Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Sinowal + TR/Small.ahzz Infektion (https://www.trojaner-board.de/97211-sinowal-tr-small-ahzz-infektion.html)

dose123 06.04.2011 18:44
Sinowal + TR/Small.ahzz Infektion
 
Hallo zusammen,

dies ist mein erster Beitrag in diesem Forum, deswegen bitte ich euch nachsichtig zu sein.

aber nun zu meinem Problem:

Gmer findet das Rootkit Sinowal in meinem MBR. Avira Antivir meldet den Trojaner TR/Small.ahzz in der Datei dll.dll im System32-Verzeichnis.
Mithilfe von SysInternals habe ich herausgefunden, das diese als svchost Verbindungen zu mir unbekannten Hosts auf Port 6346 aufbaut.

Infiziert hab ich mich anscheinend durch ein infiziertes PDF.

Anbei sind die Logs OTL, Gmer und Extra.

Eine Neuinstallation würde ich gerne wegen meiner Mutter, die nur schwer mit Veränderungen am PC klarkommt vermeiden.

Ich hoffe, dass ihr mir helfen könnt und bedanke mich im Voraus.

cosinus 07.04.2011 10:54
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

dose123 07.04.2011 15:09
Danke für die Antwort,

soll ich einen Quick- oder Vollscan machen.
Ist es möglich, dass Sinowal nur festgestellt wurde, weil ich grub2 im MBR installiert habe?

mfg

cosinus 07.04.2011 15:23
Zitat:
weil ich grub2 im MBR installiert habe?
Glaub ich nicht.
Mach bitte einen Vollscan mit Malwarebytes.

dose123 07.04.2011 15:39
Wie ich deine Antwort erhalten habe, abe ich schon ein Quick-Scan gemacht. Anbei ist das Log. Aber Qctray kann es nicht sein weil es der Spybot DB als Autostart bekannt ist. Es gehört zu den Thinkpads. Ich reich den Komplettscan noch nach.

mfg

cosinus 07.04.2011 19:08
Die anderen Funde solltest du aber schon entfernen!

dose123 07.04.2011 22:19
Der komplette Scan hat 4 Stunden und 45 Minuten gedauert!
Anbei ist das Log.

mfg

cosinus 08.04.2011 05:13
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

dose123 08.04.2011 14:54
Ich habe deine Anweisungen befolgt. Hier ist das Ergebnis.

mfg

cosinus 08.04.2011 15:03
Code:
2011/04/08 15:34:56.0949 4080        Detected object count: 1
2011/04/08 15:35:23.0457 4080        \HardDisk0 (Backdoor.Win32.Sinowal.knf) - will be cured after reboot
2011/04/08 15:35:23.0467 4080        \HardDisk0 - ok
2011/04/08 15:35:23.0467 4080        Backdoor.Win32.Sinowal.knf(\HardDisk0) - User select action: Cure
2011/04/08 15:35:31.0809 0768        Deinitialize success
Sinowal wurde erkannt und entfernt. Bitte Windows neu starten und den TDSS-Killer zur Kontrolle nochmal ausführen - Log posten.

dose123 08.04.2011 15:12
Er hat nichts mehr gefunden. Die unbekannten Verbindungen sind auch verschwunden. Wie stelle ich nun sicher , dass das System nicht mehr verseucht ist?

