Trojaner-Board
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   winlog.exe ist Backdoor.Agobot.LF? (https://www.trojaner-board.de/77094-winlog-exe-backdoor-agobot-lf.html)

freakout 06.09.2009 00:08
So, der Scan ist endlich fertig... Und hier kommt der Log:

Code:
;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-09-06 01:03:05
PROTECTIONS: 0
MALWARE: 8
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                      Active    Updated
;===================================================================================================================================================================================
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00168056  Cookie/YieldManager                TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\**\Cookies\**@ad.yieldmanager[2].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\**\Cookies\**@ad.yieldmanager[1].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\**\Cookies\**@adtech[1].txt
00484705  Application/IEDefender            HackTools          No        0        Yes            No          C:\Qoobox\Quarantine\C\WINDOWS\system32\IEDFix.C.exe.vir
00484705  Application/IEDefender            HackTools          No        0        Yes            No          C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP93\A0013328.exe
00590315  Rootkit/Agent.LNB                  HackTools          No        0        Yes            No          C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP92\A0013278.sys
00590315  Rootkit/Agent.LNB                  HackTools          No        0        Yes            No          C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP92\A0013287.sys
00921467  Generic Malware                    Virus/Trojan        No        0        Yes            No          C:\Qoobox\Quarantine\C\WINDOWS\system32\404Fix.exe.vir
00921467  Generic Malware                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP93\A0013325.exe
01606636  Cookie/Adserver                    TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\**\Cookies\**@adserver.easyad[1].txt
02885963  Rootkit/Booto.C                    Virus/Worm          No        0        Yes            No          C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP94\A0013522.sys
03074964  Trj/CI.A                          Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP94\A0013515.exe
03074964  Trj/CI.A                          Virus/Trojan        No        0        Yes            No          C:\Qoobox\Quarantine\C\Programme\SmitfraudFix.exe.vir
;===================================================================================================================================================================================

EDIT: okay, ist nur die Hälfte davon. Die andere Hälfte besteht zum Großteil aus Leerzeichen, die ich erst entfernen müsste, falls ich es posten sollte...

john.doe 06.09.2009 00:17
Die Leerzeichen interessieren nicht, nur der Text. Sieht aber überraschend gut aus.

ciao, andreas

freakout 06.09.2009 00:30
Das klingt doch mal erfreulich :)

und hier der Rest des Logs:

Code:
VULNERABILITIES
Id        Severity  Description   
;===========================
  211784  HIGH      MS09-032   
  211781  HIGH      MS09-029   
  210625  HIGH      MS09-026 
  210624  HIGH      MS09-025 
  210621  HIGH      MS09-022   
  210618  HIGH      MS09-019   
  208380  HIGH      MS09-015     
  208379  HIGH      MS09-014   
  208378  HIGH      MS09-013   
  208377  HIGH      MS09-012 
  206981  HIGH      MS09-007     
  206980  HIGH      MS09-006   
  204670  HIGH      MS09-001     
  203505  HIGH      MS08-071   
  202465  HIGH      MS08-068   
  201683  HIGH      MS08-067 
  201258  HIGH      MS08-066   
  201256  HIGH      MS08-064   
  201255  HIGH      MS08-063   
  201253  HIGH      MS08-061   
  209275  HIGH      MS08-049   
  196455  MEDIUM    MS08-037
  194862  HIGH      MS08-032 
  194860  HIGH      MS08-030
  191618  HIGH      MS08-025
  191616  HIGH      MS08-023 
  191614  HIGH      MS08-021   
  191613  HIGH      MS08-020
  187733  HIGH      MS08-008 
  184380  MEDIUM    MS08-002 
  184379  MEDIUM    MS08-001 
  182046  HIGH      MS07-067
  179553  HIGH      MS07-061   
  176383  HIGH      MS07-058 
  170911  HIGH      MS07-050 
  170907  HIGH      MS07-046
  170904  HIGH      MS07-043 
  164915  HIGH      MS07-035 
  164911  HIGH      MS07-031 
  157262  HIGH      MS07-022 
  157261  HIGH      MS07-021 
  157260  HIGH      MS07-020 
  157259  HIGH      MS07-019
  156477  HIGH      MS07-017 
  150249  HIGH      MS07-013 
  150248  HIGH      MS07-012   
  150247  HIGH      MS07-011
  150243  HIGH      MS07-008   
  150242  HIGH      MS07-007 
  150241  MEDIUM    MS07-006   
  145501  HIGH      MS07-004 
  141033  MEDIUM    MS06-075   
  137571  HIGH      MS06-070   
  133386  MEDIUM    MS06-064   
  133385  MEDIUM    MS06-063 
  133379  HIGH      MS06-057 
  129977  MEDIUM    MS06-053   
  129976  MEDIUM    MS06-052   
  126093  HIGH      MS06-051     
  126092  MEDIUM    MS06-050 
  126087  HIGH      MS06-046
  108738  HIGH      MS06-004   
  126082  HIGH      MS06-041
  126081  HIGH      MS06-040 
  123421  HIGH      MS06-036   
  123420  HIGH      MS06-035 
  120825  MEDIUM    MS06-032 
  120823  MEDIUM    MS06-030   
  120818  HIGH      MS06-025   
  120815  HIGH      MS06-022
  117384  MEDIUM    MS06-018
  114666  HIGH      MS06-015 
  108738  HIGH      MS06-004
  108738  HIGH      MS06-004 
  108738  HIGH      MS06-004 
  104567  HIGH      MS06-002 
  104237  HIGH      MS06-001 
  96574  HIGH      MS05-053   
  93395  HIGH      MS05-051
  93454  MEDIUM    MS05-049
;=============================

john.doe 06.09.2009 11:53
Das sieht aber gar nicht gut aus. :(

Alles, was zuerst gefunden wurde, war in der Quarantäne von ComboFix und in der Systemwiederherstellung. Darum muss man sich keine Sorgen machen. Aber das nächste Post zeigt überdeutlich, dass du eines der "Grundgesetze", die du lesen kannst, wenn du auf die letzten beiden Links in meiner Signatur klickst, nicht eingehalten hast, und dadurch grundsätzlich gefährdet bist.

Du musst deine Software aktuell halten. Zumindest wöchentlich schauen, was habe ich installiert, gibt es Updates? Gegen diese Regel hast du verstoßen.

Von dem Auslöser, sprich der Autoplayfunktion von Windows hat dich ComboFix befreit, das kann dir nicht wieder passieren. Trotzdem musst du die Regeln beachten. Immer!

Installiere:
Poste ein aktuelles HJT-Log.

ciao, andreas

freakout 06.09.2009 15:29
Je mehr ich mache, desto mehr Probleme scheine ich zu bekommen :confused:

Ich hab das SP3 installiert, Automatische Updates zugelassen, IE8 ist grade in der Installation, und während ich mit FlashGet versuche, den KMPlayer zu bekommen, tut sich ein Fensterchen mit folgendem Inhalt auf:

Code:
Microsoft Windows XP Service Pack 3 [Build:5.1.2600]

FlashGet 2.11.0.1188  96F86FEACA32A66EBD772F55991467A0  00:04:54
----------------------------------------------------
Type: EXCEPTION_ACCESS_VIOLATION
Address: 0x0000000B
Description: Read the address 0x0000000B

Call Stack:

Load Module List:
C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe [0x00400000] (Ver:2.11.0.1188)
C:\WINDOWS\system32\ntdll.dll [0x7C910000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\kernel32.dll [0x7C800000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\USER32.dll [0x7E360000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\GDI32.dll [0x77EF0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\comdlg32.dll [0x76350000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\ADVAPI32.dll [0x77DA0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\RPCRT4.dll [0x77E50000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\Secur32.dll [0x77FC0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\COMCTL32.dll [0x5D450000] (Ver:5.82.2900.5512)
C:\WINDOWS\system32\SHELL32.dll [0x7E670000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\msvcrt.dll [0x77BE0000] (Ver:7.0.2600.5512)
C:\WINDOWS\system32\SHLWAPI.dll [0x77F40000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\ole32.dll [0x774B0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\OLEAUT32.dll [0x770F0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\MSIMG32.dll [0x76320000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\MSVCP60.dll [0x76020000] (Ver:6.2.3104.0)
C:\Programme\FlashGet Network\FlashGet universal\dbghelp.dll [0x6D510000] (Ver:5.1.2600.1106)
C:\WINDOWS\system32\VERSION.dll [0x77BD0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\PSAPI.DLL [0x76BB0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\NETAPI32.dll [0x597D0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\WININET.dll [0x441E0000] (Ver:7.0.6000.16791)
C:\WINDOWS\system32\Normaliz.dll [0x00330000] (Ver:6.0.5441.0)
C:\WINDOWS\system32\iertutil.dll [0x43F60000] (Ver:7.0.6000.16791)
C:\Programme\FlashGet Network\FlashGet universal\storage.dll [0x10000000] (Ver:2.0.0.1003)
C:\Programme\FlashGet Network\FlashGet universal\LiveUpdateUI.dll [0x00340000] (Ver:1.1.0.1002)
C:\WINDOWS\system32\MFC42.DLL [0x73D30000] (Ver:6.2.4131.0)
C:\WINDOWS\system32\WSOCK32.dll [0x71A30000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\WS2_32.dll [0x71A10000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\WS2HELP.dll [0x71A00000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\imagehlp.dll [0x76C50000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\IMM32.DLL [0x76330000] (Ver:5.1.2600.5512)
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll [0x773A0000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\MFC42LOC.DLL [0x61DC0000] (Ver:6.0.8665.0)
C:\Programme\FlashGet Network\FlashGet universal\BugReport.dll [0x00F20000] (Ver:1.1.0.1001)
C:\Programme\FlashGet Network\FlashGet universal\zlib.dll [0x00F60000] (Ver:1.1.4.0)
C:\WINDOWS\system32\CRTDLL.dll [0x73D00000] (Ver:4.0.1183.1)
C:\WINDOWS\system32\WINSPOOL.DRV [0x72F70000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\modules\ComHelper\ComHelper.dll [0x00FA0000] (Ver:1.0.0.1002)
C:\WINDOWS\system32\urlmon.dll [0x442C0000] (Ver:7.0.6000.16791)
C:\WINDOWS\system32\SETUPAPI.dll [0x778F0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\iphlpapi.dll [0x76D20000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\modules\Downstat\Downstat.dll [0x00FE0000] (Ver:1.0.0.1008)
C:\Programme\FlashGet Network\FlashGet universal\modules\P4pclient\P4pclient.dll [0x01010000] (Ver:1.0.0.1005)
C:\WINDOWS\system32\uxtheme.dll [0x5B0F0000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\MSCTF.dll [0x746A0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\msctfime.ime [0x75250000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\modules\SearchTop\SearchTop.dll [0x01120000] (Ver:1.0.0.1002)
C:\Programme\FlashGet Network\FlashGet universal\modules\Security\Security.dll [0x01160000] (Ver:1.0.0.1006)
C:\Programme\FlashGet Network\FlashGet universal\modules\SnapShot\SnapShot.dll [0x011E0000] (Ver:1.0.0.1027)
C:\WINDOWS\system32\AVIFIL32.dll [0x73AC0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\WINMM.dll [0x76AF0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\MSACM32.dll [0x77BB0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\MSVFW32.dll [0x75EC0000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\modules\tasknotifier\tasknotifier.dll [0x01330000] (Ver:1.0.0.1002)
C:\WINDOWS\system32\RASAPI32.dll [0x76EA0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\rasman.dll [0x76E50000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\TAPI32.dll [0x76E70000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\rtutils.dll [0x76E40000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\modules\SnapShot\SamplerCli.dll [0x01690000] (Ver:1.0.0.1002)
C:\WINDOWS\system32\USERENV.dll [0x76620000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\mswsock.dll [0x719B0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\msv1_0.dll [0x77C40000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\hnetcfg.dll [0x66710000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\sensapi.dll [0x72240000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\RICHED32.DLL [0x73250000] (Ver:5.1.2600.0)
C:\WINDOWS\system32\RICHED20.dll [0x74DB0000] (Ver:5.30.23.1230)
C:\WINDOWS\system32\rasadhlp.dll [0x76F80000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\DNSAPI.dll [0x76EE0000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\wshtcpip.dll [0x719F0000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\winrnr.dll [0x76F70000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\WLDAP32.dll [0x76F20000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\explorerbar.dll [0x02540000] (Ver:1.0.0.1)
