Trojaner-Board - Windows XP Recovery Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows XP Recovery Virus (https://www.trojaner-board.de/99471-windows-xp-recovery-virus.html)

malwarebytes log

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Datenbank Version: 6662
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

24.05.2011 17:36:47

mbam-log-2011-05-24 (17-36-47).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 218968

Laufzeit: 2 Stunde(n), 25 Minute(n), 14 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

superpyware log

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 05/24/2011 at 08:07 PM
 

Application Version : 4.52.1000
 

Core Rules Database Version : 7126

Trace Rules Database Version: 4938
 

Scan type       : Complete Scan

Total Scan Time : 02:10:12
 

Memory items scanned      : 426

Memory threats detected   : 0

Registry items scanned    : 13532

Registry threats detected : 0

File items scanned        : 18059

File threats detected     : 55
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@zanox-affiliate[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad3.adfarm1.adition[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad.dyntracker[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@mediaplex[3].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@adxpose[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@traffictrack[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@imrworldwide[3].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@adfarm1.adition[3].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@fastclick[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@zanox[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@serving-sys[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@mediabrandsww[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@webmasterplan[3].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@invitemedia[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@doubleclick[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@tracking.mlsat02[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad.zanox[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@apmebf[3].txt

        ia.media-imdb.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\AVA954AJ ]

        earlyexperience.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyCasino\cookies.txt ]

        .partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]

        .partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]

        .partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]

        .partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]

        .partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]

        earlyexperience.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]

        ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]

        ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]

        secure.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]

        secure.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@tracking.mlsat02[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@mediaplex[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad3.adfarm1.adition[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@zanox[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad.yieldmanager[3].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@doubleclick[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@webmasterplan[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@adxpose[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad.yieldmanager[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@revsci[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@petfinder[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@traffictrack[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@zanox-affiliate[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@apmebf[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ru4[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@content.yieldmanager[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@invitemedia[1].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@adfarm1.adition[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad.dyntracker[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@fastclick[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad.zanox[2].txt

        C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@imrworldwide[2].txt
 

Trojan.Agent/Gen-Nullo[Short]

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{C9985CFF-74C4-4630-A132-265978ABBB94}\RP135\A0021365.EXE

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{C9985CFF-74C4-4630-A132-265978ABBB94}\RP135\A0021366.EXE

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{C9985CFF-74C4-4630-A132-265978ABBB94}\RP135\A0021367.DLL

eset log kommt morgen

gn8

Ok. Bislang nur Cookies und Überreste in der Systemwiederherstellung (wenn das keine Fehlalarme sind)

eset log

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6427

# api_version=3.0.2

# EOSSerial=39d95f24458c4e469a745675cd94fbb3

# end=stopped

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-05-24 08:05:15

# local_time=2011-05-24 10:05:15 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=1797 16775141 100 94 117363 71743809 164387 0

# compatibility_mode=8192 67108863 100 0 358 358 0 0

# scanned=19248

# found=3

# cleaned=0

# scan_time=5504

C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\3cc664c-27073102        Java/Exploit.CVE-2010-4452.A trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\1836d75a-1820c2c2        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Programme\Application Updater\ApplicationUpdater.exe        probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6427

# api_version=3.0.2

# EOSSerial=39d95f24458c4e469a745675cd94fbb3

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-05-25 02:35:56

# local_time=2011-05-25 04:35:56 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=1797 16775141 100 94 167600 71794046 214624 0

# compatibility_mode=8192 67108863 100 0 50595 50595 0 0

# scanned=70058

# found=13

# cleaned=0

# scan_time=21908

C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\3cc664c-27073102        Java/Exploit.CVE-2010-4452.A trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\1836d75a-1820c2c2        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Programme\Application Updater\ApplicationUpdater.exe        probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe        a variant of Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP119\A0017379.rbf        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP119\A0017382.rbf        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP119\A0017384.rbf        probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP119\A0017392.old        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP119\A0017393.old        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP119\A0017395.old        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP136\A0022498.sys        Win32/Olmasco.E trojan (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles\05232011_201439\C_Programme\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll        a variant of Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

${Memory}        probably a variant of Win32/Adware.Toolbar.Dealio application        00000000000000000000000000000000        I

Ein paar Überreste.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Rechner ansonsten wieder ok?