mfg

cosinus 08.04.2011 15:19
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

dose123 08.04.2011 16:25
Hallo,

hier ist das Ergebnis:
Combofix Logfile:
Code:
ComboFix 11-04-07.08 - gturetschek 08.04.2011  16:46:52.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\gturetschek\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\Default User\WINDOWS
c:\dokumente und einstellungen\gturetschek\WINDOWS
c:\progra~1\ThinkPad\CONNEC~1\Qctray.exe
c:\windows\system32\config\systemprofile\WINDOWS
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-03-08 bis 2011-04-08  ))))))))))))))))))))))))))))))
.
.
2011-04-08 14:31 . 2011-04-08 14:31        --------        d-----w-        c:\programme\CCleaner
2011-04-08 13:22 . 2011-01-21 11:11        95672        ----a-w-        c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-04-07 14:03 . 2011-04-07 14:03        --------        d-----w-        c:\dokumente und einstellungen\gturetschek\Anwendungsdaten\Malwarebytes
2011-04-07 14:03 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-07 14:03 . 2011-04-07 14:03        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-07 14:03 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-04-07 14:03 . 2011-04-07 14:03        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-04-06 13:49 . 2011-04-06 13:49        --------        d-----w-        c:\programme\ERUNT
2011-04-04 10:51 . 2011-04-06 13:15        296487        ----a-w-        c:\windows\system32\shimg.dll
2011-03-24 18:00 . 2011-03-24 18:00        781272        ----a-w-        c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-03-24 18:00 . 2011-03-24 18:00        1874904        ----a-w-        c:\programme\Mozilla Firefox\mozjs.dll
2011-03-24 18:00 . 2011-03-24 18:00        728024        ----a-w-        c:\programme\Mozilla Firefox\libGLESv2.dll
2011-03-24 18:00 . 2011-03-24 18:00        15832        ----a-w-        c:\programme\Mozilla Firefox\mozalloc.dll
2011-03-24 18:00 . 2011-03-24 18:00        142296        ----a-w-        c:\programme\Mozilla Firefox\libEGL.dll
2011-03-24 18:00 . 2011-03-24 18:00        1893336        ----a-w-        c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-03-24 18:00 . 2011-03-24 18:00        1975768        ----a-w-        c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-03-24 18:00 . 2011-03-24 18:00        142296        ----a-w-        c:\programme\Mozilla Firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:53 . 2008-09-10 12:21        186880        ------w-        c:\windows\system32\encdec.dll
2011-02-09 13:53 . 2008-09-10 12:21        270848        ------w-        c:\windows\system32\sbe.dll
2011-02-02 19:40 . 2010-07-10 12:08        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2011-02-02 17:19 . 2008-09-16 14:52        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2011-02-02 07:58 . 2008-09-10 12:18        2067456        ----a-w-        c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2008-09-10 12:18        677888        ----a-w-        c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2008-09-10 12:18        440832        ----a-w-        c:\windows\system32\shimgvw.dll
2011-03-24 18:00 . 2011-03-24 18:00        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AEIWLSTA.EXE"="AEIWLSTA.EXE START" [X]
"AGRSMMSG"="AGRSMMSG.exe" [2002-01-15 87037]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"AtiPTA"="atiptaxx.exe" [2002-01-18 311296]
