Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
drive-by Infektion

drive-by Infektion


Log-Analyse und Auswertung: drive-by Infektion

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 06.02.2012, 22:16   #1
popeye2
 
drive-by Infektion - Standard

drive-by Infektion


Moin, diesmal hats meinen Privatrechner erwischt:
Browser schließt sich, trojaner fake alert öffnet sich und fährt nach etwa 1 Minute den Rechner runter. Dann Reboot Endlosschleife.
PC im abgesicherten Modus gestartet und MBAM drübergelassen. 14 Infektionen entfernt.
Code:
ATTFilter
Datenbank Version: v2012.02.06.01

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
whw :: WOLFI [Administrator]

06.02.2012 08:20:31
mbam-log-2012-02-06 (08-20-31).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 359426
Laufzeit: 25 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 13
D:\Dokumente und Einstellungen\All Users\oai4szz4hk.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\whw\Lokale Einstellungen\Temp\53.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\whw\Lokale Einstellungen\Temp\yr0.2454877279474008.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\whw\Lokale Einstellungen\Temp\yr0.8905098614885456.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\whw\Lokale Einstellungen\Temp\~!#4.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\whw\Lokale Einstellungen\Temp\~!#52.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0054796.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0054798.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\7.tmp (Trojan.FakeAlert.FS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\hdgfsh.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\kcdzw.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\_ex-68.exe (Trojan.Agent.PE5) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\bqyggs\setup.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Dann Registry (unter services den Schlüssel gptd.sys exportiert und gelöscht (dieser Dienst startete nicht mehr)
Im Windos eventlog noch diverse rote Kreuze, aber windows bootet wieder.
Zeitweise kein Zugriff auf google.
Netzwerktraffic gesnifft mit wireshark, ca 45MB http get's in 12 Minuten. Sieht nach verborgenem adware-Trojaner aus.
MBAM findet nix mehr.
GMER meint was zu finden
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-02-06 21:10:41
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-16 WDC_WD3200BEVT-63ZCT0 rev.11.01A11
Running: 4qd8ibvh.exe; Driver: D:\DOKUME~1\whw\LOKALE~1\Temp\pxtdqpob.sys


---- Kernel code sections - GMER 1.0.15 ----

.text    atapi.sys                                                                                                                       B9F10852 1 Byte  [CC] {INT 3 }
?        D:\WINDOWS\system32\DRIVERS\mrxsmb.sys                                                                                          suspicious PE modification

---- User code sections - GMER 1.0.15 ----

.text    D:\WINDOWS\System32\svchost.exe[1184] ntdll.dll!NtProtectVirtualMemory                                                          7C91D6EE 5 Bytes  JMP 015E000A 
.text    D:\WINDOWS\System32\svchost.exe[1184] ntdll.dll!NtWriteVirtualMemory                                                            7C91DFAE 5 Bytes  JMP 015F000A 
.text    D:\WINDOWS\System32\svchost.exe[1184] ntdll.dll!KiUserExceptionDispatcher                                                       7C91E47C 5 Bytes  JMP 015D000C 
?        D:\WINDOWS\System32\svchost.exe[1184] D:\WINDOWS\System32\smss.exe                                                              image checksum mismatch; time/date stamp mismatch; 
.text    D:\WINDOWS\System32\ping.exe[2804] ntdll.dll!NtCreateProcess                                                                    7C91D14E 5 Bytes  JMP 00BA000A 
.text    D:\WINDOWS\System32\ping.exe[2804] ntdll.dll!NtCreateProcessEx                                                                  7C91D15E 5 Bytes  JMP 00BB000A 
.text    D:\WINDOWS\System32\ping.exe[2804] ntdll.dll!NtProtectVirtualMemory                                                             7C91D6EE 5 Bytes  JMP 00A5000A 
.text    D:\WINDOWS\System32\ping.exe[2804] ntdll.dll!NtWriteVirtualMemory                                                               7C91DFAE 5 Bytes  JMP 00A6000A 
.text    D:\WINDOWS\System32\ping.exe[2804] ntdll.dll!KiUserExceptionDispatcher                                                          7C91E47C 5 Bytes  JMP 00A4000C 
.text    D:\WINDOWS\System32\ping.exe[2804] USER32.dll!GetCursorPos                                                                      7E37974E 5 Bytes  JMP 00BE000A 
.text    D:\WINDOWS\System32\ping.exe[2804] USER32.dll!WindowFromPoint                                                                   7E379766 5 Bytes  JMP 00BF000A 
.text    D:\WINDOWS\System32\ping.exe[2804] USER32.dll!GetForegroundWindow                                                               7E379823 5 Bytes  JMP 00C0000A 
.text    D:\WINDOWS\System32\ping.exe[2804] ole32.dll!CoCreateInstance                                                                   774CF1BC 5 Bytes  JMP 00BD000A 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalAllocateCommonBuffer]                                                        32726472
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!WRITE_PORT_ULONG]                                                               6264725C
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalGetBusDataByOffset]                                                          735C7373
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalGetInterruptVector]                                                          6D2E626D
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!IoFlushAdapterBuffers]                                                          735C7872
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalAssignSlotResources]                                                         6563626D
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalStartProfileInterrupt]                                                       632E6264
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalDisplayString]                                                               90900000
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalRequestIpi]                                                                  8B909090
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalGetEnvironmentVariable]                                                      EC8B55FF
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalSetTimeIncrement]                                                            FC658351
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalSetRealTimeClock]                                                            57565300
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!CTESignal]                                                                      56A90E2F
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiDeregisterNetAddress]                                                        F65815FF
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiDeregisterProvider]                                                          3D8BA90D
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiRegisterPnPHandlers]                                                         [A912B208] \SystemRoot\system32\DRIVERS\mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiBuildNetbiosAddressEa]                                                       B208FF81
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiDeregisterNetAddress]                                                        1E75A912
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!CTEInitString]                                                                  15FFCE8B
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiBuildNetbiosAddress]                                                         [A90DF654] \SystemRoot\system32\DRIVERS\mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiDeregisterAddressChangeHandler]                                              5FFC458B
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiDeregisterDeviceObject]                                                      C2C95B5E
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiCopyMdlToBuffer]                                                             3F8B000C