C:\WINDOWS\system32\CLBCATQ.DLL [0x76F90000] (Ver:2001.12.4414.700)
C:\WINDOWS\system32\COMRes.dll [0x77010000] (Ver:2001.12.4414.700)
C:\WINDOWS\system32\appHelp.dll [0x77B10000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\cscui.dll [0x779F0000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\CSCDLL.dll [0x765A0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\ieframe.dll [0x444C0000] (Ver:7.0.6000.16791)
C:\WINDOWS\system32\SXS.DLL [0x76970000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\mshtml.dll [0x44BA0000] (Ver:7.0.6000.16809)
C:\WINDOWS\system32\msls31.dll [0x02C60000] (Ver:3.10.349.0)
C:\Programme\FlashGet Network\FlashGet universal\btcore.dll [0x02DF0000] (Ver:2.1.0.42)
C:\Programme\FlashGet Network\FlashGet universal\p2spmgr.dll [0x02EC0000] (Ver:1.8.11.24)
C:\Programme\FlashGet Network\FlashGet universal\p2snetio.dll [0x02F00000] (Ver:1.0.0.7925)
C:\Programme\FlashGet Network\FlashGet universal\p2sprot.dll [0x03050000] (Ver:1.8.11.17)
C:\Programme\FlashGet Network\FlashGet universal\p2pprot.dll [0x03090000] (Ver:1.8.11.17)
C:\WINDOWS\System32\msimtf.dll [0x74670000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\MLANG.dll [0x75DC0000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx [0x031D0000] (Ver:10.0.22.87)
C:\WINDOWS\system32\CRYPT32.dll [0x77A50000] (Ver:5.131.2600.5512)
C:\WINDOWS\system32\MSASN1.dll [0x77AF0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\mscms.dll [0x73AA0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\WINTRUST.dll [0x76BF0000] (Ver:5.131.2600.5512)
C:\WINDOWS\system32\wdmaud.drv [0x72C90000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\msacm32.drv [0x72C80000] (Ver:5.1.2600.0)
C:\WINDOWS\system32\midimap.dll [0x77BA0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\jscript.dll [0x75BF0000] (Ver:5.7.0.16599)
C:\WINDOWS\system32\xpsp2res.dll [0x04DD0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\ImgUtil.dll [0x1B000000] (Ver:7.0.5730.13)
C:\WINDOWS\system32\pngfilt.dll [0x433A0000] (Ver:7.0.6000.16791)
C:\WINDOWS\System32\shdocvw.dll [0x7E1E0000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\CRYPTUI.dll [0x76880000] (Ver:5.131.2600.5512)
C:\WINDOWS\System32\browseui.dll [0x75F20000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\MPR.dll [0x71A80000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\drprov.dll [0x75F00000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\ntlanman.dll [0x71B90000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\NETUI0.dll [0x71C50000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\NETUI1.dll [0x71C10000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\NETRAP.dll [0x71C00000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\SAMLIB.dll [0x71B70000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\davclnt.dll [0x75F10000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\MSGINA.dll [0x75910000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\ODBC32.dll [0x745D0000] (Ver:3.525.1132.0)
C:\WINDOWS\system32\WINSTA.dll [0x76300000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\odbcint.dll [0x1F840000] (Ver:3.525.1117.0)
C:\WINDOWS\system32\LINKINFO.dll [0x76930000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\ntshrui.dll [0x76940000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\ATL.DLL [0x76AD0000] (Ver:3.5.2284.1)
C:\WINDOWS\System32\sti.dll [0x73B10000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\CFGMGR32.dll [0x74A60000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\p2spwrap.dll [0x05B50000] (Ver:1.0.1.1008)
C:\Programme\FlashGet Network\FlashGet universal\hashgen.dll [0x02950000] (Ver:1.0.0.1)
C:\Programme\FlashGet Network\FlashGet universal\btwrap.dll [0x04CD0000] (Ver:1.0.1.1007)
C:\WINDOWS\system32\MPRAPI.dll [0x76D00000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\ACTIVEDS.dll [0x77C90000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\adsldpc.dll [0x76DD0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\mshtmled.dll [0x44160000] (Ver:7.0.6000.16791)
C:\WINDOWS\System32\netshell.dll [0x763A0000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\credui.dll [0x76BC0000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\dot3api.dll [0x5F8F0000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\dot3dlg.dll [0x71260000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\OneX.DLL [0x72760000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\WTSAPI32.dll [0x76F10000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\eappcfg.dll [0x6DB40000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\eappprxy.dll [0x47700000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\wbem\wbemprox.dll [0x74E70000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\wbem\wbemcomn.dll [0x75210000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\wbem\wbemsvc.dll [0x74E50000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\wbem\fastprox.dll [0x75620000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\NTDSAPI.dll [0x76750000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\netcfgx.dll [0x75580000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\CLUSAPI.dll [0x76D60000] (Ver:5.1.2600.5512)

