adspy gen2 und cmdow.exe

Kola · 04.05.2011, 17:49

oh, das habe ich übersehen.
bitte schön:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 115):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EC000 \WINDOWS\system32\hal.dll
0xF8A42000 \WINDOWS\system32\KDCOM.DLL
0xF8952000 \WINDOWS\system32\BOOTVID.dll
0xF84F2000 ACPI.sys
0xF8A44000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF84E1000 pci.sys
0xF8542000 isapnp.sys
0xF8B0A000 PCIIde.sys
0xF87C2000 \WINDOWS\System32\Drivers\PCIIDEX.SYS
0xF8A46000 intelide.sys
0xF8552000 MountMgr.sys
0xF84C2000 ftdisk.sys
0xF8A48000 dmload.sys
0xF849C000 dmio.sys
0xF87CA000 PartMgr.sys
0xF8562000 VolSnap.sys
0xF8484000 atapi.sys
0xF8572000 aic78xx.sys
0xF846C000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xF8582000 disk.sys
0xF8592000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF844D000 fltMgr.sys
0xF843B000 sr.sys
0xF8424000 KSecDD.sys
0xF8397000 Ntfs.sys
0xF836A000 NDIS.sys
0xF834F000 Mup.sys
0xF86D2000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF81C9000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xF81B5000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF8872000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF8192000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF887A000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF8882000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xF817E000 \SystemRoot\system32\DRIVERS\parport.sys
0xF86E2000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF888A000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF8892000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF816D000 \SystemRoot\system32\DRIVERS\serial.sys
0xF89DE000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF86F2000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF8702000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF8712000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF814A000 \SystemRoot\system32\DRIVERS\ks.sys
0xF889A000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF8081000 \SystemRoot\system32\drivers\cmuda.sys
0xF805D000 \SystemRoot\system32\drivers\portcls.sys
0xF8722000 \SystemRoot\system32\drivers\drmk.sys
0xF8BBB000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF8732000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF89E6000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF8017000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF8742000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF8752000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF88A2000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF7F66000 \SystemRoot\system32\DRIVERS\psched.sys
0xF8762000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF88AA000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF88B2000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7F35000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF8792000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF87A2000 \SystemRoot\system32\DRIVERS\VClone.sys
0xF8A54000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF7ED9000 \SystemRoot\system32\DRIVERS\update.sys
0xF8A0E000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF8622000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF8662000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF8A64000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF8A8A000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8B90000 \SystemRoot\System32\Drivers\Null.SYS
0xF8A8C000 \SystemRoot\System32\Drivers\Beep.SYS
0xF88F2000 \SystemRoot\System32\drivers\vga.sys
0xF8A8E000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8A90000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF88FA000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF8902000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7F19000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xEFDD6000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xEFD7E000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xEFD56000 \SystemRoot\system32\DRIVERS\netbt.sys
0xEFD34000 \SystemRoot\System32\drivers\afd.sys
0xF8692000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF890A000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xEFD09000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xEFC72000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF86A2000 \SystemRoot\System32\Drivers\Fips.SYS
0xEFC51000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF86B2000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF86C2000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xEFB8B000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF8A94000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF7FF7000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEFB73000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8A9A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xEFE1D000 \SystemRoot\System32\drivers\Dxapi.sys
0xF8922000 \SystemRoot\System32\watchdog.sys
0xBF9C1000 \SystemRoot\System32\drivers\dxg.sys
0xF8BED000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF9E1000 \SystemRoot\System32\ialmdnt5.dll
0xBF9D3000 \SystemRoot\System32\ialmrnt5.dll
0xBFA03000 \SystemRoot\System32\ialmdev5.DLL
0xBFA38000 \SystemRoot\System32\ialmdd5.DLL
0xEFA1E000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xEF985000 \??\C:\Programme\Sandboxie\SbieDrv.sys
0xEF9E2000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xEF688000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xEF64B000 \SystemRoot\system32\drivers\wdmaud.sys
0xEF7CD000 \SystemRoot\system32\drivers\sysaudio.sys
0xF8AE6000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xEF3CC000 \SystemRoot\system32\DRIVERS\srv.sys
0xEF223000 \SystemRoot\System32\Drivers\HTTP.sys
0xEEF9F000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 28):
0 System Idle Process
4 System
500 C:\WINDOWS\system32\smss.exe
556 csrss.exe
580 C:\WINDOWS\system32\winlogon.exe
624 C:\WINDOWS\system32\services.exe
636 C:\WINDOWS\system32\lsass.exe
800 C:\WINDOWS\system32\svchost.exe
856 svchost.exe
920 C:\Programme\Sandboxie\SbieSvc.exe
940 C:\WINDOWS\system32\svchost.exe
1040 svchost.exe
1148 svchost.exe
1420 C:\WINDOWS\system32\spoolsv.exe
1468 C:\Programme\Avira\AntiVir Desktop\sched.exe
1484 C:\WINDOWS\explorer.exe
1596 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1612 C:\WINDOWS\system32\hkcmd.exe
1636 C:\WINDOWS\system32\igfxpers.exe
1652 C:\Programme\Sandboxie\SbieCtrl.exe
1932 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1944 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
2028 C:\WINDOWS\system32\svchost.exe
420 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2008 alg.exe
2152 C:\WINDOWS\system32\wscntfy.exe
2556 C:\WINDOWS\system32\wuauclt.exe
2772 C:\Dokumente und Einstellungen\Administrator\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD1600JS-00NCB1, Rev: 10.02E02

