Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Win32.Banker.fgv von Spybot gelöscht und permamenter Upload

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.09.2010, 06:40   #1
caelo77
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



Hallo liebe Helfer,

vorgestern fand SpyBot S&D bei mir einen Trojaner, nämlich Win32.Banker.fgv und war augenscheinlich auch in der Lage, diesen zu löschen bzw. in Quarantäne zu verschieben. Logfile folgt weiter unten.

Nachdem Spybot den Trojaner verschoben hatte, fand ihn dann auch Antivir(im Quarantäne-Verzeichnis von Spybot), allerdings nur mittels Heuristik - vorher nicht.

Ich beobachte weiter eine deutliche Zunahme der Upload-Aktivität an meinem Rechner. tcpview zeigt mir recht viele [System Process]-Verbindungen an, die ich nicht näher spezifizieren kann.

Ich poste mal die gewünschten Logfiles und hoffe, jemand kann mir weiterhelfen hinsichtlich bestehendem "Befall" meines Rechners. Das Spybot-Logfile poste ich hier als Code, den Rest (MBAM, OTL und HiJackThis) muss ich aufgrund der Länge leider als zip-datei anhängen.

Vielen lieben Dank im voraus!

Auszug aus dem Spybot-Logfile:

Code:
ATTFilter
Win32.Banker.fgv: [SBI $ECF63A22]  Ausführbare Datei (Datei, nothing done)
  C:\WINDOWS\system32\404Fix.exe
  Properties.size=82432
  Properties.md5=61FD593673225697D091DE2DDD2E9E47
  Properties.filedate=1219054743
  Properties.filedatetext=2008-08-18 12:19:03

Win32.Banker.fgv: [SBI $97D67C3B]  Ausführbare Datei (Datei, nothing done)
  C:\WINDOWS\system32\AntiXPVSTFix.exe
  Properties.size=88576
  Properties.md5=BF1BBF73F1006530CC388A84122F1902
  Properties.filedate=1220909935
  Properties.filedatetext=2008-09-08 23:38:55

Win32.Banker.fgv: [SBI $97D67C3B]  Ausführbare Datei (Datei, nothing done)
  C:\WINDOWS\system32\o4Patch.exe
  Properties.size=82944
  Properties.md5=2A25B45BAA438F1017656E1DB838E6F1
  Properties.filedate=1223621888
  Properties.filedatetext=2008-10-10 08:58:08

Win32.Banker.fgv: [SBI $97D67C3B]  Ausführbare Datei (Datei, nothing done)
  C:\WINDOWS\system32\IEDFix.exe
  Properties.size=82944
  Properties.md5=799A9EA3FFB220780AE3D3C11B08D067
  Properties.filedate=1211139635
  Properties.filedatetext=2008-05-18 21:40:35

Win32.Banker.fgv: [SBI $97D67C3B]  Ausführbare Datei (Datei, nothing done)
  C:\WINDOWS\system32\IEDFix.C.exe
  Properties.size=82944
  Properties.md5=2A25B45BAA438F1017656E1DB838E6F1
  Properties.filedate=1223621888
  Properties.filedatetext=2008-10-10 08:58:08

Win32.Banker.fgv: [SBI $97D67C3B]  Ausführbare Datei (Datei, nothing done)
  C:\WINDOWS\system32\VACFix.exe
  Properties.size=87552
  Properties.md5=81BC780E5FD520838C6A417840127635
  Properties.filedate=1222869100
  Properties.filedatetext=2008-10-01 15:51:40
         

Alt 15.09.2010, 09:51   #2
markusg
/// Malware-holic
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________


Alt 15.09.2010, 21:18   #3
caelo77
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



Hier ist das gewünschte combofix-log - natürlich ebenfalls anonymisiert und ohne http-links.

Die Meldung, dass Threatfire noch aktiv ist, MUSS falsch sein. Threatfire wurde schon vor langer Zeit deinstalliert.

Code:
ATTFilter
ComboFix 10-09-14.05 - *** 15.09.10  22:00:34.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1415 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
AV: ThreatFire *On-access scanning enabled* (Updated) {67B2B9A1-25C8-4057-962D-807958FFC9E3}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\dumphive.exe
c:\windows\system32\Process.exe
c:\windows\system32\RFHelper.dll
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-08-15 bis 2010-09-15  ))))))))))))))))))))))))))))))
.