Register Information:
EAX=0x0000000B        EBX=0x00000000        ECX=0x02F4639C        EDX=0x00000002       
ESI=0x02F438E8        EDI=0x000000BC        EBP=0x02F464E8        ESP=0x00000004

System Time: 2009-09-06 16:23:24

Process Information:
CPU Share: 0
CPU Time: 0:00:05
Memory Usage: 22388KB
Virtual Memory: 31060KB
Peak Memory Usage: 67828KB
Handle: 513
USER Object: 194
GDI Object: 357
Thread: 29

Task List
0                [System Process]
4                System
760                smss.exe
808                csrss.exe
832                winlogon.exe
876                services.exe
888                lsass.exe
1056                svchost.exe
1136                svchost.exe
1280                svchost.exe
1340                S24EvMon.exe
1424                svchost.exe
1588                svchost.exe
1948                spoolsv.exe
788                AppleMobileDeviceService.exe
1188                prevx.exe
1448                RegSrvc.exe
1740                SMAgent.exe
1780                svchost.exe
1808                wdfmgr.exe
584                alg.exe
1460                ZCfgSvc.exe
176                wscntfy.exe
620                explorer.exe
792                1XConfig.exe
1480                prevx.exe
2400                jusched.exe
2640                msnmsgr.exe
2784                ctfmon.exe
4000                usnsvc.exe
3212                iexplore.exe
2836                WLLoginProxy.exe
3272                IE8-WindowsXP-x86-DEU[1].exe
1396                iesetup.exe
1612                rundll32.exe
1572                update.exe
2636                flashget.exe
Darauf reagieren kann ich entweder mit "????" oder "??", was mein Gehirn jetzt etwas überfordert. Was hat das schon wieder zu bedeuten? :confused:

john.doe 06.09.2009 15:44
Auch wenn Windows vorgibt, Multitasking zu beherrschen, so stimmt das in der Realität nicht immer. Eines nach dem Anderen. :)

ciao, andreas

freakout 06.09.2009 15:49
Zitat:
Zitat von john.doe (Beitrag 463209)
Auch wenn Windows vorgibt, Multitasking zu beherrschen, so stimmt das in der Realität nicht immer. Eines nach dem Anderen. :)
Okay, werd ich mir merken ;)
IE8 ist fertig und will neustarten, also lass ich das FlashGet Fensterchen einfach und warte, ob es nach einem Neustart wiederkommt? :D

Und dann wollte ich noch fragen: Du hast ja gesagt, ich war mit den Updates faul (was ja stimmt). Reicht es, einfach Windows das alles automatisch machen zu lassen, oder muss ich selbst auch noch die Augen danach offenhalten?