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

cosinus · 04.05.2011, 18:06

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Kola · 07.05.2011, 08:21

mist, malwarebytes hat was gefunden:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6524

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

07.05.2011 09:19:09
mbam-log-2011-05-07 (09-19-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 166670
Laufzeit: 11 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{84197849-8dd7-41fd-8be1-875764937e5c}\RP8\A0001512.exe (PUP.Tool) -> No action taken.
c:\WINDOWS\system32\cmdow.exe (PUP.Tool) -> No action taken.

cosinus · 07.05.2011, 15:12

Die Überreste bitte entfernen! Poste das Log vom anderen Tool bitte auch.

Kola · 08.05.2011, 19:07

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/08/2011 at 08:00 PM

Application Version : 4.52.1000

Core Rules Database Version : 7013
Trace Rules Database Version: 4825

Scan type : Complete Scan
Total Scan Time : 00:44:20

Memory items scanned : 381
Memory threats detected : 0
Registry items scanned : 5135
Registry threats detected : 0
File items scanned : 34798
File threats detected : 2

Trojan.Agent/Gen-CDesc[VB-Packed]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{84197849-8DD7-41FD-8BE1-875764937E5C}\RP21\A0004220.DLL

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{84197849-8DD7-41FD-8BE1-875764937E5C}\RP50\A0016637.EXE

cosinus · 09.05.2011, 11:34

Sind nur Überreste in der Systemwiederherstellung.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Rechner ansonsten wieder ok oder noch Probleme offen?

Kola · 09.05.2011, 18:02

So weit scheint alles in ordnung zu sein.
ich bedanke mich schon einmal.
ich habe den ie8 installiert, lade gerade noch das sp3 herunter...
habe noch diverse addons für firefox installiert...
am Wochenende werde ich mir noch eure tutorials anschauen, scheint für mich sehr interessantes dabei zu sein

habe ich sonst noch was vergesssen?

lg kola

cosinus · 09.05.2011, 19:09

Wenn SP3 und IE8 installiert sind wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

04.05.2011, 18:06	#17
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	adspy gen2 und cmdow.exe Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ __________________

07.05.2011, 15:12	#19
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	adspy gen2 und cmdow.exe Die Überreste bitte entfernen! Poste das Log vom anderen Tool bitte auch. __________________ Logfiles bitte immer in CODE-Tags posten

adspy gen2 und cmdow.exe

Plagegeister aller Art und deren Bekämpfung: adspy gen2 und cmdow.exe