Trojaner-Board - Rootkit / Trojanerbefall- erfolgreich entfernt ?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Rootkit / Trojanerbefall- erfolgreich entfernt ? (https://www.trojaner-board.de/60624-rootkit-trojanerbefall-erfolgreich-entfernt.html)

Rootkit / Trojanerbefall- erfolgreich entfernt ?

Hallo,

beim Ansurfen einer Website hat sich vor 2 Wochen ein ganzes Paket Schädlinge gedownloadet.
Ich nutze XP SP 2 (Updates aktuell)
Motherboard MSI KK9N Neo-F V2
CPU Athlon 64X2 4200+ AM2
Festplatte intern (Laufwerk C) Samsung 250 GB
Festplatte extern (Laufwerk E) LaCie (WD) 80 GB
Antivirenprogramm AVAST
Firefox 3 (beim Befall: Version 2)

Die angezeigten Schädlinge nennen sich
Win 32:Trojan.gen
Win 32: Bravix
VBS: Malware-gen
Win32/Adware.Virtumonde
Win32/PrivacyRemover.M64
C:\WINDOWS\system32\TDSSL.dll.virus (wurde auch als Rootkit bezeichnet)

Ich habe zuerst zum Putzen verwendet:
AVAST
Bitdefender Free Edition v10
Spybot S & D

Danach schien das System frei, aber hängte sich bisweilen beim Hochbooten auf, obwohl ich XP regelmäßig mit Tune Up 2004 aufräume.
Danach ließ ich
Panda Anti- Rootkit 1.08 suchen, das fand nichts.
Um sicherzustellen, daß nichts vor Windows zuschlägt, prüfte ich mit
Avira Rescue System und
F-Secure Rescue CD 3.0,
beide mit bootbarer CD unter Linux (?) ausgeführt.
F-Secure hatte dabei herbe Schwierigkeiten, den MBR zu testen, lauter Error- Meldungen. Also hab ich ihn sicherheitshalber mit fixmbr neu erstellt. Seitdem bootet der PC wieder flüssig hoch.
AVAST lief auch im abgesicherten Modus über den PC. Dabei konnte ich Zoltan und Smitfraud löschen.
Die Tage gab AVAST eine Warnung durch, mögliches Rootkit TDss.A (uVb, hatte ich nicht notiert). AVAST benannte die Datei um, mit Bitdefender konnte ich sie löschen. Danach suchte ich mit verschiedenen Anti- Rootkits:
MS Malicious Software Removal Tool
AVG Anti- Rootkit free
Sophos Anti-Rootkit,
alle zeigten keinen Befund.

Hab ich mein System jetzt wieder sauber ?
Kann ich wieder unbesorgt in Online- Shops bestellen ?
Was kann ich noch tun ?
Bitte habt etwas Nachsicht mit mir, ich bin ein recht guter User, hab aber umso weniger Ahnung, je tiefer es ins System geht.
Danke vorab.

Hallo,

schade, daß bisher niemand geantwortet hat. Wenn ich was falsch mache beim Posting, schreibt mir das ruhig, ich bin kritikfähig ;) .
Vielleicht hätte ich gleich ein HJT- Logfile posten sollen. Wird hiermit nachgeholt:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:19:20, on 25.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programme\Comodo\Firewall\CPF.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe

C:\Programme\Softwin\BitDefender10\bdagent.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Comodo\Firewall\cmdagent.exe

C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe

C:\Programme\Softwin\BitDefender10\vsserv.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.amazon.de/gp/r.html?R=2LQ2IGYHEMC4I&C=3G3E1GER04CD7&H=WNHKfakc0trzD3m8omE8r8LmAQkA&T=C&U=http%3A%2F%2Fwww.amazon.de%2Fexec%2Fobidos%2Ftg%2Ffeature%2F-%2F1000174073%2Fref%3Dpe_13271_10895871_hi_img_2%2F

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background

O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe

O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
 

--

End of file - 6037 bytes

Scanne dein system mit Malwarebytes und SuperAntispyware. Logs posten.

Entscheide dich für einen Virenscanner. Avast oder Bitdefender

den Teatimer und den SDhelper von Spybot - Search & Destroy würd ich deaktivieren.

