Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Malware? Neu im Firmennetzwerk

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.03.2011, 16:30   #1
Damnation
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Hallo,

bin in einer neuen Firma und seit gestern jetzt auch dort im Netzwerk mit meinem Laptop.

Musste dahingehend auch die Laptop Encryption aktivieren (dieses McAffee laptop encryption zeugs, siehe die Logs). Seit gestern meldet mir meine Firewall (ESET), ständig neuen Traffic und frägt, ob ich blockieren oder zulassen will.

Weiß jetzt nicht, ob das am Netzwerk liegt oder ob ich mir tatsächlich was eingefangen habe. Das Netzwerk is voller Viren etc., weil hier einige Workstations ohne aktuelle Scanner sind, weil sie nicht am Netz angeschlossen sind. Per USB-Sticks verbreitet sich das zeug hier dann.

Hab meine Logs angehängt.
Hoffe ihr kömmt mir sagen, ob alles in Ordnung ist.

Danke.

Damnation

Alt 22.03.2011, 19:27   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Zitat:
bin in einer neuen Firma und seit gestern jetzt auch dort im Netzwerk mit meinem Laptop.

Musste dahingehend auch die Laptop Encryption aktivieren (dieses McAffee laptop encryption zeugs, siehe die Logs). Seit gestern meldet mir meine Firewall (ESET), ständig neuen Traffic und frägt, ob ich blockieren oder zulassen will.
Wie wär's mal wenn du mal den zuständigen Admin der Firma fragst??
Was heißt "dein" Laptap? Ist das normal, dass jeder sein (verseuchtes) Privatgerät ins Firmennetz anschließen darf?
__________________

__________________

Alt 22.03.2011, 20:14   #3
Damnation
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



In der Branche, in der ich arbeite, ist das ganz normal.
Firma ist vielleicht auch der falsche Ausdruck. In Forschungsinstituten ist das der Normalfall, dass man sein eigenes Gerät zum Arbeiten mitbringt. Workstations, die für die Benutzung von Geräten benötigt werden, sind natürlich verfügbar. Um die kümmert sich aber keiner und sind nie am Netz angeschlossen. Was zwar gut ist, aber blöd auch, da die Virenscanner nicht aktuell sind...

Einen Admin an sich gibts hier somit also auch nicht. Leider.

Danke
__________________

Alt 23.03.2011, 08:13   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Zitat:
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
Warum darf dein Rechner sich nicht mit Adobeseiten verbinden?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.03.2011, 14:09   #5
Damnation
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Weil mich die ständige Updates von meinen Adobe Produkten(Haupsächlich Photoshop, Illustrator und Acrobat) nerven. Mach das dann immer manuell, wenn ichs benötige. Mehr nicht. So schadet das aber nicht, oder?


Alt 23.03.2011, 15:07   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 17:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{5e5ac71a-0f81-11e0-9556-001fe21c645c}\Shell - "" = AutoRun
O33 - MountPoints2\{5e5ac71a-0f81-11e0-9556-001fe21c645c}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{955bf7ca-0e8e-11e0-9d2b-001fe21c645c}\Shell - "" = AutoRun
O33 - MountPoints2\{955bf7ca-0e8e-11e0-9d2b-001fe21c645c}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{955bf7d1-0e8e-11e0-9d2b-001fe21c645c}\Shell - "" = AutoRun
O33 - MountPoints2\{955bf7d1-0e8e-11e0-9d2b-001fe21c645c}\Shell\AutoRun\command - "" = H:\AutoRun.exe
O33 - MountPoints2\{955bf827-0e8e-11e0-9d2b-001fe21c645c}\Shell - "" = AutoRun
O33 - MountPoints2\{955bf827-0e8e-11e0-9d2b-001fe21c645c}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O4 - HKLM..\Run: []  File not found
:Commands
[purity]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
--> Malware? Neu im Firmennetzwerk

Alt 23.03.2011, 18:19   #7
Damnation
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Hey,

Danke dir!

Gerade gemacht. Im Anhang das Log.

Welche Malware ist/war das denn?