2010-09-14 22:04 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-14 22:04 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-14 21:37 . 2010-09-14 21:37	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Wireshark
2010-09-14 21:35 . 2010-09-14 21:36	--------	d-----w-	c:\programme\WinPcap
2010-09-13 05:44 . 2010-09-13 05:45	--------	d-----w-	c:\programme\trend micro
2010-09-13 05:44 . 2010-09-13 05:45	--------	d-----w-	C:\rsit
2010-09-12 19:21 . 2010-09-12 19:21	--------	d-----w-	c:\programme\File Scanner Library (Spybot - Search & Destroy)
2010-09-12 19:21 . 2010-09-12 19:21	--------	d-----w-	c:\programme\TeaTimer (Spybot - Search & Destroy)
2010-09-12 19:21 . 2010-09-12 19:21	--------	d-----w-	c:\programme\SDHelper (Spybot - Search & Destroy)
2010-09-12 19:21 . 2010-09-12 19:21	--------	d-----w-	c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2010-09-10 12:42 . 1997-09-04 06:37	251664	----a-w-	c:\windows\system32\Msrd2x35.dll
2010-09-10 12:42 . 1999-03-23 23:06	1046288	------w-	c:\windows\system32\msjet35.dll
2010-09-10 12:42 . 1997-01-12 22:00	37136	----a-w-	c:\windows\system32\MSJINT35.DLL
2010-09-10 12:42 . 1996-12-02 16:44	24336	----a-w-	c:\windows\system32\MSJTER35.DLL
2010-09-09 14:56 . 2009-12-09 15:31	20992	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\pd3uphpl.default\extensions\{de1b245c-de57-11da-ba2d-0050c2490048}\library\WINNT-32\MinimizeToTrayPlus.dll
2010-09-05 21:17 . 2010-09-05 21:17	53248	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2010-09-05 21:17 . 2010-09-15 19:51	--------	d-----w-	c:\windows\system32\logishrd
2010-09-05 21:15 . 2010-09-05 21:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2010-09-05 21:15 . 2010-09-05 21:15	--------	d-----w-	c:\programme\Gemeinsame Dateien\LWS
2010-09-05 20:50 . 2010-09-05 20:50	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\QuteCom
2010-09-05 10:14 . 2010-09-05 10:14	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2010-09-05 10:14 . 2010-09-13 16:30	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2010-09-05 10:12 . 2010-09-13 16:33	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2010-09-05 10:12 . 2010-09-05 10:12	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2010-09-05 10:12 . 2010-09-12 19:09	--------	d-----r-	c:\programme\Skype
2010-09-05 10:12 . 2010-09-05 10:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-08-31 09:27 . 2010-08-31 09:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2010-08-31 09:27 . 2010-08-31 09:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir
2010-08-17 13:17 . 2010-08-17 13:17	58880	------w-	c:\windows\system32\dllcache\spoolsv.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-15 19:51 . 2010-04-01 19:06	0	----a-w-	c:\windows\system32\drivers\lvuvc.hs
2010-09-15 19:50 . 2010-04-01 19:06	0	----a-w-	c:\windows\system32\drivers\logiflt.iad
2010-09-15 19:32 . 2008-10-04 10:29	219	----a-w-	c:\windows\system32\KYGA.dat
2010-09-15 19:31 . 2008-12-13 11:36	50	----a-w-	c:\windows\system32KYGA.dat
2010-09-15 14:51 . 2007-03-16 16:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-09-15 09:44 . 2009-01-17 11:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\STAMPIT
2010-09-14 16:55 . 2008-09-28 06:17	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\lyx16
2010-09-14 16:52 . 2007-01-24 16:44	56000	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Aspell\Dictionaries\Uninstall-AspellDict-en.exe
2010-09-14 16:52 . 2007-01-24 16:44	55764	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Aspell\Dictionaries\Uninstall-AspellDict-de.exe
2010-09-14 16:51 . 2007-01-24 16:36	61966	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Aspell\Uninstall-AspellData.exe
2010-09-14 16:38 . 2008-08-29 12:29	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\ALFBanCo3
2010-09-14 16:38 . 2008-08-29 12:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AlfBanCo3
2010-09-14 03:57 . 2006-07-27 22:59	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\XnView
2010-09-12 19:26 . 2007-01-04 15:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-12 19:11 . 2010-06-24 20:03	--------	d--h--w-	c:\programme\InstallJammer Registry
2010-09-07 21:35 . 2008-07-28 09:07	168864	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ihag2zu5.default\FlashGot.exe
2010-09-05 21:21 . 2010-04-01 19:01	--------	d-----w-	c:\programme\Gemeinsame Dateien\LogiShrd