---- User IAT/EAT - GMER 1.0.15 ----

IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtTerminateProcess]                             83EC8B55
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtRaiseHardError]                               458D74EC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitUnicodeString]                           15FF50F8
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAdjustPrivilege]                             [029AF014] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlFreeHeap]                                    01FC7531
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUpcaseUnicodeChar]                           458DF875
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnicodeStringToInteger]                      15FF508C
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAllocateHeap]                                [029AF004] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlFreeUnicodeString]                           458D086A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!DbgPrintEx]                                     458D50F8
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlExtendedIntegerMultiply]                     15FF508C
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryVolumeInformationFile]                   [029AF000] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenFile]                                     508C458D
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtClose]                                        F00815FF
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcslen]                                         458B029A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcscpy]                                         E84533E4
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryInformationProcess]                      33EC4533
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreatePagingFile]                             C3C9F045
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetInformationFile]                           8BEC8B55
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryInformationFile]                         EC833040
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!DbgPrint]                                       57565314
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQuerySystemInformation]                       D98B388B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_allmul]                                        EB04708D
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetSecurityObject]                            46B70F20
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetOwnerSecurityDescriptor]                  30448D1A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetDaclSecurityDescriptor]                   F0F0681C
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAddAccessAllowedAce]                         4F50029A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateAcl]                                   00DCAFE8
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateSecurityDescriptor]                    85595900
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAllocateAndInitializeSid]                    811374C0
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlDosPathNameToNtPathName_U]                   00011CC6
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlExpandEnvironmentStrings_U]                  75FF8500
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryValueKey]                                5FC033DC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!swprintf]                                       C2C95B5E
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenKey]                                      468B0008
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetValueKey]                                  F4458908
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateKey]                                    8B0C468B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateFile]                                   45890473
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtReadFile]                                     74F685F0
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_chkstk]                                        D8BB8D77
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcsstr]                                         57000000
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_wcsupr]                                        9B015068
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtMakeTemporaryObject]                          8D426A02
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateSymbolicLinkObject]                     4E50FC45
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenDirectoryObject]                          F0E015FF
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcsncpy]                                        C085029A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAnsiStringToUnicodeString]                   458D537C
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitAnsiString]                              046A50EC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_stricmp]                                       50F8458D
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateSection]                                75FF096A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrVerifyImageMatchesChecksum]                  DC15FFFC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateDirectoryObject]                        85029AF0
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetEnvironmentVariable]                      8B317CC0
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrUnloadDll]                                   452BF845
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrGetProcedureAddress]                         F0453BF4
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitString]                                  [006A2673] D:\WINDOWS\System32\xpsp2res.dll (Service Pack 2-Meldungen/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrLoadDll]                                     FFFC75FF
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCompareUnicodeString]                        9AF0D415
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlEqualString]                                 7CC08502
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!memmove]                                        0C4D8B17
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_wcsicmp]                                       1F8B018B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateUnicodeString]                         8908558B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlDosSearchPath_U]                             5F8BC21C
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlQueryEnvironmentVariable_U]                  C25C8904
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlEqualUnicodeString]                          01894004
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAppendUnicodeToString]                       FFFC75FF
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAppendUnicodeStringToString]                 9AF0D815
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtWaitForSingleObject]                          40C78302