"TrackPointSrv"="tp4serv.exe" [2002-01-18 176128]
"TP4EX"="tp4ex.exe" [2002-01-09 53248]
"TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2002-01-28 69632]
"TPTRAY"="c:\progra~1\ThinkPad\UTILIT~1\TP98TRAY.EXE" [2002-02-19 47104]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2002-01-14 57856]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2002-01-21 102453]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2011-01-21 624056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-6-16 49152]
Wireless LAN Utility.lnk - c:\programme\LevelOne WPC-0301\WlanCU.exe [2007-11-28 626688]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CounterPath\\X-Lite\\x-lite.exe"=
"c:\\Programme\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Dokumente und Einstellungen\\gturetschek\\Anwendungsdaten\\Thunderbird\\Profiles\\uv49z4g6.default\\extensions\\{83d1f945-8280-11db-96a7-00e08161165f}\\spambayes\\win\\sbpython.exe"=
"c:\\IBMTOOLS\\UPDATER\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\fotobuch.de\\Designer 2.0\\Designer.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"6316:TCP"= 6316:TCP:Services
"3908:TCP"= 3908:TCP:Services
"3454:TCP"= 3454:TCP:Services
"3451:TCP"= 3451:TCP:Services
"2613:TCP"= 2613:TCP:Services
"3106:TCP"= 3106:TCP:Services
"6178:TCP"= 6178:TCP:Services
"6177:TCP"= 6177:TCP:Services
"1551:TCP"= 1551:TCP:Services
"2973:TCP"= 2973:TCP:Services
"4796:TCP"= 4796:TCP:Services
"7853:TCP"= 7853:TCP:Services
"5921:TCP"= 5921:TCP:Services
"9913:TCP"= 9913:TCP:Services
"2773:TCP"= 2773:TCP:Services
.
R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [09.09.2008 09:18 12288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.08.2009 16:59 108289]
R3 AEIWL;High Rate Wireless LAN MiniPCI Combo Card Driver;c:\windows\system32\drivers\AEIWLNDS.sys [01.01.1980 50688]
R3 Tp4Track;IBM PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [01.01.1980 13055]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-08 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\Bmmtask.exe [2008-09-09 23:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.fbi.h-da.de/
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\gturetschek\Anwendungsdaten\Mozilla\Firefox\Profiles\rz0yswqv.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.fbi.h-da.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-QCTRAY - c:\progra~1\ThinkPad\CONNEC~1\Qctray.exe
HKLM-Run-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe
Notify-cryptnet32 - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-04-08 17:03
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\¹mÑw*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(920)
c:\windows\SYSTEM32\Wireless\WirelessGina.DLL
.
- - - - - - - > 'explorer.exe'(3560)
c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\System32\Ati2evxx.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\QCONSVC.EXE
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\AGRSMMSG.exe
c:\windows\system32\atiptaxx.exe
c:\windows\system32\tp4serv.exe
c:\windows\system32\RunDll32.exe
c:\windows\system32\AEIWLSTA.EXE
c:\windows\system32\rundll32.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-08  17:21:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-04-08 15:21
.
Vor Suchlauf: 221.626.368 Bytes frei
Nach Suchlauf: 148.430.848 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
.
- - End Of File - - C4CBF8D8F41EAE6A43E1560B8F7F499B
--- --- ---