Er braucht jetzt aber sehr lange (deutlich länger als vorher) zum hochfahren.

Und wie lange ist deutlich länger? Statt Minuten nun 2 Stunden? :blabla:

Handgestoppte 5m20s bis antivir und wlan icons angezeigt werden in der Taskleiste. Vorher ca. 1m30s

Außerdem kommt vor dem Windows Ladebildschirm nun eine Meldung was gestartet werden soll:

- Microsoft Windows Recovery Console
- do not select this (debugger aktiviert)
- Microsoft Windows XP Home Edition

was aber nur ca. 1s dasteht und dann startet Windows automatisch. :killpc:

gn8

Das Bootmenü kommt durch CF, denn das hat die Wiederherstellungskonsole installiert und die muss man ja irgendwie auswählen können.

Zu längeren Bootzeit hab ich erstmal so keine Idee außer => http://www.trojaner-board.de/71631-p...tml#post425616

Kann man die Wiederherstellungskonsole denn wieder deinstallieren?

Problem ist auch, dass alle Verknüpfungen im Startmenü gelöscht worden sind. Alle Ordner darin sind leer auch von den Zubehör/Systemprogrammen so dass ich gar nicht die Datenträgerbereinigung starten kann. unhide.exe bringt da auch nix wieder.

Zitat:

Kann man die Wiederherstellungskonsole denn wieder deinstallieren?

boot.ini bearbeiten:

1.) Stell erstmal sicher, dass dir alle Dateien angezeigt werden => http://www.trojaner-board.de/59624-a...-sichtbar.html
2.) Klick auf Arbeitsplatz => C:\
3.) Rechtsklick auf boot.ini => Eigenschaften => Haken bei schreibgeschützt entfernen => ok
4.) Per Doppelklick die boot.ini öffnen
5.) bei Timeout die Zahl ändern, zB statt timeout=1 trägst du timeout=0 ein
5.) boot.ini abspeichern
6.) Windows neu starten
7.) Nun wird das Bootmenü für 0 Sekunden - also garnicht mehr - zu sehen sein.

Zitat:

Zitat von cosinus (Beitrag 663712)

Naja hab mal alles gemacht nach der Anleitung aber merklich schneller ist er nicht geworden. Hab das Gefühl das nun jede Menge Prozesse mehr geladen werden als vorher.

Zitat:

Zitat von cosinus (Beitrag 663826)

Klappt. :applaus:

Alles in allem ein großes :dankeschoen:

Bleibt noch das Problem mit der leeren Startleiste.

Zitat:

Bleibt noch das Problem mit der leeren Startleiste.

Durch die Infektion wurde dein Startmenü leergefegt, bei mir bisher bekannten Varianten verschiebt der Schädling alle Verknüpfungen nach %tmp%\smtmp

Eigentlich sollte unhide die Verküpfungen selbst zurück an die richtige Stelle kopieren. Wenn nicht, mach es selbst.

Deine Verknüpfungen sollten jetzt hier sein:

C:\Dokumente und Einstellungen\[DEIN_NAME]\Lokale Einstellungen\Temp

Sie müssen passend nach

C:\Dokumente und Einstellungen\All Users\Startmenü

kopiert werden.

Habe jetzt festgestellt, dass kein Sound mehr abgespielt wird. In der Systemsteuerung wird jedenfalls kein Fehler angezeigt.

Seit wann ist der Sound weg? Oder weißt du es nicht, weil es eben erst aufgefallen ist?
Was ist mit dem Startmenü?