Hier ist das Log von Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.28

Datenbank Version: 1205

Windows 5.1.2600 Service Pack 2
 

25.09.2008 21:44:25

mbam-log-2008-09-25 (21-44-25).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|)

Durchsuchte Objekte: 94636

Laufzeit: 21 minute(s), 51 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 3

Infizierte Registrierungswerte: 3

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Spyware.OnlineGames) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Und hier das Log von SuperAntispyware:

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 09/25/2008 at 11:01 PM
 

Application Version : 4.21.1004
 

Core Rules Database Version : 3579

Trace Rules Database Version: 1567
 

Scan type       : Complete Scan

Total Scan Time : 00:27:33
 

Memory items scanned      : 404

Memory threats detected   : 0

Registry items scanned    : 3550

Registry threats detected : 1

File items scanned        : 57935

File threats detected     : 42
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Horst\Cookies\horst@hotbar[2].txt

        C:\Dokumente und Einstellungen\Horst\Cookies\horst@content.licenseacquisition[1].txt

        C:\Dokumente und Einstellungen\Horst\Cookies\horst@www.zango[1].txt

        C:\Dokumente und Einstellungen\Horst\Cookies\horst@im.banner.t-online[1].txt

        C:\Dokumente und Einstellungen\Horst\Cookies\horst@adfarm1.adition[1].txt

        C:\Dokumente und Einstellungen\Horst\Cookies\horst@media.licenseacquisition[1].txt

        C:\Dokumente und Einstellungen\Horst\Cookies\horst@contentcatalog.hotbar[1].txt
 

Trojan.FakeAlert/Desktop

        HKU\S-1-5-21-1757981266-602609370-725345543-1004\CONTROL PANEL\DESKTOP#PREVWALLPAPER
 

Trace.Known Threat Sources

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\zango-inc[1].gif

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\index[1].html

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\js_zango_com[2].js

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\AC_RunActiveContent[2].js

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\bg[1].jpeg

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\content.licenseacquisition[1].html

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\ContentDisplay[2].js

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\tracker[2].js

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\cookie[2].js

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\btn[1].gif

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\s4[1].jpeg

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango_corporate[1].css

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\ncp[1].css

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\sitedisp[1].com&Path=&SiteVer=0

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\zango_menu_default[2].css

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango_global[2].css

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\hbicondrop[1].html

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\shopper_large[1].gif

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\uparrow[1].jpeg

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\btn[1].jpeg

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\csshover[1].htc

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\zango_logo[1].gif

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\zango_global[1].css

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango_home[2].css

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\s1[1].jpeg

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\s2[1].jpeg

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\listsep[1].gif

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\zango_consumer[2].css

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\zango_menu_template[3].css

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\faqs[1].html

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\Zango[2].js

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\Uninstaller[1].exe

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango_menu_default[1].css

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\nav_bg[1].gif

        C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango[1].html

Sieht bescheiden aus. Enttäuschend, daß die vielen Programme, mit denen ich vorher gescannt hatte, so viel übersehen haben.
Den Teatimer hab ich deaktiviert. Galt das temporär oder soll er generell ausbleiben ?
Avast ist mein Standard- Scanner. Bitdefender hat keinen Wächter, war nur als Ergänzung gedacht. Soll ich ihn löschen ?
Die Anleitung zu Super Antispyware solltet ihr überarbeiten. Die Screenshots und das Handling hat sich teilweise geändert.
Was kann ich noch tun ?

Danke,

Horst

Das Hijackthis Log sieht ok aus.
Den Tearimer würd ich generell deaktivieren, wenn es der Bitdefender free ist kannst du ihn installiert lassen.

zu guter letzt noch das hier:
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)

Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Hallo, erty,

ich habe SmitfraudFix nach Anleitung im abgesicherten Modus laufen lassen. Hier das Ergebnis:

Code:

SmitFraudFix v2.354
 

Scan done at 22:19:06,87, 26.09.2008

Run from C:\Dokumente und Einstellungen\Horst\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» Process
 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\cmd.exe
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Horst
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Horst\Application Data
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Horst\FAVORI~1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Die derzeitige Homepage"

 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch

!!!Attention, following keys are not inevitably infected!!!
 

o4Patch

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

!!!Attention, following keys are not inevitably infected!!!
 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» RK
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Danach hab ich nach Anleitung gereinigt (Option 2). Zur Sicherheit hier das Log nach der Reinigung:

Code:

SmitFraudFix v2.354
 

Scan done at 22:21:06,07, 26.09.2008

Run from C:\Dokumente und Einstellungen\Horst\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
 
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 

127.0.0.1       localhost
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
 

S!Ri's WS2Fix: LSP not Found.
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 

GenericRenosFix by S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» RK
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done. 

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Hoffentlich kommen wir soweit, daß ich wieder online bestellen kann, ohne mir Sorgen zu machen, daß meine Paßwörter ausgelesen werden...
entschuldige, ich weiß, ich nerve.

Gruß,

Horst

Hallo, erty,

bis jetzt läuft das System sauber, ohne weitere Meldungen. Teatimer und SuperAntispyware hab ich aus dem Autostart rausgeworfen. Mittlerweile hab ich mich auch getraut, ein wenig MMORPG zu spielen.
BTW, kann man Firefox 3 gegen Driveby- Malwaredownloads absichern ? Die Version 2 hatte ich auch so eingestellt, daß vor jedem Download gefragt wird, hatte ja leider in dem Fall nicht funktioniert.

also so wie es aussieht hat malwarbytes und superantispyware "nur" noch reste gelöscht.

Driveby-Malwaredownloads werden meist über Sicherheitslücken im Browser oder über angreifbare Systemkomponenten (Windows Media Player, real player, flash...) eingeschleust. --> updaten, updaten, updaten und überlegen auf welchen seiten man surft...

Für den firefox empfehle ich dir zusätzlich das noscript.

Überprüfe deine Einstellungen in Avast.

Hallo, erty,

Firefox ist auf Vers. 3.03, NoScript hab ich installiert. Flash ist upgedatet. Real hab ich nicht, Quicktime seh ich noch nach. Windows Media Player 9 ist installiert, empfiehlt es sich, auf Vers. 10 upzudaten ?
Den Avast- Wächter hab ich auf hoch eingestellt, war früher auf normal. Alle Updates lass ich sowieso automatisch installieren, damit er aktuell bleibt. Die anderen Einstellungen sind Standard, Prüfung ohne Ausschlüsse.
Das mit dem Überlegen, auf welchen Seiten man surft, hab ich meiner Tochter nicht ganz beibringen können (OK, ich bin da auch nicht fehlerlos ;) ), ist aber in Arbeit. Ich hab mir schon überlegt, ob ich ihren Laptop auch mit dem Internet verbinde, mal sehen.
Ist mein System jetzt -soweit das übersehbar ist- wieder so clean, daß ich online einkaufen kann ?

Gruß,

Horst

ich würde sagen ja, aber 100% kann ich dir das natürlich nicht bestätigen.

Du könntest mit Dr.Web CureIt nochmals einen Fullscan machen. Vorteil Dr. Web: es wird nichts, auch keine services o.ä installiert.

Hier das Ergebnis von Dr.Web CureIt:

Code:

mzccntrl.exe;c:\programme\gemeinsame dateien\marmiko shared;Adware.Msearch.origin;;

AAWLaMaS.dll;C:\Programme\Gemeinsame Dateien\Marmiko Shared;Adware.Msearch;Verschoben.;

MZCCntrl.exe;C:\Programme\Gemeinsame Dateien\Marmiko Shared;Adware.Msearch.origin;Verschoben.;

patience.exe;C:\Programme\you_games\KartenspieleVolume_2\Patiencen;Wahrscheinlich BACKDOOR.Trojan;;

A0000939.exe\SmitfraudFix\Process.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13\A0000939.exe;Tool.Prockill;;

A0000939.exe\SmitfraudFix\restart.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13\A0000939.exe;Tool.ShutDown.11;;

A0000939.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Archiv enthält infizierte Objekte;Verschoben.;

A0000956.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Tool.Prockill;;

A0000958.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Tool.ShutDown.11;;

A0000979.dll;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Adware.Msearch;Verschoben.;

A0000980.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Adware.Msearch.origin;Verschoben.;

tibia800.exe\data001;E:\Eigene Dateien\tibia800.exe;Win32.HLLW.MyBot.10;;

tibia800.exe;E:\Eigene Dateien;Archiv enthält infizierte Objekte;Verschoben.;

A0000981.exe\data001;E:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13\A0000981.exe;Win32.HLLW.MyBot.10;;

A0000981.exe;E:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Archiv enthält infizierte Objekte;Verschoben.;

- mzccntrl gehört wohl zur T- Online- Software;
- patience.exe/Kartenspiele Vol.2 ist von einer Kauf- CD, hab ich schon seit Jahren;
- tibia800 ist die Vorgängerversion des Installers des MMORPG, das ich gelegentlich spiele. Seltsamerweise sehe ich auf Laufwerk E: (meine externe Platte) die Version 800 nicht, auch die Windows- Suche findet nur einen Eintrag unter C:, den ich gleich in den Papierkorb geworfen habe.
Dr. Web CureIt hab ich genau nach Anweisung durchgeführt und keine extra Löschaktionen durchgeführt; hätte ich noch was abschießen sollen ?