2010-09-05 21:15 . 2007-07-19 20:38	--------	d-----w-	c:\programme\Common Files
2010-09-05 18:58 . 2006-02-28 12:00	84318	----a-w-	c:\windows\system32\perfc007.dat
2010-09-05 18:58 . 2006-02-28 12:00	458476	----a-w-	c:\windows\system32\perfh007.dat
2010-09-04 09:57 . 2010-03-20 10:57	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-08-28 10:58 . 2008-10-12 16:10	1	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-25 19:28 . 2008-06-01 10:39	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\BOM
2010-08-17 13:17 . 2006-02-28 12:00	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-12 12:34 . 2007-12-25 12:57	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla
2010-08-09 14:26 . 2008-03-22 23:12	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-08-09 13:43 . 2006-12-15 20:41	--------	d-----w-	c:\programme\Java
2010-08-06 12:57 . 2010-08-06 12:57	503808	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-11c82513-n\msvcp71.dll
2010-08-06 12:57 . 2010-08-06 12:57	499712	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-11c82513-n\jmc.dll
2010-08-06 12:57 . 2010-08-06 12:57	348160	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-11c82513-n\msvcr71.dll
2010-08-06 12:57 . 2010-08-06 12:57	61440	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-311ae204-n\decora-sse.dll
2010-08-06 12:57 . 2010-08-06 12:57	12800	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-311ae204-n\decora-d3d.dll
2010-08-05 12:08 . 2010-08-05 12:08	111312	----a-w-	c:\windows\system32\drivers\VBoxNetFlt.sys
2010-08-05 12:08 . 2010-08-05 12:08	100496	----a-w-	c:\windows\system32\drivers\VBoxNetAdp.sys
2010-08-05 12:08 . 2009-01-03 16:31	41936	----a-w-	c:\windows\system32\drivers\VBoxUSBMon.sys
2010-08-05 12:08 . 2010-08-05 12:08	133648	----a-w-	c:\windows\system32\VBoxNetFltNotify.dll
2010-08-05 12:08 . 2009-01-03 16:31	143184	----a-w-	c:\windows\system32\drivers\VBoxDrv.sys
2010-08-04 14:06 . 2010-08-04 14:06	6884	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AAV\SSE\15\UpdateFiles\SSEStandard_Patch_15.12.bat
2010-08-01 19:39 . 2006-07-27 21:28	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-07-27 06:14 . 2010-04-01 19:06	6842464	----a-w-	c:\windows\system32\drivers\lvuvc.sys
2010-07-27 06:14 . 2010-04-01 19:06	539232	----a-w-	c:\windows\system32\LVUI2RC.dll
2010-07-27 06:14 . 2010-04-01 19:06	543328	----a-w-	c:\windows\system32\LVUI2.dll
2010-07-27 06:08 . 2010-07-27 06:08	203360	----a-w-	c:\windows\system32\lvci1311021.dll
2010-07-27 06:07 . 2010-04-01 19:06	416352	----a-w-	c:\windows\system32\lvcodec2.dll
2010-07-27 06:03 . 2010-07-27 06:03	10829656	----a-w-	c:\windows\system32\LogiDPP.dll
2010-07-27 06:03 . 2010-07-27 06:03	102744	----a-w-	c:\windows\system32\LogiDPPApp.exe
2010-07-27 06:03 . 2010-07-27 06:03	290648	----a-w-	c:\windows\system32\DevManagerCore.dll
2010-07-27 05:56 . 2010-04-01 19:06	266828	----a-w-	c:\windows\system32\drivers\LVAFT.cfg
2010-07-22 15:48 . 2006-02-28 12:00	590848	----a-w-	c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-06-09 12:44	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-16 14:03 . 2010-07-16 14:03	79488	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_20\gtapi.dll
2010-07-16 14:03 . 2010-07-16 14:03	152576	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_20\lzma.dll
2010-06-30 12:28 . 2006-02-28 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-25 17:07 . 2010-06-25 17:07	281104	----a-w-	c:\windows\system32\wpcap.dll
2010-06-25 17:07 . 2010-06-25 17:07	100880	----a-w-	c:\windows\system32\Packet.dll
2010-06-25 17:07 . 2010-06-25 17:07	35088	----a-w-	c:\windows\system32\drivers\npf.sys
2010-06-25 17:03 . 2010-06-25 17:03	53299	----a-w-	c:\windows\system32\pthreadVC.dll
2010-06-24 12:22 . 2006-02-28 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2007-04-04 09:36	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2006-02-28 12:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-18 17:44 . 2006-02-28 12:00	293888	----a-w-	c:\windows\system32\winsrv.dll
2008-04-14 02:22 . 2008-10-04 23:13	60416	--sha-w-	c:\windows\BricoPacks\SysFiles\80_msimn.exe
2008-04-17 18:24 . 2008-04-12 21:36	88	--sh--r-	c:\windows\system32\CC61E7D123.sys
2008-07-20 19:21 . 2008-04-12 21:33	3766	--sha-w-	c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

