|
Log-Analyse und Auswertung: Ordner auf USB-Sticks werden nur als Verknüpfung dargestelltWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.10.2011, 21:25 | #1 | ||||
| Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Hallo zu diesem Problem gibt es bereits einige Beiträge, allerdings gelingt es mir nicht, die dort empfohlenen Maßnahmen bzw. vorbereitenden Scans vollständig durchzuführen, so dass ich um Hilfe bitten muss. Generell erscheinen die Ordner auf zwei Sticks nur noch als Verknüfung und lassen sich nicht mehr öffnen. Das Problem tauchte erstmals auf, als die Sticks beim Hochfahren des Rechners noch am Rechner steckten. Zu den Problemen bei der Umsetzung der Hinweise aus dem Forum: 1. Zunächst gelingt nicht die Durchführung von Defogger, die defogger_disable Datei poste ich. 2. Dann wird der OTL-Scan nicht zu Ende geführt, er hängt bei "Manual File Scan - Getting folder structure ...", schließlich erscheint beim klicken aufs OTL-Fenster "Out of Memory". 3. Schließlich versuchte ich den ESET Online Scanner anzuwenden, leider meldet er einen Fehler mit den Proxy-Einstellungen, den ich nicht beheben kann. Als Administrator bin ich angemeldet, daran sollte es nicht liegen. Proxy-Einstellungsfelder gibt es allerdings meines Erachtens generell bei meinem Rechner (Antivir kann z. B. nicht mehr updaten). Der Scan mit Malwarebytes förderte etliche Probleme zu Tage, er zeigt nun keine weiteren infizierten Objekte. Ich hoffe, dass ihr mir helfen könnt, und bedanke mir im Voraus für die Hilfe Viele Grüße Löschel Die Scans ergaben: Malwarebytes Rechner: Zitat:
Zitat:
Zitat:
Zitat:
GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2011-10-05 21:19:26 Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4 WDC_WD5000AACS-00ZUB0 rev.01.01B01 Running: mlqynm12.exe; Driver: C:\Users\Dabu\AppData\Local\Temp\fxdoapoc.sys ---- System - GMER 1.0.15 ---- SSDT 8FA632B6 ZwCreateSection SSDT 8FA632BB ZwSetContextThread SSDT 8FA63257 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwSaveKey + 13D1 82A87349 1 Byte [06] .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82AC0D52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3} .text ntkrnlpa.exe!KeRemoveQueueEx + 11F7 82AC7EAC 4 Bytes [B6, 32, A6, 8F] .text ntkrnlpa.exe!KeRemoveQueueEx + 1597 82AC824C 4 Bytes [BB, 32, A6, 8F] .text ntkrnlpa.exe!KeRemoveQueueEx + 166F 82AC8324 4 Bytes [57, 32, A6, 8F] ---- Devices - GMER 1.0.15 ---- Device \Driver\ACPI_HAL \Device\00000047 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- Geändert von löschel (05.10.2011 um 21:41 Uhr) |
05.10.2011, 22:19 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Malwarebytes bitte aktualisieren und einen Vollscan von jedem Datenträger machen (außer CD oder DVD)
__________________Zitat:
__________________ |
06.10.2011, 09:47 | #3 |
| Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Hallo Arne,
__________________danke für die Antwort, aber das habe ich schon verstanden, mich aber nicht eindeutig ausgedrückt. Auch per Ausführung als Administrator klappt es nicht, da er nicht updaten kann, er fragt dann ob proxy konfiguriert ist. Updates gelingen generell nicht (auch Windows Update, dort kommt es zum Fehler Code8002EFD, wie ich gerade festegestellt habe). Gruß Löschel |
06.10.2011, 13:41 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt
__________________ Logfiles bitte immer in CODE-Tags posten |
06.10.2011, 14:14 | #5 | |
| Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Hallo Arne, danke für den Hinweis, ich habe tatsächlich mit HijackThis eine entsprechende Zeile gefunden Zitat:
Das hilft aber nicht bei dem Problem, dass das Updaten von anderen Programmen (Windows Update, Avira oder eben ESET) nicht funktioniert. Gruß Uli |
06.10.2011, 14:26 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Malwarebytes lässt sich auch nciht updaten? Prüf mal in den Einstellungen von Malwarebytes, ob da auch ein Proxy eingetragen ist.
__________________ --> Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt |
06.10.2011, 19:04 | #7 |
| Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Hallo Arne, der Malwarebytes-Update hat immer funktioniert. Inzwischen bin ich auch soweit, dass die Updates funktionieren, ging mit dem Fix von HijackThis. So hat inzwischen der Eset-Scan funktioniert, deshalb hat das bei mir auch so lange gedauert mit der Antwort. Leider besteht das oben geschilderte Problem mit OTL weiterhin. Vielleicht reichen aber die geposteten logs um weiter zu kommen. Vielen Dank noch einmal und Gruß Uli |
06.10.2011, 20:47 | #8 |
| Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Sorry, ich habe noch die aktualisierten Malware-Scans vergessen: Für die Laufwerke D, C sowie die beiden usb-Sticks Gruß Löschel |
07.10.2011, 14:45 | #9 |
| Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Hallo Arne, Beim erneuten Hochfahren (wegen eines automatischen Windows-Updates) bei dem die beiden Sticks noch am Rechner hingen, haben sich merkwürdige Dateien auf dem Desktop ergeben (siehe Bild). Ich habe dann noch einmal Eset-Scann darüber laufen lassen, er hat leider auch noch mehr gefunden, d.h. beim Booten mit den Sticks dran, hat sich der Rechner erneut etwas eingefangen. Die aktualisierte log-Datei habe ich angehangen. Ich würde mich sehr freuen, wenn du dich noch einmal in mein Problem reinhängen könntest. Danke und Gruß Löschel |
07.10.2011, 16:07 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
07.10.2011, 16:32 | #11 |
| Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Hallo Arne, es ist leider wie gehabt, bei "Manuel File Scan - Getting folder structure" hängt OTL und es geht nicht weiter ... schließlich kommt wieder "Out of Memory". Ach so, dass hatte ich vergessen, auf dem Desktop befindet sich nun auch eine blasse Datei "~WRL3995.tmp" Gruß Löschel |
07.10.2011, 16:39 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Geht es so? Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten |
07.10.2011, 17:22 | #13 |
| Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Mit oder ohne die Eintragung bei benutzerdefinierte Scans? Ohne diese Eintragung kommt auf jeden Fall das heraus: Gruß Löschel Geändert von löschel (07.10.2011 um 17:51 Uhr) |
07.10.2011, 21:32 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL PRC - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarsrv.exe (Babylon Ltd.) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = B0 5D 42 CD 83 69 CB 01 [binary data] IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:49293 FF - prefs.js..browser.search.suggest.enabled: false FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "http://www.gmx.de/" FF - prefs.js..extensions.enabledItems: smartwebprinting@hp.com:4.51 FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=2a21be620000000000000015af5cee88&tlver=1.4.19.14&instlRef=&affID=17163&q=" FF - prefs.js..network.proxy.ftp: "proxy_server" FF - prefs.js..network.proxy.ftp_port: 8080 FF - prefs.js..network.proxy.http: "proxy_server" FF - prefs.js..network.proxy.http_port: 8080 FF - prefs.js..network.proxy.no_proxies_on: "localhost, proxy_server" FF - prefs.js..network.proxy.socks: "proxy_server" FF - prefs.js..network.proxy.socks_port: 8080 FF - prefs.js..network.proxy.ssl: "proxy_server" FF - prefs.js..network.proxy.ssl_port: 8080 FF - prefs.js..network.proxy.type: 4 [2010.10.11 23:08:50 | 000,000,000 | ---D | M] (softonic-de3 Toolbar) -- C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} [2011.02.14 09:25:38 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (CescrtHlpr Object) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\bh\BabylonToolbar.dll (Babylon BHO) O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarTlbr.dll (Babylon Ltd.) O4 - HKLM..\Run: [BabylonToolbar] C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarsrv.exe (Babylon Ltd.) O4 - HKLM..\Run: [NPSStartup] File not found O4 - HKLM..\Run: [NWEReboot] File not found O4 - HKCU..\Run: [conhost] C:\Users\Dabu\AppData\Roaming\Microsoft\conhost.exe File not found O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O32 - Unable to obtain root file information for disk F:\ O32 - AutoRun File - [2009.12.14 10:00:22 | 000,008,192 | ---- | M] (Microsoft) - J:\AutoOff.exe -- [ FAT32 ] [2011.09.15 21:58:34 | 000,000,000 | RHSD | C] -- C:\Users\Dabu\M-1-52-5782-8752-5245 :Files C:\Programme\BabylonToolbar C:\Users\Dabu\M-1-52-5782-8752-5245 :Commands [emptytemp] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
07.10.2011, 21:56 | #15 | |
| Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt Hallo Arne, der Fix ist scheinbar problemlos (mit Neustart) durchgelaufen. Das Logfile lautet wie folgt: Zitat:
Löschel |
Themen zu Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt |
administrator, angemeldet, antivir, beiträge, datei, defogger_disable log, eset, fehler, file, gen, hängt, infizierte, klicke, klicken, locker, malwarebytes, maßnahme, meldet, nicht mehr, online, ordner, problem, probleme, pup.smspay.pgen, rechner, scanner, spyware.agent, stick, update, updaten, verknüpfungen, wärme |