Wenn man einen USB-Stick anschließt, der auf einer der verseuchten Workstations dran war, erscheint immer eine Meldung wegen einer autorun.inf.

Hat es der auf einen PC geschafft, obwohl ESET eigentlich gesagt hat, dass er die autorun.inf gelöscht hat?

Danke.

Lg Damnation
Angehängte Dateien
Dateityp: txt OTL 03232011_141307.txt (7,1 KB, 214x aufgerufen)

Alt 23.03.2011, 19:33   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.03.2011, 23:07   #9
Damnation
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Hallo,

alles ausgeführt.
nach dem Neustart nach dem Combofix, war aber ewigkeiten die blaue Shell mit der Aussage, dass das Log jetzt erstellt wird offen. Irgendwann ist der PC ausgegangen.
Hab ein Log gefunden (c:\cofi.exe\combofix.txt). Weiß nicht, ob das die richtige jetzt ist.

Welche malware hatte ich denn?

Danke!!!

Damnation

Code:
ATTFilter
ComboFix 11-03-23.03 - ZED 23.03.2011  18:18:09.1.2 - x86
Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1031.18.2006.1066 [GMT -4:00]
ausgeführt von:: C:\Users\ZED\Desktop\cofi.exe.exe
AV: ESET Smart Security 4.0 *Disabled/Updated* {CB0F8167-5331-BA19-698E-64816B6801A5}
FW: ESET Personal Firewall *Enabled* {F3340042-195E-BB41-42D1-CDB495BB46DE}
SP: ESET Smart Security 4.0 *Disabled/Updated* {706E6083-750B-B597-533E-5FF310EF4B18}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}


((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))


C:\Program Files\ESET\MiNODLogin
C:\Program Files\ESET\MiNODLogin\MiNODLogin.exe
C:\Program Files\ESET\MiNODLogin\MiNODLogin.jar
C:\Program Files\ESET\MiNODLogin\MiNODLoginLib.dll
C:\Program Files\ESET\MiNODLogin\servidores.xml
C:\Windows\TEMP\logishrd\LVPrcInj01.dll


(((((((((((((((((((((((   Dateien erstellt von 2011-02-23 bis 2011-03-23  ))))))))))))))))))))))))))))))


