Trojaner-Board - TR/trash.Gen und Win32.Obitel

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/trash.Gen und Win32.Obitel (https://www.trojaner-board.de/85114-tr-trash-gen-win32-obitel.html)

TR/trash.Gen und Win32.Obitel

Hallo Trojaner Board,

wir haben auf einem Firmenrechner ein Problem.
Heute wurde gefunden Win32.Obitel.
CCleaner ausgeführt, Malawarebytes ausgeführt.
Nach etlichen Neutstarts nun auch TR/Trash.Gen gefunden.

Vor ein paar Tagen wurde auf einem anderen Firmenrechner WinNT.Medisys gefunden und erfolgreich entfernt. (Hatte hier im Forum gepostet http://www.trojaner-board.de/search....archid=1820027 aber leider keine Hilfe bekommen, ist einfach zuviel los hier ;))

Ich hoffe mir kann jemand helfen, Neuaufsetzen ist nur dann ein Thema wenn wirklich nichts mehr geht und würde Arbeit von Monaten zerstören.

Über Hilfe wären wir sehr dankbar.
Hab jetzt noch keine Logs etc. gepostet - warte auf Anweisungen um alles richtig zu machen.

Als Background info kann man noch sagen, Microsoft Security Essentials hat den Win32.Obitel gefunden und Antivir den TR/trash.gen.

Danke vorab! Bitte helft!

Hallo und :hallo:

Zitat:

wir haben auf einem Firmenrechner ein Problem.

Was sagt die EDV dazu? Oder bist Du der Admin oder gibt es gar keine EDV bei Euch? ;)

Zitat:

Neuaufsetzen ist nur dann ein Thema wenn wirklich nichts mehr geht und würde Arbeit von Monaten zerstören.

Ähm, gibt es keine Backups? Dann habt Ihr aber ein grundsätzliches Problem :balla:

Hallo Cosinus,

danke für die Willkommensgrüße.

Unsere EDV ist leider nicht sehr flexibel (freundlich ausgedrückt).
Da Sie wissen das wir ein wenig versiert sind und viele Probleme selber lösen halten die sich gerne bedeckt. Wir sind eine kleine Außenstelle und die EDV Abteilung liegt 400KM entfernt. Wir bzw. ich habe Vollzugriff und bin befugt solche Probleme auch selber zu lösen.

Und zu deinem 2ten. Punkt, leider nein es gibt keine Backups. Ist schon oft bemängelt worden aber bis dato hat sich nichts geändert. Klar sind unsere Server gesichert aber die lokalen PC der einzelnen MA's leider nicht.

...

Um nochmal auf das Problem zurück zu kommen :)
Wie Ihr aus meinem anderen Thread entnehmen könnt ist anscheinend ein Problem gelöst. Der Trojaner bei meiner Kollegin scheint nun auch gelöst zu sein.

Ich habe mich an eure Anleitungen gehalten, CClean und Malawarebytes durchgeführt. Hatte leider nicht den gewünschten Erfolg.

Nun zum Kuriosen, also CC und MALA ausgeführt. Microsoft Security Essentials meldet Trojan Win32.Obitel - irgendwelche Dateien im TEMP Ordner. Diese wurden jedesmal erfolgreich gelöscht, doch nach einem Neustart waren diese auf einmal wieder da. Das Spiel habe ich ca. 10mal gemacht.

Auf einmal meldet sich Antivir (zu meiner Schande muss ich gestehen ich dachte der wäre bereits deinstalliert). Antivir meldet TR/trash.Gen gefunden und eliminiert.

Auf einmal kommen auch keine neuen Meldungen bei dem Microsoft tool.
Also nochmal CC und Malawarebytes ausgeführt. Vollscan Microsoft Security Essentials, Voll Scan Antivir, Vollscan Online Trendmicro Housecall.
Nichts mehr zu finden - scheint alles weg zu sein, hmmm

Ich traue dem Braten noch nicht wirklich, was kann ich posten um sicher zu gehen das diese Schädlinge tatsächlich weg sind?

Gruß und Danke

Zitat:

Und zu deinem 2ten. Punkt, leider nein es gibt keine Backups. Ist schon oft bemängelt worden aber bis dato hat sich nichts geändert. Klar sind unsere Server gesichert aber die lokalen PC der einzelnen MA's leider nicht.

Das ist natürlich doof. Dann würde ich vorschlagen, bevor man da irgendwas bereinigt, macht ein Image des Systems, sodass man notfalls noch zurück kann. Geht mit Acronis, DriveSnapshot oder Driveimage XML

Zitat:

Ich habe mich an eure Anleitungen gehalten, CClean und Malawarebytes durchgeführt. Hatte leider nicht den gewünschten Erfolg.
..
Antivir meldet TR/trash.Gen gefunden und eliminiert.

