Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verdacht auf Neubefall nach Neuinstallation!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 25.03.2009, 12:42   #1
Debakel27
Gast
 
Verdacht auf Neubefall nach Neuinstallation! - Standard

Verdacht auf Neubefall nach Neuinstallation!



Hallo an alle,

nach diesem Vorfall hier habe ich trotzdem mein System Neu Aufgesetzt, und als ich den Rechner heute hochfuhr habe ich eine mir unbekannte Aktivität festgestellt. Zum Vorfall:
Ich habe den Treiber meiner TV-Karte gestartet, und musste feststellen das der Ton aus den Boxen dumpf und verrauscht klang. Habe daraufhin über den Systray die Konfiguration meiner Soundkarte gestartet. Als ich die erste Einstellung am Equalizer anklickte, öffnete sich das Soundkonfigurationsprogramm 5x nacheinander Selbstständig, und ungefähr 15x
die kleineren Fenster für die Feineinstellungen wie Auswahl der Anschlüsse für die Boxen und Soundumgebungseinstellungen. Habe danach das AV-Programm und Malewarebytes (ebenfalls im abgesicherten Modus) durchlaufen lassen, kein Fund. Als aber Kaspersky im Normalmodus lief, meldete sich der Rechner nach ungefähr 60% Scanfortschritt ab, und ich musste mich neu Anmelden.
Kaspersky Lief aber trotzdem paralel weiter.
Nun zu meiner Vorgehensweise beim Neuaufsetzen:
Habe mich Strikt an die Anleitung gehalten.
Nachdem zum ersten mal der Desktop zu sehen war, habe ich folgende Schritte nacheinander abgearbeitet:

1. Installation von Mainboard,- Soundkarten,- und TV-Kartentreiber
2. Installation von Kaspersky
3. Modeminstallation

Danach wurden sofort automatisch Updates für AV-Programm und Windows gezogen.

Danach habe ich die Windowsupdate Webseite (über Startmenü-alle Programme-Windowsupdate) solange aufgerufen bis alle Patches für XP durchwaren, weil ja der Rechner immer wieder Neugestartet werden musste,
nachdem ich einen teil der Uodates gedownloadet habe.

Die darauffolgenden Maßnahmen waren:
Erstellung eines eingeschränkten Benutzerkontos, sowie Passwortvergabe für Admin,- und Eingeschränktes Benutzerkonto.
Danach Windows Onlineaktivierung über Startmenü.
Abschalten der überflüssigen Windowsdienste durch das entsprechende Tool,
wie in der Anleitung zum Neuaufsetzen beschrieben.
Malewarebytes ab sofort dauerhaft Installiert
Letzte Maßnahme: Radikale Änderung der Surfgewohnheiten

Paralel habe ich noch die Autorunfunktion deaktiviert, weil ich noch Daten auf einem USB-Stick hatte, die ich mit Kaspersky überprüfen wollte, befor Windows oder ich darauf zugreife, war aber alles Sauber. Auf dem Stick befinden sich Phase5, 2 von mir erstellte Homepages, Bilder im .jpg und .png Format, und meine Bewrebungsunterlagen im .doc Format mehr nicht.

Hier nun meine Logfiles von Hijack und Malewarebytes

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:28:33, on 25.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\GIGABYTE\GEST\gest.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\UpdateStar\UpdateStar.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\GIGABYTE\GEST\GSvr.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [GEST] C:\Programme\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UpdateStar] C:\Dokumente und Einstellungen\***\Anwendungsdaten\UpdateStar\UpdateStar.exe -A
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1237799221328
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5149 bytes
         

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1894
Windows 5.1.2600 Service Pack 3

25.03.2009 11:39:39
mbam-log-2009-03-25 (11-39-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 92442
Laufzeit: 10 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Habe ich vielleicht irgendetwas Übersehen, oder Versteckt sich da doch noch irgendetwas im Autostartspeicher?

