Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   GVU Trojaner Windows XP 32bit (https://www.trojaner-board.de/112368-gvu-trojaner-windows-xp-32bit.html)

ischDD 26.03.2012 20:54
GVU Trojaner Windows XP 32bit
 
Hallo zusammen,

bei einem bekannten hat der GVU Virus zugeschlagen und nun muss ich das System bereinigen:

ESET Scan brachte folgendes:

Zitat:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=f6fec60d3080434eb5cd19a2b7df452b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-26 07:17:53
# local_time=2012-03-26 09:17:53 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777175 100 0 13694841 13694841 0 0
# compatibility_mode=6143 16777215 0 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 200 200 0 0
# scanned=60581
# found=7
# cleaned=0
# scan_time=3571
C:\Dokumente und Einstellungen\Steinert\Anwendungsdaten\Media Player Classic\{7B2B229D-D1EF-4CB2-9402-7E7927C9EC33}\UpgradeChecker.exe a variant of Win32/Kryptik.ADDU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Steinert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\fd883c0-2b798aae a variant of Java/TrojanDownloader.Agent.NDR trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Steinert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\655ced01-76a19617 a variant of Java/TrojanDownloader.Agent.NDR trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Steinert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\3250d42-6e22a130 Java/Agent.EI trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Steinert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63\5b14657f-6eda6f57 Java/Agent.EI trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Steinert\Lokale Einstellungen\Temp\Main.class a variant of Java/Exploit.CVE-2011-3544.BF trojan (unable to clean) 00000000000000000000000000000000 I
${Memory} a variant of Win32/Gataka.A trojan 00000000000000000000000000000000 I
zuvor hatte ich das system per MSConfig verdächtige Programme am starten gehindert und das Windows wieder gangbar gemacht und mit Avira, Malwarebytes' Anti-Malware. Spybot - Search & Destroy und CCleaner habe ich schon erste Scans unternommen.

Paar Sachen machen mich noch stutzig und ich weiß nicht, ob sie mit dem Befall zusammen hängen:
  • Windows lässt sich nicht im abgesicherten Modus Starten (reboot)
  • Firefox kann keine https Seiten öffnen (Dieser Verbindung wird nicht vertraut - Bei allen Websiten)
  • Der Prozess iexplore.exe läuft im Hintergrund ohne das der IE offen ist

Hier noch das log von OTL:
Zitat:
OTL logfile created on: 26.03.2012 19:57:02 - Run 1
OTL by OldTimer - Version 3.2.39.2 Folder = F:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,87 Gb Total Physical Memory | 1,35 Gb Available Physical Memory | 71,84% Memory free
3,04 Gb Paging File | 2,57 Gb Available in Paging File | 84,52% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 78,13 Gb Total Space | 50,17 Gb Free Space | 64,22% Space Free | Partition Type: NTFS
Drive D: | 70,92 Gb Total Space | 68,38 Gb Free Space | 96,42% Space Free | Partition Type: NTFS
Drive F: | 118,88 Mb Total Space | 34,49 Mb Free Space | 29,02% Space Free | Partition Type: FAT32

Computer Name: PC5 | User Name: user | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012.03.26 19:45:26 | 000,593,920 | ---- | M] (OldTimer Tools) -- F:\OTL.exe
PRC - [2011.10.11 15:00:02 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.10.11 14:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.10.11 14:59:37 | 000,258,512 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.10.11 14:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.06.05 11:48:14 | 000,144,712 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.11.03 18:20:12 | 000,866,584 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe
PRC - [2006.11.03 18:19:58 | 000,013,592 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MsMpEng.exe
PRC - [2005.08.11 16:30:30 | 000,081,920 | ---- | M] (Macrovision Corporation) -- C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe


========== Modules (No Company Name) ==========

MOD - [2012.01.03 15:10:46 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2011.10.11 14:59:51 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2006.10.31 08:35:00 | 000,196,608 | ---- | M] () -- C:\WINDOWS\system32\nvapi.dll
MOD - [2005.11.15 01:43:58 | 000,029,152 | R--- | M] () -- C:\WINDOWS\system32\spool\prtprocs\w32x86\FSPPMFP.DLL