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtResumeThread]                                 8F75F685
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlDestroyProcessParameters]                    E940C033
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateUserProcess]                           FFFFFF67
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateProcessParameters]                     51EC8B55
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnlockBootStatusData]                        0173A051
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlGetSetBootStatusData]                        5653029B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlLockBootStatusData]                          C0BE0F57
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDisplayString]                                7D89FF33
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!sprintf]                                        DC2AE8F8
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDuplicateObject]                              DC8B0000
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlLengthSid]                                   45C7F633
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlGetAce]                                      001000FC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlPrefixUnicodeString]                         FC458B00
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQuerySymbolicLinkObject]                      0F73F83B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenSymbolicLinkObject]                       11E8C72B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryDirectoryObject]                         8B0000DC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtRequestWaitReplyPort]                         2BC38BF4
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlFindMessage]                                 8DF88BC6
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetEvent]                                     5750FC45
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetSystemInformation]                         FF056A56
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateEvent]                                  9AF0D015
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlLeaveCriticalSection]                        00043D02
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlEnterCriticalSection]                        D574C000
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcscat]                                         047DC085
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrQueryImageFileExecutionOptions]              60EBC033
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDelayExecution]                               F003C033
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtInitializeRegistry]                           468D016A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlQueryRegistryValues]                         18685038
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDeleteValueKey]                               FF029AF1
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateEnvironment]                           9AF0CC15
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateUserThread]                            75C08402
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreatePort]                                   85068B08
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitializeCriticalSection]                   EBE375C0
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetInformationProcess]                        [68006A3C] D:\WINDOWS\System32\rsaenh.dll (Microsoft Enhanced Cryptographic Provider/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateTagHeap]                               00040000
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetInformationThread]                         F07415FF
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryInformationToken]                        F88B029A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenThreadToken]                              2974FF85
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtImpersonateClientOfPort]                      FF016A57
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtConnectPort]                                  15FF4476
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCompleteConnectPort]                          [029AF020] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtAcceptConnectPort]                            127CC085
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenProcess]                                  8B0C75FF
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtReplyWaitReceivePort]                         0875FFCE
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlExitUserThread]                              81E8C78B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtReplyPort]                                    89FFFFFE
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetThreadIsCritical]                         FF57F845
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtWaitForMultipleObjects]                       9AF02415
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetProcessIsCritical]                        F8458B02
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnicodeStringToAnsiString]                   5FEC658D
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtAdjustPrivilegesToken]                        C2C95B5E
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenProcessToken]                             8B550008
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnhandledExceptionFilter]                    3CEC81EC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnwind]                                      56000002
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryVirtualMemory]                           E856F08B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!DbgBreakPoint]                                  0000DB36
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlNormalizeProcessParams]                      [00803D59] D:\WINDOWS\System32\xpsp2res.dll (Service Pack 2-Meldungen/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device   \FileSystem\Cdfs \Cdfs                                                                                                          DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- Modules - GMER 1.0.15 ----

Module   (noname) (*** hidden *** )                                                                                                      A9133000-A914D000 (106496 bytes)                                                                             

---- Threads - GMER 1.0.15 ----

Thread   System [4:132]                                                                                                                  83E2C39F
Thread   System [4:396]                                                                                                                  83DF30F4

---- Processes - GMER 1.0.15 ----

Process  D:\WINDOWS\System32\ping.exe (*** hidden *** )                                                                                  2804                                                                                                         

