Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Whistler / Black Internet - Wie entfernen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.10.2010, 21:51   #1
cenilo
 
Whistler / Black Internet - Wie entfernen? - Standard

Whistler / Black Internet - Wie entfernen?



Guten Abend!

Seit einiger Zeit wundere ich mich warum mein Laptop plötzlich marzialische Musik oder Werbung für Online-Spiele abspielt, obwohl keine Anwendung geöffnet ist. Bei meiner Rechere habe ich herausgefunden, daß es sich wohl um Whistler / Black Internet Rootkit handelt.

Also habe ich MBRCheck.exe heruntergeladen. Unten das Logfile des MBRcheck. Es bestätigt den Verdacht.

Nun meine Frage: Wie werde ich den Wurm wieder los? Wer kann mir helfen?

Vielen Dank im voraus & schönen Abend noch.
Nicole


Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 2 (build 2600)
Logical Drives Mask:		0x0000007c

Kernel Drivers (total 148):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806CF000 \WINDOWS\system32\hal.dll
  0xF7AD0000 \WINDOWS\system32\KDCOM.DLL
  0xF79E0000 \WINDOWS\system32\BOOTVID.dll
  0xF73E7000 sptd.sys
  0xF7AD2000 \WINDOWS\System32\Drivers\WMILIB.SYS
  0xF73CF000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
  0xF73A0000 ACPI.sys
  0xF738F000 pci.sys
  0xF75D0000 isapnp.sys
  0xF79E4000 compbatt.sys
  0xF79E8000 \WINDOWS\system32\DRIVERS\BATTC.SYS
  0xF7B98000 pciide.sys
  0xF7850000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7AD4000 intelide.sys
  0xF7371000 pcmcia.sys
  0xF75E0000 MountMgr.sys
  0xF7352000 ftdisk.sys
  0xF79EC000 ACPIEC.sys
  0xF7B99000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xF7858000 PartMgr.sys
  0xF75F0000 VolSnap.sys
  0xF733A000 atapi.sys
  0xF7600000 disk.sys
  0xF7610000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF731A000 fltMgr.sys
  0xF7308000 sr.sys
  0xF72F1000 KSecDD.sys
  0xF7264000 Ntfs.sys
  0xF7237000 NDIS.sys
  0xF7620000 srescan.sys
  0xF7630000 ohci1394.sys
  0xF7640000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF721C000 Mup.sys
  0xF76F0000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF5B24000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF5B10000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF5AEB000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF7930000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xF5AC8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF7938000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF5AB5000 \SystemRoot\system32\DRIVERS\Rtlnicxp.sys
  0xF5A82000 \SystemRoot\system32\DRIVERS\tiacxln.sys
  0xF5A71000 \SystemRoot\system32\drivers\tifm21.sys
  0xF5A60000 \SystemRoot\system32\DRIVERS\sdbus.sys
  0xF71CF000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xF7940000 \SystemRoot\system32\DRIVERS\nscirda.sys
  0xF71CB000 \SystemRoot\system32\DRIVERS\irenum.sys
  0xF5A4C000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF7700000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7948000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF5A1D000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xF7AEE000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF7950000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF7710000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF7720000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF7730000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF59FA000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF5994000 \SystemRoot\System32\Drivers\ao69830u.SYS
  0xF583F000 \SystemRoot\system32\DRIVERS\btkrnl.sys
  0xF7AF4000 \SystemRoot\system32\DRIVERS\vncdrv.sys
  0xF7BFB000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF79B0000 \SystemRoot\system32\DRIVERS\rasirda.sys
  0xF79B8000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF7790000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF6987000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF5828000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF5D08000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF5CF8000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF5817000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF5CE8000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF79C0000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF79C8000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF5CC8000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7AF6000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF57BE000 \SystemRoot\system32\DRIVERS\update.sys
  0xF697B000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF5CB8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xED1E6000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xED1C4000 \SystemRoot\system32\drivers\portcls.sys
  0xF5C78000 \SystemRoot\system32\drivers\drmk.sys
  0xED0B8000 \SystemRoot\system32\DRIVERS\AGRSM.sys
  0xF7878000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF77B0000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7B10000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7CE6000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7B12000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF78A0000 \SystemRoot\System32\drivers\vga.sys
  0xF7B14000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7B16000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF78A8000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF78B0000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF71AF000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xECE71000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xECE19000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xECDDF000 \SystemRoot\System32\Drivers\avgtdix.sys
  0xECDBE000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF7810000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xF719B000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xF7820000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xF78C0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF78D0000 \SystemRoot\System32\Drivers\x10ufx2.sys
  0xECD66000 \SystemRoot\System32\Drivers\ATSwpDrv.sys
  0xF6997000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xECCCD000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xECC6E000 \SystemRoot\System32\vsdatant.sys
  0xECC4C000 \SystemRoot\System32\drivers\afd.sys
  0xF7830000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xECC21000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xECBB2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF55E9000 \SystemRoot\System32\Drivers\Hotkey.SYS
  0xF7840000 \SystemRoot\System32\Drivers\Fips.SYS
  0xF78E8000 \SystemRoot\System32\Drivers\avgmfx86.sys
  0xECB7E000 \SystemRoot\System32\Drivers\avgldx86.sys
  0xECB5B000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xECB1B000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7B8E000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xECDBA000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7900000 \SystemRoot\System32\watchdog.sys
  0xBF9C4000 \SystemRoot\System32\drivers\dxg.sys
  0xF7C6F000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF9D6000 \SystemRoot\System32\ati2dvag.dll
  0xBFA15000 \SystemRoot\System32\ati2cqag.dll
  0xBFA4E000 \SystemRoot\System32\atikvmag.dll
  0xBFA83000 \SystemRoot\System32\ati3duag.dll
  0xBFCD5000 \SystemRoot\System32\ativvaxx.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB8E5A000 \SystemRoot\system32\DRIVERS\irda.sys
  0xB8ED0000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB88DD000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF78F8000 \??\C:\WINDOWS\system32\drivers\btserial.sys
  0xB87BB000 \??\C:\WINDOWS\system32\drivers\btslbcsp.sys
  0xB87A6000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB8982000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB869E000 \SystemRoot\System32\Drivers\E504C.SYS
  0xB8635000 \SystemRoot\System32\Drivers\HTTP.sys
  0xF7970000 \SystemRoot\system32\drivers\npf.sys
  0xB8499000 \SystemRoot\system32\DRIVERS\srv.sys
  0xF7B66000 \SystemRoot\System32\Drivers\vnccom.SYS
  0xB7E49000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB7B0E000 \SystemRoot\system32\drivers\kmixer.sys
  0xB78D5000 \SystemRoot\System32\Drivers\btwusb.sys
  0xF7978000 \SystemRoot\system32\DRIVERS\btport.sys
  0xB7759000 \SystemRoot\system32\drivers\btaudio.sys
  0xBFD6C000 \SystemRoot\System32\vnchelp.dll
  0x7C910000 \WINDOWS\system32\ntdll.dll
  0x10000000 \Programme\DAEMON Tools\daemon.dll