Desweiteren wollte ich wissen, warum das AV-Programm nicht auf Passwortgeschützte Archive beim Scan zugreift. Ich weiß das man das Umstellen kann, aber wäre das klug?

Desweiteren macht mir diese Meldung hier Sorgen.

24.03.2009 16:40:27 UDP von 218.23.37.51 auf lokalen Port 1434 Nicht vorhanden Gefunden: Intrusion.Win.MSSQL.worm.Helkern

Ich habe mich hier im Board und über Google schon darüber Informiert und herausgefunden das, wenn XP aktuell gehalten wird, bräuchte man sich da keine Sorgen zu machen, weil dies ein älterer Wurmcode sei der nur ungepatchte Windowssysteme angreift. Aber ich finde keinen Eintrag im Bericht von Kaspersky das dagegen vorgegangen wird.
Letzte Frage: Ist man gezwungen die Optionalen Updates von Windows zu ziehen? Weil ja zb. Windows Search 4.0 auch vom Explorer aus auf das WEB zugreift, und das gefällt mir garnicht.
Ich hoffe das waren ertmal genug Infos für euch, und ich hoffe das meine Bedenken unbegründet sind.

Alt 17.04.2009, 10:58   #2
Debakel27
Gast
 
Verdacht auf Neubefall nach Neuinstallation! - Standard

Verdacht auf Neubefall nach Neuinstallation!



Ich habe mal kein neues Thema erstellt, weil ich im Moment ein Problem habe welches sich in einer ähnlichen Form meinem ersten Beitrag befasst.
Also folgendes:
Zum ersten kann ich Malewarebytes nicht mehr Aktualisieren.
Wenn ich auf Update klicke erscheint die Meldung:
Update fehlgeschlagen, Vergewissern Sie sich das, das Programm nicht von einer Firewall geblockt wird und ob eine Internetanbindung besteht.
Das habe ich danach geprüft, und weder die Windows Firewal, noch Kaspersky
blocken das Programm.
Desweiteren braucht mein Rechner zum Hochfahren fast 2 minuten, dies gestaltet sich folgendermaßen:
Der Anmeldebildschirm erscheint, ich gebe mein PW für mein Eingeschränktes Konto ein, und dann bleibt der Bildschirm ungefähr 1 minute so stehen.
In dem Moment wo der Desktop erscheint, sehe ich nur das Hintergrundbild,
incl. der Sanduhr und die Taskleiste inc. der Symbole im Systray erscheinen ebenfalls erst nach einer Minute. Danach läuft wieder alles ganz normal.

Ich habe mir gestern dieses Programm hier Installiert, und auch schon ein bissl was bei youtube gesaugt. Habe es eben wieder runtergeschmissen incl. der Mp3 Dateien,
weil ja gestern noch alles schick war, also vor der Installation dieses Programms, aber das Problem nach dem Neustart besteht weiterhin.

CCleaner ausgeführt und hier mein frisches Logfile.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:15:11, on 17.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\GIGABYTE\GEST\GEST.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\GIGABYTE\GEST\GSvr.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [GEST] C:\Programme\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1237799221328
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5130 bytes
         
Ich hoffe es ist nichts ernstes. Schon mal vielen Dank.
__________________


Alt 17.04.2009, 14:16   #3
Debakel27
Gast
 
Verdacht auf Neubefall nach Neuinstallation! - Standard

Verdacht auf Neubefall nach Neuinstallation!



Habe inzwischen versucht, einige Dinge selbst in die Hand zu Nehmen, mit folgenden Ergebnissen:
Virenscanner im Abgesicherten Modus durchlaufen lassen, Ergebnis Kein Fund.
SuperAntiSpyware heruntergeladen, dies lässt sich übrigens ebenfalls nicht
Aktualisieren. Hier das Logfile:

Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/17/2009 at 02:15 PM

Application Version : 4.26.1000

Core Rules Database Version : 3843
Trace Rules Database Version: 1798

Scan type       : Complete Scan
Total Scan Time : 00:10:39

Memory items scanned      : 393
Memory threats detected   : 0
Registry items scanned    : 4103
Registry threats detected : 0
File items scanned        : 12846
File threats detected     : 2