Bitte alle Logs posten!
Mach auch bitte welche mit OTL und poste sie:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hi Cosinus,

angehängte Dateien sind mbam logs und rsit logs.
Mache jetzt einen OTL und poste den dann gleich.

danke

Hast Du nur Quickscans gemacht? Gehen keine Vollscans?

So hier noch die OTL logs.
Und mit mbam habe ich nur Quickscans gemacht.
(Ich war der Meinung das hier irgendwo steht das Quick hier ausreicht, hmm)
Mit den Microsoft und Antivir habe ich volle Scans gemacht.

Gut, dann mach Du nochmal nen Vollscan mit malwarebytes. Ich schau mir derweil die Logs an.

Kurzes Feedback

Vollständiger Scan von mbam läuft.
Plötzlich meldet sich Antivir TR/trash.gen gefunden.
Mbam lässt sich nicht aufrufen, erst nachdem ich Antivir gesagt habe in Quarantäne verschieben.
mbam läuft noch

danke soweit

Vollständiger Scan mbam angehängt

Die Logs sind soweit unauffällig. Was aber nicht heißt, dass da nichts mehr Böses ist ;)
Du hast AFAIR auch mit AntiVir und so einiges entfernt, bitte das Log davon posten.

Und nur so als Hinweis: Das AntiVir Personal dürft Ihr so eigentlich nicht auf den kommerziell genutzten PC benutzen. Der Lizenzvertrag untersagt das ausdrücklich, AntiVir PE darf nur rein privat genutzt werden...

Hallo Cosinus,

log von av anbei.

Und ja, thema Antivir ist mir bekannt, deshalb noch meine Äußerung das sollte schon längst deinstalliert sein, was ich somit auch gleich machen werde.

Im Log sind meiner Ansicht nach keine Einträge zu finden , hmm
aber siehe angehängtes Bild - alle Funde sind:
In der Datei 'C:\System Volume Information\_restore{0B43F7A5-B2BB-4AC7-B34B-64307782E00B}\RP153\A0036996.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Gruß Svenler

Hm, hast Du noch ältere Logs? Die im Anhang sind irgendwie nur die ohne Funde :confused:

ich schau die Logs nochmal durch, irgendwo müssen ja noch ältere sein.
Aber wie gesagt ich finde das ganze auch sehr merkwürdig. Das AV Log ist sauber aber mir werden Trojaner (siehe bild) angezeigt.
Der letzte ist ja auch erst aufgetaucht als malware gelaufen ist. Die anderen sind immer dann aufgetaucht wenn gerade ein anderes Virenprogramm lief (also der Microsoft Scanner heute morgen)

Also ganz geheuer ist mir die Sache nicht, melde mich gleich nochmal.

"Update" gerade wieder an den "befallenen" Rechner gesetzt und wieder eine AV fund :

In der Datei 'C:\System Volume Information\_restore{0B43F7A5-B2BB-4AC7-B34B-64307782E00B}\RP153\A0036996.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Und das obwohl die Logs alle keinen Fund melden, Antivir selber meldet keinen Fund wenn ich einen Vollscan durchführe!?!?!?!

Anbei das mbam log indem 5 Registry Funde dokumentiert sind.
Als Bild das Quarantäne Log von mbam und das Microsoft Quarantäne Log.

Vielleicht hilft das!?

Hast Du ne Sicherung (Image) des Systems gemacht? Wenn ja, würde ich mal einen Durchgang mit CF vorschlagen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Und hier das ComboFix Log

ComboFix 10-04-19.08 - Sazi 20.04.2010 19:30:18.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.895.592 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\test.txt

----- BITS: Eventuell infizierte Webseiten -----

hxxp://download.yimg.com
.
((((((((((((((((((((((( Dateien erstellt von 2010-03-20 bis 2010-04-20 ))))))))))))))))))))))))))))))
.

