| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BKA Trojaner / Booten von OTLPE nicht möglichWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.08.2011, 12:58
| #16 |
 |  BKA Trojaner / Booten von OTLPE nicht möglich Ok,done! Hat 1 Rootkit gefunden... |
|
30.08.2011, 15:25
| #17 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | BKA Trojaner / Booten von OTLPE nicht möglich TDSS wurde erkannt und entfernt. Bitte Windows neu starten und zur Kontrolle ein neues Log mit dem Kaspersky-TDSS-Killer machen.
__________________
__________________ |
|
30.08.2011, 18:00
| #18 |
| | BKA Trojaner / Booten von OTLPE nicht möglich So,hier das Log vom 2.Scan,diesmal wurde nichts gefunden.
__________________ |
|
31.08.2011, 10:41
| #19 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BKA Trojaner / Booten von OTLPE nicht möglich Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
31.08.2011, 11:38
| #20 |
| | BKA Trojaner / Booten von OTLPE nicht möglich Ok,ComboFix läuft gerade. Da steht was,dass es nicht länger als 10 Minuten dauert bzw. bei stark infizierten Rechner leicht verdoppelt. Läuft jetzt aber bald schon 40 Minuten. Ist das normal? |
|
31.08.2011, 11:57
| #21 |
| | BKA Trojaner / Booten von OTLPE nicht möglich Shit,gerade hab ich bemerkt,dass ich ComboFix nicht auf dem Desktop abgespeichert habe,sondern in den Eigene Dateien/Downloads-Ordner. Dies passiert automatisch,wenn ich beim downloaden auf Speichern klicke. Der weisse Cursor von ComboFix blinkt seit ca. 10 Minuten auch nicht mehr. Denke es hat sich aufgehängt,oder? |
|
31.08.2011, 12:43
| #22 |
| | BKA Trojaner / Booten von OTLPE nicht möglich ...achso nochwas. Beim Installieren stand da was von wegen,dass der Zugriff auf Scripts auf diesem Rechner deaktiviert ist und man sich an den Administrator wenden soll. Es hat dann aber trotzdem ganz normal weiterinstalliert. Kann es damit zu tun haben,dass sich das Programm ständig aufhängt? Habe es jetzt nämlich deinstalliert und nochmal neu installiert (diesmal auch ganz genau nach Anleitung) und es hat sich trotzdem wieder aufgehängt...  |
|
31.08.2011, 15:34
| #23 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BKA Trojaner / Booten von OTLPE nicht möglich Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
31.08.2011, 19:16
| #24 |
| | BKA Trojaner / Booten von OTLPE nicht möglich Also,hab es jetzt noch dreimal probiert,einmal sogar über ne Stunde gewartet und hab rein gar nichts am Rechner gemacht,aber leider hängt es sich immer auf. Es fängt immer ganz normal an und nach ca. 15Min. hört der Cursor auf zu blinken und das war es dann. Wie gesagt,mich macht die Meldung bezüglich des Zugriffs auf den ScriptHost während der Installation immer stutzig. Was nun?  |
|
31.08.2011, 21:59
| #25 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BKA Trojaner / Booten von OTLPE nicht möglich Hm, dann will es nicht. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.09.2011, 11:26
| #26 |
| | BKA Trojaner / Booten von OTLPE nicht möglich Moin! Also,Scan mit GMER hat nicht funktioniert,hat sich leider ebenfalls immer aufgehängt,einmal sogar mit Blue Screen (DRIVER_IRQL_NOT_LESS_OR_EQUAL). Scan mit OSAM hat gefunzt,hier das Logfile: OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 12:21:52 on 01.09.2011 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 6.0 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "Google Software Updater.job" - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl (File signed by Microsoft | File found, but it contains no detailed information) "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "AWISp50 NDIS Protocol Driver" (AWISp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\System32\Drivers\AWISp50.sys "BRGSp50 NDIS Protocol Driver" (BRGSp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\System32\Drivers\BRGSp50.sys "catchme" (catchme) - ? - C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "Dritek HotKey Keyboard Filter Driver" (DKbFltr) - "Dritek System Inc." - C:\WINDOWS\System32\Drivers\DKbFltr.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "osaio" (osaio) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\osaio.sys "osanbm" (osanbm) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\osanbm.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "Rootkit Unhooker Driver" (rkhdrv40) - ? - C:\WINDOWS\system32\drivers\rkhdrv40.sys (File not found) "Upper Class Filter Driver" (NTIDrvr) - "NewTech Infosystems, Inc." - C:\WINDOWS\System32\DRIVERS\NTIDrvr.