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                                
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                             0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                          0x31 0x1D 0x8E 0xE9 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                            
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                                 0
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                              0x31 0x1D 0x8E 0xE9 ...
Reg      HKLM\SOFTWARE\Classes\{1A493EAC-93D3-4646-B911-4697A475FF4B}                                                                    
Reg      HKLM\SOFTWARE\Classes\{1A493EAC-93D3-4646-B911-4697A475FF4B}@                                                                   0xB9 0xB5 0x0C 0xE1 ...
Reg      HKLM\SOFTWARE\Classes\{20EF7B60-CE85-4048-A409-02CB203268EE}                                                                    
Reg      HKLM\SOFTWARE\Classes\{20EF7B60-CE85-4048-A409-02CB203268EE}@                                                                   0xA3 0x54 0xEB 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{242E582C-66A8-478C-8BCA-0AF9F1D38D39}                                                                    
Reg      HKLM\SOFTWARE\Classes\{242E582C-66A8-478C-8BCA-0AF9F1D38D39}@                                                                   0x18 0xA4 0xDA 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{29638F0C-042B-4B50-A2D2-8E8E7CA71E4F}                                                                    
Reg      HKLM\SOFTWARE\Classes\{29638F0C-042B-4B50-A2D2-8E8E7CA71E4F}@                                                                   0xD5 0xBA 0x90 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{3B84C2D7-708C-48EF-8ED7-0C5FC0F030C6}                                                                    
Reg      HKLM\SOFTWARE\Classes\{3B84C2D7-708C-48EF-8ED7-0C5FC0F030C6}@                                                                   0x1D 0x82 0x57 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{47BF077C-44C6-42B1-8F88-ADE2585DD2ED}                                                                    
Reg      HKLM\SOFTWARE\Classes\{47BF077C-44C6-42B1-8F88-ADE2585DD2ED}@                                                                   0x15 0x0E 0x07 0xE2 ...
Reg      HKLM\SOFTWARE\Classes\{787E3340-6D04-4BF3-BCC2-2AD3630471CE}                                                                    
Reg      HKLM\SOFTWARE\Classes\{787E3340-6D04-4BF3-BCC2-2AD3630471CE}@                                                                   0xA3 0x71 0x06 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{92561398-2ED8-42AF-86E2-66FA8E9DC46E}                                                                    
Reg      HKLM\SOFTWARE\Classes\{92561398-2ED8-42AF-86E2-66FA8E9DC46E}@                                                                   0x1A 0x30 0xA6 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{97A98033-9FA1-4E80-A339-59787B43CC89}                                                                    
Reg      HKLM\SOFTWARE\Classes\{97A98033-9FA1-4E80-A339-59787B43CC89}@                                                                   0xD7 0x0C 0x26 0xE2 ...
Reg      HKLM\SOFTWARE\Classes\{A82EB336-567D-4F41-A63E-8113AD8B6903}                                                                    
Reg      HKLM\SOFTWARE\Classes\{A82EB336-567D-4F41-A63E-8113AD8B6903}@                                                                   0x2F 0x6F 0x44 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{B67DA794-42D6-4DFE-AE29-0334338228C9}                                                                    
Reg      HKLM\SOFTWARE\Classes\{B67DA794-42D6-4DFE-AE29-0334338228C9}@                                                                   0x93 0x84 0x19 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{C4B20040-7D5A-4558-9E19-B7DF94366F97}                                                                    
Reg      HKLM\SOFTWARE\Classes\{C4B20040-7D5A-4558-9E19-B7DF94366F97}@                                                                   0xA3 0x1A 0xB5 0xE2 ...
Reg      HKLM\SOFTWARE\Classes\{C514227C-0AF4-44BB-816A-E9483A4302C9}                                                                    
Reg      HKLM\SOFTWARE\Classes\{C514227C-0AF4-44BB-816A-E9483A4302C9}@                                                                   0x30 0x91 0xC7 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{C55AC07F-5B51-486C-811A-750184298D58}                                                                    
Reg      HKLM\SOFTWARE\Classes\{C55AC07F-5B51-486C-811A-750184298D58}@                                                                   0x8B 0x67 0xFE 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{C7A40493-BF23-4B53-AB2A-4A923B3EE34B}                                                                    
Reg      HKLM\SOFTWARE\Classes\{C7A40493-BF23-4B53-AB2A-4A923B3EE34B}@                                                                   0x9D 0xBE 0x33 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{E14E55A7-29C8-4389-8E5A-3EF964510FCA}                                                                    
Reg      HKLM\SOFTWARE\Classes\{E14E55A7-29C8-4389-8E5A-3EF964510FCA}@                                                                   0x4B 0xD0 0x65 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{F5E30566-7C8F-4037-A8FF-A7382E251C56}                                                                    
Reg      HKLM\SOFTWARE\Classes\{F5E30566-7C8F-4037-A8FF-A7382E251C56}@                                                                   0x02 0x43 0xB9 0xE0 ...