[-] 2008-04-14 . BB8E0AE6833A774F4792CB8892CA92E6 . 979456 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . BB8E0AE6833A774F4792CB8892CA92E6 . 979456 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2007-06-13 . 64D320C0E301EEDC5A4ADBBDC5024F7F . 1036288 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe
[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[-] 2006-02-28 . 0BF8DDF539EBB834C554091CC3385276 . 1884160 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SugarSyncBackedUp]
@="{0C4A258A-3F3B-4FFF-80A7-9B3BEC139472}"
[HKEY_CLASSES_ROOT\CLSID\{0C4A258A-3F3B-4FFF-80A7-9B3BEC139472}]
2010-05-29 12:45	151552	----a-w-	e:\sugarsync\SugarSyncShellExt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SugarSyncPending]
@="{62CCD8E3-9C21-41E1-B55E-1E26DFC68511}"
[HKEY_CLASSES_ROOT\CLSID\{62CCD8E3-9C21-41E1-B55E-1E26DFC68511}]
2010-05-29 12:45	151552	----a-w-	e:\sugarsync\SugarSyncShellExt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SugarSyncRoot]
@="{A759AFF6-5851-457D-A540-F4ECED148351}"
[HKEY_CLASSES_ROOT\CLSID\{A759AFF6-5851-457D-A540-F4ECED148351}]
2010-05-29 12:45	151552	----a-w-	e:\sugarsync\SugarSyncShellExt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SugarSyncShared]
@="{1574C9EF-7D58-488F-B358-8B78C1538F51}"
[HKEY_CLASSES_ROOT\CLSID\{1574C9EF-7D58-488F-B358-8B78C1538F51}]
2010-05-29 12:45	151552	----a-w-	e:\sugarsync\SugarSyncShellExt.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SugarSync"="e:\sugarsync\SugarSyncManager.exe" [2010-05-29 13705216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DPAgnt"="e:\digitalpersona\Bin\DPAgnt.exe" [2006-10-09 807440]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"MsgCenterExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" [2008-04-21 69632]
"PaperPort PTD"="e:\paperport\pptd40nt.exe" [2004-06-25 57393]
"IndexSearch"="e:\paperport\IndexSearch.exe" [2004-06-25 40960]
"WinFast Schedule"="e:\winfast\WFTVFM\WFWIZ.exe" [2005-03-02 278528]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"avgnt"="e:\avira\AntiVir Desktop\avgnt.exe" [2010-03-24 282792]
"QuickTime Task"="e:\quicktime\qttask.exe" [2009-09-04 417792]
"iTunesHelper"="e:\itunes\iTunesHelper.exe" [2009-09-21 305440]
"WebDriveTray"="e:\netdrive\netdrive.exe" [2003-04-14 294912]
"Adobe Reader Speed Launcher"="e:\adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"D-Link AirPlus G DWL-G510"="e:\d-link\AirPlus G DWL-G510\AirGCFG.exe" [2008-10-21 1556480]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"LWS"="e:\logitech\LWS\Webcam Software\LWS.exe" [2010-05-07 165208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Logitech . Produktregistrierung.lnk - e:\logitech\Ereg\eReg.exe [2009-11-16 517384]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Logitech . Produktregistrierung.lnk - e:\logitech\Ereg\eReg.exe [2009-11-16 517384]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Logitech . Produktregistrierung.lnk - e:\logitech\Ereg\eReg.exe [2009-11-16 517384]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
NDAS Device Management.lnk - c:\programme\NDAS\System\ndasmgmt.exe [2007-4-11 236784]
USB Sharing.lnk - e:\usb-sharing\usbshare.exe [2006-12-27 139264]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Logitech . Produktregistrierung.lnk - e:\logitech\Ereg\eReg.exe [2009-11-16 517384]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DPWLN  ]
2006-10-09 15:27	99856	----a-w-	c:\windows\system32\DPWLEvHd.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli DPPWDFLT

