TR/Spy.Banker.vk.1

Nez_Perces · 06.03.2009, 09:10

Hallo zusammen.

Mein Bruder war gestern auf der Google-Bildersuche und als er ein Bild anklickte, sprang AntiVir an und behauptete dreist, den Trojaner TR/Spy.Banker.vk.1 im Firefox-Browser-Cache gefunden zu haben.

Sofort wurde die Verbindung (Router) gekappt, alle Stecker gezogen und erstmal mit AntiVir das ganze System gescannt.

Dabei fand AntiVir zwar keinen Trojaner mehr, aber diesen Schädling: HTML/PicFrame.Gen und zwar in einer 3 Jahre alten jpg-Datei auf meinem Rechner. Fehlalarm?

Ich setze alle Sicherheitsvorschläge dieser Seite um (surfen mit eingeschränktem Konto, unnötige Dienste ausschalten, immer die neuesten Software- und Microsoft-Sicherheitsupdates...etc. etc.), Brain.exe natürlich auch aktiviert.

Das System habe ich mittlerweile mit Malwarebyte's Anti-Malware, AntiVir, Microsofts-Malware-Removetool, einem Rootkitscanner und Adaware gescannt und dabei ist nichts rausgekommen.
Habe auch bei heise.de meine Ports scannen lassen und alles ist dicht.

Nun wäre es nett, wenn sich mal die Spezialisten meinen Hijack-This-Log von heute morgen mal ansehen könnten.
Ich finde zwar nichts ungewöhliches, aber das muss nichts heissen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:23:25, on 06.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\SLEE401.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\internet\Zone Labs\ZoneAlarm\zlclient.exe
D:\Handy\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Sicherheit\HiJackThis\pruefcom.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LanguageShortcut] d:\Multimedia\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\internet\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Handy\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Update Service (gupdate1c995efc16e3a5e) (gupdate1c995efc16e3a5e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE401.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6016 bytes

Im Vorraus recht vielen Dank für Eure Arbeit und Mühe.

Grüße
Nez_Perces

Nez_Perces · 06.03.2009, 16:58

Sollten Angaben fehlen oder man der Meinung sein, dass sich der Post der näheren Betrachtung nicht lohnt, dann würden 1-2 Sätze schon reichen.

Ich bin mir nur nicht sicher, wie sicher mein System nun ist, da ich irgendwo mal gelesen habe, dass dieser Trojaner über eine Backdoor-Funktion verfügen soll (tun das nicht alle Trojaner??).

Danke.

Nez_Perces

PS: Das ich den I-Explorer 6 noch drauf habe, weiss ich auch, aber ich surfe nicht mit ihm und verbiete ihm über die Firewall auch alle Aktivitäten ins Weltnetz. Dürfte also kein Problem sein, denke ich.

PPS:

Hier der Pfad unter welchem der vermeindliche Trojaner entdeckt wurde:

'C:\Dokumente und Einstellungen\W-W-W\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\m6r5lnhb.default\Cache\2F60B116d01'

Kaos · 06.03.2009, 18:08

Dein Java ist wohl veraltet, lade dir die neueste Version runter. Und der Internet Explorer sollte dennoch immer aktuell gehalten werden.

Nutzt du NoScript für den Firefox? Wenn nicht solltest du dieses Addon installieren.

Zum Abschluss kannst du ja noch SUPERAntiSpyware laden, es updaten und im abgesicherten Modus scannen lassen.

Hier sind noch Infos zum Spy.Banker.vk.1 --> http://www.avira.com/de/threats/section/fulldetails/id_vir/2754/tr_spy.banker.vk.1.html

Ps.: Malwarebytes und auch andere Programme am besten als Administrator updaten lassen, denn ich habe bei mir festgestellt, das Malwarebytes die Updates nicht korrekt macht, wenn ich mit eingeschränkten Rechten update. Er sagt dann, dass er erfolgreich von 1822 auf 1822 geupdatet hat (nur als Beispiel).

Nez_Perces · 06.03.2009, 18:44

Danke für Deine Antwort, Kaos. :-)

NoScript für den Firefox nutze ich schon lange, da bin ich gleich auf Nummer sicher gegangen.

Das mit Malwarebytes habe ich auch herausgefunden und lade mir die neuesten Updates auch nur noch mit Admin-Rechten.

Den Avira-Link kenne ich und habe aber in meiner Registry keine der dort beschriebenen Änderungen entdecken können.

SUPERAntiSpyware habe ich mir jetzt runtergeladen und werde es dann mal durchlaufen lassen.

Das Ergebnis werde ich hier posten.
Java und den Explorer werde ich auch updaten.

Nochmals vielen Dank für Deine Antwort/Hilfe. :-)

Nez_Perces · 09.03.2009, 08:36

Nachdem SuperAntiMalware zwar die beiden obengenannten Schädlinge nicht gefunden hat, dafür aber einen anderen Trojaner, habe ich mich entschlossen das System platt zu machen.

Da dies nun geschehen ist und ich am Neuaufsetzen bin, kann dieser Thread geschlossen werden.