Processes (total 64):
       0 System Idle Process
       4 System
     920 C:\WINDOWS\system32\smss.exe
     976 csrss.exe
    1008 C:\WINDOWS\system32\winlogon.exe
    1052 C:\WINDOWS\system32\services.exe
    1064 C:\WINDOWS\system32\lsass.exe
    1208 C:\WINDOWS\system32\ati2evxx.exe
    1220 C:\WINDOWS\system32\svchost.exe
    1320 svchost.exe
    1356 C:\WINDOWS\system32\svchost.exe
    1404 svchost.exe
    1452 svchost.exe
    1508 C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    1572 C:\Programme\AVG\AVG9\avgchsvx.exe
    1580 C:\Programme\AVG\AVG9\avgrsx.exe
    1744 C:\Programme\AVG\AVG9\avgcsrvx.exe
    1948 C:\WINDOWS\system32\svchost.exe
     708 C:\WINDOWS\system32\ati2evxx.exe
     776 C:\WINDOWS\explorer.exe
    1696 C:\WINDOWS\system32\svchost.exe
     248 C:\WINDOWS\system32\spoolsv.exe
     336 svchost.exe
     396 C:\Programme\Sun\sdk\lib\appservService.exe
     452 C:\Programme\AVG\AVG9\avgwdsvc.exe
     476 C:\Programme\Bonjour\mDNSResponder.exe
     644 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
     936 C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
    1160 C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
    2116 C:\WINDOWS\system32\svchost.exe
    2308 C:\Programme\Java\jre6\bin\jqs.exe
    2504 C:\Programme\CyberLink\Shared Files\RichVideo.exe
    2584 C:\WINDOWS\system32\svchost.exe
    2760 C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
    2788 C:\WINDOWS\system32\wuauclt.exe
    3048 wmpnetwk.exe
    3188 C:\Programme\AVG\AVG9\avgnsx.exe
    3252 C:\Programme\AVG\AVG9\avgemc.exe
    3716 C:\Programme\AVG\AVG9\avgcsrvx.exe
    3824 C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
    3952 wmiprvse.exe
    4076 C:\Programme\Canon\CAL\CALMAIN.exe
    2192 wmiprvse.exe
    2316 alg.exe
    2816 C:\WINDOWS\RTHDCPL.EXE
    1708 C:\WINDOWS\AGRSMMSG.exe
    2140 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    2992 C:\Programme\Fingerprint Sensor\ATSwpNav.exe
    3000 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    3008 C:\Programme\Launch Manager\LaunchAp.exe
    3040 C:\Programme\Launch Manager\HotkeyApp.exe
    3100 C:\Programme\Launch Manager\OSD.exe
    3140 C:\Programme\Launch Manager\WButton.exe
    3240 C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
    3280 C:\Programme\Home Cinema\PowerCinema\PCMService.exe
    3436 C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
     272 C:\Programme\FreePDF_XP\fpassist.exe
     724 C:\PROGRA~1\AVG\AVG9\avgtray.exe
    4012 C:\WINDOWS\system32\ctfmon.exe
     736 C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
     636 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    3020 C:\WINDOWS\system32\wuauclt.exe
    3440 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    2512 D:\nicolchens-sachen\downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000b`d1eab600  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000014`5b848a00  (FAT32)