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Y'z ToolBar.lnk]
backup=c:\windows\pss\Y'z ToolBar.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Miranda ME

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"e:\\Active Sync\\wcescomm.exe"=
"e:\\Active Sync\\WCESMgr.exe"=
"e:\\eclipse\\eclipse.exe"=
"e:\\Openwave\\UPSDK411\\upsim411.exe"=
"e:\active sync\rapimgr.exe"= e:\active sync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"e:\\Mozilla Firefox 3 Beta 3\\firefox.exe"=
"e:\\Realplayer\\realplay.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"e:\\yWorks\\yEd\\yEd.exe"=
"e:\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"e:\\Java\\jdk1.6.0_05\\jre\\bin\\java.exe"=
"e:\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\iTunes\\iTunes.exe"=
"e:\\Opera\\opera.exe"=
"e:\\Trillian\\trillian.exe"=
"e:\\Java\\jdk1.5.0_08\\jre\\bin\\java.exe"=
"c:\\Dokumente und Einstellungen\\***\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"e:\\Logitech\\Logitech Vid\\Vid.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"12001:UDP"= 12001:UDP:SMART WebServer Handshake Multicast Port

R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [03.01.09 18:31 143184]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [03.01.09 18:31 41936]
R2 AAV UpdateService;AAV UpdateService;e:\akademische arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.08 17:35 128296]
R2 AntiVirMailService;Avira AntiVir MailGuard;e:\avira\AntiVir Desktop\avmailc.exe [14.10.09 13:35 337064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\avira\AntiVir Desktop\sched.exe [14.10.09 13:35 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;e:\avira\AntiVir Desktop\avwebgrd.exe [14.10.09 13:35 405672]
R2 kqemu;kqemu driver;c:\windows\system32\drivers\kqemu.sys [06.02.07 23:02 123939]
R2 WebDriveFSD;WebDrive File System Driver;e:\netdrive\rffsd.sys [20.11.09 12:01 67032]
R2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;c:\windows\system32\drivers\wf88vcap.sys [12.02.07 18:55 208851]
R2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;c:\windows\system32\drivers\WF88XBAR.sys [12.02.07 18:55 10324]
R2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;c:\windows\system32\drivers\wf88tune.sys [12.02.07 18:55 34789]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [28.07.06 00:09 37568]
R3 dpK0Bx01;Fingerprint Reader Upper-Treiber;c:\windows\system32\drivers\dpK0Bx01.sys [16.09.06 17:25 35584]
R3 usbdpfp;Fingerprint Reader Class-Treiber;c:\windows\system32\drivers\usbdpfp.sys [16.09.06 17:23 47360]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [05.08.10 14:08 100496]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [05.08.10 14:08 111312]
R3 WFIOCTL;WFIOCTL;e:\winfast\WFTVFM\WFIOCTL.sys [12.02.07 18:59 9446]
S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys --> c:\windows\system32\drivers\TfFsMon.sys [?]
S0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys --> c:\windows\system32\drivers\TfSysMon.sys [?]
S3 BBAKJJCYD;BBAKJJCYD;c:\dokume~1\***\LOKALE~1\Temp\BBAKJJCYD.exe --> c:\dokume~1\***\LOKALE~1\Temp\BBAKJJCYD.exe [?]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [28.07.06 00:09 444416]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [25.06.10 19:07 35088]
S3 rtl8180;IEEE 802.11b Wireless Cardbus/PCI Adapter;c:\windows\system32\drivers\rtl8180.sys [27.07.06 23:44 158848]
S3 TfNetMon;TfNetMon;\??\c:\windows\system32\drivers\TfNetMon.sys --> c:\windows\system32\drivers\TfNetMon.sys [?]
S3 zlportio;zlportio;\??\e:\ultrastardeluxe\zlportio.sys --> e:\ultrastardeluxe\zlportio.sys [?]
S4 RFNP32;WebDrive Provider; [x]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &NeoTrace It! - e:\neotra~1\NTXcontext.htm
IE: E&xport to Microsoft Excel - e:\micros~1\Office12\EXCEL.EXE/3000
LSP: e:\avira\AntiVir Desktop\avsda.dll
TCP: {84AC4234-C657-4488-9C90-E52A49533F09} = 192.168.1.1
TCP: {878066D4-9249-40A8-8B11-FE6450FC1079} = 217.237.148.70
TCP: {A3EDC993-03C2-4677-BA2B-711AAB73BC84} = 192.168.1.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ihag2zu5.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (English)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ihag2zu5.default\extensions\{340c2bbc-ce74-4362-90b5-7c26312808ef}\platform\WINNT_x86-msvc\components\WeaveCrypto.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: e:\adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: e:\divx\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: e:\divx\DivX Web Player\npdivx32.dll
FF - plugin: e:\itunes\Mozilla Plugins\npitunes.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\np-mswmp.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npdeployJava1.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npdivx32.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npDivxPlayerPlugin.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npnul32.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\NPOFF12.DLL
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\nppdf32.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\nppl3260.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin2.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin3.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin4.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin5.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin6.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\npqtplugin7.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\nprjplug.dll
FF - plugin: e:\mozilla firefox 3 beta 3\plugins\nprpjplug.dll
FF - plugin: e:\opera\program\plugins\npdivx32.dll
FF - plugin: e:\opera\program\plugins\npdsplay.dll
FF - plugin: e:\opera\program\plugins\NPOFF12.DLL
FF - plugin: e:\opera\program\plugins\npqtplugin.dll
FF - plugin: e:\opera\program\plugins\npqtplugin2.dll
FF - plugin: e:\opera\program\plugins\npqtplugin3.dll
FF - plugin: e:\opera\program\plugins\npqtplugin4.dll
FF - plugin: e:\opera\program\plugins\npqtplugin5.dll
FF - plugin: e:\opera\program\plugins\npqtplugin6.dll
FF - plugin: e:\opera\program\plugins\npqtplugin7.dll
FF - plugin: e:\opera\program\plugins\npwmsdrm.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin2.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin3.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin4.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin5.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin6.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin7.dll
FF - plugin: e:\realplayer\Netscape6\nppl3260.dll
FF - plugin: e:\realplayer\Netscape6\nprjplug.dll
FF - plugin: e:\realplayer\Netscape6\nprpjplug.dll
FF - plugin: e:\videolan\VLC\npvlc.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{0A94B116-4504-4e26-AB05-E61E474AA38B} - (no file)
ShellExecuteHooks-{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h*tp://www.gmer.net
Rootkit scan 2010-09-15 22:06
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1993962763-602609370-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)