2011-03-23 22:25:01 . 2011-03-23 22:45:26	--------	d-----w-	C:\Users\ZED\AppData\Local\temp
2011-03-23 22:25:01 . 2011-03-23 22:25:01	--------	d-----w-	C:\Users\Default\AppData\Local\temp
2011-03-23 20:32:27 . 2011-03-23 20:32:31	--------	d-----w-	C:\Program Files\CCleaner
2011-03-23 18:13:07 . 2011-03-23 18:13:07	--------	d-----w-	C:\_OTL
2011-03-22 14:14:24 . 2011-02-11 06:54:53	5943120	----a-w-	C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{BA3395BC-E57D-4ECC-B64A-C145CA475793}\mpengine.dll
2011-03-22 02:56:00 . 2011-03-22 02:57:21	--------	d-----w-	C:\Program Files\ERUNT
2011-03-21 14:41:38 . 2009-07-14 01:15:26	90624	----a-w-	C:\Windows\system32\Spool\prtprocs\w32x86\HPZPPWN7.DLL
2011-03-21 14:20:54 . 2011-03-21 14:20:54	--------	d-----w-	C:\ProgramData\Endpoint Encryption for PC
2011-03-21 14:17:36 . 2011-03-21 14:17:36	--------	d-----w-	C:\Program Files\SafeBoot Tray Manager
2011-03-21 14:17:25 . 2011-03-21 14:17:25	--------	d-----w-	C:\Program Files\McAfee
2011-03-21 14:16:26 . 2011-03-21 14:16:26	--------	d-----w-	C:\Program Files\Common Files\Wise Installation Wizard
2011-03-19 21:54:42 . 2011-03-21 14:22:06	--------	d-----w-	C:\Program Files\Common Files\DVDVideoSoft
2011-03-19 21:33:55 . 2011-03-19 21:34:09	--------	d--h--w-	C:\Windows\AxInstSV
2011-03-14 23:26:48 . 2011-03-14 23:26:48	135568	----a-w-	C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll
2011-03-13 11:16:23 . 2011-03-14 13:42:44	365461	----a-w-	C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Anleitung.exe
2011-03-09 01:39:17 . 2011-02-19 06:30:54	805376	----a-w-	C:\Windows\system32\FntCache.dll
2011-03-09 01:39:17 . 2011-02-19 06:30:51	1076736	----a-w-	C:\Windows\system32\DWrite.dll
2011-03-09 01:39:17 . 2011-02-19 06:30:50	739840	----a-w-	C:\Windows\system32\d2d1.dll
2011-03-09 01:39:16 . 2010-12-23 05:54:17	642048	----a-w-	C:\Windows\system32\CPFilters.dll
2011-03-09 01:39:16 . 2010-12-23 05:54:17	534528	----a-w-	C:\Windows\system32\EncDec.dll
2011-03-09 01:39:15 . 2010-12-23 05:54:18	850944	----a-w-	C:\Windows\system32\sbe.dll
2011-03-09 01:39:15 . 2010-12-23 05:50:23	199680	----a-w-	C:\Windows\system32\mpg2splt.ax
2011-03-02 15:00:03 . 2011-03-02 15:02:39	--------	d-----w-	C:\AdobeTemp
2011-03-02 14:50:17 . 2011-03-02 14:50:17	--------	d-----w-	C:\Users\ZED\AppData\Roaming\StageManager.BD092818F67280F4B42B04877600987F0111B594.1
2011-02-28 22:21:21 . 2011-02-28 22:21:21	--------	d-----w-	C:\Program Files\Adobe Media Player
2011-02-28 22:19:53 . 2011-03-01 10:41:44	--------	d-----w-	C:\Program Files\Common Files\Adobe AIR
2011-02-28 15:08:05 . 2011-03-23 22:44:11	--------	d-----w-	C:\Program Files\Common Files\Akamai
2011-02-27 15:21:10 . 2011-02-28 22:11:49	--------	d-----w-	C:\Program Files\ThumbView_Lite 1.0
2011-02-26 18:37:23 . 2011-02-26 18:37:23	--------	d-----w-	C:\Program Files\Common Files\Java
2011-02-26 14:00:30 . 2011-02-26 14:00:30	78848	----a-w-	C:\Windows\KMSEmulator.exe
2011-02-23 21:58:14 . 2011-02-23 21:58:14	--------	d-----w-	C:\Windows\en-US
2011-02-23 21:58:13 . 2011-02-23 21:58:13	--------	d-----w-	C:\Windows\system32\en
2011-02-23 21:58:13 . 2011-02-23 21:58:13	--------	d-----w-	C:\Windows\system32\drivers\UMDF\en-US
2011-02-23 21:58:13 . 2011-02-23 21:58:13	--------	d-----w-	C:\Windows\system32\drivers\en-US
2011-02-23 21:58:13 . 2011-02-23 21:58:13	--------	d-----w-	C:\Windows\system32\0409
2011-02-23 21:58:03 . 2011-02-23 21:58:04	--------	d-----w-	C:\Windows\system32\wbem\en-US
2011-02-23 21:51:50 . 2009-07-13 17:03:50	3584	----a-w-	C:\Windows\system32\Spool\prtprocs\w32x86\en-US\LXKPTPRC.DLL.mui
2011-02-23 21:11:15 . 2011-02-23 21:11:16	--------	d-----w-	C:\Windows\system32\SPReview
2011-02-23 21:10:02 . 2011-02-23 21:10:02	--------	d-----w-	C:\Windows\system32\EventProviders
2011-02-23 21:06:59 . 2010-11-20 12:21:00	1115136	----a-w-	C:\Windows\system32\RacEngn.dll
2011-02-23 21:05:59 . 2010-11-20 12:29:12	132992	----a-w-	C:\Windows\system32\drivers\ataport.sys
2011-02-23 21:04:59 . 2010-11-20 12:21:22	4096	----a-w-	C:\Windows\system32\msdxm.ocx
2011-02-23 21:03:56 . 2010-11-20 12:18:34	323072	----a-w-	C:\Windows\system32\drvstore.dll
2011-02-23 21:03:56 . 2010-11-20 12:18:34	257024	----a-w-	C:\Windows\system32\dpx.dll
2011-02-23 19:15:56 . 2011-01-17 05:47:13	161792	----a-w-	C:\Windows\system32\d3d10_1.dll
2011-02-23 19:15:56 . 2010-11-20 12:18:25	219136	----a-w-	C:\Windows\system32\d3d10_1core.dll
2011-02-23 13:31:04 . 2011-01-07 07:46:34	870912	----a-w-	C:\Windows\system32\XpsPrint.dll
2011-02-23 13:31:04 . 2011-01-07 07:46:34	288256	----a-w-	C:\Windows\system32\XpsGdiConverter.dll


