Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Rechner lässt sich nicht im abgesicherten Modus hochfahren (https://www.trojaner-board.de/45875-rechner-laesst-abgesicherten-modus-hochfahren.html)

Gert mit t 15.11.2007 18:03
Rechner lässt sich nicht im abgesicherten Modus hochfahren
 
Hallo
ich melde mich zum ersten mal in diesem Forum. Ich habe ein Notebook mit Windows XP Home mit SP 2 in Betrieb. Jetzt lässt sich der Rechner nicht mehr im abgesicherten Modus hochfahren. Antvirenprogramme lassen sich nicht updaten oder neu installieren. Ebenso der Internetexplorer. Wenn ich im Internetexplorer eine URL eingebe wird diese in Opera (Mein Standardbrowser) geöffnet




Logfile of Trend Micro HijackThis v2.0.2
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]



aswclnr sagt mir folgendes:

15.11.2007, 08:50:26
Memory scanning started...
No virus body found in memory.
Memory scanning finished (36,2s).
----------
Files scanning started...
C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Temp\hsperfdata_Max Mustermann\1464... file could not be scanned!
C:\WINDOWS\system32\ntoskrnl.exe... file could not be scanned!
C:\WINDOWS\system32\CatRoot2\edb.log... file could not be scanned!
C:\WINDOWS\system32\CatRoot2\tmp.edb... file could not be scanned!
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb... file could not be scanned!
C:\WINDOWS\system32\dllcache\ntoskrnl.exe... file could not be scanned!
No virus body found.
Files scanning finished (157062 files, 0 infected, 2912,1s).
Drives scanned: C:

wobei diese beiden Dateien:
C:\WINDOWS\system32\ntoskrnl.exe..
C:\WINDOWS\system32\dllcache\ntoskrnl.exe.
nur ganz kurz im Explorer zu lesen sind um dann als:
ntprint.dll zu erscheinen

Kaspersky Onlinescanner hat folgendes Ergebniss:

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 4. November 2007 20:57:02
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 4/11/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 451496

Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte
Archive untersuchen ja
Mail-Datenbanken untersuchen ja

Untersuchungsobjekt Arbeitsplatz
C:\
D:\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 155765
Viren gefunden 3
Infizierte Objekte gefunden 5
Verdächtige Objekte gefunden 0
Untersuchungszeit 01:54:02

Name des infizierten Objekts Virusname Letzte Aktion
C:\!KillBox\A0000489.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.fg übersprungen

C:\!KillBox\A0000510.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.fg übersprungen

C:\!KillBox\wowfaxuj.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Stud.d übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\indexer\indexer.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\indexer\indexer_2048.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\indexer\indexer_256.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\indexer\indexer_64.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\indexer\indexer_8192.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\lexicon\lexicon.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\mailbase.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007110420071105\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\ntuser.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Programme\RealVNC\VNC4\vncviewer.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.4 übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\EventCache\{7604F53D-03AD-470F-88E0-042C1C70D7A9}.bin Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\fidbox2.dat Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\fidbox2.idx Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wowfaxuj.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Stud.d übersprungen

C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Vielen Dank im Voraus für eure Mühe

Gert

Franz1968 15.11.2007 18:16
Hallo,

da du noch online bist, editiere bitte alle aktiven Links und persönliche Informationen wie z. B. deinen Namen aus deinem Posting.

Wie bist du darauf gekommen, drei Dateien mit Killbox zu löschen?
Zitat:
C:\!KillBox\A0000489.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.fg übersprungen

C:\!KillBox\A0000510.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.fg übersprungen

C:\!KillBox\wowfaxuj.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Stud.d übersprungen
Du hast damit nichts falsch gemacht, aber dennoch wäre der Hintergrund interessant.

Die ersten beiden dieser Dateien:
Zitat:
C:\!KillBox\A0000489.exe
C:\!KillBox\A0000510.sys
überprüfe bitte auf Virustotal; im Anschluss poste das Ergebnis.

Prüfe außerdem dein System mit Blacklight: ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
Poste im Anschluss den Report.