2010-04-20 06:29 . 2008-04-14 02:23 26624 ----a-w- c:\windows\system32\stu2.exe
2010-04-19 12:46 . 2010-04-20 13:13 -------- d-----w- c:\programme\trend micro
2010-04-19 12:46 . 2010-04-19 12:46 -------- d-----w- C:\rsit
2010-04-19 12:39 . 2010-04-19 12:39 -------- d-----w- c:\dokumente und einstellungen\Sazi\Anwendungsdaten\Malwarebytes
2010-04-19 12:38 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-19 12:38 . 2010-04-19 12:38 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-19 12:38 . 2010-04-19 12:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-19 12:38 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-19 12:33 . 2010-04-19 12:33 -------- d-----w- c:\programme\CCleaner
2010-04-19 11:47 . 2010-04-19 11:47 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-04-15 15:37 . 2010-02-24 08:16 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-04-15 15:35 . 2010-04-15 15:36 -------- d-----w- c:\programme\Microsoft Security Essentials
2010-04-15 07:31 . 2007-10-23 07:27 110592 ----a-w- c:\dokumente und einstellungen\Sazi\Anwendungsdaten\U3\temp\cleanup.exe
2010-04-15 07:30 . 2008-05-02 08:41 3493888 ---ha-w- c:\dokumente und einstellungen\Sazi\Anwendungsdaten\U3\temp\Launchpad Removal.exe
2010-04-15 07:30 . 2010-04-20 16:10 -------- d-----w- c:\dokumente und einstellungen\Sazi\Anwendungsdaten\U3
2010-04-13 06:14 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-03-24 08:04 . 2010-03-24 18:17 952768 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\14949\AdobeARM.exe
2010-03-24 08:04 . 2010-03-24 18:17 70584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\14949\AdobeExtractFiles.dll
2010-03-24 08:04 . 2010-03-24 18:17 326056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\14949\ReaderUpdater.exe
2010-03-24 08:04 . 2010-03-24 18:17 326056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\14949\AcrobatUpdater.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-20 16:58 . 2009-08-06 07:47 -------- d-----w- c:\programme\Yahoo!
2010-04-20 16:47 . 2009-07-08 07:43 -------- d-----w- c:\programme\Java
2010-04-20 16:47 . 2004-08-04 12:00 95688 ----a-w- c:\windows\system32\perfc007.dat
2010-04-20 16:47 . 2004-08-04 12:00 487818 ----a-w- c:\windows\system32\perfh007.dat
2010-04-20 08:48 . 2009-08-06 07:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2010-04-20 08:47 . 2010-03-18 09:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-04-20 08:47 . 2010-03-18 09:50 -------- d-----w- c:\programme\TuneUp Utilities 2010
2010-04-08 07:34 . 2009-11-09 07:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2010-03-18 09:50 . 2010-03-18 09:50 -------- d-----w- c:\dokumente und einstellungen\Sazi\Anwendungsdaten\TuneUp Software
2010-03-18 09:50 . 2010-03-18 09:50 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-03-10 06:15 . 2004-08-04 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:15 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-10-28 01:14 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:04 . 2004-08-04 12:00 2148864 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2004-08-04 00:50 2027008 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 04:33 . 2004-08-04 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-04 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-03 19:48 . 2009-08-05 12:18 67984 ----a-w- c:\dokumente und einstellungen\Sazi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"nwiz"="nwiz.exe" [2008-09-17 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"MSSE"="c:\programme\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
2008-06-18 11:47 24692 ----a-w- c:\windows\system32\ckpNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1689013857-1552960400-1819828000-2599\Scripts\Logon\0\0]
"Script"=login.vbs

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Citrix XenApp.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Citrix XenApp.lnk
backup=c:\windows\pss\Citrix XenApp.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-03-24 18:17 952768 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 16:43 69632 ----a-w- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08 209153 ----a-w- c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2007-04-03 16:50 1603152 ----a-w- c:\programme\Canon\MyPrinter\BJMYPRT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
2007-04-03 16:00 644696 ----a-w- c:\programme\Canon\SolutionMenu\CNSLMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Messenger (Yahoo!)]
2009-05-26 19:06 4351216 ----a-w- c:\programme\Yahoo!\Messenger\YahooMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22 1695232 ------w- c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883840 ----a-w- c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
2007-02-04 11:02 79400 ----a-w- c:\programme\ScanSoft\OmniPageSE4\OpWareSE4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-11-20 15:02 16858112 ----a-w- c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2008-08-29 14:11 61440 ----a-w- c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2005-08-26 16:14 36975 ----a-w- c:\programme\Java\jre1.5.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_Service.exe"=
"c:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_GUI.exe"=
"c:\\Programme\\CheckPoint\\SecuRemote\\bin\\scc.exe"=
"c:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_SDS.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R1 FW1;SecuRemote Miniport;c:\windows\system32\drivers\fw.sys [18.06.2008 13:46 2235760]
R2 CP_OMDRV;Check Point Office Mode Module;c:\windows\system32\drivers\omdrv.sys [18.06.2008 13:46 47504]
R2 VNASC;Check Point Virtual Network Adapter - SecureClient;c:\windows\system32\drivers\vnasc.sys [18.06.2008 13:46 121136]
R2 VPN-1;VPN-1 Module;c:\windows\system32\drivers\vpn.sys [18.06.2008 13:46 673872]
S4 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.08.2009 09:05 108289]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Sazi\Anwendungsdaten\Mozilla\Firefox\Profiles\5qqq5w0x.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJPI150_05.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Commerzbank Electronic Banking - o:\cotel\SETUP.EXE

**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1036)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-04-20 19:33:50
ComboFix-quarantined-files.txt 2010-04-20 17:33

Vor Suchlauf: 12 Verzeichnis(se), 48.810.835.968 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 49.368.031.232 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 8273AA9713940E8CE1E1B62B2489D075

Das Log sieht garnicht so verkehrt aus. Allerdings gefällt mir der Teil mit den versteckten Objekten noch nicht so ganz, erstell daher bitte nochmal ein Log mit GMER und poste es.