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Eingeschränkt\Cookies\eingeschränkt@atdmt[2].txt

Adware.SeekSuggest
	C:\WINDOWS\JESTERTB.DLL
         
Zweiter Schritt GMER Ausgeführt:

Code:
ATTFilter
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-17 14:53:17
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwAdjustPrivilegesToken [0xB69C0A72]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwClose [0xB69C101E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwConnectPort [0xB69C2A82]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwCreateFile [0xB69C2438]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwCreateKey [0xB69C01E8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwCreateSymbolicLinkObject [0xB69C43E4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwCreateThread [0xB69C0E1A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwDeleteKey [0xB69C062A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwDeleteValueKey [0xB69C082A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwDeviceIoControlFile [0xB69C2744]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwDuplicateObject [0xB69C48F0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwEnumerateKey [0xB69C0940]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwEnumerateValueKey [0xB69C09A8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwFsControlFile [0xB69C25FA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwLoadDriver [0xB69C3EA8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwOpenFile [0xB69C2294]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwOpenKey [0xB69C034A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwOpenProcess [0xB69C0C40]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwOpenSection [0xB69C440E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwOpenThread [0xB69C0B96]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwQueryKey [0xB69C0A10]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwQueryMultipleValueKey [0xB69C0714]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwQueryValueKey [0xB69C04F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwQueueApcThread [0xB69C4110]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwReplaceKey [0xB69BFE6A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwRequestWaitReplyPort [0xB69C330C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwRestoreKey [0xB69BFFCC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwResumeThread [0xB69C47C0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwSaveKey [0xB69BFC68]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwSecureConnectPort [0xB69C2924]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwSetContextThread [0xB69C0F18]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwSetSecurityObject [0xB69C3FA2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwSetSystemInformation [0xB69C4438]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwSetValueKey [0xB69C03A0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwSuspendProcess [0xB69C451C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwSuspendThread [0xB69C4648]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwSystemDebugControl [0xB69C3DD4]
SSDT            \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)                                              ZwTerminateProcess [0xB54FEDF0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    ZwWriteVirtualMemory [0xB69C0D5C]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                                                    IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!FsRtlCheckLockForReadAccess                                                                                                               804EAF84 5 Bytes  JMP B69D71E8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text           ntkrnlpa.exe!IoIsOperationSynchronous                                                                                                                  804EF912 5 Bytes  JMP B69D75A2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text           ntkrnlpa.exe!ZwCallbackReturn + 2C68                                                                                                                   80504504 4 Bytes  CALL 1306E10A 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2FB8                                                                                                                   80504854 12 Bytes  [1C, 45, 9C, B6, 48, 46, 9C, ...]

---- User code sections - GMER 1.0.15 ----

?               C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1828] C:\WINDOWS\system32\kernel32.dll                                             time/date stamp mismatch; 
.text           C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1828] USER32.dll!AlignRects + FFFA5598                                             7E362A78 4 Bytes  [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
.text           C:\WINDOWS\system32\SearchIndexer.exe[1932] kernel32.dll!WriteFile                                                                                     7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
?               C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[2280] C:\WINDOWS\system32\kernel32.dll                                             time/date stamp mismatch; 
.text           C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[2280] USER32.dll!AlignRects + FFFA5598                                             7E362A78 4 Bytes  [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                                                                                [BA0F0530] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                                                                                [BA0F0530] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                                               kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Files - GMER 1.0.15 ----

File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000D.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000D.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000D.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000E.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000E.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000E.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000F.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000F.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000F.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010010.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010010.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010010.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010011.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010011.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010011.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010004.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010004.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010004.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010012.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010012.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010013.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010013.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010013.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010014.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010014.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010014.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010017.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010017.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010017.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010019.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010019.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010019.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001B.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001B.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001B.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010001.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010001.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010001.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010012.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001F.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001F.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001F.wid  65536 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010020.ci   4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010020.dir  4096 bytes
File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010020.wid  65536 bytes