Gert mit t 15.11.2007 19:13
Jetzt sieht es so aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:53, on 15.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\flcss.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RFA Platinum\rfagent.exe
C:\PROGRA~1\SA269F~1.D\PHOENI~1\pbtray.exe
C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7pro\IE7Pro.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {3041BE2F-134A-4AD5-8BB2-63413471E5DF} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe"
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\system32\flcss.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [rfagent] "C:\Programme\RFA Platinum\rfagent.exe"
O4 - HKCU\..\Run: [Phoenix Backup] C:\PROGRA~1\SA269F~1.D\PHOENI~1\pbtray.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [XPize Darkside Reloader] C:\WINDOWS\XPize Darkside\XPize Darkside Reloader.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194181257359
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/activex/fa_os_mms/upload_1141.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{421DFB53-8436-43DA-AC27-64D8598962ED}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5231F3AB-8FD7-437F-B23B-0D8889EAC4C1}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{421DFB53-8436-43DA-AC27-64D8598962ED}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{421DFB53-8436-43DA-AC27-64D8598962ED}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

--
End of file - 8371 bytes
Zu den gelöschten Dateien kann ich dir leider nichts sagen. Bin ein reiner User. Hab von allem was im Hintergrund läuft fast gar keine Ahnung. Auch die Killbox ist nicht mehr installiert. Ein neuer Kasperskyscan war leider nicht möglich, da der IE – Explorer da streikt.

Gert

Franz1968 15.11.2007 19:17
Ok, aber du wirst Killbox ja aufgrund eines konkreten Verdachts angewendet haben. Welcher war das?

Vergiss bitte nicht die Virustotal-Auswertung und den Blacklight-Scan.

Gert mit t 15.11.2007 19:30
Blacklight Scan sagt: 10 hidden Items found.
Kann man bei Virus Total immer nur eine Datei hochladen?:confused:

Gert

Franz1968 15.11.2007 19:34
Ja, immer nur eine Datei auf einmal.

Die hidden items würde ich gern mal sehen. Blacklight legt eine Reportdatei im Ordner C:\ ab. Ihr Name beginnt mit fsbl und hört mit der Endung .txt auf; dazwischen stehen Ziffern (u. a. das aktuelle Datum). Poste bitte ihren Inhalt.

Gert mit t 15.11.2007 20:02
Ich habs gefunden (schwitz)

11/15/07 19:19:28 [Info]: BlackLight Engine 1.0.67 initialized
11/15/07 19:19:28 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/15/07 19:19:28 [Note]: 7019 4
11/15/07 19:19:28 [Note]: 7005 0
11/15/07 19:19:34 [Note]: 7006 0
11/15/07 19:19:34 [Note]: 7011 1284
11/15/07 19:19:35 [Note]: 7026 0
11/15/07 19:19:35 [Note]: 7026 0
11/15/07 19:19:37 [Note]: FSRAW library version 1.7.1024
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Empty.txt
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Filters.xml
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\news.png
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\paint.png
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Profiles\Blank.txt
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample1.jpg
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample2.jpg
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Note]: 10002 2
11/15/07 19:21:43 [Note]: 10002 2
11/15/07 19:22:48 [Note]: 10002 2
11/15/07 19:22:48 [Note]: 10002 2
11/15/07 19:23:12 [Info]: Hidden file: c:\WINDOWS\system32\wintems.exe
11/15/07 19:23:12 [Note]: 10002 2
11/15/07 19:23:45 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
11/15/07 19:23:45 [Note]: 10002 2
11/15/07 19:23:45 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
11/15/07 19:23:45 [Note]: 10002 2
11/15/07 19:58:11 [Note]: 7007 0

Gert

Gert mit t 15.11.2007 20:09
Welche Dateien müssen denn unbedingt mit Virus Total gecheckt werden.

Gert

Franz1968 15.11.2007 20:11
Das war zu befürchten. :(
hidr.exe und srosa.sys gehören zu Bagle, wintems.exe offenbar auch. Bagle ist eine Familie von Würmern, deren Vertreter meist Rootkitfähigkeiten haben. In deinem Fall (wintems.exe) scheint Bagle auch eine Backdoor eingerichtet zu haben. Dadurch ist dein System kompromittiert.
Ich kann dir nur empfehlen, es neu aufzusetzen, denn eine Rootkit- und/oder Backdoor-Infektion kann man nicht zuverlässig bereinigen. Eine Anleitung dazu findest du hier im Unterforum FAQ.

Franz1968 15.11.2007 20:14
Dein nachfolgendes Posting sehe ich erst jetzt, nach meiner Antwort. Die Prüfung mit Virustotal ist nicht mehr notwendig, denn der Verdacht auf Bagle hat sich schon durch Blacklight "eindrucksvoll" bestätigt. An einer Neuinstallation führt meiner Meinung nach kein Weg vorbei, sorry.

Gert mit t 15.11.2007 20:30
Keine schöne Nachricht aber trotzdem vielen Dank.

Gert


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:11 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28