[HKEY_USERS\S-1-5-21-1993962763-602609370-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4A6B8897-1A54-7683-415A-6CEE7284AAAC}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"gafefgkaamiajl"=hex:61,69,6d,63,6a,61,61,6b,6b,69,63,66,6f,69,68,66,6d,63,6d,
   65,70,6b,64,6c,65,6e,6d,6f,68,61,65,63,61,63,6e,6a,69,6e,63,65,66,69,66,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\.xaml\bootstrap]
@DACL=(02 0000)
@="bootstrap.xaml.1"

[HKEY_LOCAL_MACHINE\software\Classes\.xbap\bootstrap]
@DACL=(02 0000)
@="bootstrap.xbap.1"

[HKEY_LOCAL_MACHINE\software\Classes\.xps\bootstrap]
@DACL=(02 0000)
@="bootstrap.xps.1"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(2036)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\DPWLEvHd.dll

- - - - - - - > 'lsass.exe'(380)
c:\windows\DPPWDFLT.dll
e:\avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2010-09-15  22:09:29
ComboFix-quarantined-files.txt  2010-09-15 20:09

Vor Suchlauf: 6.640.689.152 Bytes frei
Nach Suchlauf: 6.658.793.472 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - D228B9E75CC6825B445001B2DC36BA37
         
Vielen Dank nochmals im voraus!
__________________

Alt 16.09.2010, 09:40   #4
markusg
/// Malware-holic
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



http://www.trojaner-board.de/74908-a...t-scanner.html
bitte poste einen GMER report

Alt 16.09.2010, 16:38   #5
caelo77
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



Wie gewünscht nun ein GMER-log:

Code:
ATTFilter
GMER 1.0.15.15281 - h*tp://www.gmer.net
Rootkit scan 2010-09-16 17:33:00
Windows 5.1.2600 Service Pack 3
Running: rmf26gt3.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\fxtdqpod.sys


---- System - GMER 1.0.15 ----

SSDT    F7B9CFC6                                                                                                                        ZwCreateKey
SSDT    F7B9CFBC                                                                                                                        ZwCreateThread
SSDT    F7B9CFCB                                                                                                                        ZwDeleteKey
SSDT    F7B9CFD5                                                                                                                        ZwDeleteValueKey
SSDT    F7B9CFF3                                                                                                                        ZwLoadDriver
SSDT    F7B9CFDA                                                                                                                        ZwLoadKey
SSDT    F7B9CFA8                                                                                                                        ZwOpenProcess
SSDT    F7B9CFAD                                                                                                                        ZwOpenThread
SSDT    F7B9CFE4                                                                                                                        ZwReplaceKey
SSDT    F7B9CFDF                                                                                                                        ZwRestoreKey
SSDT    F7B9CFF8                                                                                                                        ZwSetSystemInformation
SSDT    F7B9CFD0                                                                                                                        ZwSetValueKey
SSDT    F7B9CFB7                                                                                                                        ZwTerminateProcess
SSDT    F7B9CFB2                                                                                                                        ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text   C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                        section is writeable [0xF660F000, 0x1A51FA, 0xE8000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT     E:\Logitech\LWS\Webcam Software\LWS.exe[2732] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                       [00A33880] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT     E:\Logitech\LWS\Webcam Software\LWS.exe[2732] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]              [00A33930] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT     E:\Logitech\LWS\Webcam Software\LWS.exe[2732] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                            [00A33A60] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT     E:\Logitech\LWS\Webcam Software\LWS.exe[2732] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                  [00A339D0] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT     C:\WINDOWS\Explorer.EXE[3804] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                                       [00C43880] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT     C:\WINDOWS\Explorer.EXE[3804] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                              [00C43930] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT     C:\WINDOWS\Explorer.EXE[3804] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                            [00C43A60] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT     C:\WINDOWS\Explorer.EXE[3804] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                                  [00C439D0] C:\WINDOWS\system32\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Ntfs \Ntfs                                                                                                          lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)

