temporäre Internet Dateien. Die Registry war schnell gereinigt, es waren aber auch viele nicht mehr benutzte Einträge vorhanden. Nach 4 Durchläufen war sie lt. CCleaner fehlerfrei.

Combofix:

der Versuch ComboFix auszuführen, führte zu folgendem Ergebnis:



dann erschien:



und zu guter letzt noch:



???

Viele Grüße,
Benjamin

Antwort

Themen zu Laptop wahrscheinlich mit TR/Dropper infiziert
adobe, antivir, ashampoo uninstaller, avira, bho, einstellungen, excel, explorer, firefox, free download, google, hijack, hijackthis, hkus\s-1-5-18, homepage, infiziert, internet, internet explorer, launch, log-file, mozilla, object, schädling, software, temp, virus, windows xp



Ähnliche Themen: Laptop wahrscheinlich mit TR/Dropper infiziert


  1. Lästige Pop-Ups und Werbeeinblendungen, PC wahrscheinlich mit Trojaner infiziert
    Log-Analyse und Auswertung - 29.01.2015 (11)
  2. Wahrscheinlich etwas bösartiges heruntergeladen und Laptop jetzt sehr langsam des öfteren
    Log-Analyse und Auswertung - 14.09.2014 (17)
  3. Laptop sehr langsam / sehr wahrscheinlich verseucht / Anti Viren Programme updaten nicht mehr
    Log-Analyse und Auswertung - 05.02.2013 (9)
  4. Wahrscheinlich Infiziert
    Log-Analyse und Auswertung - 05.10.2012 (5)
  5. Infiziert mit TR/Dropper.Gen - Hilfe!
    Log-Analyse und Auswertung - 09.12.2011 (34)
  6. TR/Dropper.Gen - bin ich infiziert?
    Plagegeister aller Art und deren Bekämpfung - 08.03.2011 (5)
  7. Laptop wahrscheinlich kompromittiert (ging nachts von alleine an) - Plattmachen
    Plagegeister aller Art und deren Bekämpfung - 29.11.2010 (7)
  8. System wahrscheinlich immernoch infiziert?
    Log-Analyse und Auswertung - 27.09.2010 (3)
  9. mit Trojaner TR/Dropper.Gen infiziert
    Plagegeister aller Art und deren Bekämpfung - 09.03.2010 (1)
  10. dropper.gen und wahrscheinlich mehr, bitte log auswerten
    Log-Analyse und Auswertung - 11.02.2010 (3)
  11. PC wahrscheinlich infiziert, bitte um Rat !
    Log-Analyse und Auswertung - 04.11.2009 (30)
  12. PC wahrscheinlich infiziert, bitte um Hilfe und Prüfung
    Log-Analyse und Auswertung - 12.07.2009 (59)
  13. ich habe mich Wahrscheinlich Infiziert!
    Plagegeister aller Art und deren Bekämpfung - 28.04.2009 (42)
  14. TR/Dropper.Gen? Infiziert?
    Log-Analyse und Auswertung - 10.04.2009 (1)
  15. PC sehr wahrscheinlich infiziert / Bitte um Hilfe
    Log-Analyse und Auswertung - 10.02.2009 (1)
  16. Bin infiziert mit Dropper.Gen
    Log-Analyse und Auswertung - 25.01.2009 (21)
  17. Bitte um Hilfe. PC ist wahrscheinlich infiziert
    Plagegeister aller Art und deren Bekämpfung - 21.12.2007 (11)

Zum Thema Laptop wahrscheinlich mit TR/Dropper infiziert - Hallo, ich vermute, ich habe auf meinem Laptop das trojanische Pferd TR/Dropper. Habe mir vor 2 Tagen auf der Homepage eines großen Computer-Peripherie Herstellers einen Treiber heruntergeladen, seitdem erscheint in - Laptop wahrscheinlich mit TR/Dropper infiziert...
Archiv
Du betrachtest: Laptop wahrscheinlich mit TR/Dropper infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.