========== Win32 Services (SafeList) ==========

SRV - [2011.10.11 14:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.10.11 14:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.06.29 15:59:18 | 000,155,344 | ---- | M] (Avanquest Software) [On_Demand | Stopped] -- C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe -- (Sony Ericsson PCCompanion)
SRV - [2010.01.09 22:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 22:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.06.05 11:48:14 | 000,144,712 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2006.11.03 18:19:58 | 000,013,592 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MsMpEng.exe -- (WinDefend)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - [2012.02.16 09:19:09 | 000,137,416 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.10.11 15:00:01 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.11 15:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.25 17:48:00 | 000,114,728 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018mdm.sys -- (s1018mdm)
DRV - [2009.03.25 17:48:00 | 000,109,864 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018unic.sys -- (s1018unic) Sony Ericsson Device 1018 USB Ethernet Emulation (WDM)
DRV - [2009.03.25 17:48:00 | 000,106,208 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018mgmt.sys -- (s1018mgmt) Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM)
DRV - [2009.03.25 17:48:00 | 000,104,744 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018obex.sys -- (s1018obex)
DRV - [2009.03.25 17:48:00 | 000,086,824 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018bus.sys -- (s1018bus) Sony Ericsson Device 1018 driver (WDM)
DRV - [2009.03.25 17:48:00 | 000,026,024 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018nd5.sys -- (s1018nd5) Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS)
DRV - [2009.03.25 17:48:00 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018mdfl.sys -- (s1018mdfl)
DRV - [2008.01.09 13:28:34 | 000,027,632 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\seehcri.sys -- (seehcri)
DRV - [2007.12.10 15:22:22 | 000,110,120 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017unic.sys -- (s3017unic) Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM)
DRV - [2007.12.10 15:22:22 | 000,100,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017obex.sys -- (s3017obex)
DRV - [2007.12.10 15:22:20 | 000,104,616 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017mgmt.sys -- (s3017mgmt) Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM)
DRV - [2007.12.10 15:22:20 | 000,025,512 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017nd5.sys -- (s3017nd5) Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS)
DRV - [2007.12.10 15:22:18 | 000,110,632 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017mdm.sys -- (s3017mdm)
DRV - [2007.12.10 15:22:18 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017mdfl.sys -- (s3017mdfl)
DRV - [2007.12.10 15:22:14 | 000,083,880 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017bus.sys -- (s3017bus) Sony Ericsson Device 3017 driver (WDM)
DRV - [2007.07.10 03:56:00 | 004,449,280 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.11.27 10:33:54 | 000,019,968 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006.11.27 10:33:50 | 000,058,368 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006.06.28 11:38:56 | 000,105,088 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nvata.sys -- (nvata)
DRV - [2005.06.03 13:47:06 | 000,079,488 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750obex.sys -- (k750obex)
DRV - [2005.06.03 13:47:04 | 000,081,728 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mgmt.sys -- (k750mgmt)
DRV - [2005.06.03 13:47:00 | 000,089,872 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mdm.sys -- (k750mdm)
DRV - [2005.06.03 13:46:58 | 000,006,576 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mdfl.sys -- (k750mdfl)
DRV - [2005.06.03 13:46:52 | 000,055,216 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750bus.sys -- (k750bus) Sony Ericsson 750 driver (WDM)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.selectedEngine: "Winamp Search"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="


FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.03.20 11:29:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.03.25 10:11:27 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 10.0.2\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.08.18 08:03:03 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 10.0.2\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins

[2010.11.02 12:05:47 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Mozilla\Extensions
[2010.11.02 12:05:47 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.02.17 15:34:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\8r2r0zzl.default\extensions
[2011.11.11 11:38:17 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.03.20 11:29:11 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.02.17 09:28:52 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.17 09:28:52 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.02.17 09:28:52 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.17 09:28:52 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.17 09:28:52 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.17 09:28:52 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2011.03.11 10:19:42 | 000,001,355 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeCS5ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe (Macrovision Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (Macrovision Corporation)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [PSBO Clean] C:\Programme\Box Operator\PSBO.exe ()
O4 - HKLM..\Run: [Windows Defender] C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [LicenseValidator] C:\Dokumente und Einstellungen\user\Anwendungsdaten\Identities\{66AE9753-95A2-4E3A-9C7A-9F617565076A}\LicenseValidator.exe ()
O4 - HKCU..\Run: [Sony Ericsson PC Companion] C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe (Sony Ericsson)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O8 - Extra context menu item: An OneNote s&enden - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{2626B4CD-8D3E-44FF-B57D-8EE6E8B6E1F9}: NameServer = 192.168.178.1,192.168.99.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:AutorunsDisabled () -
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} - C:\Programme\Windows Defender\MpShHook.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.06.23 12:26:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2012.03.26 19:43:23 | 000,237,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MpSigStub.exe
[2012.03.26 19:41:58 | 000,000,000 | ---D | C] -- C:\Programme\Windows Defender
[2012.03.26 19:37:37 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\GroupPolicy
[2012.03.25 12:22:28 | 000,258,560 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\user\Desktop\OTH.scr
[2012.03.25 12:02:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Temp
[2012.03.25 11:55:33 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2012.03.25 11:55:33 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2012.03.25 11:55:33 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2012.03.25 11:55:33 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2012.03.25 11:55:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2012.03.25 11:54:52 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.03.25 11:54:45 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\user\Startmenü\Programme\Verwaltung
[2012.03.25 10:02:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user\Desktop\AutoRuns
[2012.03.25 09:40:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\appmgmt
[2012.03.25 09:31:58 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\user\Recent
[2012.03.25 09:02:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner
[2012.03.25 09:02:51 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2012.03.25 00:09:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Malwarebytes
[2012.03.25 00:09:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.03.25 00:09:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.03.25 00:09:08 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.03.25 00:09:07 | 000,000,000 | ---D | C] -- C:\Programme\System
[2012.03.24 14:19:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2012.03.24 14:19:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Security Task Manager
[2012.03.24 14:19:06 | 000,000,000 | ---D | C] -- C:\Programme\Security Task Manager
[2012.03.24 12:25:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy
[2012.03.24 12:25:42 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2012.03.24 12:25:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2012.03.22 11:22:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\TeamViewer
[2012.03.22 11:22:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Media Player Classic
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012.03.26 19:55:14 | 000,057,877 | ---- | M] () -- C:\Dokumente und Einstellungen\user\Desktop\bookmarks.html
[2012.03.26 19:55:04 | 000,025,892 | ---- | M] () -- C:\Dokumente und Einstellungen\user\Desktop\bookmarks-2012-03-26.json
[2012.03.26 19:45:06 | 000,000,322 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2012.03.26 19:41:24 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.03.26 19:39:06 | 000,008,258 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2012.03.26 19:20:17 | 000,081,496 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012.03.26 19:19:58 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.03.25 12:15:43 | 005,476,480 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.03.25 12:13:20 | 000,258,560 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\user\Desktop\OTH.scr
[2012.03.25 10:11:27 | 000,001,714 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader X.lnk
[2012.03.25 10:02:21 | 000,534,483 | R--- | M] () -- C:\Dokumente und Einstellungen\user\Desktop\AutoRuns.zip
[2012.03.25 09:36:31 | 000,189,844 | ---- | M] () -- C:\Dokumente und Einstellungen\user\Eigene Dateien\cc_20120325_093603.reg
[2012.03.25 09:02:50 | 000,470,556 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.03.25 09:02:50 | 000,450,946 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.03.25 09:02:50 | 000,089,250 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.03.25 09:02:50 | 000,074,868 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.03.24 20:42:27 | 000,000,239 | -HS- | M] () -- C:\boot.ini
[2012.03.23 14:38:03 | 000,287,147 | ---- | M] () -- C:\WINDOWS\FontData.fdb
[2012.03.23 09:22:53 | 000,002,527 | ---- | M] () -- C:\Dokumente und Einstellungen\user\Desktop\CorelDRAW X3.lnk
[2012.03.22 09:57:05 | 000,002,489 | ---- | M] () -- C:\Dokumente und Einstellungen\user\Desktop\Microsoft Word 2010.lnk
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012.03.26 19:55:14 | 000,057,877 | ---- | C] () -- C:\Dokumente und Einstellungen\user\Desktop\bookmarks.html
[2012.03.26 19:55:04 | 000,025,892 | ---- | C] () -- C:\Dokumente und Einstellungen\user\Desktop\bookmarks-2012-03-26.json
[2012.03.26 19:45:06 | 000,000,322 | -H-- | C] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2012.03.26 19:42:00 | 000,000,927 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Defender.lnk
[2012.03.26 19:38:19 | 000,008,258 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2012.03.25 11:55:33 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2012.03.25 11:55:33 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2012.03.25 11:55:33 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2012.03.25 11:55:33 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2012.03.25 11:55:33 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2012.03.25 10:11:27 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader X.lnk
[2012.03.25 10:11:27 | 000,001,714 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader X.lnk
[2012.03.25 10:02:20 | 000,534,483 | R--- | C] () -- C:\Dokumente und Einstellungen\user\Desktop\AutoRuns.zip
[2012.03.25 09:36:12 | 000,189,844 | ---- | C] () -- C:\Dokumente und Einstellungen\user\Eigene Dateien\cc_20120325_093603.reg
[2012.02.15 09:16:46 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll

< End of report >
Das das System durch eine Winamp installation auch schon entsprechende Einträge Suche und toobar bekommen hat hab ich auch schon gesehen.

