Eine wirkliche Spezie... Trj/Nabload.DPS :(

Rokop Security

Mitglieder Moderatoren

Regeln

Hilfe

Suche

Mitglieder

Kalender

Eine wirkliche Spezie... Trj/Nabload.DPS :(, Trojaner Nabload.DPS seit 1Woche hier am wuseln...werd ihn nicht los.

Einstellungen

belikewater Profil ansehen	14.02.2010, 14:26 Beitrag #1
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo	Hallo, vor ner Woche hab ich per panda security nen online scan durchgeführt da insgesamt 5mal nen account von mir auf einer der großen online communitys gesperrt war (...mit der begründung das dieser account gecrackt wurde!) , wobei nebst ein paar cookies auch der Nabload.DPS Trojaner gefunden wurde. Panda konnte ihn nach dem auffinden nicht desinfizieren , woraufhin ich mich auf die Suche nach nem Tool hierfür gemachthabe-ohne Erfolg:( Scheint ne wirkliche Spezie zu sein...mit unglaublichen Mimikry-Talent. (Norton wuselt so in seelenruhe auf meinem PC herum...schnaaarch!) Der Räuber steckt jedenfalls (bisher?) in 2 combofix dateien : 1. c:\users\sic\downloads\combofix.exe[32788r22fwjfw\catchme.cfxxe] 2. c:\combofix\catchme.cfxxe Hab die erste auch bei virustotal hochgeladen... das ergebnis von catchme.cfxxs http://www.virustotal.com/de/analisis/480a...72d0-1265836637 die zweite konnte ich nicht finden und somit nicht hochladen...denke aber,es wäre nix besseres bei rumgekommen. Mittlerweile komm ich noch nichteinmal in den normalen modus. windows fährt hoch aber bleibt nach der eingabe des konto-passworts stehen. Funkenstille. ich hab schon versucht per rootkit cleaner irgendwas zu erreichen-aber nicht bedacht das im abgesicherten modus sowas nicht funzt. Mein Hijackthislog ist hier... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:22:36, on 14.02.2010 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18882) Boot mode: Safe mode with network support Running processes: C:\Windows\Explorer.EXE C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\DllHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\17.5.0.127\coIEPlg.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\17.5.0.127\IPSBHO.DLL O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\17.5.0.127\coIEPlg.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4 O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Program Files\Buyertools Reminder\ReminderIE.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing) O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/...can8/oscan8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{56FB059E-49F3-4CFD-A117-DC47D0BC215F}: NameServer = 213.191.92.86 62.109.123.6 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: ADSM Service (ADSMService) - ASUSTek Computer Inc. - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: BroadCam Video Streaming Server (BroadCamService) - Unknown owner - C:\Program Files\NCH Software\BroadCam\broadcam.exe (file missing) O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe O23 - Service: Google Update Service (gupdate1ca11d4c0f3da50) (gupdate1ca11d4c0f3da50) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\17.5.0.127\ccSvcHst.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: Remote Procedure Call (RPC) Net (rpcnet) - Absolute Software Corp. - C:\Windows\system32\rpcnet.exe O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe -- End of file - 7783 bytes

Antworten

belikewater Profil ansehen	15.02.2010, 10:50 Beitrag #2
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo	hab gestern mein Laufwerk geprüft & per systemwiederherstellungspunkt nochmals (trotz der vorherigen 3fehlversuche ) versucht zurückzusetzen. danach den pc hochgefahren und alles hat geklappt (einloggen im normale modus usw). Die Schrift hat sich aber komischerweise verändert... hab jetzt ne viel kleinere Schrift als vor dem Crash. Mein Pc hat auch immer noch immense einbußen bezgl der performance. fährt extrem langsam hoch, langsames öffnen v. programmen (firefox etc) ... Norton Internet Security ist verschwunden @raman: glaube wirklich nicht das es ein fehlalarm ist. habe per "combofix/u" versucht combofix zu deinstallieren- ich krieg nen pop up mit " combofix wurde nicht gefunden". wenn ich combofix aber in die suchleiste eingebe -wird es gefunden und erscheint auch dort (ich wage es aber nicht zu öffnen/sprich anzuklicken) @catweazle: yo werde ich alles gleich einrichten und dann über nacht laufen lassen. Ergebnis poste ich dann morgen. ABER noch ne Frage zum CCleaner: Seit einiger Zeit verhält der sich komisch... wenn ich "Analysiere" und danach bereinige, geht der von alleine aus. Erhalte also nicht mehr (so wie ich es in Erinnerung hatte, die Nachricht "soundsovielMB entfernt" . Der geht einfach aus. Muß dann nochmal CCleaner hochfahren um die registrys zu prüfen und bei bedarf zu säubern . Meine Frage: Soll ich den deinstallieren & mir neu downloaden? (glaube nämlich auch da steckt irgendwie der wurm drin) Könnte mir bei der Gelegenheit hier aber jemand evtl. nen Tip geben was ne gute KOSTENLOSE AntiVirus Lösung wäre? Hatte bisher Norton aber konnte mir das nicht leisten zu verlängern. Schonmal danke vorab für die Mühen ! Gruß