john.doe 06.09.2009 16:10
Zitat:
IE8 ist fertig und will neustarten, also lass ich das FlashGet Fensterchen einfach und warte, ob es nach einem Neustart wiederkommt?
Nach Neustart muss das Programm wieder gestartet werden. Der Download beginnt allerdings nicht von vorne, sondern an der Stelle, an der unterbrochen wurde.
Zitat:
Reicht es, einfach Windows das alles automatisch machen zu lassen, oder muss ich selbst auch noch die Augen danach offenhalten?
Windows macht leider gar nichts automatisch. Die automatischen Updates finden (in der Standardeinstellung) nachts von 2-3 Uhr statt, nur da hat kein Mensch (oder nur die wenigsten) seinen Rechner an. Dazu kommen noch alle anderen Programme, besonders gefährdet sind Java und Acrobat Reader, aber eigentlich gilt das für alle Programme. Unterstützung bietet => Download - Personal (PSI) - Vulnerability Scanning - Secunia.com

1.) Start => Ausführen => combofix /u => OK

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

3.) Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten oder Meldungen?

ciao, andreas

freakout 06.09.2009 16:44
Okay, KMPlayer ist jetzt drauf und funktioniert, IE8 ist in Benutzung (auch wenn noch alles ein wenig gewöhnungsbedürftig für mich ist, er funktioniert einwandfrei), ComboFix ist runter.

Meiner Meinung nach ist der Laptop ein kleines Bisschen langsamer geworden, was für mich aber kein Problem darstellt, ansonsten scheint alles okay. Die Systemwiderherstellung musste ich nicht selbst wieder aktivieren (ist das denn normal?) und das Fensterchen kam auch nicht wieder.

Sollte ich die Schutzprogramme, die ich im Laufe der Behandlung heruntergeladen habe, behalten?

Aktuelles HJT-Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:25, on 06.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [FlashGet] "C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5638 bytes
Lg, freakout

john.doe 06.09.2009 17:01
Zitat:
IE8 ist in Benutzung
Missverständnis. Er muss zwar installiert sein, ich würde aber niemandem raten, damit zu surfen. Lade dir einen vernünftigen Browser wie Firefox oder Opera.
Zitat:
Meiner Meinung nach ist der Laptop ein kleines Bisschen langsamer geworden
Das werden wir noch ändern. :)
Zitat:
Sollte ich die Schutzprogramme, die ich im Laufe der Behandlung heruntergeladen habe, behalten?
Nein, alle deinstallieren/löschen. Das ist ein Grund, warum es jetzt langsamer ist. ;)

Starte HJT => Do a system scan only => Markiere:
Code:
Alle R0, R1, O2, O3, O8, O9 und O16-Einträge
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [FlashGet] "C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe" /min
=> Fix checked => Neustart

Poste ein letztes HJT-Log.

ciao, andreas

freakout 06.09.2009 17:30
So, alles deinstalliert, gefixt und neugestartet.

Wieso brauche ich zwar die neueste IE Version, soll sie aber nicht benutzen?

Hier das kürzeste HJT-Log, das ich je gesehen hab:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:28:10, on 06.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 2044 bytes

john.doe 06.09.2009 17:42
Das der Rechner z.Z. langsamer ist liegt auch daran:
Zitat:
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
Wenn die Updates alle geladen und installiert sind, dann ist er wieder schneller. ;)
Zitat:
Wieso brauche ich zwar die neueste IE Version, soll sie aber nicht benutzen?
Gegenüber anderslautender Aussagen lässt sich der MSIE komplett deinstallieren. Damit habe ich auch mehrere Jahre gelebt. Es hat sich nur herausgestellt, dass einige Programme darauf vertrauen, dass er da ist und die funktionieren dann nicht. Du brauchst ihn in jedem Fall, falls du die Windowsupdates manuell installieren möchtest. Einige Onlinevirenscanner funktionieren nur mit dem MSIE.

Gegen den MSIE spricht vor Allem der Sicherheitsaspekt. Da er immer noch der verbreiteste Browser ist, wird er von Schädlingsprogrammierern gezielt angegriffen und dessen Schwachstellen genutzt.

Du bist entlassen. :)

ciao, andreas

freakout 06.09.2009 17:45
Achso... klingt irgendwie logisch ;)

Wow... super :)

Vielen Dank für deine Hilfe, jetzt bin ich auch um einiges schlauer geworden, was die Sicherheit anbetrifft ;) Danke!


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:17 Uhr.
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130