Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.Poison.ajns

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.07.2009, 20:11   #1
eelaa
 
Backdoor.Win32.Poison.ajns - Standard

Backdoor.Win32.Poison.ajns



Liebe Kompetenzler,

ich habe seit einigen Tagen das Problem, dass Mozilla ständig abstürzt, das selbe passiert mit dem IE - bzw. abstürzen ist das falsche Wort - die Internetverbindung steht, aber die Browser sind dann plötzlich zeitweise offline und finden die angewählten Server nicht.

Ich pflege meinen PC extremst! Halte regelmäßig alles aktuell mit Secunia OSI. Surfe nur in Sandbox, benutze regelmässig CCleaner, Malwarebytes und SUPERAntiSpyware sowie diverse Online-Scanner. Ich verwende auch zeitweise Knoppicillin und F-Secure-Boot-CD. ALLES war bisher immer sauber in den letzten Monaten.

Mein Kaspersky meldete am 15.07.09 diesen Backdoor wie in der Überschrift genannt, und zwar auf dem Pfad: programme\electronic arts\die sims3\game\bin\ts3.exe. Hier handelt es sich allerdings um ein mir bekanntes Programm und zwar "Sims 3" (im Handel als CD gekauft).
Bis dato hatte ich den dazugehörigen Downloadmanager nie benutzt (erschien mir suspekt), machte aber an diesem Tag ein Update über diesen, da die Spiel-CD-Anwendung komischerweise plötzlich beschädigt war.
Durch googeln glaubte ich mich auf der sicheren Seite, da es evtl. ein false positive sein könnte. Was meint Ihr dazu? Habt Ihr davon schon was gehört? Kaspersky hat es angeblich auch desinfiziert, aber so ein richtiger Backdoor wäre ja resistent gegen alles oder?

Also Fazit:
Ich weiß, man soll das nicht tun, aber es wäre nicht das erste Mal. Also jedenfalls - ich habe Combofix runtergeladen (ging übrigens partout nicht über bleepingcomputer! habs dann von forospyware geholt).
Tatsächlich hat Combofix einige Dateien gefunden und gelöscht. Nun würde ich mich freuen, wenn jemand mal das Log anschauen könnte, ob hier noch ein Skript notwendig wäre....

Code:
ATTFilter
ComboFix 09-07-28.01 - *** 28.07.2009 19:58.4.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.894.592 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\14b8348.msp
c:\windows\Installer\14b8393.msp
c:\windows\Installer\16f13a.msp
c:\windows\Installer\7e6491.msp
c:\windows\Installer\907a5.msp

.
(((((((((((((((((((((((   Dateien erstellt von 2009-06-28 bis 2009-07-28  ))))))))))))))))))))))))))))))
.