Beiträge in diesem Thema

belikewater Eine wirkliche Spezie... Trj/Nabload.DPS :( 14.02.2010, 14:26

markusg wann hast du combofix ausgeführt? bitte poste comb... 14.02.2010, 15:50

belikewater ich hatte damals combofix laut anweisung von jeman... 14.02.2010, 16:15

belikewater hallo, könnte sich einer meiner bitte annehmen? Di... 14.02.2010, 21:10

Catweazle Hallo, mach mal genau das hier, AVZ Antiviral Too... 14.02.2010, 22:59

raman Das ganze ist ein Fehlalarm. Du kannst Combofix ue... 15.02.2010, 10:16

belikewater hab gestern mein Laufwerk geprüft & per system... 15.02.2010, 10:50

ahora2010 ZITAT(belikewater @ 15.02.2010, 10:49) Kö... 15.02.2010, 11:14

raman Glaub mir, die Meldung ist ein Fehlalarm. Sofern d... 15.02.2010, 11:25

belikewater @ahora: tja zuuu spääät-mist ! hatte mich hi... 15.02.2010, 16:25

belikewater hab grad nochmal geguckt um sicher zu sein.... w... 15.02.2010, 16:31

ahora2010 wieso zu spät, du kannst doch immer noch f-secure ... 15.02.2010, 18:44

belikewater Hallo! Ich hab Blödsinn gebaut Hab die AVZ... 16.02.2010, 15:02

der allgäuer ZITAT(belikewater @ 16.02.2010, 15:01) Ha... 16.02.2010, 16:14

Catweazle Da weiß ich jetzt, selber keinen Rat. Catweazle 16.02.2010, 15:17

belikewater mit gegenfragen dieser art is mir nich geholfen. a... 16.02.2010, 18:24

der allgäuer ZITAT(belikewater @ 16.02.2010, 18:23) mi... 16.02.2010, 18:41

Catweazle Das kommt, drauf an wie viele Dateien, oder wie ... 16.02.2010, 19:21

belikewater also CCleaner hab ich doch gemacht. hab ich vorher... 16.02.2010, 20:41

Catweazle Also die GMER Geschichte dauert, wahrscheinlich nu... 16.02.2010, 21:59

belikewater RE: Eine wirkliche Spezie... Trj/Nabload.DPS :( 17.02.2010, 01:17

belikewater habs nochmal mit avz versucht..aber krieg beim upd... 20.02.2010, 04:15

belikewater okay letzter post meinerseits hier... wenn dann ke... 20.02.2010, 15:11

belikewater evtl mal nen hijackthislog? Ps: achja...ich kann ... 20.02.2010, 15:12

J4U ZITAT(belikewater @ 20.02.2010, 15:11) ei... 21.02.2010, 17:22

Catweazle Hallo, ich weiß jetzt nicht wirklich warum sich ke... 21.02.2010, 00:31

Catweazle Hallo, willst nun weiter reparieren, oder was hast... 22.02.2010, 20:42

Catweazle Da werden wir hier wol keine Antwort bekommen C... 28.02.2010, 21:17

« Vorhergehendes Thema · HijackThis-Logs · Folgendes Thema »

1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)

0 Mitglieder: