|
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? Hallo Forum Ich habe den Trojaner "Silentbanker G" auf meinem PC (gehabt?) Ich arbeite mit onlinebanking. Ich kam plötzlich nicht an meine Kontoübersicht, nachdem ich mich einloggen wollte. Stattdessen wurde ich aufgefordert, aufgrund eines "unberechtigten Zugriffs" auf mein Konto zehn Tans einzugeben, um mein Konto wieder zu aktivieren. Das war vor 10 Tagen. Ich sprach mit der Hotline der Bank und die Herren schlugen sofort Alarm. Niemals Tans eingeben!!! Logo, aber die Website war täuschend echt, nur die links funktionierten nicht. Soweit so gut. Habe dann mein onlinebanking gesperrt, bevor es in Uraub ging. Als ich gestern denn PC startete, kam es zum Update von Avira Antivir. Und siehe da: TR/silentbanker.G wurde gefunden. Nach Durchsicht und Infos des Forums lief ich Combofix laufen. Ergebnis: Es wird kein Trojaner mehr gefunden. War es das? Oder schlummert der Trojaner nur? Als ich combofix ausgeführt habe, bekam ich von Avira eine Meldung, dass Combofix einen Trojaner beinhaltet. Hatte AV nicht abgeschaltet. Quarantäne angeordnet und weiter...ohne Probleme. (War das okay???) Soll ich combofix besser erneut ausführen? Danke für Antworten!!!:dankeschoen: CU Mats |
Hallo, wenn Du schon einfach so diese Programme ausführst, ohne dass Dir ein Regular oder Kompetenzler dazu rät, warum postest Du denn nicht einmal die Logfiles davon? Wie soll man ohne die überhaupt eine vernünftige Aussage machen?? :balla: Reiche die bitte nach. Erstell auch bitte eins von Hijackthis und Malwarebytes. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] |
Ich versuche also mal, die logfiles zu posten: Combofix: (code)ComboFix 08-10-11.02 - **** 2008-10-12 14:38:06.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.694 [GMT 2:00] ausgeführt von:: I:\DISK\Antivirenprogramme\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 )))))))))))))))))))))))))))))) . 2008-10-12 14:34 . 2008-10-12 14:34 <DIR> d-------- C:\Programme\CCleaner 2008-10-12 14:16 . 2008-10-12 14:16 <DIR> d-------- C:\program files 2008-10-12 09:50 . 2008-10-12 09:51 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-12 09:50 . 2008-10-12 09:50 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Malwarebytes 2008-10-12 09:50 . 2008-10-12 09:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-12 09:50 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-12 09:50 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-04 13:27 . 2008-10-04 13:27 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys 2008-10-04 13:26 . 2008-10-04 13:27 <DIR> d-------- C:\Programme\The Cleaner Demo 2008-10-04 13:14 . 2008-10-04 13:14 <DIR> d-------- C:\Programme\Lavasoft 2008-10-04 13:14 . 2008-10-04 13:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-10-04 12:48 . 2008-10-04 12:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-10-04 12:29 . 2008-10-04 12:29 <DIR> d-------- C:\Programme\TeaTimer (Spybot - Search & Destroy) 2008-10-04 12:29 . 2008-10-04 12:29 <DIR> d-------- C:\Programme\SDHelper (Spybot - Search & Destroy) 2008-10-04 12:27 . 2008-10-04 12:35 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-10-04 12:27 . 2008-10-12 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-10-04 11:13 . 2008-10-04 11:13 <DIR> d---s---- C:\Dokumente und Einstellungen\******\UserData 2008-10-02 21:31 . 2008-10-02 21:31 <DIR> d-------- C:\Programme\MSXML 4.0 2008-10-01 20:08 . 2008-10-03 11:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-10-01 20:08 . 2008-10-01 20:08 1,409 --a------ C:\WINDOWS\QTFont.for 2008-10-01 20:06 . 2008-10-12 12:19 9,433 --a------ C:\logfile 2008-10-01 20:03 . 2008-10-01 20:03 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2008-10-01 20:03 . 2008-10-01 20:04 <DIR> d-------- C:\Programme\QuickTime 2008-10-01 20:03 . 2008-10-01 20:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Kodak 2008-10-01 20:03 . 