| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Irgendwas blockt Anti-Spyware-Seiten und kompromittiert CombofixWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.10.2009, 18:13
| #1 |
| |  Irgendwas blockt Anti-Spyware-Seiten und kompromittiert Combofix Hallo allerseits, vielleicht kann mir hier jemand helfen. Bei dem befallenen System handelt es sich um ein Samsung Netbook mit XP Home, bei dem man leider immer mit Administrator-Rechten arbeiten arbeiten muß, weil sonst die ganzen spezifischen Treiber von Samsung nicht richtig funktionieren. Ansonsten habe ich irgendwann mal die XP-Firewall ausgeschaltet und vergessen wieder zu aktivieren - aber das hätte sonst wahrscheinlich auch nix gebracht. Kein Virenscanner an Bord, da wird mir die Kiste zu langsam. Verbindung über W-Lan-Router zum WWW, gesurft wird mit FF. Die Kommunikation hier mache ich über einen anderen Rechner, Austausch mit dem befallenen Rechner über USB-Stick. Ein spürbares Problem entstand, nachdem ich vor einiger Zeit nach Bohrequipment - auch auf englisch - gesucht habe und unter drilling kann man scheinbar auch was anderes verstehen, jedenfalls bin ich ein paar mal auf Sex-Seiten gelandet und ich nehme an, daß ich mir da was eingefangen habe (Vermutung). Vor zwei Tagen hatte ich dann Bluescreen - SecurityTools auf der Kiste. Wollte das erstmal per Hand beseitigen, hat nicht geklappt. Dann nach Empfehlungen hier und in anderen Foren CCleaner und dann SDFix, seitdem ist Ruhe. Mußte in dieser Putzphase aber feststellen, daß ich keine Seiten mehr von Antiviren-Software aufrufen kann. Die Anfrage an den Nameserver, der in der Registry korrekt eingetragen ist (Router) schlägt fehl. Wenn man sich bei anderen Adressen vertippt, kommt eine ganz wichtige T-Online-Navigationshilfe-Seite, bei z.B. virustotal.de nur noch, daß die Seite nicht gefunden werden konnte. Habe dann mal weitere Putzversuche unternommen, Hosts-Datei zurückgesetzt und wollte dann entsprechend einem ähnlichen Thema hier ComboFix putzen lassen. Wenn ich das versuche - auch bei geändertem Namen, teilt mir Combofix mit, die Datei sei kompromittert und beendet sich. Denke, ich habe die A***karte gezogen. Das Netbook benutzt jetzt jemand anderes? Ein Neuaufsetzen möchte ich möglichst vermeiden, denn ich befürchte, das klappt nicht so ohne weiteres wegen den vielen spezifischen Treibern von Samsung. Wenn dann was schief geht kann ich das Ding aus dem Fenster werden. Hier mal das was HJT ausspuckt: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:43:11, on 24.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Samsung\Samsung EDS\EDSAgent.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe C:\Programme\DesktopEarth\DesktopEarth.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe C:\WINDOWS\system32\igfxext.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32\rundll32.exe bih.dll,InitGauge O4 - HKLM\..\Run: [SUPBackGround] C:\Programme\Samsung\Samsung Update Plus\SUPBackGround.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: DesktopEarth AutoStart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{3D6E9511-E3F2-4484-89C2-4E6E7AD5F57C}: NameServer = 192.168.128.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{A8CF9F79-C179-496B-A700-0D16472CB7F8}: NameServer = 192.168.128.1 O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (file missing) O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing) O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing) -- End of file - 4505 bytes |
| Themen zu Irgendwas blockt Anti-Spyware-Seiten und kompromittiert Combofix |
| adobe, anti-spyware-seiten geblockt, aufrufe, bho, bluescree, bluescreen, combofix, explorer, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, home, hosts-datei, internet, internet explorer, karte, kis, kompromittiert, logfile, mozilla, nicht gefunden, problem, registry, rundll, scan, security, system, virus, windows, windows xp |
Baum-Darstellung