---- EOF - GMER 1.0.15 ----
         
Was mir jetzt neu aufgefallen ist, jedesmal wenn ich Firefox Neu Öffne, und
auf die Lesezeichen Klicke, erscheint nicht wie gewohnt das Drop Down
Menu für die gespeicherten Lesezeichen, sondern das Bestätigungsfenster zum Hinzufügen der Seite (in diesem Fall Google) als Lesezeichen.
So langsam wird mir etwas mulmig.
__________________

Alt 17.04.2009, 18:13   #4
Debakel27
Gast
 
Verdacht auf Neubefall nach Neuinstallation! - Standard

Verdacht auf Neubefall nach Neuinstallation!



Habe nachdem GMER und SUPERAntiSpyware durchliefen, nochmals Kaspersky im Normalen Systemstart drüberlaufen lassen. Dabei hat er das gefunden:

h**p://www.viruslist.com/de/advisories/32270 C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\43gcjvgahnu44.ths

Habe die Datei danach bei Virustotal Hochgeladen:

Code:
ATTFilter
a-squared	4.0.0.101	2009.04.17	-
AhnLab-V3	5.0.0.2	2009.04.17	-
AntiVir	7.9.0.143	2009.04.17	-
Antiy-AVL	2.0.3.1	2009.04.17	-
Authentium	5.1.2.4	2009.04.17	-
Avast	4.8.1335.0	2009.04.16	-
AVG	8.5.0.287	2009.04.17	-
BitDefender	7.2	2009.04.17	-
CAT-QuickHeal	10.00	2009.04.17	-
ClamAV	0.94.1	2009.04.17	-
Comodo	1117	2009.04.17	-
DrWeb	4.44.0.09170	2009.04.17	-
eSafe	7.0.17.0	2009.04.13	Suspicious File
eTrust-Vet	31.6.6455	2009.04.14	-
F-Prot	4.4.4.56	2009.04.16	-
F-Secure	8.0.14470.0	2009.04.17	-
Fortinet	3.117.0.0	2009.04.17	-
GData	19	2009.04.17	-
Ikarus	T3.1.1.49.0	2009.04.17	-
K7AntiVirus	7.10.707	2009.04.17	-
Kaspersky	7.0.0.125	2009.04.17	-
McAfee	5587	2009.04.17	-
McAfee+Artemis	5587	2009.04.17	-
McAfee-GW-Edition	6.7.6	2009.04.17	-
Microsoft	1.4502	2009.04.17	-
NOD32	4017	2009.04.17	-
Norman	6.00.06	2009.04.17	-
nProtect	2009.1.8.0	2009.04.17	-
Panda	10.0.0.14	2009.04.17	-
PCTools	4.4.2.0	2009.04.17	-
Prevx1	V2	2009.04.17	-
Rising	21.25.44.00	2009.04.17	-
Sophos	4.40.0	2009.04.17	-
Sunbelt	3.2.1858.2	2009.04.17	-
Symantec	1.4.4.12	2009.04.17	-
TheHacker	6.3.4.0.309	2009.04.16	-
TrendMicro	8.700.0.1004	2009.04.17	-
VBA32	3.12.10.2	2009.04.12	-
ViRobot	2009.4.17.1698	2009.04.17	-
VirusBuster	4.6.5.0	2009.04.17	-


File size: 487424 bytes
MD5...: 49be7a55c9134523d830ed3249ca35c9
SHA1..: a63488fbd5b1f2bf7e94a881233f692c663f5974
SHA256: d02be0633d95ae9a91e04dc5ed560be4878d874ceef25282ed3c89df782c37f8
SHA512: 562dc6433704ea5e068aee5410889b9d66fce0b444e3c533b2f9e3c6bfae4d8e
df0743037f350905049f50771aa8e26d3d8530d04595d2c7c29bf9770f88fe03
ssdeep: 12288:DHIcwtE1+EI73flu/rBFjp+7aSov4zvMNAhHhmo7P+:FwFEAITBFN+7a2v
M2Zhmo7P
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)


PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1ac320
timedatestamp.....: 0x3fd4f4d4 (Mon Dec 08 22:01:56 2003)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x13b000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x13c000 0x71000 0x70600 7.92 74a5c95d65eb3b139400770c706a4e54
.rsrc 0x1ad000 0x7000 0x6600 5.17 14d39354ff0c5aee20dcd5af9fe69b61

( 12 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress
> ADVAPI32.dll: RegCloseKey
> comdlg32.dll: PrintDlgA
> GDI32.dll: DPtoLP
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> urlmon.dll: CreateURLMoniker
> USER32.dll: GetDC
> VERSION.dll: VerQueryValueA
> WININET.dll: InternetOpenA
> WINMM.dll: waveInStop
> WSOCK32.dll: -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer


RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=49be7a55c9134523d830ed3249ca35c9' target='_blank'>http://www.threatexpert.com/report.aspx?md5=49be7a55c9134523d830ed3249ca35c9</a>
packers (Kaspersky): UPX
packers (F-Prot): UPX
         
Das Problem mit Google und Lesezeichen besteht ebenfalls noch, das Hochfahren des Rechners dauert ebenfalls genausolange wie im zweiten Post
von mir beschrieben. Jetzt bin ich mir sicher das ich definitiv wieder mal verseucht bin. Malewarebytes und SUPERAntiSpyware lassen sich immer noch nicht Upgraden. Leider weiss ich im Moment micht mehr weiter welche Tools
zur Systemanalyse bzw. zur Bereinigung ich noch nehmen soll, und Google möchte ich in dieser Situation auch nicht mehr benutzen.
Ich könnte im Moment eigentlich nur noch

Alt 17.04.2009, 22:00   #5
Debakel27
Gast
 
Verdacht auf Neubefall nach Neuinstallation! - Standard

Verdacht auf Neubefall nach Neuinstallation!



Ich habe Kaspersky gerade eben nochmals im abgesicherten Modus durchlaufen lassen um ein Frisches Logfile zu erstellen.

Desweiteren hier nochmal meine Aktuelle Programmliste:

Code:
ATTFilter
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
ALNO AG  Küchenplaner
AquaNox 2 Revelation
BMW M3 Challenge
CCleaner (remove only)
CIB pdf brewer 2.5.25
DeepBurner v1.9.0.228
Defraggler (remove only)
Dynamic Energy Saver B7.1214.3
Firebird SQL Server (D)
Gigabyte Raid Configurer
GIMP 2.6.6
Hauppauge German Help Files and Resources
Hauppauge TvTv Sync
Hauppauge WinTV Scheduler
Hauppauge WinTV2000
Hauppauge WinTV-PVR 150 Drivers
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915800-v4)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
InterVideo FilterSDK for Hauppauge
Kaspersky Internet Security 2009
Kaspersky Internet Security 2009
Logitech SetPoint
MAGIX Filme auf CD & DVD 5.0 (D)
MAGIX Foto Manager 2006 (D)
MAGIX Music Manager (D)
MAGIX Online Druck Service
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Silverlight
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.8)
MSXML 4.0 SP2 (KB954430)
nanoPEG-Editor 2.3 Hauppauge Edition
NVIDIA Drivers
NVIDIA GAME System Software 2.8.1
OpenAL
OpenOffice.org 3.0
Phase 5 HTML-Editor
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Scientific-Atlanta WebSTAR 2000 series Cable Modem
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Spelling Dictionaries Support For Adobe Reader 9
SUPERAntiSpyware Free Edition
Uninstall 1.0.0.1
Update für Windows Internet Explorer 8 (KB968220)
Update für Windows XP (KB898461)
Update für Windows XP (KB943729)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VLC media player 0.9.8a
VTPlus32 für WinTV (German)
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Search 4.0
WinRAR
XMedia Recode 2.1.1.1
XML Paper Specification Shared Components Language Pack 1.0
         
Ich hoffe doch mal, das waren erstmal genug Infos.