---- Files - GMER 1.0.15 ----

File     D:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VW536B8W\result[2].php  0 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346                                                                                      0 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\@                                                                                    2048 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\cfg.ini                                                                              168 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\Desktop.ini                                                                          4608 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\L                                                                                    0 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\L\uonarkpi                                                                           456320 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\oemid                                                                                4 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U                                                                                    0 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\00000001.@                                                                         2048 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\00000002.@                                                                         224768 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\00000004.@                                                                         1024 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\80000000.@                                                                         66048 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\80000004.@                                                                         12800 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\80000032.@                                                                         73216 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\version                                                                              862 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\3000371874                                                                                      0 bytes

---- EOF - GMER 1.0.15 ----
--- --- ---


und auch aswMBR scheint noch was zu finden
Code:
ATTFilter
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-06 21:50:08
-----------------------------
21:50:08.559    OS Version: Windows 5.1.2600 Service Pack 3
21:50:08.559    Number of processors: 2 586 0xF0B
21:50:08.559    ComputerName: WOLFI  UserName: whw
21:50:09.043    Initialize success
21:52:43.952    AVAST engine defs: 12020601
21:53:00.561    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-16
21:53:00.561    Disk 0 Vendor: WDC_WD3200BEVT-63ZCT0 11.01A11 Size: 305245MB BusType: 3
21:53:00.671    Disk 0 MBR read successfully
21:53:00.671    Disk 0 MBR scan
21:53:00.686    Disk 0 Windows XP default MBR code
21:53:00.718    Disk 0 Partition 1 80 (A) 06        FAT16 MSDOS5.0      502 MB offset 63
21:53:00.718    Disk 0 Partition - 00     0F Extended LBA            152115 MB offset 1028160
21:53:00.780    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        39997 MB offset 1028223
21:53:00.780    Disk 0 Partition - 00     05     Extended               517 MB offset 82943595
21:53:00.843    Disk 0 Partition 3 00     82   Linux swap               517 MB offset 82943658
21:53:00.858    Disk 0 Partition - 00     05     Extended             10009 MB offset 165919320
21:53:00.905    Disk 0 Partition 4 00     83        Linux             10009 MB offset 84003948
21:53:00.905    Disk 0 Partition - 00     05     Extended              2047 MB offset 187478550
21:53:01.343    Disk 0 Partition 5 00     06        FAT16              2047 MB offset 104502888
21:53:01.343    Disk 0 Partition - 00     05     Extended             10009 MB offset 212170455
21:53:01.530    Disk 0 Partition 6 00     07    HPFS/NTFS NTFS        10009 MB offset 108695853
21:53:01.530    Disk 0 Partition - 00     05     Extended             10009 MB offset 236862360
21:53:01.608    Disk 0 Partition 7 00     07    HPFS/NTFS NTFS        10009 MB offset 129194793
21:53:01.608    Disk 0 Partition - 00     05     Extended             20002 MB offset 277860240
21:53:01.655    Disk 0 Partition 8 00     07    HPFS/NTFS NTFS        20002 MB offset 149693733
21:53:01.655    Disk 0 Partition - 00     05     Extended             20002 MB offset 339324930
21:53:01.733    Disk 0 Partition 9 00     07    HPFS/NTFS NTFS        20002 MB offset 190659483
21:53:01.780    Disk 0 scanning sectors +312560640
21:53:02.061    Disk 0 scanning D:\WINDOWS\system32\drivers
21:53:24.624    File: D:\WINDOWS\system32\drivers\mrxsmb.sys  **INFECTED** Win32:Smadow [Rtk]
21:53:49.500    Disk 0 trace - called modules:
21:53:49.531    ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xa9136ff0]<<
21:53:49.531    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x83f58ab8]
21:53:49.531    3 CLASSPNP.SYS[ba0f8fd7] -> nt!IofCallDriver -> [0x837926c8]
21:53:49.531    \Driver\00000843[0x8389ee30] -> IRP_MJ_CREATE -> 0xa9136ff0
21:53:50.047    AVAST engine scan D:\WINDOWS
21:54:34.328    AVAST engine scan D:\WINDOWS\system32
22:03:01.403    AVAST engine scan D:\WINDOWS\system32\drivers
22:03:25.607    File: D:\WINDOWS\system32\drivers\mrxsmb.sys  **INFECTED** Win32:Smadow [Rtk]
22:04:01.530    AVAST engine scan D:\Dokumente und Einstellungen\whw
22:08:08.711    Disk 0 MBR has been saved successfully to "D:\Dokumente und Einstellungen\whw\Desktop\MBR.dat"
22:08:08.711    The log file has been saved successfully to "D:\Dokumente und Einstellungen\whw\Desktop\aswMBR.txt"
Bevor ich was kaputt mach frag ich lieber die Experten


ach ja: vermutlich java exploit: was ich aus den Browserlogs (seamonkey 1.1.19) <ja ich weiß> und java logs gesehen habe, wurde 6 Sekunden nach dem letzten Aufruf einer dt. Shopping website der JRE geladen , und etwa 2 Minuten später fuhr dann der Browser runter (war inzwischen im Heise Forum)
Kann die verdächtige URL gerne per PM schicken.
Geändert von popeye2 (06.02.2012 um 22:34 Uhr)

