Trojaner-Board - Einstellungen lassen sich nciht mehr ändern, div. webseiten lassen sich nicht öffnen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Einstellungen lassen sich nciht mehr ändern, div. webseiten lassen sich nicht öffnen (https://www.trojaner-board.de/70183-einstellungen-lassen-nciht-mehr-aendern-div-webseiten-lassen-oeffnen.html)

Der Rest kommt irgend wann nach her.

Zitat:

ComboFix.exe/data002\32788R22FWJFW\c.bat;C:\Dokumente und Einstellungen\Kai\Desktop\ComboFix.exe/data002;Wahrscheinlich BATCH.Virus;;
ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\Kai\Desktop\ComboFix.exe/data002;Program.PsExec.171;;
data002;C:\Dokumente und Einstellungen\Kai\Desktop;Archiv enthält infizierte Objekte;;
ComboFix.exe;C:\Dokumente und Einstellungen\Kai\Desktop;Container enthält infizierte Objekte;Verschoben.;
A0005408.reg;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP15;Trojan.StartPage.1505;Gelöscht.;
A0008262.reg;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP22;Trojan.StartPage.1505;Gelöscht.;
A0008374.reg;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP22;Wahrscheinlich SCRIPT.Virus;;
A0008919.bat;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP27;Wahrscheinlich BATCH.Virus;;
A0013332.msi/stream028\livesrv.exe;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP31\A0013332.msi/stream028;Wahrscheinlich DLOADER.Trojan;;
stream028;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP31;Archiv enthält infizierte Objekte;;
A0013332.msi;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP31;Archiv enthält infizierte Objekte;Verschoben.;
A0014363.dll;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP31;Win32.HLLW.Autoruner.5555;Gelöscht.;
A0014451.rbf;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP32;Wahrscheinlich DLOADER.Trojan;;
A0014810.rbf/stream028\livesrv.exe;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP32\A0014810.rbf/stream028;Wahrscheinlich DLOADER.Trojan;;
stream028;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP32;Archiv enthält infizierte Objekte;;
A0014810.rbf;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP32;Archiv enthält infizierte Objekte;Verschoben.;
A0014844.exe/data002\32788R22FWJFW\c.bat;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP32\A0014844.exe/data002;Wahrscheinlich BATCH.Virus;;
A0014844.exe/data002\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP32\A0014844.exe/data002;Program.PsExec.171;;
data002;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP32;Archiv enthält infizierte Objekte;;
A0014844.exe;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP32;Container enthält infizierte Objekte;Verschoben.;
A0014852.bat;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP32;Wahrscheinlich BATCH.Virus;;
A0014976.bat;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP33;Wahrscheinlich BATCH.Virus;;
A0017052.bat;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP40;Wahrscheinlich BATCH.Virus;;
A0017130.bat;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP41;Wahrscheinlich BATCH.Virus;;
A0017145.EXE;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP41;Program.PsExec.170;;
A0017220.bat;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP42;Wahrscheinlich BATCH.Virus;;
A0017234.EXE;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP42;Program.PsExec.170;;
A0017286.exe/data002\32788R22FWJFW\c.bat;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP42\A0017286.exe/data002;Wahrscheinlich BATCH.Virus;;
A0017286.exe/data002\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP42\A0017286.exe/data002;Program.PsExec.171;;
data002;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP42;Archiv enthält infizierte Objekte;;
A0017286.exe;C:\System Volume Information\_restore{BB09880E-7EF2-4C42-A9C4-600B1C4E186E}\RP42;Container enthält infizierte Objekte;Verschoben.;

1.) Start => Ausführen => combofix /u => OK
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

ciao, andreas

Hier noch der ActiveScan Log, die anderen beiden haben nichts gefunden. Warum steht da eigentlich drin, das ich BitDefender habe ob wohl das schon längst nicht mehr auf meinem Rechner ist?

Zitat:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-02-22 15:10:05
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
BitDefender Antivirus 12.0 No Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Kai\Cookies\kai@atwola[1].txt
00593436 W32/Autorun.AQG.worm Virus/Worm No 1 No No C:\Dokumente und Einstellungen\Kai\DoctorWeb\Quarantine\A0017286.exe[32788R22FWJFW\List.bat]
00593436 W32/Autorun.AQG.worm Virus/Worm No 1 No No C:\Dokumente und Einstellungen\Kai\DoctorWeb\Quarantine\ComboFix.exe[32788R22FWJFW\List.bat]
00593436 W32/Autorun.AQG.worm Virus/Worm No 1 No No C:\Dokumente und Einstellungen\Kai\DoctorWeb\Quarantine\A0014844.exe[32788R22FWJFW\List.bat]
03899172 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Kai\Desktop\gmer\mbr.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Deinstalliere Gmer und Doctor Web. Sollte Doctor Web schon deinstalliert sein, dann lösche den Ordner:

Code:

C:\Dokumente und Einstellungen\Kai\DoctorWeb

ciao, andreas

Ok habe ich gemacht.

Was kann ich den jetzt noch am Laptop machen da läuft ComboFix ja nicht.

Auch wenn die anderen Scans auf dem Rechner noch nicht fertig sind, poste vorab ein HJT-Log von dem Laptop.

ciao, andreas

Der Log vom Laptop. Was für Scans soll ich denn noch machen?

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:43:05, on 22.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\D-Link\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\D-Link\Bluetooth Software\BTTray.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: IE7Pro BHO - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7PRO\IE7Pro\IE7Pro.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-4179233185-985858248-1033195680-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\D-Link\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7PRO\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7PRO\IE7Pro\IE7Pro.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\D-Link\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\D-Link\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{633E4C1C-0D41-4D76-8952-14B918F12F0E}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE65FF5B-E685-44F4-9C2A-66296A704CB6}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{633E4C1C-0D41-4D76-8952-14B918F12F0E}: NameServer = 192.168.0.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\D-Link\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 7962 bytes

http://www.trojaner-board.de/70183-e...tml#post415243

Es fehlt noch AVP-Tool und Prevx. Es ist jetzt das dritte Mal, dass ich frage: Wie geht es dem Rechner?

ciao, andreas

Dem gehst gut, die beiden Programme haben nichts gefunden.

Na dann würde ich sagen, wir sind mit dem durch. 100% sicher kannst du natürlich nicht sein. Ob wir wirklich alles erwischt haben, wird nur die Zeit zeigen.

Deswegen überlege dir gut, ob du die gleiche Zeit in das Laptop steckst, wobei als zusätzliches Problem noch dazukommt, das ComboFix nicht läuft. D.h. wir müssen etwa 3 zusätzliche Tools (mit entsprechend mehr Analyseaufwand und damit Zeit) nutzen, um den gleichen Effekt zu bekommen. Möchtest du das wirklich?

Die MbAM-Logs mit der Confickermeldung, waren die vom Rechner oder Laptop?

ciao, andreas

Die Logs mit dem Conficker waren vom Laptop aus. Der Laptop wäre schon wichtig den brauch ich für die Schule. Danke für die Hilfe bis jetzt schon mal.

Zitat:

Der Laptop wäre schon wichtig den brauch ich für die Schule.

Den möchte ich dir doch nicht wegnehmen. Neuinstallation von nacktem Windows dauert 30 Minuten, mit Installation der Treiber und Anpassungen 2 Stunden. Die Reinigung dauert wesentlich länger.

ciao, andreas

Die wichtigen Daten kann ich aber ohne Bedenken auf meinen anderen PC packen oder?