Gruß und Danke
isch

markusg 27.03.2012 09:52
hi
wieso wurde combofix auf eigene faust eingesetzt, ich denke die ansagen im tutorial sind deutlich genug...
wo ist vor allem das logfile, combofix.txt
wo sind die malwarebytes logs.
es werden ab jetzt, nur noch die von mir angeordneten scans durchgeführt.
danke.

ischDD 27.03.2012 10:06
Ich habe das System auch nur übernommen.

Nach dem Log von malwarebytes schaue ich mal.
Hatte aber keine Funde angezeigt.

Hier noch das log von malwarebytes

Zitat:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.24.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Steinert :: PC5 [Administrator]

24.03.2012 23:23:16
mbam-log-2012-03-24 (23-23-16).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 184728
Laufzeit: 20 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Hat nichts gefunden

ischDD 28.03.2012 21:05
Gits schon neue Infos wie ich weiter verfahren soll?

markusg 29.03.2012 10:13
sorry, habs übersehen.
- internet explorer 8, auch wenn du nen andern browser nutzt, muss er aktuell sein.
Detail Seite Windows Internet Explorer 8 für Windows XP
- automatische updates so konfigurieren, das sie automatisch geladen/instaliert werden:
Konfigurieren und Verwenden des Features "Automatische Updates" in Windows

wenn fertig, melden bitte.

ischDD 29.03.2012 16:50
Kein Problem ist ja auch haufen los zu Zeit.

Automatsiche Updates sind bereits eingestellt und auf dem aktuellen Stand.

IE6 war installiert und ich habe jetzt auf IE8 geupdatet, ist mir nicht aufgefallen, da FF genutzt wurde.

Nur zur Info Java habe ich deinstalliert, da ich von anfang an vermutet habe, dass das das Einfallstor war.

Kann soll ich weitere logs erstellen?

Danke

markusg 29.03.2012 16:53
hi,
java ist unteranderem ein weg um deinen pc zu infizieren, aber auch adobe, quicktime etc, alles muss aktuell sein, da kümmern wir uns gleich drumm.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.17.1689
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

ischDD 30.03.2012 15:49
Anbei die Liste, habe versucht durch einrücken etwas übersichtlicher zu machen.