PhysicalDrive0 Model Number: SAMSUNGHM100JC, Rev: YN100-08

      Size  Device Name          MBR Status
  --------------------------------------------
     93 GB  \\.\PhysicalDrive0   Known-bad MBR code detected (Whistler / Black Internet)!
            SHA1: E6A23E8446386380FA20658E308A2E52A51E00DC


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
         

Alt 14.10.2010, 21:54   #2
Swisstreasure
/// Malwareteam
 
Whistler / Black Internet - Wie entfernen? - Standard

Whistler / Black Internet - Wie entfernen?





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**



  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
    • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
    • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
__________________


Alt 15.10.2010, 18:18   #3
cenilo
 
Whistler / Black Internet - Wie entfernen? - Standard

Whistler / Black Internet - Wie entfernen?



Hallo Swiss,

danke für die schnelle Hilfe. Hab mich an Deine Anleitung gehalten. Die Entfernung hat super funktioniert. Kannst Du mir bitte noch einen Tipp geben, wie ich einen Neuinfektion vermeiden kann?

Nachfolgend der Inhalt der Combifix.txt.

Viele Grüße & 1000 Dank
Nicole

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-10-14.04 - xx 15.10.2010  17:46:28.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1022.548 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xx\Desktop\Combo-Fix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
 
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
 
c:\windows\system32\drivers\etc\lmhosts
 
.
\\.\PhysicalDrive0 - Bootkit Whistler was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Whistler was found and disinfected
.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-15 bis 2010-10-15  ))))))))))))))))))))))))))))))
.
 
2010-10-14 18:15 . 2010-10-14 18:15    --------    d-----w-    c:\dokumente und einstellungen\xxAnwendungsdaten\Malwarebytes
2010-10-14 18:15 . 2010-10-15 15:11    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-10-14 18:15 . 2010-10-14 18:15    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
 
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
 
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATSwpNav"="c:\programme\Fingerprint Sensor\ATSwpNav -run" [X]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-18 14820864]
"AGRSMMSG"="AGRSMMSG.exe" [2005-05-11 88204]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-10 761945]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-30 57344]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2005-08-17 61440]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2005-09-02 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ALDI_NORD_FotoSuite"="c:\programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" [2005-06-20 290816]
"RemoteControl"="c:\programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2005-10-28 139264]
"InstantOn"="c:\programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-03-25 93640]
"Zone Labs Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 968696]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-09-07 98304]
"WinVNC"="c:\programme\TightVNC\WinVNC.exe" [2007-05-07 589824]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-10-05 2067808]
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10d.exe" [2009-10-28 257440]
 
c:\dokumente und einstellungen\ELIAS\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
 
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-1-12 110592]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-20 07:03    12536    ----a-w-    c:\windows\system32\avgrsstx.dll
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ       autocheck autochk /r \??\H:\0autocheck autochk *
 
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%ProgramFiles%\\MSN Messenger\\msnmsgr.exe"=
"%ProgramFiles%\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Programme\\fotobuch.de AG\\Designer\\Designer.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\fotobuch.de AG\\Designer 2.0\\Designer.exe"=
"c:\\Programme\\gnucash\\bin\\gnucash-bin.exe"=
"c:\\Programme\\gnucash\\bin\\gconfd-2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\AVG\\AVG9\\avgemc.exe"=
"c:\\Programme\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG9\\avgnsx.exe"=
 
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [16.06.2009 13:58 216400]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [16.06.2009 13:58 243024]
R2 avg9emc;AVG Free E-mail Scanner;c:\programme\AVG\AVG9\avgemc.exe [20.07.2010 09:02 921952]
R2 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [20.07.2010 09:03 308136]
R2 E504C;Eumex 504PC USB;c:\windows\system32\drivers\E504c.sys [11.05.2000 17:16 186308]
R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [01.06.2008 09:13 34064]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [10.03.2008 23:02 6016]
R3 TIACXLN;TI ACX100 WLAN Adapter;c:\windows\system32\drivers\TIACXLN.sys [01.01.2007 21:53 208640]
S1 M9207;ULi M9207 USB DVB-T / TV BOX;c:\windows\system32\DRIVERS\M9207BDA.sys --> c:\windows\system32\DRIVERS\M9207BDA.sys [?]
S1 mailKmd;mailKmd; [x]
S2 AppServer9PE;SunJavaSystemAppserver9PE;c:\programme\Sun\SDK\lib\appservService.exe "\"c:\programme\Sun\SDK\bin\asadmin.bat\" start-domain --user admin  domain1" "\"c:\programme\Sun\SDK\bin\asadmin.bat\" stop-domain domain1\" --> c:\programme\Sun\SDK\lib\appservService.exe \c:\programme\Sun\SDK\bin\asadmin.bat\ [?]
S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [18.09.2005 16:18 799744]
S3 ULiM9205;TVBOX service;c:\windows\system32\Drivers\M9205.sys --> c:\windows\system32\Drivers\M9205.sys [?]
S3 ulisa;Telekom Eumex 504PC USB;c:\windows\system32\drivers\ulisa.sys [11.05.2000 11:08 12992]
S3 uxddrv;Dynamically loaded UxdDrv;\??\f:\diagnose\Wstpro\uxddrv.sys --> f:\diagnose\Wstpro\uxddrv.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03.08.2007 16:21 682232]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = hxxp://www.aldi.com/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
DPF: {48ED5A74-A5A6-4EDE-AAC5-42D697FC3F19} - hxxp://www.cyberoro.com/download/cyber.cab
DPF: {48FE89A0-486C-48DF-9DEC-BED22BDC6057} - hxxp://www.cyberoro.com/download/OroCheck.cab
FF - ProfilePath - c:\dokumente und einstellungen\Nicolchen\Anwendungsdaten\Mozilla\Firefox\Profiles\7a7rw8o7.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - component: c:\dokumente und einstellungen\xx\Anwendungsdaten\Mozilla\Firefox\Profiles\7a7rw8o7.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayAccessComponent.dll
FF - component: c:\dokumente und einstellungen\xx\Anwendungsdaten\Mozilla\Firefox\Profiles\7a7rw8o7.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayShortcutMaker.dll
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\programme\Canon\ZoomBrowser EX\Program\NPCIG.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
 
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
 
URLSearchHooks-{A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKLM-Run-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
HKLM-Run-Device Detection - c:\programme\fotokasten comfort - Tchibo Edition\dd.exe
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9c.exe
 
 
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
 
[HKEY_USERS\S-1-5-21-1138618481-419602289-1623038075-1007\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E3F36764-9CB2-D4FA-FB2D-222037854641}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oagmloemcnbiemapbpbcnalfmgfnhd"=hex:69,61,63,64,70,6f,64,61,6c,64,6a,64,6b,64,
   70,68,6d,70,00,00
"naanhappicknklnociohakkmmjie"=hex:69,61,63,64,70,6f,64,61,6c,64,6a,64,6b,64,
   70,68,6d,70,00,00
"gboolghnnocmakkgkloaijcejhbokionleghiaaidcnipk"=hex:61,61,00,00
"bbiocmahgjbgfamlnpldgpjamejladkbnoef"=hex:61,61,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 
- - - - - - - > 'winlogon.exe'(952)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-10-15  18:06:50
ComboFix-quarantined-files.txt  2010-10-15 16:06
 
Vor Suchlauf: 9 Verzeichnis(se), 17.173.159.936 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 18.424.143.872 Bytes frei
 
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 
- - End Of File - - 4204DCEAB23C98B59089E1D170D3203D
         
--- --- ---
__________________

Alt 16.10.2010, 15:09   #4
Swisstreasure
/// Malwareteam
 
Whistler / Black Internet - Wie entfernen? - Standard

Whistler / Black Internet - Wie entfernen?



Zitat:
Kannst Du mir bitte noch einen Tipp geben, wie ich einen Neuinfektion vermeiden kann?
Dazu später mehr

Schritt 1

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
    Vista User: Bitte mit Rechtsklick "als Administrator starten".
  • Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
  • Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
  • Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
  • DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).
Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.


Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:
  • Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
  • Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
  • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Gmer startet automatisch einen ersten Scan.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    Code:
    ATTFilter
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system?
             
  • Unbedingt auf "No" klicken,
    in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

    .
  • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
  • Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
  • Wichtig: "Show all" darf nicht angehakt sein!
  • Starte den Scan durch Drücken des Buttons "Scan".
    Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
  • Wenn der Scan fertig ist, bleibt die Zeile leer.
    Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
    Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Antwort

Themen zu Whistler / Black Internet - Wie entfernen?
acrobat, adobe, avg, black, black internet, bonjour, code, detected, entfernen, frage, home, ics, infected, internet, java, laptop, launch, logfile, mbrcheck.exe, musik, programme, rootkit, software, system, system32, warum, werbung, whistler, wie entfernen, wie entfernen?, wmp, wurm, xp home



Ähnliche Themen: Whistler / Black Internet - Wie entfernen?


  1. Hackerkonferenz Black Hat: "Der Traum vom freien Internet stirbt"
    Nachrichten - 06.08.2015 (0)
  2. TR/Crypt.ZPACK.Gen2, Adware/InstallCore.Gen, TR/black.Gen2: Wie kann ich diese Trojaner entfernen?
    Log-Analyse und Auswertung - 12.07.2013 (3)
  3. Avira findet "BOO/Whistler.A" in Masterbootsektor HD0 Bootsektor 'C:\', lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (51)
  4. BOO/Whistler gefunden - wie entfernen? bitte kurz helfen
    Log-Analyse und Auswertung - 06.03.2012 (29)
  5. BOO/whistler.A virus entfernen?
    Plagegeister aller Art und deren Bekämpfung - 23.12.2011 (2)
  6. Whistler entfernen
    Log-Analyse und Auswertung - 25.11.2011 (19)
  7. BOO/Whistler.A
    Log-Analyse und Auswertung - 16.11.2011 (7)
  8. Boo Whistler im Masterbootsektor
    Log-Analyse und Auswertung - 07.09.2011 (18)
  9. Whistler in MBR
    Plagegeister aller Art und deren Bekämpfung - 13.04.2011 (5)
  10. virenmeldung WHISTLER @ MBR rkt
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (18)
  11. Whistler@MBR (RTK)
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (1)
  12. Meine Lösung für Sinowal.F und Whistler/Black Internet
    Plagegeister aller Art und deren Bekämpfung - 01.10.2010 (0)
  13. Whistler Black Internet
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (34)
  14. Whistler Black Internet Befall
    Plagegeister aller Art und deren Bekämpfung - 07.09.2010 (2)
  15. Whistler/ Black Internet - MBR code lässt sich nicht ändern -.-
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (18)
  16. Whistler / Black Internet Rootkit - Infektionsforschung
    Diskussionsforum - 08.08.2010 (9)

Zum Thema Whistler / Black Internet - Wie entfernen? - Guten Abend! Seit einiger Zeit wundere ich mich warum mein Laptop plötzlich marzialische Musik oder Werbung für Online-Spiele abspielt, obwohl keine Anwendung geöffnet ist. Bei meiner Rechere habe ich herausgefunden, - Whistler / Black Internet - Wie entfernen?...
Archiv
Du betrachtest: Whistler / Black Internet - Wie entfernen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.