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "ZDPSp50 NDIS Protocol Driver" (ZDPSp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\System32\Drivers\ZDPSp50.sys [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? - (File not found | COM-object registry key not found) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? - (File not found | COM-object registry key not found) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BD88A479-9623-4897-8546-BC62B9628F44} "SPTHandler" - ? - (File not found | COM-object registry key not found) {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )----- {32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "{855F3B16-6D32-4FE6-8A56-BBB695989046}" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} "Java Plug-in 1.5.0_02" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} "QuickTime Object" - "Apple Inc." - C:\Programme\QuickTime\QTPlugin.ocx / hxxp://www.apple.com/qtactivex/qtplugin.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10a.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Martina Mühlum\Startmenü\Programme\Autostart\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "LManager" - "Dritek System Inc." - C:\Programme\Launch Manager\QtZgAcer.EXE "QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Programme\CyberLink\Shared Files\RichVideo.exe "Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Notebook Manager Service" (anbmService) - "OSA Technologies Inc." - C:\Acer\eManager\anbmServ.exe "PC Tools Startup and Shutdown Monitor service" (PCToolsSSDMonitorSvc) - "PC Tools" - C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe "ServiceLayer" (ServiceLayer) - "Nokia." - C:\Programme\PC Connectivity Solution\ServiceLayer.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Den Scan mit aswMBR mach ich jetzt... |
|
01.09.2011, 11:59
| #27 |
| | BKA Trojaner / Booten von OTLPE nicht möglich ...und hier das Logfile von aswMBR: aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software Run date: 2011-09-01 12:38:42 ----------------------------- 12:38:42.202 OS Version: Windows 5.1.2600 Service Pack 3 12:38:42.202 Number of processors: 1 586 0x905 12:38:42.202 ComputerName: ACER-XPJ7ZT8MO5 UserName: Martina Mühlum 12:38:43.854 Initialize success 12:39:19.335 AVAST engine defs: 11083101 12:39:25.865 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 12:39:25.865 Disk 0 Vendor: HTS424040M9AT00 MA2OA60V Size: 38154MB BusType: 3 12:39:25.885 Disk 0 MBR read successfully 12:39:25.885 Disk 0 MBR scan 12:39:26.015 Disk 0 unknown MBR code 12:39:26.045 Disk 0 scanning sectors +78140160 12:39:26.295 Disk 0 scanning C:\WINDOWS\system32\drivers 12:40:17.810 Service scanning 12:40:24.489 Modules scanning 12:40:43.036 Disk 0 trace - called modules: 12:40:43.066 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys 12:40:43.066 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86bd1ab8] 12:40:43.076 3 CLASSPNP.SYS[f781efd7] -> nt!IofCallDriver -> \Device\00000077[0x86b41558] 12:40:43.076 5 ACPI.sys[f7774620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x86b5cb58] 12:40:43.456 AVAST engine scan C:\WINDOWS 12:41:00.701 AVAST engine scan C:\WINDOWS\system32 12:47:07.338 AVAST engine scan C:\WINDOWS\system32\drivers 12:47:50.671 AVAST engine scan C:\Dokumente und Einstellungen\Martina Mühlum 12:51:48.773 AVAST engine scan C:\Dokumente und Einstellungen\All Users 12:52:11.376 Scan finished successfully 12:52:25.746 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Martina Mühlum\Desktop\MBR.dat" 12:52:25.756 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Martina Mühlum\Desktop\aswMBR.txt" |
|
01.09.2011, 15:03
| #28 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BKA Trojaner / Booten von OTLPE nicht möglichZitat:
Starte erneut aswMBR und drücke auf den Button FixMBR. Starte Windows neu und erstelle ein neues Log mit aswmbr.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.09.2011, 15:23
| #29 |
| | BKA Trojaner / Booten von OTLPE nicht möglich Ok,hab FixMBR gedrückt,wenn ich jetzt ein neues Log erstellen will,startet der Scan und nach ca.10 Sekunden kommt ein Blue Screen (DRIVER_IRQL_NOT_LESS_OR_EQUAL , Technische Information: atapi.sys - Adress F77105F7 base at F7708000, DateStamp 4802539d) - übrigens derselbe wie vorhin beim GMER Absturz... |
|
01.09.2011, 15:32
| #30 |
| | BKA Trojaner / Booten von OTLPE nicht möglich Hab es gerade nochmal probiert,jetzt scheint es zu gehen,Scan läuft seit 5 Minuten ohne Absturz,mal sehen ob er bis zum Ende durchhält...  |
|
| Themen zu BKA Trojaner / Booten von OTLPE nicht möglich |
| acer, alter, alternative, antwort, bios, blockiert, blue, blue screen, blöde, blöden, booten, failed, funktioniert, google, information, laden, laptop, laufwerk, nicht mehr, nicht möglich, problem, screen, stick, trojaner, version |
Linear-Darstellung