Code:
notwendig        Adobe Flash Player 11 Plugin        Adobe Systems Incorporated                                        30.03.2012                                11.2.202.228
notwendig        Adobe Photoshop 7.0        Adobe Systems, Inc.                                                                                30.03.2012                                7.0
notwendig        Adobe Reader X (10.1.2) - Deutsch        Adobe Systems Incorporated                                25.03.2012                122,3MB        10.1.2
unnötig                Apple Mobile Device Support        Apple Inc.                                                                                15.07.2009                41,5MB        2.5.1.3
unnötig                Apple Software Update        Apple Inc.                                                                                        28.11.2008                2,16MB        2.1.1.116
notwendig        Avira Free Antivirus        Avira                                                                                                30.03.2012                                12.0.0.898
notwendig        AVM FRITZ!fax                                                                                                                                30.03.2012               
unnötig                Bonjour        Apple Inc.                                                                                                                        11.03.2009                0,49MB        1.0.106
notwendig        Canon Digital Camera USB WIA Driver                                                                                        30.03.2012               
notwendig        Canon PhotoRecord                                                                                                                        30.03.2012               
notwendig        Canon Utilities PhotoStitch 3.1                                                                                                30.03.2012               
notwendig        Canon Utilities RAW Image Converter                                                                                        30.03.2012               
notwendig        Canon Utilities RemoteCapture 2.1                                                                                        30.03.2012               
notwendig        Canon Utilities ZoomBrowser EX                                                                                                30.03.2012               
notwendig        CCleaner        Piriform                                                                                                                30.03.2012                                3.16
notwendig        CorelDRAW Graphics Suite X3        Corel Corporation                                                                23.06.2008                405MB        13.0
notwendig        ESET Online Scanner v3                                                                                                                30.03.2012               
notwendig        High Definition Audio Driver Package - KB888111        Microsoft Corporation                30.03.2012                                20040219.000000
unnötig                iTunes        Apple Inc.                                                                                                                        05.07.2009                111,8MB        8.2.0.23
notwendig        Malwarebytes Anti-Malware Version 1.60.1.1000        Malwarebytes Corporation        24.03.2012                                1.60.1.1000
unbekannt        Microsoft .NET Framework 2.0 Language Pack - DEU        Microsoft Corporation        17.11.2008               
unbekannt        Microsoft .NET Framework 2.0 Service Pack 2        Microsoft Corporation                        15.02.2012                185,2MB        2.2.30729
unbekannt        Microsoft .NET Framework 3.0 Service Pack 2        Microsoft Corporation                        23.06.2010                209MB        3.2.30729
unbekannt        Microsoft .NET Framework 3.5 SP1        Microsoft Corporation                                        11.01.2012               
unbekannt        Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation        17.02.2010                1
unbekannt        Microsoft Office 2000 SR-1 Professional        Microsoft Corporation                                07.07.2008                178,5MB        9.00.3821
notwendig        Microsoft Office Home and Student 2010        Microsoft Corporation                                30.03.2012                                14.0.6029.1000
unbekannt        Microsoft User-Mode Driver Framework Feature Pack 1.0Microsoft Corporation        17.11.2008               
unbekannt        Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053        Microsoft Corporation        03.02.2011        0,11MB        8.0.50727.4053
unbekannt        Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation                        17.06.2011                5,28MB        8.0.61001
unbekannt        Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        30.03.2010        10,2MB        9.0.30729.4148
unbekannt        Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161        Microsoft Corporation        17.06.2011        10,2MB        9.0.30729.6161
unbekannt        Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219        Microsoft Corporation        24.10.2011        15,0MB        10.0.40219
notwendig        Mozilla Firefox 11.0 (x86 de)        Mozilla                                                                                30.03.2012                                11.0
notwendig        Mozilla Thunderbird 10.0.2 (x86 de)        Mozilla        30.03.2012                10.0.2
unbekannt        MSXML 4.0 SP2 (KB936181)        Microsoft Corporation                                                        24.06.2008                2,62MB        4.20.9848.0
unbekannt        MSXML 4.0 SP2 (KB954430)        Microsoft Corporation                                                        12.11.2008                2,67MB        4.20.9870.0
unbekannt        MSXML 4.0 SP2 (KB973688)        Microsoft Corporation                                                        25.11.2009                2,77MB        4.20.9876.0
unbekannt        MSXML 6 Service Pack 2 (KB973686)        Microsoft Corporation                                        25.11.2009                1,40MB        6.20.2003.0
notwendig        NVIDIA Drivers                                                                                                                                30.03.2012               
unnötig                QuickTime        Apple Inc.                                                                                                                15.07.2009                74,6MB        7.62.14.0
notwendig        Realtek High Definition Audio Driver        Realtek Semiconductor Corp.                        27.06.2008                                5.10.0.5443
notwendig        Security Task Manager 1.8d        Neuber Software                                                                        30.03.2012                                1.8d
notwendig        Sony Ericsson Media Manager 1.1        Sony Ericsson                                                                17.11.2008                62,6MB        1.1.550
notwendig        Sony Ericsson PC Companion 2.02.002        Sony Ericsson                                                        13.12.2011                                2.02.002
notwendig        Sony Ericsson PC Suite 1.20.173        Sony Ericsson                                                                02.07.2008                81,6MB        1.20.173
notwendig        Sophos Windows Shortcut Exploit Protection Tool        Sophos                                                28.07.2010                0,11MB        1.0.0.0
notwendig        Spybot - Search & Destroy        Safer Networking Limited                                                24.03.2012                                1.6.2
unnötig                Winamp Toolbar                                                                                                                                30.03.2012               
notwendig        Windows Defender        Microsoft Corporation                                                                        26.03.2012                9,10MB        1.1.1593.0
unnötig                Windows Internet Explorer 8        Microsoft Corporation                                                        29.03.2012                                20090308.140743
unnötig                Windows Media Format 11 runtime                                                                                                30.03.2012               
unnötig                Windows Media Player 11                                                                                                                30.03.2012               
notwendig        Windows XP Service Pack 3        Microsoft Corporation                                                        02.02.2011                                20080414.031514

markusg 30.03.2012 16:36
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok


deinstaliere:
Apple : alle
ESET : bei bedarf instalieren.
iTunes
QuickTime
Sophos Windows Shortcut Exploit : spiel einfach alle windows updates ein, dann ist das nicht nötig.
Spybot : nicht mehr sonderlich hilfreich, behalte und nutze lieber von zeit zu zeit malwarebytes.
Winamp

öffne ccleaner analysieren ccleaner starten, pc neustarten, testen wie das system läuft.

ischDD 30.03.2012 19:32
Aktuelles Flash Update wurde beim letzten Neustart eingespielt.
Acrobat Reader ist auch aktuell einstellungen hab ich gemacht.