cosinus 08.04.2011 17:45
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"=-
"65533:TCP"=-
"52344:TCP"=-
"6316:TCP"=-
"3908:TCP"=-
"3454:TCP"=-
"3451:TCP"=-
"2613:TCP"=-
"3106:TCP"=-
"6178:TCP"=-
"6177:TCP"=-
"1551:TCP"=-
"2973:TCP"=-
"4796:TCP"=-
"7853:TCP"=-
"5921:TCP"=-
"9913:TCP"=-
"2773:TCP"=-
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

dose123 09.04.2011 10:01
Kannst mir kurz erklären, was ComboFix eigentlich macht und anhand welcher Kriterien es entscheidet Dateien zu löschen?

Hier ist das Ergebnis:
Combofix Logfile:
Code:
ComboFix 11-04-07.08 - gturetschek 09.04.2011  10:34:19.2.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\gturetschek\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\gturetschek\Desktop\CFScript.txt.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\crt.dat
c:\windows\system32\shimg.dll
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-03-09 bis 2011-04-09  ))))))))))))))))))))))))))))))
.
.
2011-04-08 14:31 . 2011-04-08 14:31        --------        d-----w-        c:\programme\CCleaner
2011-04-08 13:22 . 2011-01-21 11:11        95672        ----a-w-        c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-04-07 14:03 . 2011-04-07 14:03        --------        d-----w-        c:\dokumente und einstellungen\gturetschek\Anwendungsdaten\Malwarebytes
2011-04-07 14:03 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-07 14:03 . 2011-04-07 14:03        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-07 14:03 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-04-07 14:03 . 2011-04-07 14:03        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-04-06 13:49 . 2011-04-06 13:49        --------        d-----w-        c:\programme\ERUNT
2011-03-24 18:00 . 2011-03-24 18:00        781272        ----a-w-        c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-03-24 18:00 . 2011-03-24 18:00        1874904        ----a-w-        c:\programme\Mozilla Firefox\mozjs.dll
2011-03-24 18:00 . 2011-03-24 18:00        728024        ----a-w-        c:\programme\Mozilla Firefox\libGLESv2.dll
2011-03-24 18:00 . 2011-03-24 18:00        15832        ----a-w-        c:\programme\Mozilla Firefox\mozalloc.dll
2011-03-24 18:00 . 2011-03-24 18:00        142296        ----a-w-        c:\programme\Mozilla Firefox\libEGL.dll
2011-03-24 18:00 . 2011-03-24 18:00        1893336        ----a-w-        c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-03-24 18:00 . 2011-03-24 18:00        1975768        ----a-w-        c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-03-24 18:00 . 2011-03-24 18:00        142296        ----a-w-        c:\programme\Mozilla Firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:53 . 2008-09-10 12:21        186880        ------w-        c:\windows\system32\encdec.dll
2011-02-09 13:53 . 2008-09-10 12:21        270848        ------w-        c:\windows\system32\sbe.dll
2011-02-02 19:40 . 2010-07-10 12:08        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2011-02-02 17:19 . 2008-09-16 14:52        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2011-02-02 07:58 . 2008-09-10 12:18        2067456        ----a-w-        c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2008-09-10 12:18        677888        ----a-w-        c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2008-09-10 12:18        440832        ----a-w-        c:\windows\system32\shimgvw.dll
2011-03-24 18:00 . 2011-03-24 18:00        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AEIWLSTA.EXE"="AEIWLSTA.EXE START" [X]
"AGRSMMSG"="AGRSMMSG.exe" [2002-01-15 87037]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"AtiPTA"="atiptaxx.exe" [2002-01-18 311296]
"TrackPointSrv"="tp4serv.exe" [2002-01-18 176128]
"TP4EX"="tp4ex.exe" [2002-01-09 53248]
"TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2002-01-28 69632]
"TPTRAY"="c:\progra~1\ThinkPad\UTILIT~1\TP98TRAY.EXE" [2002-02-19 47104]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2002-01-14 57856]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2002-01-21 102453]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2011-01-21 624056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-6-16 49152]
Wireless LAN Utility.lnk - c:\programme\LevelOne WPC-0301\WlanCU.exe [2007-11-28 626688]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CounterPath\\X-Lite\\x-lite.exe"=
"c:\\Programme\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Dokumente und Einstellungen\\gturetschek\\Anwendungsdaten\\Thunderbird\\Profiles\\uv49z4g6.default\\extensions\\{83d1f945-8280-11db-96a7-00e08161165f}\\spambayes\\win\\sbpython.exe"=
"c:\\IBMTOOLS\\UPDATER\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\fotobuch.de\\Designer 2.0\\Designer.exe"=
.
R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [09.09.2008 09:18 12288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.08.2009 16:59 108289]
R3 AEIWL;High Rate Wireless LAN MiniPCI Combo Card Driver;c:\windows\system32\drivers\AEIWLNDS.sys [01.01.1980 50688]
R3 Tp4Track;IBM PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [01.01.1980 13055]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-08 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\Bmmtask.exe [2008-09-09 23:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.fbi.h-da.de/
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\gturetschek\Anwendungsdaten\Mozilla\Firefox\Profiles\rz0yswqv.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.fbi.h-da.de/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-04-09 10:46
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\¹mÑw*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(924)
c:\windows\SYSTEM32\Wireless\WirelessGina.DLL
.
Zeit der Fertigstellung: 2011-04-09  10:52:48
ComboFix-quarantined-files.txt  2011-04-09 08:52
ComboFix2.txt  2011-04-08 15:21
.
Vor Suchlauf: 123.768.832 Bytes frei
Nach Suchlauf: 112.848.896 Bytes frei
.
- - End Of File - - 862DB9BFA14F5CE7314A8C069DF04261
--- --- ---


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:55 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131