Oh hier wurde ja mal wieder heftig debattiert
. Danke euch nochmals
.
Habe jetzt alle Lösungsvorschläge weitesgehend angenommen:
Konnte allerdings nur 2 der Datein, die HijackThis entdeckt hatte, finden (auch mit den Tipps von Boogeyman). Hier das Ergebniss der beiden Datein bei Virustotal.com:
http://www.virustotal.com/de/resultado.html?70d4ba68b15cbeae1c6ef6d9ab8f82a9
http://www.virustotal.com/de/resultado.html?6092db3be869a4db5d022effe9053f8f
Dann habe ich die tollen beiden Tipps von Fiona (Vielen Dank hierfür
) durchgeführt und zuerst den SuperAntiSpyware durchgeführt. Blieb allerdings erfolglos: Scan fand, ich glaube 10 Dateien, habe diese dann entfernt bzw. auf Quarantäne gesetzt, allerdings nach wiederholtem Scan tauchten diese wieder auf und der Trojaner machte sich immer noch bemerkbar. Daraufhin habe ich SDFix ausgeführt. Bis jetzt allerdings noch keine Spur wieder von dem Trojaner
. Hier der Report.txt:
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
C:\WINDOWS\SYSTEM32\ULTRA.DLL - Deleted
C:\Dokumente und Einstellungen\Daniel\Favoriten\Error Cleaner.url - Deleted
C:\Dokumente und Einstellungen\Daniel\Favoriten\Privacy Protector.url - Deleted
C:\Dokumente und Einstellungen\Daniel\Favoriten\Spyware&Malware Protection.url - Deleted
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\ubi6D.tmp.exe - Deleted
C:\WINDOWS\bindmod.dll - Deleted
C:\WINDOWS\dat.txt - Deleted
C:\WINDOWS\hupsrv.dll - Deleted
C:\WINDOWS\search_res.txt - Deleted
C:\WINDOWS\wtopmod.exe - Deleted
Folder C:\WINDOWS\privacy_danger - Removed
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
http://www.gmer.net
Rootkit scan 2007-11-05 16:37:27
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
IPC error: 2 Das System kann die angegebene Datei nicht finden.
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:36,bc,02,1e,9c,33,c0,10,ba,fc,7e,00,54,7e,44,f7,a3,c8,12,93,f8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:36,bc,02,1e,9c,33,c0,10,ba,fc,7e,00,54,7e,44,f7,a3,c8,12,93,f8,..
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\\27:\xf4wjY\1]
"DisplayName"="\x3da2\x7662\xfee0\26\x1340\21\t"
"DeviceDesc"="\x3da2\x7662\xfee0\26\x1340\21\t"
"ProviderName"="\x5c80\x79a\x24dc\21\x6a0\30\x2808\21\x9005\x77f6"
"MFG"="\xffff\xffff\x3dbf\x7662\x654f\x7662\x11c4"
"ReinstallString"=".10.1000.7"
"DeviceInstanceIds"=str(7):"d:\chipset\rs690\xp2k\sbdrv\smbus\smbusati.inf"
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*
isabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*
isabled:ICQ6"
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*
isabled:Microsoft Office Groove"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*
isabled:Microsoft Office OneNote"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*
isabled:Microsoft Office Outlook"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*
isabled:Yahoo! FT Server"
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*
isabled:Yahoo! Messenger"
"C:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines K”nigreichs\\base\\bin\\Settlers6.exe"="C:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines K”nigreichs\\base\\bin\\Settlers6.exe:*:Enabled
IE SIEDLER - Aufstieg eines K”nigreichs"
"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"="C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe:*:Enabled
ro Evolution Soccer 2008"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files:
---------------
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes:
Fri 21 Sep 2007 72 ..SH. --- "C:\WINDOWS\S6614D0CD.tmp"
Thu 16 Aug 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BIT2E.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BIT4.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BIT46.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BIT5.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BIT58.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BIT6.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BIT7.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BIT8.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BIT9.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BITA.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BITB.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BITC.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BITC5.tmp"
Mon 5 Nov 2007 0 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\BITD.tmp"
Sun 4 Nov 2007 1,301 ...HR --- "C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Finished!
. Auch in den abgesicherten Modus komme ich nicht mehr rein. Sind das jetzt die Spätfolgen des Virus? Kann ich noch irgendetwas machen, um evtl. meine Daten zu retten oder liegt es an was anderem? Habe den PC gestern Abend ganz normal heruntergefahren, es war nicht Auffälliges.