((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

2011-02-23 21:16:04 . 2009-07-14 02:05:42	152576	----a-w-	C:\Windows\system32\msclmd.dll
2011-02-03 05:54:43 . 2011-02-09 08:59:31	219008	----a-w-	C:\Windows\system32\drivers\dxgmms1.sys
2011-02-02 20:40:23 . 2010-11-29 16:48:32	472808	----a-w-	C:\Windows\system32\deployJava1.dll
2011-02-02 16:11:20 . 2010-02-09 20:01:23	222080	------w-	C:\Windows\system32\MpSigStub.exe
2011-01-07 07:45:57 . 2011-02-09 08:59:43	34304	----a-w-	C:\Windows\system32\atmlib.dll
2011-01-07 06:01:22 . 2011-02-09 08:59:54	1638912	----a-w-	C:\Windows\system32\mshtml.tlb
2011-01-07 05:43:36 . 2011-02-09 08:59:43	294400	----a-w-	C:\Windows\system32\atmfd.dll
2011-01-05 05:55:55 . 2011-02-09 08:59:41	428032	----a-w-	C:\Windows\system32\vbscript.dll
2011-01-05 03:51:01 . 2011-02-09 08:59:25	2330624	----a-w-	C:\Windows\system32\win32k.sys


((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))


*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19:44	94208	----a-w-	C:\Users\ZED\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19:44	94208	----a-w-	C:\Users\ZED\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19:44	94208	----a-w-	C:\Users\ZED\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2011-01-26 16:05:34 15026056]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2009-08-06 16:15:38 141848]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2009-08-06 16:15:34 173592]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2009-08-06 16:15:36 150552]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2009-05-18 16:28:04 1314816]
"egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2009-11-16 08:03:32 2054360]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [2011-01-30 15:45:14 821144]
"SunJavaUpdateSched"="C:\Program Files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 13:49:28 249064]
"AdobeAAMUpdater-1.0"="C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-09-16 19:04:18 497648]
"SafeBootTrayManager"="C:\Program Files\SafeBoot Tray Manager\SbTrayManager.exe" [2009-08-19 13:20:52 69632]
"SafeBootTokenWatcher"="C:\Program Files\McAfee\Endpoint Encryption for PC\SbTokWatch.exe" [2009-11-24 11:44:26 172092]
"Adobe Acrobat Speed Launcher"="C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" [2011-01-30 15:45:16 36760]

C:\Users\ZED\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - C:\Users\ZED\AppData\Roaming\Dropbox\bin\Dropbox.exe [2010-2-26 21979992]


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^UltraMon.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\UltraMon.lnk
backup=C:\Windows\pss\UltraMon.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]
2011-01-30 15:45:16	36760	----a-w-	C:\Program Files\Adobe\Acrobat 10.0\Acrobat\acrobat_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-10-25 14:13:38	932288	----a-w-	C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
2010-07-22 21:10:47	402432	----a-w-	C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCSSync]
2010-03-13 13:54:26	91520	----a-w-	C:\Program Files\Microsoft Office\Office14\BCSSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2009-10-14 12:36:56	2793304	----a-w-	C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38:18	421888	----a-w-	C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
2010-02-19 12:37:14	517096	----a-w-	C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 12:16:28 130384]
R2 LENOVO.MICMUTE;Lenovo Microphone Mute;C:\Program Files\LENOVO\HOTKEY\MICMUTE.exe [2010-11-24 15:34:24 45496]
R3 btusbflt;Bluetooth USB Filter;C:\Windows\system32\drivers\btusbflt.sys [2010-08-18 09:53:42 45736]
R3 ggflt;SEMC USB Flash Driver Filter;C:\Windows\system32\DRIVERS\ggflt.sys [2009-04-06 07:13:52 13224]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\netw5v32.sys [2009-07-13 22:02:51 4231168]
R3 osppsvc;Office Software Protection Platform;C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 20:37:50 4640000]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;C:\Windows\system32\drivers\rdpvideominiport.sys [2010-11-20 10:21:14 15872]
R3 SrvHsfHDA;SrvHsfHDA;C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 22:13:45 207360]
R3 SrvHsfV92;SrvHsfV92;C:\Windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 22:13:46 980992]
R3 SrvHsfWinac;SrvHsfWinac;C:\Windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 22:13:45 661504]
R3 SwitchBoard;SwitchBoard;C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 12:37:14 517096]
R3 Synth3dVsc;Synth3dVsc;C:\Windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys [2010-11-20 10:24:41 52224]
R3 tsusbhub;tsusbhub;C:\Windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;C:\Windows\system32\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;C:\Windows\system32\Wat\WatAdminSvc.exe [2010-11-29 16:32:35 1343400]
S0 SafeBoot;SafeBoot; [x]
S0 SBAlg;SBAlg; [x]
S0 SbFsLock;SbFsLock; [x]
S1 ehdrv;ehdrv;C:\Windows\system32\DRIVERS\ehdrv.sys [2009-11-16 08:03:36 108792]
S1 lenovo.smi;Lenovo System Interface Driver;C:\Windows\system32\DRIVERS\smiif32.sys [2010-09-07 13:09:06 13680]
S1 RsvLock;RsvLock; [x]
S1 SbFlop;SbFlop; [x]
S1 SbRegFlt;SbRegFlt; [x]
S2 Akamai;Akamai NetSession Interface;C:\Windows\System32\svchost.exe [2009-07-14 01:14:41 20992]
S2 ekrn;ESET Service;C:\Program Files\ESET\ESET Smart Security\ekrn.exe [2009-11-16 08:04:30 735960]
S2 epfwwfp;epfwwfp;C:\Windows\system32\DRIVERS\epfwwfp.sys [2009-11-16 08:06:50 38240]
S2 Lenovo.VIRTSCRLSVC;Lenovo Auto Scroll;C:\Program Files\LENOVO\VIRTSCRL\lvvsst.exe [2010-04-07 13:37:38 93032]
S2 SafeBootClientManager;SafeBoot Client Manager;C:\Program Files\McAfee\Endpoint Encryption for PC\SbClientManager.exe [2009-11-24 11:43:38 380988]
S2 TPHKLOAD;Lenovo Hotkey Client Loader;C:\Program Files\LENOVO\HOTKEY\TPHKLOAD.exe [2010-12-03 09:57:38 99328]
S2 TPHKSVC;Anzeige am Bildschirm;C:\Program Files\LENOVO\HOTKEY\TPHKSVC.exe [2010-12-02 11:55:54 64440]
S2 UltraMonUtility;UltraMon Utility Driver;C:\Program Files\Common Files\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2008-11-14 01:11:30 17184]
S3 LenovoRd;LenovoRd;C:\Windows\system32\Drivers\LenovoRd.sys [2009-05-11 08:33:48 88832]
S3 NETwLv32;    Intel(R) Wireless WiFi Link der Serie 5000 Adaptertreiber für Windows Vista 32-Bit;C:\Windows\system32\DRIVERS\NETwLv32.sys [2010-08-16 06:26:30 6637056]
S3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;C:\Windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 00:18:07 17920]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai

Inhalt des "geplante Tasks" Ordners
         

Alt 24.03.2011, 09:06   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Ganz duch sind wir noch nicht.

Zitat:
FW: ESET Personal Firewall *Enabled* {F3340042-195E-BB41-42D1-CDB495BB46DE}
Kann ich dir nur von abraten. Kannst du die PFW-Komponente einzeln deinstallieren? Wenn nicht, sollte ESET komplett runter und gegen einen reinen Virenscanner getuscht werden. PFWs sind heute sinnfrei bis kontraproduktiv, die Windows-Firewall ist um Längen besser und sicherer, auch einfacher zu handhaben.

Deinstallier es mal, dann sehen wir weiter.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.03.2011, 13:12   #11
Damnation
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Wow. Das hätt ich jetzt nicht erwartet.
Hier im Trojaner Universum hat sich ja einiges geändert. Keine HJT logs mehr, keine Firewalls mehr.

einzeln deinstallieren geht nicht, aber werd dann Smart Security neu draufspielen, aber ohne Firewall.

Danke einstweilen. Melde mich dann zurück, wenn alles klappt.

Die Malware ist jetzt beseitigt?
Wie krieg ich das denn jetzt hin, dass ich die autorun.inf Malware, die man hier per USBStick bekommt, nicht mehr kriege?

Danke!

Damnation

Alt 24.03.2011, 14:38   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Zitat:
Wie krieg ich das denn jetzt hin, dass ich die autorun.inf Malware, die man hier per USBStick bekommt, nicht mehr kriege?

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor (Anleitung):
  1. Trenne den Rechner physikalisch vom Netz.
  2. Deaktiviere den Hintergrundwächter deines AVP.
  3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
  4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
  5. Wenn der Scan zuende ist, kannst du das Programm schließen.
  6. Starte Deinen Rechner neu.
Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.03.2011, 19:25   #13
Damnation
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Hallo,

hab jetzt nur noch das Antivirus von ESET drauf.

Dann hoff ich mal, dass ich geschützt bin.

USB Stick hab ich auch bereinigt. Desktop ist aber nicht kurz verschwunden, wie in der anleitung beschrieben. Bin mir also nicht sicher, ob das funktioniert hat...

Danke vielmals für deine Hilfe, Cosinus.

Lg Damnation

Alt 24.03.2011, 20:02   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.03.2011, 20:12   #15
Damnation
 
Malware? Neu im Firmennetzwerk - Standard

Malware? Neu im Firmennetzwerk



Code:
ATTFilter
2011/03/24 16:08:15.0324 5656	TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/24 16:08:15.0386 5656	================================================================================
2011/03/24 16:08:15.0386 5656	SystemInfo:
2011/03/24 16:08:15.0386 5656	
2011/03/24 16:08:15.0386 5656	OS Version: 6.1.7601 ServicePack: 1.0
2011/03/24 16:08:15.0386 5656	Product type: Workstation
2011/03/24 16:08:15.0386 5656	ComputerName: LENNO
2011/03/24 16:08:15.0386 5656	UserName: ZED
2011/03/24 16:08:15.0386 5656	Windows directory: C:\Windows
2011/03/24 16:08:15.0386 5656	System windows directory: C:\Windows
2011/03/24 16:08:15.0386 5656	Processor architecture: Intel x86
2011/03/24 16:08:15.0386 5656	Number of processors: 2
2011/03/24 16:08:15.0386 5656	Page size: 0x1000
2011/03/24 16:08:15.0386 5656	Boot type: Normal boot
2011/03/24 16:08:15.0386 5656	================================================================================
2011/03/24 16:08:15.0792 5656	Initialize success
2011/03/24 16:08:18.0944 4608	================================================================================
2011/03/24 16:08:18.0944 4608	Scan started
2011/03/24 16:08:18.0944 4608	Mode: Manual; 
2011/03/24 16:08:18.0944 4608	================================================================================
2011/03/24 16:08:24.0570 4608	================================================================================
2011/03/24 16:08:24.0570 4608	Scan finished
2011/03/24 16:08:24.0570 4608	================================================================================
         
Gerade meinen USB Stick gescannt:

G:\VEROVALA\nebih.exe - Variante von Win32/Bflient.P Wurm
G:\RESTORE\k-1-3542-4232123213-7676767-8888886\RanDll.exe - Win32/AutoRun.Agent.LG Wurm
G:\9g86.exe - Win32/PSW.OnLineGames.NNU Trojaner
G:\autorun.inf - INF/Autorun Virus
G:\desktop.dll - Win32/AutoRun.COB Wurm

5 Meldungen. Ich nehm mal an, dass das Autorun Removal tool nicht funktioniert hat?

Danke

Antwort

Themen zu Malware? Neu im Firmennetzwerk
aktiviere, aktivieren, aktuelle, blockieren, eingefangen, eset, firewall, firma, gefangen, gen, geschlossen, gestern, malware, melde, meldet, netzwerk, neu, neue, neuen, scan, scanner, traffic, verbreitet, viren, works



Ähnliche Themen: Malware? Neu im Firmennetzwerk


  1. Chimera Ransomware in Firmennetzwerk
    Plagegeister aller Art und deren Bekämpfung - 07.10.2015 (10)
  2. Unistall-Vo-package (Malware/Virus?) bei Win7 64 bit /Malware-Adware gelöscht -Danke!
    Lob, Kritik und Wünsche - 06.07.2014 (1)
  3. Trojaner und Malware auf meinem Laptop! Malwarebytes Anti-Malware hat 733 aufgespuert
    Plagegeister aller Art und deren Bekämpfung - 12.12.2013 (19)
  4. malware: antivirus security pro -anty-malware lässt sich nicht installieren
    Plagegeister aller Art und deren Bekämpfung - 03.10.2013 (15)
  5. Malware Yontoo // Malwarebytes-Anti-Malware-Programm keine identifizierte Datei gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.03.2013 (14)
  6. email link Malware Funde Heur.PE@4294967295, Malware@#nwdk01o66rpro, Malware@#2x6qrvr63cjrw
    Plagegeister aller Art und deren Bekämpfung - 29.10.2012 (10)
  7. OpenCandy [Malware] auf dem Rechner, aber Anti-Malware Programme finden keine Bedrohung.
    Plagegeister aller Art und deren Bekämpfung - 03.09.2012 (5)
  8. Virus/Malware verhindert Installation/Start jeglicher Anti-Malware/Virusprogramme
    Plagegeister aller Art und deren Bekämpfung - 03.02.2012 (17)
  9. Log-Analyse nach Trojaner/Malware befall (Malware.Trace / Trojan.BHO)
    Log-Analyse und Auswertung - 26.09.2011 (16)
  10. MAL_DOWNADJ ; WORM_DOWNAD.AD im gesamten Firmennetzwerk
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (25)
  11. Malware Spyware.passwords.xgen durch Malwarebyte Anti-Malware erkannt.
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (50)
  12. Rätselhafter Mailversand - Malware.Packer.Gen, Trojan.Patched und Malware.Trace
    Plagegeister aller Art und deren Bekämpfung - 03.11.2010 (25)
  13. Kann Malware nicht löschen! Trojan.Agent und Malware.Trace
    Plagegeister aller Art und deren Bekämpfung - 18.06.2010 (19)
  14. dynamische oder feste IPs im Firmennetzwerk
    Netzwerk und Hardware - 08.09.2009 (4)
  15. TR/Dropper.Gen im Firmennetzwerk entfernen
    Plagegeister aller Art und deren Bekämpfung - 02.08.2009 (0)
  16. langsames Laden von Seiten im Firmennetzwerk
    Log-Analyse und Auswertung - 22.06.2009 (1)
  17. Überwachung im Firmennetzwerk feststellen?
    Überwachung, Datenschutz und Spam - 17.11.2004 (6)

Zum Thema Malware? Neu im Firmennetzwerk - Hallo, bin in einer neuen Firma und seit gestern jetzt auch dort im Netzwerk mit meinem Laptop. Musste dahingehend auch die Laptop Encryption aktivieren (dieses McAffee laptop encryption zeugs, siehe - Malware? Neu im Firmennetzwerk...
Archiv
Du betrachtest: Malware? Neu im Firmennetzwerk auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.