Habe ich noch vergessen zu erwähnen, inzwischen lässt sich auch Kaspersky nicht mehr Aktualisieren.


Geändert von Debakel27 (17.04.2009 um 22:11 Uhr)

Alt 18.04.2009, 19:42   #6
Debakel27
Gast
 
Verdacht auf Neubefall nach Neuinstallation! - Standard

Verdacht auf Neubefall nach Neuinstallation!



Ich wollte mal vorsichtig nachfragen ob sich schon mal jemand mit meinem Problem beschäftigt hat.

Das hier ist übrigens die Fehlermeldung!

Habe Malewarebytes übrigens auch schonmal deinstalliert und wieder neu eingespielt, hat aber nichts gebracht.

Alt 20.04.2009, 15:47   #7
Debakel27
Gast
 
Verdacht auf Neubefall nach Neuinstallation! - Standard

Verdacht auf Neubefall nach Neuinstallation!



An die Moderatoren,

dieses Thema bitte schließen, Danke.

Grund:
Kann nicht mehr gelöst werden, Trojaner im MasterBootRecord.

Alt 20.04.2009, 18:33   #8
Sunny
Administrator
> Competence Manager
 

Verdacht auf Neubefall nach Neuinstallation! - Standard

Verdacht auf Neubefall nach Neuinstallation!



Wieso kann das nicht gelöst werden?!

Versuche bitte zunächst folgendes:




Rootkit im MBR (Master Boot Record)


Lade dir zunächst diese Datei -> mbr.exe direkt auf das Laufwerk
wo dein Betriebssystem installiert ist. (also auf c: )

Windows Vista:
Start -> bei "Suche starten" -> cmd (eintippen) -> ENTER

Windows 2000 - XP:
klick auf Start -> Ausführen -> cmd (eintippen) -> ENTER

Dann folgende Text in die Box eingeben: mbr.exe -f (siehe Bild)


Auf c:\ wir dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 22.04.2009, 12:04   #9
Debakel27
Gast
 
Verdacht auf Neubefall nach Neuinstallation! - Standard

Verdacht auf Neubefall nach Neuinstallation!



Erstmal Danke für deine Antwort.

Aufgrund meiner bisherigen, hier im Thread beschriebenen Probleme, hatte ich am Sonntag letzte Woche Besuch von einer Staatlichen Institution in Zivil.
Ich möchte jetzt aber hier nicht mehr ins Detail gehen, die Sache war für mich schon peinlich genug.
Nur soviel, meine Unschuld wurde definitif bewiesen.
Aufgrund dieses Besuches, habe ich direkt danach meinen Rechner Neu Aufgesetzt, und sowie ich mein Modem Installiert hatte um Updates für XP und
KIS zu ziehen, meldete das AV Programm den gleiche Trojaner, welche oben erwähnten Personen auf meinen Rechner per Analyse ermitteln konnten.
Danach habe ich sofort alle Daten, mit denen ich Online gearbeitet habe, also Bank, Ebay etc. und auch meine Zugangsdaten meines ISP Löschen lassen.
Die neuen sind schon da, aber ich möchte mit diesen Daten nicht auf meinen
noch Infizierten Rechner Online gehen.
Jedenfalls habe ich mir jetzt von einem Mitarbeiter vom Kaspersky Support
Helfen lassen, bzw. lasse ich mir noch helfen.
Das ist zwar etwas Umständlich, aber es funktioniert ganz gut.
Denn schliesslich möchten die ja auch wissen mit welchem Schädling ich es hier zu tun habe, um für die Zukunft entsprechende Gegenmaßnahmen zu ergreifen, falls der Schadcode noch Unbekannt sein sollte.
Und er meinte zu mir, erst wenn seine Analysen abgeschlossen sind, kann ich
meinen Rechner Neu Formatieren incl. dem MBR.
Deswegen solltest Du meinen Beitrag schließen zwecks Crossposting.
Also, somit weißt Du jetzt ersteinmal Bescheid und kannst hier erstmal zumachen. Es ist trotzdem eine sehr interessante Erfahrung für mich
das trotz der Benutzung der Virtual Box und das Ausführen von Brain.exe
immer wieder der Schadcode einen Weg auf den Rechner findet.
Aber wie gesagt 100%ige Sicherheit gibt es nun mal nicht.
Nur wer gewarnt ist, erlebt keine bösen Überraschungen.
Ich hoffe das die Sache für mich bald ausgestanden ist, und ich meinen Rechner wieder Benutzen kann. Man liest sich früher oder später.
Debakel

Edit:

Warnung an alle User (oder zukünftige neue) die das hier Lesen, und die es noch nicht kennen sollten, Brain.exe kann man sich nirgendswo herunterladen.

Antwort

Themen zu Verdacht auf Neubefall nach Neuinstallation!
abgesicherten modus, adobe, bho, desktop, dll, einstellung, einstellungen, explorer, format, frage, gigabyte, google, hijack, hijackthis, hkus\s-1-5-18, immer wieder, installation, internet, internet explorer, internet security, kaspersky, malwarebytes' anti-malware, maßnahme, neu aufgesetzt, nvidia, port, registrierungsschlüssel, rundll, schutz, software, system, systray, tv-karte, updates, usb-stick, versteckt sich, warum, windows, windows xp



Ähnliche Themen: Verdacht auf Neubefall nach Neuinstallation!


  1. Soundprobleme nach Neuinstallation
    Alles rund um Windows - 14.01.2014 (11)
  2. Nach Telekom ABUSE Brief - PC mit DUAL OS unter Verdacht, Vista sehr auffällig nach genauerer Betrachtung
    Log-Analyse und Auswertung - 08.10.2013 (21)
  3. Plagegeister nach Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 07.07.2013 (28)
  4. Funde nach Neuinstallation von Win 7?
    Log-Analyse und Auswertung - 07.10.2012 (4)
  5. SUPERAntiSpyware nach Neuinstallation.
    Log-Analyse und Auswertung - 30.07.2012 (1)
  6. Nach Neuinstallation Fehler bei Win XP
    Alles rund um Windows - 01.07.2012 (8)
  7. MBR Check nach Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 13.01.2012 (9)
  8. Fehlermeldung nach Neuinstallation
    Alles rund um Windows - 01.07.2011 (8)
  9. Win XP - Probleme nach Neuinstallation
    Alles rund um Windows - 11.09.2010 (9)
  10. Einstellungen nach Neuinstallation
    Alles rund um Windows - 04.11.2009 (10)
  11. Log-File nach Neuinstallation
    Log-Analyse und Auswertung - 19.06.2009 (1)
  12. 1.HJT-Log nach XP-Neuinstallation
    Log-Analyse und Auswertung - 20.05.2009 (5)
  13. neuorganisation nach neuinstallation
    Alles rund um Windows - 01.12.2008 (39)
  14. Nachprüfung nach Neuinstallation
    Log-Analyse und Auswertung - 28.09.2008 (2)
  15. Probleme bei XP nach Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 16.02.2006 (7)
  16. nach Neuinstallation
    Alles rund um Windows - 10.07.2005 (6)
  17. Monitorproblem nach Neuinstallation
    Netzwerk und Hardware - 17.12.2004 (4)

Zum Thema Verdacht auf Neubefall nach Neuinstallation! - Hallo an alle, nach diesem Vorfall hier habe ich trotzdem mein System Neu Aufgesetzt, und als ich den Rechner heute hochfuhr habe ich eine mir unbekannte Aktivität festgestellt. Zum Vorfall: - Verdacht auf Neubefall nach Neuinstallation!...
Archiv
Du betrachtest: Verdacht auf Neubefall nach Neuinstallation! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.