Hallo
Gestern Mittag surfte ich im Internet als mich auf einmal Spybot S&D anschrie, das ein registry-Eintrag in der Winlogon geändert werden soll. Ich verweigerte immer und immer wieder. Das abschalten des Browsers, der Internetverbindung und auch des Rechners brachte nix. Nach dem Neustart wurden Suchergebnissseiten über die Toolbar von google und yahoo nur als weiße Seite dargestellt. Der Quelltext zeigte ein absolut positioniertes div von 3000px größe mit weißem Hintergrund. Bei der Direktsuche auf den Suchmaschinenseiten funktioniert es aber. Jedoch werden alle Suchergebnislinks über windowscklick geleitet und zeigt kommerzielle Seiten an, die nichts mit dem eigentlichen Suchergebnis zu tun haben.
Die aktuelle AntiVir-Version brachte folgendes Ergebnis:
Zitat:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 14. März 2009 00:05
Es wird nach 1297221 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: USER
Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 27.11.2008 21:02:28
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 10:06:15
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 10:06:15
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 10:06:15
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 23:47:42
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 16:20:52
ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 16:30:08
ANTIVIR3.VDF : 7.1.2.171 61952 Bytes 13.03.2009 17:32:31
Engineversion : 8.2.0.114
AEVDF.DLL : 8.1.1.0 106868 Bytes 01.02.2009 16:20:27
AESCRIPT.DLL : 8.1.1.63 364923 Bytes 13.03.2009 17:32:33
AESCN.DLL : 8.1.1.8 127346 Bytes 07.03.2009 14:28:55
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 17:23:54
AEPACK.DLL : 8.1.3.10 397686 Bytes 07.03.2009 14:28:54
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 01.03.2009 21:55:12
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 07.03.2009 14:28:53
AEHELP.DLL : 8.1.2.2 119158 Bytes 01.03.2009 21:55:08
AEGEN.DLL : 8.1.1.28 336244 Bytes 13.03.2009 17:32:32
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 20:11:46
AECORE.DLL : 8.1.6.6 176501 Bytes 20.02.2009 01:15:44
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 20:11:44
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 10:06:15
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 10:06:15
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 14:00:15
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 10:06:15
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 02:13:25
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 10:06:15
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 02:13:26
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 10:06:15
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 02:13:26
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 10:06:13
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 10:06:13
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Samstag, 14. März 2009 00:05
Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090314-000502-CEB1AC52\AVSCAN-0000000B.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090314-000502-CEB1AC52\AVSCAN-0000000B.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090314-000502-CEB1AC52\AVSCAN-00000010.sys
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090314-000502-CEB1AC52\AVSCAN-00000010.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20090314-000917-E8B8D0DA.avp' geschrieben.
c:\windows\system32\uacneiknnkb.dll
[FUND]
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1de7fc.qua' verschoben!
c:\windows\system32\drivers\uacgmhjovph.sys
[FUND]
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1de7fd.qua' verschoben!
c:\windows\temp\uacb174.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\windows\temp\uacce4d.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacbnbhjqoi.log
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacdlstridw.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.F.136
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\uacdphargvm.log
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacegeifhxy.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.66
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\uachlmegkqc.db
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacinit.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacmehptlax.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uactmp.db
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacvhsbyagl.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacydsdcmrm.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacypgrfjml.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.65
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\uac41d4.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\administrator\lokale einstellungen\temporary internet files\content.ie5\plwr34ss\uaca570zppcanixckscail4p4scaos8x7qca1dm3vwcabzp2jrca76abrrca1ezc3jcaem2mj1ca67amqhcabng90gcazq27bwca8gl6clcar28inecaottc5xc acbovarca2c3fi6.jpg
[INFO] Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\all users\anwendungsdaten\sectaskman\uacmehptlax.dll.q_1bb50_q.ini
[INFO] Die Datei ist nicht sichtbar.
Ende des Suchlaufs: Samstag, 14. März 2009 00:09
Benötigte Zeit: 04:20 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
18 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
13 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
2 Hinweise
175008 Objekte wurden beim Rootkitscan durchsucht
28 Versteckte Objekte wurden gefunden
|
Security Taskmanager zeigt eine eine 100% gefährliche Datei an:
Zitat:
\\?\globalroot\systemroot\system32\UACmehptlax.dll
MD5: Der Prozess kann nicht auf die Datei zugreifen, da ein anderer Prozess einen Teil der Datei gesperrt hat
|2080|\\?\globalroot\systemroot\sys
|
Diese kann ich zwar entfernen. Nach jedem Neustart von Security Task Manager ist sie wieder da...
Weiß jemand Rat?
Habe hier schon ein paar ähnliche Themen gefunden, jedoch waren dort keine Lösungen oder spezielle Lösungen für den jeweiligen Betroffenen über The Avenger oder ComboFix.
MfG
JayJayS
14.03.2009, 01:57
Baum-Darstellung