Alt 07.02.2012, 08:46   #2
kira
/// Helfer-Team
 
drive-by Infektion - Standard

drive-by Infektion


Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen
Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Lesestoff: "Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun?" - Säubern eines gefährdeten Systems
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

Zitat:
Arbeite die Punkte im normalen Modus ab!
1.
TDSSKiller von Kaspersky
  • Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
  • Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
  • deaktiviere vorübergehend dein AntiVirus-Programm
  • Starte die TDSSKiller.exe durch Doppelklick.
  • Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
    Bestätige das ggfs. mit Y(es).
    Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
  • Poste mir den Inhalt von C:\TDSSKiller<random>.txt hier in den Thread.
Hier findest Du eine ausführlichere Anleitung.

2.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:
  • per Doppelklick starten.
  • gleich mal die Datenbanken zu aktualisieren - online updaten
  • Vollständiger Suchlauf wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Anleitung

3.
Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
  • Doppelklick auf die OTL.exe
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Oben findest Du ein Kästchen mit Ausgabe.
    Wähle bitte Standard-Ausgabe
  • Unter Extra-Registrierung wähle bitte Benutze SafeList.
  • Mache Häckchen bei LOP- und Purity-Prüfung.
  • Klicke nun auf Scan links oben.


  • Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
    Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
  • Poste die Logfiles in Code-Tags hier in den Thread.

4.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ Sprache → Deutsch auswählen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
kira
__________________

__________________
Alt 07.02.2012, 10:02   #3
popeye2
 
drive-by Infektion - Standard

drive-by Infektion


Hallo Kira,
vielen Dank vorab für die schnelle Hilfestellung!
Seit gestern abend hat sich einiges getan:
-Rechner bootet wieder nur im abgesicherten Modus.
-MBAM hat heute 18 Schädlinge entfernt (darunter den vupx.on1, Ransom, fake.alert und spy.eyes ).
Sicherheitshalber habe ich den Rechner vom Netzwerk getrennt und lasse ihn heute tagsüber durchlaufen
Damit entfällt momentan das herunterladen von zusätzlicher sw, da wie gesagt offline und wegen abgesichertem Modus kein USB-Laufwerk möglich.
Soll ich das Netzwerk vorübergehend wieder aktivieren?
otl,mbam, und GMER hab ich schon auf dem Rechner.
Bin im Büro und kann abends die logs machen und senden
__________________
Alt 07.02.2012, 18:16   #4
kira
/// Helfer-Team
 
drive-by Infektion - Standard

drive-by Infektion


im normalen Modus kannst (noch immer) nicht mit dem PC arbeiten? Somit fällt Punkt 1 ja weg (TDSSKiller)

alle andere Schritte (2. bis 4.) kannst erstmal dort auch erledigen.
Alle Protokolle von Malwarebytes bitte posten!

Zitat:
Soll ich das Netzwerk vorübergehend wieder aktivieren?
warten wir noch damit
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!
Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!
Alt 07.02.2012, 20:13   #5
popeye2
 
drive-by Infektion - Standard

drive-by Infektion


Hi Kira
war kurz online
schreibe hier von einem 2.rechner
tdss hat 2 Objekte gefunden.
ACPI.sys (virus.win32.rloader.a)
MRxSmb.sys (virus.win32.ZAccess.l)
welche Zeilen interessieren dich noch vom log, dann tippe ich sie ab. ?
momentan (nach reboot) läuft mbam-quick. windoof bootete wieder.
ergebnis: exploit.drop.2
werde das mal cleanen und dann tdss noch mal durchlaufen lassen:
Ergebnis virus.win32.ZAccess.c (object netbt.sys ) (im log steht suspicious file, falsche md5 signatur)
update
tdss findet wiederholt nach reboot den letzteren Virus
gmer bemerkt dass ein treiber fehlt (92547261.sys) und meldet weiterhin ein hidden module
sowie 2 verdächtige dateien (mrxsmb.sys und smss.exe)

Geändert von popeye2 (07.02.2012 um 20:39 Uhr)

Alt 08.02.2012, 08:44   #6
kira
/// Helfer-Team
 
drive-by Infektion - Standard

drive-by Infektion


Zitat:
welche Zeilen interessieren dich noch vom log, dann tippe ich sie ab. ?
?? das Ganze Protokoll bitte mir posten!!