---- Registry - GMER 1.0.15 ----

Reg     HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001583ba2552                                                     
Reg     HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001583ba2552@000d92a5590b                                        0x74 0xC5 0x2B 0x22 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001583ba2552@00265d400587                                        0x16 0xBD 0xDD 0x7A ...
Reg     HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001583ba2552 (not active ControlSet)                                 
Reg     HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001583ba2552@000d92a5590b                                            0x74 0xC5 0x2B 0x22 ...
Reg     HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001583ba2552@00265d400587                                            0x16 0xBD 0xDD 0x7A ...
Reg     HKLM\SOFTWARE\Classes\.avs@                                                                                                     avsfile
Reg     HKLM\SOFTWARE\Classes\.spf@                                                                                                     SUPER.Encode.Profile
Reg     HKLM\SOFTWARE\Classes\.xaml\bootstrap@                                                                                          bootstrap.xaml.1
Reg     HKLM\SOFTWARE\Classes\.xbap\bootstrap@                                                                                          bootstrap.xbap.1
Reg     HKLM\SOFTWARE\Classes\.xps\bootstrap@                                                                                           bootstrap.xps.1
Reg     HKLM\SOFTWARE\Classes\avsfile@                                                                                                  AviSynth Script
Reg     HKLM\SOFTWARE\Classes\avsfile\DefaultIcon                                                                                       
Reg     HKLM\SOFTWARE\Classes\avsfile\DefaultIcon@                                                                                      C:\WINDOWS\system32\AviSynth.dll,0
Reg     HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\DefaultIcon                                                                          
Reg     HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\DefaultIcon@                                                                         e:\SUPER\SUPER.exe,0
Reg     HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\Shell                                                                                
Reg     HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\Shell\Open                                                                           
Reg     HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\Shell\Open@                                                                          &Open
Reg     HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\Shell\Open\Command                                                                   
Reg     HKLM\SOFTWARE\Classes\SUPER.Encode.Profile\Shell\Open\Command@                                                                  e:\SUPER\SUPER.exe "%1"
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4A6B8897-1A54-7683-415A-6CEE7284AAAC}                 
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4A6B8897-1A54-7683-415A-6CEE7284AAAC}@gafefgkaamiajl  0x61 0x69 0x6D 0x63 ...

---- Disk sectors - GMER 1.0.15 ----

Disk    \Device\Harddisk0\DR0                                                                                                           sector 01: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 02: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 03: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 04: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 05: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 06: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 07: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 08: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 09: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 10: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 11: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 12: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 13: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 14: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 15: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 16: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 17: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 18: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 19: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 20: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 21: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 22: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 23: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 24: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 25: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 26: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 27: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 28: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 29: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 30: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 31: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 32: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 33: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 34: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 35: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 36: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 37: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 38: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 39: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 40: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 41: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 42: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 43: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 44: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 45: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 46: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 47: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 48: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 49: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 50: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 51: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 52: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 53: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 54: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 55: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 56: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 57: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 58: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 59: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 60: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 61: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 62: copy of MBR
Disk    \Device\Harddisk0\DR0                                                                                                           sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----
         
Vielen Dank!


Alt 16.09.2010, 17:02   #6
markusg
/// Malware-holic
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



machst du eig online banking oder online einkäufe? dann solltest auch über das neu aufsetzen nachdenken. ich geb dir dann tipps zum absichern

Alt 16.09.2010, 17:05   #7
caelo77
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



Ja, mache ich natürlich. Daran kommt man doch quasi nicht vorbei...

Ich denke tatsächlich über's Neu-Aufsetzen nach. Tipps wären daher in der Tat stark gewünscht.

Aber was sagen denn die Logfiles bislang aus?

Alt 16.09.2010, 17:11   #8
markusg
/// Malware-holic
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



ja dann ist neu aufsetzen das beste, und sofort die bank informieren, wenn du nen 2ten pc zur verfügung hast, sofort passwörter endern!
wenn du formatierst, wähle nicht die schnelle formatierung!
danach sofort die microsoft update seite aufrufen, servicepack3 + internet explorer 8 aufspielen.
dann weiter hiermit:
1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
Benutzerkonten in Windows XP - Teil 1: Neue Benutzerkonten anlegen
die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

Die folgenden konfigurationen als admin ausführen:
2.
dep aktivieren:
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.
3. avira:
http://www.trojaner-board.de/54192-a...tellungen.html
du hast zwar die premium, das meiste kannst du aber übernehmen.
4.
als browser den firefox nutzen:
Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe
5.
als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten für Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.

7.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
drop.io
(als pdf)
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
ab sofort also nur noch in der sandbox surfen bitte.
8. autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
10.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
so ab jetzt nur noch im standard nutzerkonto arbeiten und dort nur noch in der sandbox surfen.
klicke dazu auf "sandboxed web browser".
11. passwörter endern.
12. informiere dich bei der bank, ob auch online banking über chipcard möglich ist. ist sicherer

Alt 16.09.2010, 17:11   #9
markusg
/// Malware-holic
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



edit, doppelpost

Alt 16.09.2010, 19:07   #10
caelo77
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



Ok, vielen Dank für die Tipps. Werde meinen Rechner in der nächsten Zeit neu aufsetzen. Habe Bank informiert usw. Werde bis zum neuen System online-banking nur noch von c't bankix laufen lassen.