Nochmals ein Dankeschön an Kaos für die Hilfe.

Nez_Perces · 11.03.2009, 11:01

Wäre unser Leben nicht so stark vom PC und Internet bestimmt, dann wäre einiges einfacher....

Mein System ist neu aufgesetzt und alle Programme, die ich bisher installiert habe, stammen aus sicheren Quellen (CHIP-Internetseite oder PC-Magazin-Heft-DVD).
Mittels CHIP-Updater habe ich alle notwendigen Sicherheits-Patches von Microsoft heruntergeladen und installiert.

Dann habe ich AntiVir und Malwarebytes Antimalware ge-updated, durchlaufen lassen und mit HijackThis und GMER mal ein Scan gemacht.

Hier die Log-Files:

HiJackThis

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:07:48, on 11.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Internet\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
D:\Sicherheit\HiJackThis\pruefcom.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] d:\Drucker\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Internet\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] d:\Sicherheit\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Sicherheit\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: !SASWinLogon - D:\Sicherheit\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4503 bytes

Malwarebytes Antimalware:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

11.03.2009 07:07:12
mbam-log-2009-03-11 (07-07-07).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 90707
Laufzeit: 11 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\XXX\services.reg (Heuristics.Reserved.Word.Exploit) -> No action taken.

Und gmer:

Code:

ATTFilter

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2009-03-11 07:15:28
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwConnectPort [0xB04E88C0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreateFile [0xB04E56D0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreateKey [0xB04F24C0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreatePort [0xB04E8E80]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreateProcess [0xB04EFC70]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreateProcessEx [0xB04EFE80]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreateSection [0xB04F3D80]
SSDT            BAF8BAA4                                                                                                    ZwCreateThread
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreateWaitablePort [0xB04E8F70]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwDeleteFile [0xB04E5C60]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwDeleteKey [0xB04F2D40]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwDeleteValueKey [0xB04F2AF0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwDuplicateObject [0xB04EF5F0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwLoadKey [0xB04F3260]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwLoadKey2 [0xB04F32E0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwOpenFile [0xB04E5AC0]
SSDT            BAF8BA90                                                                                                    ZwOpenProcess
SSDT            BAF8BA95                                                                                                    ZwOpenThread
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwRenameKey [0xB04F39A0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwReplaceKey [0xB04F3400]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwRequestWaitReplyPort [0xB04E84E0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwRestoreKey [0xB04F37F0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwSecureConnectPort [0xB04E8A90]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwSetInformationFile [0xB04E5E90]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwSetValueKey [0xB04F2830]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwSystemDebugControl [0xB04F0570]
SSDT            \??\D:\Sicherheit\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xB0473F20]
SSDT            BAF8BA9A                                                                                                    ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2C7C                                                                        80504518 12 Bytes  [ 80, 8E, 4E, B0, 70, FC, 4E, ... ]
?               srescan.sys                                                                                                 Das System kann die angegebene Datei nicht finden. !
?               C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS                                                                 Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text           C:\WINDOWS\system32\SearchIndexer.exe[652] kernel32.dll!WriteFile                                           7C810E17 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                    [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                         [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                        [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                  [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                    [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                      [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                           [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                          [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                     [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                   [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                         [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                          [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                           [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                            [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                       [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                    [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                      [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                           [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                          [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                     [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                   [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                         [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                          [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

---- Devices - GMER 1.0.14 ----

Device          \Driver\Tcpip \Device\Ip                                                                                    vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\Tcp                                                                                   vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\Udp                                                                                   vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\RawIp                                                                                 vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                           vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

Der Fund von Malwarebytes AntiMalware macht mich stutzig, aber vor allem das Log-File von GMER schockt mich richtig.
Leider reichen meine Kenntnisse nicht aus, es richtig zu deuten, aber wie kann das sein, dass so viele Einträge bei einem frisch aufgesetzten System vorhanden sind??

Ich hoffe, Ihr könnt mir, wie schon so oft, helfen.

Vielen Dank für Eure Mühe und Arbeit im Vorraus.

Nez_Perces

PS: Bin jetzt daheim schon seit Tagen ohne funktionierenden Rechner, da ich nur Abends mich ans Neuaufsetzen machen kann.

TR/Spy.Banker.vk.1

Plagegeister aller Art und deren Bekämpfung: TR/Spy.Banker.vk.1

TR/Spy.Banker.vk.1

TR/Spy.Banker.vk.1

TR/Spy.Banker.vk.1

TR/Spy.Banker.vk.1

TR/Spy.Banker.vk.1

TR/Spy.Banker.vk.1

Ähnliche Themen: TR/Spy.Banker.vk.1

09.03.2009, 08:36	#5
Nez_Perces	TR/Spy.Banker.vk.1 Nachdem SuperAntiMalware zwar die beiden obengenannten Schädlinge nicht gefunden hat, dafür aber einen anderen Trojaner, habe ich mich entschlossen das System platt zu machen. Da dies nun geschehen ist und ich am Neuaufsetzen bin, kann dieser Thread geschlossen werden. Nochmals ein Dankeschön an Kaos für die Hilfe.