Nicht benötige Programme hab ich deinstalliert.

CCleaner hab ich laufen lassen, hat paar Temp Internetdateien, Cookies und Co gelöscht nichts auffälliges.

Stutzig mach mich noch, dass FF immer die Meldung bei jeder https: Seite bringt:
Code:
Dieser Verbindung wird nicht vertraut
Technische Details
          addons.mozilla.org verwendet ein ungültiges Sicherheitszertifikat.

Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.
Das Zertifikat gilt nur für Production Security Services.

(Fehlercode: sec_error_untrusted_issuer)
auch eine neuinstllation und das Löschen des Profils brachte nichts.

Anivir meldet Gerade:
Code:
In der Datei 'C:\Dokumente und Einstellungen\User\Anwendungsdaten\Identities\{66AE9753-95A2-4E3A-9C7A-9F617565076A}\LicenseValidator.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Injector.dvkc' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Der Security Task Manager sagt folgendes zu dem Prozess:

Code:
Prozess Beschreibung: ArcaVir Antispam list modification tool
Produkt: ArcaVir 2009
Firma: WestByte
Datei: LicenseValidator.exe

markusg 30.03.2012 19:35
o, das mit den https verbindungen hatte ich übersehen, weist auf ein mögliches rootkit hin, deswegen:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

ischDD 31.03.2012 13:58
Ich hab den PC noch mal mit der Kaspersky Rescue Disk 10 gebootet und scannen lassen.

Dabei konnten die zwei restlichen Schädlinge entfernt werden.

Firefox verhält sich wieder normal https: Seiten wenden ohne Problme geöffnet und die iexplore.exe ist auch verschwunden.

Code:

Status: Gelöscht  (Ereignisse: 6)       
31.03.12 06:59        Gelöscht        trojanisches Programm Trojan-Dropper.Win32.Injector.dvkc        C:/Dokumente und Einstellungen/User/Anwendungsdaten/Identities/{E49DB9EB-EE92-4A44-8870-DD5AFCDDD19D}/LicenseValidator.exe        Hoch       
31.03.12 07:00        Gelöscht        trojanisches Programm Trojan-Dropper.Win32.Injector.dvkc        C:/Dokumente und Einstellungen/User/Anwendungsdaten/TeamViewer/{BBC0F04C-D4D3-4995-A6FE-7FEF074091C5}/UpgradeChecker.exe        Hoch       
31.03.12 07:01        Gelöscht        trojanisches Programm HEUR:Trojan.Win32.Generic        C:/System Volume Information/_restore{32992591-0146-4D98-9249-95BD7D09BC23}/RP938/A0103823.exe        Hoch       
31.03.12 07:02        Gelöscht        trojanisches Programm Trojan-Downloader.Win32.Agent.vbxu        C:/System Volume Information/_restore{32992591-0146-4D98-9249-95BD7D09BC23}/RP939/A0103831.exe        Hoch       
31.03.12 07:02        Gelöscht        trojanisches Programm Trojan-Dropper.Win32.Injector.dvkc        C:/System Volume Information/_restore{32992591-0146-4D98-9249-95BD7D09BC23}/RP947/A0105353.exe        Hoch       
31.03.12 07:02        Gelöscht        trojanisches Programm Trojan-Dropper.Win32.Injector.dvkc        C:/System Volume Information/_restore{32992591-0146-4D98-9249-95BD7D09BC23}/RP948/A0105354.exe        Hoch

markusg 31.03.2012 15:42
ok war nichts weiter tragisches.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.17.1689
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

ischDD 31.03.2012 21:48
Zitat:
Zitat von markusg (Beitrag 805132)
ok war nichts weiter tragisches.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.17.1689
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
Hatte ich bereits in Post #8 gemacht

markusg 01.04.2012 17:28
sorry, tretn noch probleme auf momentan?


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:03 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129