Lieber spät als nie ;)

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-20 22:14:26
Windows 5.1.2600 Service Pack 3
Running: qxle2lgq.exe; Driver: C:\DOKUME~1\Sazi\LOKALE~1\Temp\fwtdypob.sys

---- System - GMER 1.0.15 ----

SSDT F7B94706 ZwCreateKey
SSDT F7B946FC ZwCreateThread
SSDT F7B9470B ZwDeleteKey
SSDT F7B94715 ZwDeleteValueKey
SSDT F7B9471A ZwLoadKey
SSDT F7B946E8 ZwOpenProcess
SSDT F7B946ED ZwOpenThread
SSDT F7B94724 ZwReplaceKey
SSDT F7B9471F ZwRestoreKey
SSDT F7B94710 ZwSetValueKey
SSDT F7B946F7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2DB8 80504654 4 Bytes CALL 8747FF9F
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6A3E360, 0x32DEFD, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\SearchIndexer.exe[164] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Mehr steht nicht drin... wünsche noch einen schönen ruhigen Abend :)

Das sieht ok aus. Rechner wieder ok?

Hi Arne,

ertsmal danke für deine Hilfe!
Ja es scheint soweit alles wieder in Ordnung zu sein.
Bis dato keine neuen Meldungen oder Funde.

Wir haben nochmal alle Rechner im Netz durchgeprüft und nichts mehr gefunden.

Merci vielmals! Ich hoffe wir bleiben jetzt sauber ;)

Ok, schön :D
Dann achtet mal in Zukunft mehr auf Backups, Updates (Betriebssystem und alle verwendeten Programme, obwohl in Firmenumgebungen man oft auf bestimmte Versionen angewiesen ist :o) und wenn möglich: Adminrechte hat auch nur der Administrator bzw. der die "Vollmacht"/Verantwortung von der EDV dazu bekommen hat ;)

Hi Arne,

AAARRRRGGGHHHH
Auf dem Rechner welchen wir gesäubert haben taucht wieder der TR/trash.Gen auf :(

Gestern Abend der erste Fund, gemeldet von Antivir (verschoben in Quarantäne), heute morgen erneut.
Der TR/Trash.Gen taucht immer in der selben Datei auf, damals wie heute.
In so einer .dll ....
'C:\System Volume Information\_restore{0B43F7A5-B2BB-4AC7-B34B-64307782E00B}\RP153\A0036996.dll'

Sieht fast aus als würde nur noch plattmachen helfen, oder?
Alle Tools haben diesen ja nicht wirklich gefunden bzw. entfernt.

Was meinst du?
Gruß Svenler

Ein Trauerspiel :(

Soeben meldet sich ein 2ter Trojaner

TR/Injector.aoc laut Microsoft
die gleiche Datei mit dem Namen .../system32/sdzwkaj.exe
heißt auch : Win32/Bebloh.A

Hilfäääää

laut Microsoft Security Essentials sauber entfernt worden.
Datei lässt sich auch nicht mehr finden ... hmmm

Hast Du nach den Bereinigungen denn auch alle Updates eingespielt? Sieht aus, als würde da der Schädling sich über Lücken im Betriebssystem verbreiten.

Poste mal frische Logs mit OTL und OSAM

Hi Arne,

ich dachte wir wären up-to-date.
Ich komme jetzt gerade nicht zum posten, kann ich erst heute (spät)Nachmittag machen muss gleich ausser Haus.

PS: Wir nutzen auf der Arbeit auch ICQ, MSN und Yahoo MSG, nicht das die nur Leistung fressen ohne Ende sondern auch immer ein Sicherheitsrisiko darstellen habe ich jetzt mal Miranda installiert. Weißt du ob das wirklich sicherer ist oder nur Propaganda?

Melde mich später, danke vorab!

Ich nutze unter Windows auch nur Miranda, aber auch aus anderen Gründen. Ob Miranda unbedingt sicherer ist, weiß ich nicht, aber die ICQ-Software sieht mir schon zu aufgedunsen aus.

HI Arne,

nochmal sorry - erst nach Hilfe gefragt und jetzt komm ich nicht dazu.
Hoffe das ich heute Abend was posten kann - bis dahin bleibt der PC aus.

Gruß