Aber nochmal nachgefragt:
Was sagen meine Logfiles denn nun aus?

Alt 16.09.2010, 19:16   #11
markusg
/// Malware-holic
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



auf jeden fall das du mal ne malwae im mbr hattest. du solltest deinen pc schnellst möglich formatieren und nur noch ans netz nehmen, wenn es unbedingt nötig ist, solche pcs stellen auch für andre nutzer eine gefahr da, spam versand und ähnliches. das kann dann auch ärger mit dem internet anbieter geben

Alt 16.09.2010, 19:35   #12
caelo77
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



Wie sieht es denn aus mit einem Kopieren meiner vorhandenen Daten auf eine neue Platte (nicht ausführbar - hauptsächlich Dokumente und co.)? Ungefährlich?

Sofern die Malware im MBR sitzt/saß... gehe ich recht in der Annahme, dass vond er Platte nicht mehr gebootet werden sollte, sofern eine neue Platte im System hängt? Wird der MBR beim normalen Formatieren neu geschrieben? Oder muss ich auch neu Partitionieren?

Alt 16.09.2010, 19:37   #13
markusg
/// Malware-holic
 
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Standard

Win32.Banker.fgv von Spybot gelöscht und permamenter Upload



so lange du nicht die schnelle formatierung wählst passt das.
auch daten kopieren kannst du.

Antwort

Themen zu Win32.Banker.fgv von Spybot gelöscht und permamenter Upload
antivir, ausführbare, ausführbare datei, auszug, befall, c:\windows, code, gelöscht, heuristik, hijack, hijackthis, hängen, logfile, logfiles, löschen, mbam, process, quarantäne, recht, spybot, system, system32, trojaner, upload, win, windows, zip-datei



Ähnliche Themen: Win32.Banker.fgv von Spybot gelöscht und permamenter Upload


  1. Win32:Malware-gen, Win32:Adware-gen, Win32:rookit-gen können nicht gelöscht werden
    Log-Analyse und Auswertung - 17.11.2015 (16)
  2. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  3. Windows XP, Trojaner, Win32:Banker-KDL
    Plagegeister aller Art und deren Bekämpfung - 17.09.2013 (13)
  4. Win32/Spy.Banker.WBU Trojaner
    Log-Analyse und Auswertung - 25.03.2012 (14)
  5. win32/spy banker wbu trojaner
    Plagegeister aller Art und deren Bekämpfung - 21.03.2012 (1)
  6. Win32.Banker ; W32/AutoRun.blcc
    Log-Analyse und Auswertung - 10.12.2011 (15)
  7. Win32.FakeAlert.ttam und Win32.Palevo mit Spybot
    Plagegeister aller Art und deren Bekämpfung - 24.03.2011 (25)
  8. Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt
    Plagegeister aller Art und deren Bekämpfung - 10.03.2011 (4)
  9. mit spybot debugger gelöscht, danach desktop leer
    Plagegeister aller Art und deren Bekämpfung - 28.02.2011 (3)
  10. nach spybot durchlauf... Win32.Agent.ieu, Win32.FraudLoad, Win32.PornPopup
    Log-Analyse und Auswertung - 08.08.2010 (3)
  11. KIS 2010 meldet Win32.Banker.ajgn und Win32.OnLineGame.uaoe
    Log-Analyse und Auswertung - 04.03.2010 (8)
  12. Spybot hat Prozesse gelöscht!?
    Alles rund um Windows - 07.03.2009 (5)
  13. Win32.Banker.FS.Trojan.Spyagent.DA
    Plagegeister aller Art und deren Bekämpfung - 26.02.2009 (12)
  14. trojaner DR/Spy.Banker.mjh gefunden und gelöscht??
    Log-Analyse und Auswertung - 22.06.2008 (2)
  15. Hilfe! Virus hat Antivir &Spybot gelöscht - lässt sich nicht neu installieren
    Mülltonne - 02.09.2007 (0)
  16. Spybot findet "Banker.FAT". Entfernung??
    Plagegeister aller Art und deren Bekämpfung - 30.08.2007 (2)
  17. Win32.TrojanSpy.Banker help
    Plagegeister aller Art und deren Bekämpfung - 13.07.2007 (4)

Zum Thema Win32.Banker.fgv von Spybot gelöscht und permamenter Upload - Hallo liebe Helfer, vorgestern fand SpyBot S&D bei mir einen Trojaner, nämlich Win32.Banker.fgv und war augenscheinlich auch in der Lage, diesen zu löschen bzw. in Quarantäne zu verschieben. Logfile folgt - Win32.Banker.fgv von Spybot gelöscht und permamenter Upload...
Archiv
Du betrachtest: Win32.Banker.fgv von Spybot gelöscht und permamenter Upload auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.