Gruß,

Horst

Es wurden ja einige Dateien verschoben, also nicht wundern, falls es mit T-online (mzccntrl.exe, AAWLaMaS.dll beide T-Online International AG, Marmiko IT-Solutions GmbH) Probleme gibt.

Es kann durchaus sein dass es sich um false positives handelt. Du kannst die entsprechenden dateien auch online bei Virustotal und Jotti scannen lassen.

Die Process.exe und restart.exe gehören zu SmitfraudFix

die tibia800.exe scheint mir jedenfalls nicht i.O. Analyse tibia800.exe

bei der patience.exe denke ich, handelt es sich auch um einen FP.

Hallo, erty,

sorry, war gestern so eingespannt, daß ich nicht am Schädlingsproblem arbeiten konnte.
Heute hab ich Dr.Web nochmal durchlaufen lassen; hier das Ergebnis:

Code:

patience.exe;C:\Programme\you_games\KartenspieleVolume_2\Patiencen;Wahrscheinlich BACKDOOR.Trojan;;

A0000956.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Tool.Prockill;;

A0000958.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Tool.ShutDown.11;;

A0001019.exe\data001;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP14\A0001019.exe;Win32.HLLW.MyBot.10;;

A0001019.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP14;Archiv enthält infizierte Objekte;Verschoben.;

-Beim ersten Scan hatte ich nichts manuell veranlaßt. Ich hatte nur die unter C:\ aufgefundene Tibia800 gelöscht, nachdem ich wieder normal hochgefahren hatte. Beim jetzigen Scan sind die zwei Einträge unter E:\Tibia800 weg, dafür sitzt der "Win32.HLLW.MyBot.10" jetzt in der A0001019.exe; kann es sein, daß das Mistding seine .exe selbst umbenennt, wenn man ihm an den Pelz will ?
Diesmal habe ich aktiv nachgeholfen, Ergebnis wie folgt:
- Patience.exe: gelöscht, mit dem Ergebnis, daß XP jetzt die Platte nach dem Spiel durchsucht. Macht nix, kann ich jederzeit wieder von CD installieren.
- A0000956.exe / Tool.Prockill: Nicht desinfierbar, wurde verschoben.
- A0000958.exe / Tool.ShutDown.11: gelöscht.
- A0001019.exe / Archiv enthält infizierte Objekte: von Dr.Web verschoben.
- A0001019.exe\data001 / Win32.HLLW.MyBot.10: scheint eine Unterdatei der vorhergehenden (verschobenen) zu sein, ließ sich nicht manuell killen, da Dr.Web die Optionsbuttons inaktiv ließ, als ich die Datei markierte. Ist der "Bot" jetzt unschädlich ?
P.S.: für den "Tibia800-bot" hätte ich vielleicht eine Erklärung. Die 800 war das Sommerupdate, und das MMORPG litt massiv unter Spielern, die ihre Chars mit Botprogrammen jagen und hochleveln ließen. Seit diesem Update sind über 1.500 solcher Leute aufgeflogen und gesperrt worden. Könnte das eine Datei sein, mit der man kontrollieren kann, ob ein Spieler ein Botprogramm einsetzt ?
Habe ich das Ungeziefer jetzt vertilgt, bzw. was kann ich noch tun ?

Gruß,

Horst

P.S.: Hab die A0001019.exe in der Quarantäne von Dr.Web gefunden und sie mit dem TuneUp Shredder gründlich gelöscht. Ich hoffe, das war OK.

ja war ok. das was Dr. Web gefunden hat war in der Systemwiederherstellung.

deaktiviere die Systemwiederherstellung (alle wiederherstellungspunkte werden gelöscht) und aktiviere sie anschliessend wieder.