2008-10-01 20:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-10-01 20:03 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll 2008-10-01 20:03 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2008-10-01 20:03 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys 2008-10-01 20:03 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll 2008-10-01 20:02 . 2008-10-01 20:03 <DIR> d-------- C:\Programme\Kodak 2008-10-01 20:00 . 2008-10-01 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak 2008-09-30 18:01 . 2008-09-30 18:20 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak 2008-09-27 17:52 . 2008-09-27 17:52 58 --a------ C:\WINDOWS\nfsc_patch.ini 2008-09-27 17:43 . 2008-09-27 17:43 8 --a------ C:\WINDOWS\system32\nvModes.dat 2008-09-27 17:10 . 2008-09-27 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles 2008-09-27 17:08 . 2008-04-30 17:27 442,368 --a------ C:\WINDOWS\system32\NVUNINST.EXE 2008-09-26 17:41 . 2008-09-26 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA 2008-09-26 17:30 . 2008-09-27 17:08 <DIR> d-------- C:\NVIDIA 2008-09-26 17:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-09-26 17:28 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-09-26 11:46 . 2008-09-26 17:47 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2008-09-26 11:46 . 2005-02-25 05:34 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2008-09-19 17:13 . 2008-09-13 19:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Vorlagen 2008-09-19 17:13 . 2008-09-13 20:50 <DIR> dr------- C:\Dokumente und Einstellungen\Besucher\Startmenü 2008-09-19 17:13 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Netzwerkumgebung 2008-09-19 17:13 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Lokale Einstellungen 2008-09-19 17:13 . 2008-09-19 17:13 <DIR> dr------- C:\Dokumente und Einstellungen\Besucher\Favoriten 2008-09-19 17:13 . 2008-09-19 17:13 <DIR> dr------- C:\Dokumente und Einstellungen\Besucher\Eigene Dateien 2008-09-19 17:13 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Druckumgebung 2008-09-19 17:13 . 2008-09-19 17:14 <DIR> dr-h----- C:\Dokumente und Einstellungen\Besucher\Anwendungsdaten 2008-09-19 17:13 . 2008-09-19 17:13 <DIR> d-------- C:\Dokumente und Einstellungen\Besucher 2008-09-19 16:20 . 2008-09-19 17:08 <DIR> d-------- C:\coolspot AG 2008-09-19 16:20 . 2008-09-19 17:09 20,645 --a------ C:\WINDOWS\system32\drivers\IwUSB.sys 2008-09-17 19:26 . 2008-09-17 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\TomTom 2008-09-17 18:25 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys 2008-09-17 17:56 . 2008-09-17 17:56 <DIR> d-------- C:\Programme\Avira 2008-09-17 17:56 . 2008-09-17 17:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-09-17 17:48 . 2008-09-17 17:48 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\AdobeUM 2008-09-16 20:13 . 2008-09-16 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime 2008-09-16 20:13 . 2008-09-16 20:13 361 --a------ C:\WINDOWS\system32\QuickTime.qtp 2008-09-16 20:12 . 2008-09-16 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\******\WINDOWS 2008-09-16 20:12 . 1997-05-29 16:31 315,904 --a------ C:\WINDOWS\IsUn0407.exe 2008-09-16 20:12 . 2008-09-16 20:12 0 --a------ C:\WINDOWS\OpPrintServer.INI 2008-09-16 20:10 . 2008-09-16 20:12 <DIR> d-------- C:\Programme\Canon 2008-09-15 09:05 . 2008-09-23 17:57 69 --a------ C:\WINDOWS\NeroDigital.ini 2008-09-13 20:50 . 2008-09-13 19:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen 2008-09-13 20:50 . 2008-09-13 20:50 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü 2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung 2008-09-13 20:50 . 2008-09-13 20:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen 2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten 2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung 2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen 2008-09-13 20:50 . 2008-09-13 23:07 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü 2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten 2008-09-13 20:50 . 2008-10-01 20:06 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente 2008-09-13 20:48 . 2008-09-13 20:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten 2008-09-13 20:48 . 2008-10-12 09:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 2008-09-13 20:47 . 2008-09-13 20:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User 2008-09-13 20:47 . 2008-09-13 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users 2008-09-13 20:09 . 2008-09-13 19:58 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Vorlagen 2008-09-13 20:09 . 2008-09-13 20:50 <DIR> dr------- C:\Dokumente und Einstellungen\******\Startmenü 2008-09-13 20:09 . 2008-09-27 14:04 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Netzwerkumgebung 2008-09-13 20:09 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Lokale Einstellungen 2008-09-13 20:09 . 2008-09-13 20:25 <DIR> dr------- C:\Dokumente und Einstellungen\******\Favoriten 2008-09-13 20:09 . 2008-09-17 19:53 <DIR> dr------- C:\Dokumente und Einstellungen\******\Eigene Dateien 2008-09-13 20:09 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Druckumgebung 2008-09-13 20:09 . 2008-10-12 09:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\*****\Anwendungsdaten 2008-09-13 20:09 . 2008-10-12 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\****** 2008-09-13 20:06 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen 2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten 2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService 2008-09-13 20:06 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen 2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten 2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService 2008-09-13 20:05 . 2008-09-13 19:58 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Vorlagen 2008-09-13 20:05 . 2008-09-13 20:50 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Startmenü 2008-09-13 20:05 . 2008-09-13 20:50 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Netzwerkumgebung 2008-09-13 20:05 . 2008-10-12 14:39 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen 2008-09-13 20:05 . 2008-09-13 20:50 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Favoriten 2008-09-13 20:05 . 2008-09-13 20:50 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Druckumgebung 2008-09-13 20:05 . 2008-09-13 20:50 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten 2008-09-13 20:02 . 2008-09-13 20:02 <DIR> d-------- C:\Programme\microsoft frontpage 2008-09-13 20:01 . 2008-09-20 12:08 <DIR> d--hs---- C:\Dokumente und Einstellungen\All Users\DRM 2008-09-13 20:00 . 2008-09-13 20:00 <DIR> d-------- C:\Programme\Online-Dienste 2008-09-13 20:00 . 2008-09-13 20:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Dienste . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-27 15:53 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2008-09-17 17:48 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-09-16 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-09-13 21:08 --------- d-----w C:\Programme\CREATIVE 2008-09-13 17:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero 2008-09-13 17:30 --------- d-----w C:\Programme\Ahead 2008-09-13 17:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead 2008-09-13 17:24 --------- d-----w C:\Programme\SiS7012 2008-09-13 17:15 --------- d-----w C:\Programme\CyberLink 2008-09-13 17:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink 2008-09-13 17:10 --------- d-----w C:\Programme\Microsoft IntelliPoint 2008-09-13 17:09 --------- d-----w C:\Programme\Microsoft IntelliType Pro 2008-09-13 16:50 --------- d-----w C:\Programme\UltimateZip 2008-09-13 16:49 --------- d-----w C:\Programme\xp-AntiSpy 2008-09-13 16:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-09-13 16:29 --------- d-----w C:\Programme\sisagp 2008-09-13 16:12 --------- d-----w C:\Programme\DVD Shrink 2008-09-13 16:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2008-09-13 16:07 --------- d-----w C:\Programme\Lavalys 2008-09-13 16:06 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-28 15360] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 1667584] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-06-03 172032] "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 204800] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 13529088] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 86016] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 286720] "nwiz"="nwiz.exe" [2008-05-03 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-28 15360] C:\Dokumente und Einstellungen\******\Startmen\Programme\Autostart\ UltimateZip Quick Start.lnk - C:\Programme\UltimateZip\uzqkst.exe [2001-09-05 229888] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] Kodak EasyShare Software.lnk - C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2007-09-19 282624] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "wave1"= 1625564991.CPX [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Programme\\Steam\\SteamApps\\magicmats\\counter-strike source\\hl2.exe"= "C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"= R3 IwUSB;IwUSB Driver;C:\WINDOWS\system32\Drivers\IwUSB.sys [2008-09-19 20645] R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2004-11-03 267136] *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners 2008-10-01 C:\WINDOWS\Tasks\EasyShare Registration Task.job - C:\WINDOWS\system32\rundll32.exe [2004-08-28 13:53] . . ------- Zusätzlicher Suchlauf ------- . R0 -: HKCU-Main,Start Page = hxxp://www.faz.net/s/homepage.html O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-12 14:39:52 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-12 14:40:38 ComboFix-quarantined-files.txt 2008-10-12 12:40:36 Vor Suchlauf: 8 Verzeichnis(se), 43.486.162.944 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 43,487,707,136 Bytes frei 206 --- E O F --- 2008-10-04 07:04:07 (/code) War das richtig so? Ich hoffe....Vielen Dank für Hilfe!!!! |
Hier das Logfile von HiJackThis: #Logfile of HijackThis v1.98.2 Scan saved at 12:51:09, on 16.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe I:\DISK\Schutzprogramme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Aktuell - FAZ.NET R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) # |
Logfile von Malwarebytes: (code)Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1259 Windows 5.1.2600 Service Pack 3 17.10.2008 10:35:44 mbam-log-2008-10-17 (10-35-44).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|I:\|J:\|) Durchsuchte Objekte: 161530 Laufzeit: 50 minute(s), 33 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden)(/code) Vielen Dank für Hilfe! |
Die Logfiles an sich sehen okay aus, mach aber nochmal bitte nen Check mit Blacklight und poste das Logfile davon in Codetags! Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. Mach auch ein Filelisting mit diesem script:
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. danach: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: registry values to delete:
|
Okay, ich werde es versuchen, step by step... Hier der logfile von "blacklight": Code: 10/21/08 21:47:45 [Info]: BlackLight Engine 2.2.1092 initializedroot 24, ich danke Dir!!:dankeschoen: |
Zitat:
Zitat:
|
Zitat:
|
Silent Runner: Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/Thanks! |
Das neue Logfile von Hijackthis: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Das nächste Listing klappt irgendwie nicht, oder die Datei ist doch deutlich kleiner, als erwartet: Ich post mal das, was in dem Skript steht: Code: echo LISTING FILE von root24; 28.01.2008 > %temp%\listing.txt |
Okay, auch hier das logfile: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46CU |
Hi root24 Das vorletzte Listing hat nicht funktioniert. Ich bekam keine txt Datei auf den Desktop. Habe wahrscheinlich den Inhalt des Sriptes gepostet...sorry. Auf meinem Firmen PC habe ich es ausprobiert und dort hat es auch funktioniert. Versuche es später nocheinmal, oder woran könnte es liegen? Das Fenster im ? Dos-modus? (so sah es für mich aus) ging gar nicht auf. Alles wird gut...hoffentlich.... |
Versuch es so: Geh in Arbeitsplatz / Extras / Ordneroptionen / Ansicht - dort den Haken rausnehmen bei "Erweiterungen bei bekannten Dateitypen ausblenden", fortan werden Dir bei (fast) allen Dateien auch die Endungen angezeigt. Stell dann sicher, dass mein CMD-Scrript auch tatsächlich dann die Endung .CMD hat und kein .TXT oder so. Sie sollte dann dieses Symbol haben http://mitglied.lycos.de/efunction/tb/img/cmdsymbol.PNG Danach sollte durch ein Doppelklick das Script auch ausgeführt werden. |
Hallo root24 Super, jetzt hat es gefunzt.:dankeschoen: Hier der link: http://www.file-upload.net/download-1199335/listing.txt.html Alles richtig so?... Patient wartet auf Befund vom Doktor....:rolleyes: |
Code: C:\WINDOWS\system32\drivers\MS1000.sys |
Wenn ich alles richtig gemacht habe, ist dies der Link. http://www.virustotal.com/de/reanalisis.html?ca9251a203d6f38bcef8aebf93e1ba5c Die Datei ist wohl schon vorher analysiert worden. Kannst du das Ergebnis interpretieren? DAnke!! Mats |
Sry, hatte jetzt erst wieder Zeit für diesen Thread. Der Link zum Virustotal von Dir ist schon unbrauchbar, hast Du die Ergebnisse noch in Erinnerung? Werte die Datei notfalls nochmals aus. |
Okay, hier nocheinmal der link: http://www.virustotal.com/de/analisis/fb057252f4a9e5aaf01fd624c5c2edbc Eine Viren-engine meldet wohl Bedenken, 35 andere aber nicht...Hm, was tun? CU Mats |
Scheint ein Fehlalarm zu sein. Hast Du zufällig das Programm the Cleaner installiert? |
Hi root 24 Ich hatte es auf meinem PC. Habe es aber vor einiger Zeit wieder deinstalliert. Warum? |
Lt. Googlesuchen stammt diese Datei von diesem Programm. Wahrscheinlich ist diese Datei also bei Dir noch als Überbleibsel von The Cleaner vorhanden. |
Hi root 24 Ich bekomme beim booten im Moment auch immer die Meldung: C:/cleanup.exe wurde nicht gefunden Stellen Sie sicher...etc. Hat das mit dem Troj. zu tun? Ich denke nicht. Demnach müsste mein System also sauber sein?-- Darf ich dich zu einem abschließenden Urteil bewegen?:heilig: Sehr nett, dass du dich um meine Probs kümerst...:party: CU Mats |
Ich hab ibn den Logfiles nichts Verdächtiges mehr gesehen. Wieauchimmer- wenn Du sicher gehen willst/musst, führt nix am Neuaufsetzen vorbei. Wegen der Cleanup, da scheint noch irgendein Autostart-Eintrag vorhanden zu sein, der immer die cleanup.exe starten will. Weiß der Geier warum der noch vorhanden ist. Poste nochmal ein frisches Hijackthis Logfile. |
Hi again Hier das Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2Thanks.... |
Code: O4 - HKLM\..\RunOnce: [Cleanup] C:\cleanup.exe |
Hi root 24 Hab ich gemacht, die Meldung kommt beim Windows -Start aber immer noch. Im Logfile steht jedoch nichts mehr?! Tja....geht das Entfernen auch manuell? Thanks by mats:) |
Das ist ziemlich merkwürdig. Auch im silentrunners ist nix von der cleanup zu sehen, vllt hat sich da was geändert. Mach mal bitte ein neues Log mit silentrunners. |
Hi root 24 Hier das neue Logfile: Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ |
Da sehe ich auch nur einen Eintrag. Entfernen wir den Registryeintrag mal einfach: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: registry values to delete:
|
Hi again Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|Cleanup" deleted successfully. Completed script processing. ******************* Finished! Terminate. Beim Reboot trat keine Fehlermeldung mehr auf!!! Die Cleanup.exe scheint `raus zu sein. Soweit dann alles okay?--- Gut dass es dieses Board und kompetente Helfer gibt...CU Mats |
Siehste, ich wusste, dass wir den Vogel irgendwie kriegen :snyper: :D Logfile sieht ebenfalls sauber aus! :daumenhoc hast Du sonst noch Auffälligkeiten am System bemerkt? Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Dein System ist fast optimal. Gut, dass schonmal das SP3 installiert ist, überprüfe ob die Folgeupdates auch schon installiert sind. Besuch am besten die Windows-Updateseite mit dem IE. Wo wir beim IE sind, der benötigt auch eine Aktualisierung auf Version 7 plus Folgeupdates. Vergiss nicht, dass Du den IE nur fürs Windows-Update nutzen solltest, zum normalen Surfen wäre sowas wie opera oder firefox wärmstens zu empfehlen. |
Hi snyper Na prima *stolz*...:) Ich habe mir nach intensivem Lesen der Seite "Neuaufsetzen" bereits den Firefox und auch Thunderbird installiert. Arbeite schon seit 14 Tagen mit diesen Programmen. Besonders Firefox finde ich besser als den IE von Micros. IE 7 ließ sich auch nicht installieren, warum auch immer...sollte ich ihn trotzdem haben, oder reicht zum updaten auch der 6er? Habe in den letzten Tagen durch die Kommunikation mit dem Board viel gelernt...(hoffe ich).:daumenhoc Ciao Mats |
Hi root24:headbang: Tja, das war es wohl doch noch nicht ganz... Beim nächsten Booten kam die Meldung über die fehlende "cleanupexe" wieder. Ich weiß zwar nicht genau warum, aber irgendwie hatte ich das Gefühl, ich müsste "malwarebytes" nocheinmal scannen lassen. Interessantes Ergebnis: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1259 Windows 5.1.2600 Service Pack 3 01.11.2008 17:27:05 mbam-log-2008-11-01 (17-27-05).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|I:\|J:\|) Durchsuchte Objekte: 175389 Laufzeit: 50 minute(s), 41 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\cleanup.bat (Trojan.Agent) -> Quarantined and deleted successfully. Wie oben gesehen, habe ich den Trojaner von Malwarebytes entfernen lassen. Hast du eine Erklärung?:confused: Mats |
Ist das Cleanup dieses Programm? hast Du es selber installiert? :balla: Ich kann im Moment echt nicht nachvollziehen, warum das Teil immer wieder aufersteht. :headbang: Wenn nix mehr hilft, dann ist Deine Idee mit der erneuten Installation wohl garnicht mal so verkehrt. |
Hi root24 Nee, das Programm kommt mir nicht bekannt vor. Was aber noch viel besser ist: Seit gestern liegt wieder eine "Cleanup.exe" auf C::killpc: Der PC bootet also ohne Fehlermeldung. Frage: Wo kommt die her?---Hm, habe am WE ein Spiel installiert und versucht, den IE auf "7" upzudaten, was aber nicht geklappt hat. Warum, weiß ich nicht..."IE 7 konnte nicht installiert werden". Was denkst du über den Fund der "cleanup.bat" als Tojaner? Fragende Grüße....Mats |
Aus dem Combofix-Logfile: Code: 2008-10-04 13:26 . 2008-10-04 13:27 <DIR> d-------- C:\Programme\The Cleaner Demo |
Hi Root 24 Tja, gute Frage...also wirklich sicher bin ich mir nicht...Der Eintrag ist ja auch eindeutig, aber ich wüsste nicht, wofür ich das Programm gebraucht hätte?! Manchmal gehen meine beiden Söhne an meinen PC, aber eher selten, da sie einen eigenen haben.:confused:Nun gut, aber warum ist die "cleanup.exe nun wieder da? What about "cleanup.bat"? Thanks....Mats |
Tja, dann solltest Du Deinen Söhnen mal die Adminrechte entziehen... Kannst Du das Programm denn über Systemsteuerung > Software deinstallieren? Ich bin mir nun ziemlich sicher, dass die cleanup.exe nichts Schädliches ist. |
Hi root 24 Tja, da geb ich dir mal völlig Recht, das war etwas leichtsinnig. Mit den Admin-rechten bin ich bisher etwas sorglos umgegangen, auch beim Surfen...:headbang: Na ja, man lernt daraus... Das Programm taucht in meiner Softwareliste nicht auf, kann es also nicht deinstallieren. Was tun? Fragende und lernende Grüße von Mats |
Lösch den Ordner zu The Cleaner in c:\Programme sowie die c:\cleanup.exe und cleanup.bat (sofern alles noch vorhanden). Mach danach nochmal nen Durchlauf mit dem CCleaner, lass damit auch die Registry auf Fehler überprüfen und lösch diese (vorher das vom CCleaner vorgeschlagene Registry-Backup machen!!) Ich hoffe dann taucht er nicht mehr auf. :rolleyes: |
Hi root 24 Leider "negativ". Habe alles so gemacht, wie gewünscht, aber den Eintrag in der Registrierung bekommen wir immer wieder. CCleaner findet immer den gleichen Eintrag in der Registry, behebt den Fehler, aber beim erneuten Analysieren ist der Fehler wieder da. Ist es normal, wenn Windows eine Meldung bringt beim Löschen der "Cleanup.exe" (:"An diese Datei sind Daten angehängt, die verlorengehen etc.") Tja, was tun, sprach Zeus????? |
Jetzt wird es aber spannend: Habe nochmals mit Avenger versucht, den Eintrag zu löschen. Beim reboot waren dann sowohl die cleanup.bat, die cleanup.exe und eine ?zip.exe? wieder direkt auf C:! Ich verstehe nix mehr. :schmoll: Diese drei Dateien waren definitiv kurzfristig gelöscht, nun aber wieder da. besonders die zip.exe finde ich spannend....:snyper: Irgendetwas kann doch da nicht stimmen, oder...???? Mats, frustiert, aber gibt nicht auf...:mad: |
Die zip.exe direkt auf C: sollte vom Avenger stammen - :rolleyes: der braucht einen Zipper um die gelöschten Dateien in seine backup.zip zu verpacken. Ich glaube so langsam, dass auch die cleanup.exe vom Avenger kommt, aber noch nie hat die solche Zicken gemacht. :snyper: |
Hallo root 24 Wollte mich nochmal abschließend melden und "Danke!" sagen. Ich vermute auch, dass die "Cleanup" von Avenger stammt. Ich glaube und hoffe, dass mein System nun ohne probs läuft.:party: Habe durch deine postings viel dazu gelernt und werde vorsichtiger sein. Verschiedene Programme wurden getauscht, so dass der PC sicherer wurde. Also CU :daumenhoc Mats |
War die cleanup denn zwischendurch mal wieder da? :confused: |
Yes, liegt nach wie vor auf C:. Aber wenn sie von Avenger stammt, wie soll sie sich selbst beim Durchführen des Programms löschen?:confused: Gibt es einen anderen Weg, sie zu entfernen, ohne dass es zu einer Fehlermeldung kommt? Mats |
Mir ist schleierhaft warum diese cleanup ständig noch auftaucht. Lösch sie mal und den Avenger auch, inkl. dem Backupverzeichnis vom Avenger c:\avenger |
Hi again Avenger entfernt, Cleanup ebenso. Resultat: Fehlermeldung beim Starten von Windows. Habe versucht, mit Hijackthis den Eintrag zu entfernen, geht aber nicht. Nach dem "Fix" kommt der Eintrag nach erneutem Scan direkt wieder. Wie bekomme ich den Eintrag dauerhaft aus dem System? Thanks... |
Ich hab selten sowas Hartncäkiges erlebt :headbang: Poste bitte nochmal ein frisches Hijackthis und silentrunners Logfile. |
Hi root 24 Okay: Code: Logfile of Trend Micro HijackThis v2.0.2Silent runer folgt... |
Here it is: Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/Mats |
Hi, deaktivier bitte mal den TeaTimer von Spybot bevor du die Einträge entfernst. lg myrtille |
Hi Na prima...Tea Timer deaktiviert, Hijackthis laufen lassen, Eintrag entfernt...und bis jetzt ist es dabei geblieben!:party: Der Eintrag scheint dauerhaft gelöscht und auch beim Booten kommt keine Meldung mehr über eine fehlende "Cleanup". :Boogie: Kannst du kurz erklären, wo der Zusammenhang war? Gibt es, auch wenn es schwierig ist, ein abschließendes Urteil zu meinem System? Ist der Patient nun gesund? Vielen Dank für die Hilfe!:aplaus::aplaus::aplaus: Nice WE Mats |
:headbang:Das gibt es doch nicht!!:schmoll: Jetzt ist der Eintrag wieder da...zu früh gefreut... Mats |
TeaTimer ist eine Registryüberwachung von Spybot. Das heißt sie versucht zu verhindern, dass "unerlaubte" Veränderungen an der Registry vorgenommen werden. Leider kann TeaTimer Malware nicht von Bereinigung unterscheiden, daher wird sowas gern rückgängig gemacht. lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board