2009-07-27 17:09 . 2009-07-27 17:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-15 15:22 . 2009-07-15 15:22	--------	d-----w-	c:\windows\system32\wbem\Repository
2009-07-14 11:29 . 2009-07-14 11:29	3775176	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-28 18:05 . 2008-10-19 08:25	852000	--sha-w-	c:\windows\system32\drivers\fidbox2.dat
2009-07-28 18:05 . 2008-10-19 08:25	3992	--sha-w-	c:\windows\system32\drivers\fidbox2.idx
2009-07-28 18:05 . 2008-10-19 08:25	3781152	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2009-07-28 18:05 . 2008-10-19 08:25	30620	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2009-07-28 11:57 . 2008-10-19 08:25	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-27 17:18 . 2008-12-20 15:49	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2009-07-21 08:23 . 2006-01-21 15:48	9582	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\wklnhst.dat
2009-07-15 15:57 . 2008-01-29 16:29	33808	----a-w-	c:\windows\system32\drivers\klbg.sys
2009-07-15 15:57 . 2008-10-19 08:26	94643	----a-w-	c:\windows\system32\drivers\klick.dat
2009-07-15 15:57 . 2008-10-19 08:26	105395	----a-w-	c:\windows\system32\drivers\klin.dat
2009-07-15 15:57 . 2009-02-05 16:03	33808	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\klbg.sys
2009-07-15 15:57 . 2008-10-19 08:51	213520	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\XP\klif.sys
2009-07-15 15:57 . 2008-10-19 08:51	861448	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\updater.dll
2009-07-15 09:24 . 2008-09-12 15:48	--------	d-----w-	c:\programme\Windows Live Safety Center
2009-07-14 11:42 . 2009-03-22 09:27	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-07-13 18:17 . 2009-06-01 10:58	117760	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-07-13 11:36 . 2009-06-28 14:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-06-28 12:35 . 2008-09-27 19:05	44440	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-17 09:27 . 2009-06-28 14:37	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-16 14:36 . 2004-08-04 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2004-08-04 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-14 11:30 . 2009-06-14 11:28	--------	d-----w-	c:\programme\QuickTime
2009-06-14 11:28 . 2009-06-14 11:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-06-14 11:27 . 2009-06-14 11:27	--------	d-----w-	c:\programme\Apple Software Update
2009-06-14 11:27 . 2009-06-14 11:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-06-07 16:24 . 2005-11-25 09:26	96492	----a-w-	c:\windows\system32\perfc007.dat
2009-06-07 16:24 . 2005-11-25 09:26	485730	----a-w-	c:\windows\system32\perfh007.dat
2009-06-05 17:09 . 2009-06-05 17:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-06-05 17:07 . 2009-06-05 16:44	--------	d-----w-	c:\programme\Electronic Arts
2009-06-05 17:04 . 2009-06-05 17:04	10134	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-06-05 17:04 . 2009-06-05 17:04	--------	d-----w-	c:\programme\Microsoft WSE
2009-06-05 16:44 . 2005-11-25 17:33	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-06-05 16:39 . 2009-04-05 16:02	--------	d-----w-	c:\programme\Maxis
2009-06-03 19:09 . 2004-08-04 12:00	1296896	----a-w-	c:\windows\system32\quartz.dll
2009-06-03 19:08 . 2006-03-12 12:19	1340	-c--a-w-	c:\windows\eReg.dat
2009-06-01 10:56 . 2009-04-18 12:50	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-06-01 10:56 . 2008-10-22 12:32	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-06-01 10:55 . 2006-02-13 16:28	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-31 10:46 . 2008-11-01 10:27	--------	d-----w-	c:\programme\a-squared Free
2009-05-30 13:16 . 2009-05-30 12:39	--------	d-----w-	c:\programme\Yahoo!
2009-05-30 12:39 . 2009-05-30 12:39	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Yahoo!
2009-05-07 15:32 . 2004-08-04 12:00	348160	----a-w-	c:\windows\system32\localspl.dll
2009-07-15 21:31 . 2008-12-15 17:20	137208	----a-w-	c:\programme\mozilla firefox\components\brwsrcmp.dll
.

------- Sigcheck -------

[-] 2008-11-06 18:43	24064	C3A2915C71AE6F225EB906C25CCD29B5	c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-11-06 18:43	24064	C3A2915C71AE6F225EB906C25CCD29B5	c:\windows\system32\ctfmon.exe

.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"PCSuiteTrayApplication"=c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"PowerManager"=c:\programme\Power Manager\PM.exe
"SandboxieControl"="c:\programme\Sandboxie\SbieCtrl.exe"
"ATIPTA"=REM "c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"RTHDCPL"=REM RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SMSERIAL"=sm56hlpr.exe
"SunJavaUpdateSched"=REM "c:\programme\Java\jre6\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\UMTS USB Modem Manager\\UMTS USB Modem Manager.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [28.12.2008 11:34 28544]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [26.05.2009 10:05 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [26.05.2009 10:05 72944]
R3 EKBfltr;ENE Keyboard Controller;c:\windows\system32\drivers\EKBfltr.sys [25.11.2005 11:33 5504]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 19:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [25.03.2008 20:07 24592]
R3 SbieDrv;SbieDrv;c:\programme\Sandboxie\SbieDrv.sys [05.01.2009 16:39 103936]
S2 spupdsvc;Windows Service Pack Installer update service;c:\windows\system32\spupdsvc.exe [25.11.2005 19:08 26144]
S3 fixustor;fixustor;c:\windows\system32\drivers\fixustor.sys [25.11.2005 19:33 9216]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [26.05.2009 10:05 7408]
S4 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\c:\dokume~1\KUBILA~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys --> c:\dokume~1\KUBILA~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2009-07-28 c:\windows\Tasks\User_Feed_Synchronization-{17B8DB1A-542D-4B1A-AA60-13250967D7F2}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 16:36]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = about:blank
IE: &ICQ Toolbar Search
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\gv36p0rm.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.***.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "***s://www.google.com/loc/json");
.

**************************************************************************

creating catchme.sys error: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, ***://www.gmer.net
Rootkit scan 2009-07-28 20:09
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3762956348-2271885587-451582532-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(448)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'explorer.exe'(5932)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\logishrd\LVMVFM\LVPrcSrv.exe
c:\programme\Sandboxie\SbieSvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-28 20:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-07-28 18:13
ComboFix2.txt  2009-05-30 14:08

Vor Suchlauf: 29 Verzeichnis(se), 46.430.982.144 Bytes frei
Nach Suchlauf: 29 Verzeichnis(se), 46.406.701.056 Bytes frei

229	--- E O F ---	2009-07-15 15:39
         
Das Malwarebytes-Log spare ich mir, da es wirklich sauber ist!

Hier ist noch ein Log von HijackThis nach dem Combofix-Scan (sieht genauso aus wie immer, ich kenn es schon auswendig)

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:25:13, on 28.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sandboxie\SandboxieRpcSs.exe
C:\Programme\Sandboxie\SandboxieDcomLaunch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C93FD3-FEE9-46C4-A1DE-ADAAEA925764}: NameServer = 212.23.97.2 212.23.97.3
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 4441 bytes
         

Mozilla funktioniert jetzt scheinbar wieder. Das Problem scheint behoben, jedoch wie gesagt, vielleicht muss man aufgrund des Combofix-Logs noch irgendwelche Scripts eingeben? Oder gar neu aufsetzen, worauf ich absolut nicht scharf bin.
Dazu bräuchte ich dringend die Hilfe einer Eurer Kompetenzler und wäre hierfür sehr dankbar.

Bitte sollte ich einen formalen Fehler begangen haben, bitte nicht mein Thema rauswerfen, ich weiß, Ihr seid hier sehr streng diesbezüglich...

Ganz lieben Dank im voraus!

eelaa

Alt 28.07.2009, 20:20   #2
eelaa
 
Backdoor.Win32.Poison.ajns - Standard

Backdoor.Win32.Poison.ajns



Editieren ging irgendwie nicht:

Ich habe Windows XP, SP 3 und Kaspersky Internet Security.

Ach und die Browser stürzen DOCH leider wieder ab!
Vielleicht könnte auch das Modem defekt sein...?

Gruß und danke, eelaa
__________________


Antwort

Themen zu Backdoor.Win32.Poison.ajns
abstürzen, avp, backdoor, bho, browser, combofix, components, desktop, dringend, error, fehler, firefox, hijack, hijackthis, home, internet security, jusched.exe, kaspersky, laufende prozesse, logon.exe, malwarebytes' anti-malware, mmc.exe, mozilla, neu aufsetzen, origin, problem, prozess, richtlinie, secunia, security, server, software, solution, suchlauf, suspekt, system, windows, windows xp, windows\temp



Ähnliche Themen: Backdoor.Win32.Poison.ajns


  1. Backdoor:Win32/poison.E
    Plagegeister aller Art und deren Bekämpfung - 03.01.2015 (10)
  2. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  3. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  4. Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph
    Log-Analyse und Auswertung - 10.07.2012 (28)
  5. Backdoor:Win32/Cbot.B - Trojan:Win32/FakeSysdef
    Log-Analyse und Auswertung - 04.05.2011 (32)
  6. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  7. Backdoor:Win32/IRCbot.gen!M und Win32/Oficla.V
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (1)
  8. Backdoor via Antivir entdeckt: BDS.Poison.ifn
    Log-Analyse und Auswertung - 31.05.2010 (19)
  9. verseuchte .exe ausgeführt (poison.backdoor)
    Log-Analyse und Auswertung - 10.03.2010 (5)
  10. BDS/Poison.awur
    Plagegeister aller Art und deren Bekämpfung - 07.12.2009 (0)
  11. Backdoor.Win32.Rbot!IK und Win32.SuspectCrc!IK 1
    Plagegeister aller Art und deren Bekämpfung - 14.07.2009 (4)
  12. Backdoor.Win32.Agent.tpi und Packed.Win32.Black.a
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (4)
  13. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  14. BDS/Poison.ktr
    Plagegeister aller Art und deren Bekämpfung - 19.10.2008 (20)
  15. BDS/Poison.ktr
    Mülltonne - 09.10.2008 (0)
  16. Poison Ivy befallen
    Mülltonne - 17.07.2008 (1)
  17. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)

Zum Thema Backdoor.Win32.Poison.ajns - Liebe Kompetenzler, ich habe seit einigen Tagen das Problem, dass Mozilla ständig abstürzt, das selbe passiert mit dem IE - bzw. abstürzen ist das falsche Wort - die Internetverbindung steht, - Backdoor.Win32.Poison.ajns...
Archiv
Du betrachtest: Backdoor.Win32.Poison.ajns auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.