Zitat:
momentan (nach reboot) läuft mbam-quick. windoof bootete wieder.
habe NICHT "Quick" Scan emfohlen!

Zitat:
tdss findet wiederholt nach reboot den letzteren Virus
habe empfohlen es 2x laufen lassen?

Zitat:
wie ich hier exakt beschrieben habe, bitte auch genauso vorgehen!:-> http://www.trojaner-board.de/109267-...tml#post766958
sonst wird es lange deuern, bis wir (wenn schon) dein Rechner hinzukriegen...:

Zitat:
win32.ZAccess
da würde ich an Deiner Stelle das System gleich neu installieren, da die Bekämpfung diese neue Art der Infektion fast unmöglich ist. Genau gesagt, nur mit div. Nebenwirkungen und hinterlassenen Schaden, die immer wieder [auf verschiedene Weise] Probleme bereiten können
__________________
--> drive-by Infektion
Geändert von kira (08.02.2012 um 09:04 Uhr)

Alt 12.02.2012, 20:58   #7
popeye2
 
drive-by Infektion - Standard

drive-by Infektion


zu 1:
Code:
ATTFilter
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
ADS D:\Dokumente und Einstellungen\All Users\DRM:مايكروسوفت deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: ****
->Temp folder emptied: 49632 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ntp
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: **
->Temp folder emptied: 129752 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 2731666 bytes
->Flash cache emptied: 0 bytes
 
User: ***
->Temp folder emptied: 31334 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 50115 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 3,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 02122012_205145

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
zu 2: Ich habe die letzte Version, die noch mit Seamonkey 1.19 arbeitet installiert. Die neueren gehen gehen nur mehr mit S.M ab 2.0 und neuer.
edit
3) ist durch
4 ) hat 819 cookies gefunden und 14 angebliche Trojaner. Das hat einen Neustart erfordert
Wo steht die Logdatei?
Geändert von popeye2 (12.02.2012 um 21:48 Uhr)

Alt 29.02.2012, 10:49   #8
popeye2
 
drive-by Infektion - Standard

drive-by Infektion


Neues von der Front:
(inzwischen hat mich der Ehrgeiz gepackt das Rootkit zu bezwingen)
1. es ist ein rootkit.0access.h - meldete mir heute mbam mit Platte an externem Rechner
(anscheinend findet der Signaturupdate heute mehr als vor 14 Tagen). 17 dlls aus windows/system32 gelöscht, jeweils rund 6kB groß
2. das rootkit repository kopiert sich als junction in windows/$NtUninstallKB*****$ (zu erkennen an der 5-stelligen Nummer, übliche MS bugfixes sind 6-7 stellig).
Die Junction lässt sich nach der Anleitung unter sirefef.com löschen (sirefef=0access=max+ rootkit).
3. eine weitere Rootkit Repository versteckt sich unter SystemVolumeinformation/_restore******.
Diese kann man wenn die Platte extern gemounted ist (linux oder weiterer Windowspc) löschen
4. jeweils 2 low level Treiber werden unter den SDevicetreibern zufällig ausgewählt und überschrieben- diese Dateien werden von den Virusscannern im infizierten System erkannt, leider nicht die oben genannten, da sich das Rootkit selber abschirmt. Als Folge gehen bei mehrfachen Misserfolgen wegen der nicht vollständigen Reparatur immer mehr Devicetreiber verloren, muss man also wieder über die externe Methode von einem sauberen Windowsrepository ergänzen.
5. In der Registry nisten sich dutzende Fake Devicetreiber (alle mit hohem numerischen Namen) ein, da muss ich heute abend mal sehen wie man das extern bereinigen kann.

verwendete cdimages:
Ultimate boot cd
OTLPE
weiterer windowsrechner

Leider lässt sich nicht alles mit einem Image machen :-(
OTLPE bootet zwar, darauf lässt sich aber kein MBAM oder GMER installieren, Combofix weiß nichts von externer windowspartition etcpp.
Und ein Start des angeschlagenen Windows verhindert wegen der Stealth Technology ein sauberes Bereinigen, so dass sich wieder alles zurückbildet.
auf jeden Fall: es bleibt spannend

Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.29.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: **** [Administrator]

29.02.2012 07:33:44
mbam-log-2012-02-29 (07-33-44).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 15151
Laufzeit: 11 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 17
N:\WINDOWS\system32\msdv.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\rtl8139.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\s217mgmt.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\tfsnpool.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\VAIOMediaPlatform-MusicServer-UPnP.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\cqcpu.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\awlegacy.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\dot4scan.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\nvpvrmon.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\se2Eunic.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\symsecureport.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\transactional.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\UDFReadr.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\carboncopy32.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\sonywbms.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\sprtsvc_dellsupportcenter.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\pptchpad.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Geändert von popeye2 (29.02.2012 um 10:57 Uhr) Grund: typo

Alt 29.02.2012, 19:36   #9
popeye2
 
drive-by Infektion - Standard

drive-by Infektion


Moin.
Sind das auch 0-access Leichen?
Wie kann ich ein registry file editieren ohne das zugehörige system zu booten?
Geht das mit OTLPE, und wie wäre der Befehl dafür?
Miniaturansicht angehängter Grafiken
drive-by Infektion-nonpnpdrivers.jpg  

Alt 01.03.2012, 07:00   #10
kira
/// Helfer-Team
 
drive-by Infektion - Standard

drive-by Infektion


Ohne Formatierung kommst Du leider nicht drumm herum! Sichtbare Ebenen kann man ja einiges entfernen, dabei bleiben unsichtbare erhalten. Was ist Rootkit?:-> Rootkit
Festplatte formatieren und Windows neu einrichten dauert ein paar Stunden!
Du hast dich am 06.02.2012 hier bei uns registriert, am 14.02.2012 Dir mitgeteilt, dass man diese Art von Befall durch Systembereinigung nicht beheben kann!
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!
Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!
Geändert von kira (01.03.2012 um 07:06 Uhr)

Alt 06.03.2012, 23:01   #11
popeye2
 
drive-by Infektion - Icon35

drive-by Infektion


Hallo Kira,
das System läuft wieder.
Auch wenn es deiner Meinung nach unsicher ist, ohne Neuformatierung.
Habe einiges über den internen Windowsaufbau gelernt, und das war mir den Zeitaufwand eindeutig wert.
---------------------------------------
Für alle die über google auf diesen Thread stoßen:
-Bereinigung gelingt nur über externes System, so dass das Rootkit nicht aktiv ist (Boot über windows rescue cd oder Festplatte per USB an Fremdrechner anschließen)
- Die betroffenen Dateien findet dann ein Virenscanner z.B. MBAM.
- die junctions (getarnt als windows Hotfix) kann man nach Anleitung von sirefef.com entfernen
- die Wiederherstellungspunkte hab ich auch eliminiert (System volume)
- man muss einige überschriebene Systemtreiber von einem sauberen Windowssystem nach system32 kopieren. Sicherheitshalber das ganze dir wiederhergestellt.
- da sich der Virus u.a. im Netzwerktreiber netbt eingenistet hatte, musste ich die Registry in diesem Bereich (Netzwerk) komplett restaurieren, deshalb hatte Kira schon Recht, dass der Zeitaufwand dafür eigentlich nicht lohnt.
- Ich lebe mit der Gefahr, dass die Rootkitrepository (siehe Beschreibung zu zeroaccess bzw sirefef) noch irgendwo verschlüsselt auf der Festplatte rumliegt. Ohne die passenden Dekodierroutinen, die ja vom Virenscanner entfernt wurden, macht das mir nichts aus. Zusätzlich habe ich mit CCleaner den freien Festplattenbereich geschreddert.
Ich danke für den Support.

ps logischerweis benutze ich diesen Rechner vorerst nicht für Homebanking und -shopping :-)

Antwort

Themen zu drive-by Infektion
80000000.@, alert, aswmbr, avast, classpnp.sys, computer, dateisystem, desktop.ini, diverse, drive-by infektion, einstellungen, fake, gelöscht, hal.dll, harddisk, heuristiks/extra, heuristiks/shuriken, infected, internet, kaputt, log, log file, ntdll.dll, registry, scan, sekunden, software, svchost.exe, system, temp, trojaner, windows, windows xp, wireshark, öffnet


« OnlineBanking gesperrt.... | Kritischer Fehler, Ereignis 41: Kernel-Power »


Ähnliche Themen: drive-by Infektion


  1. Drive by für iPhone?
    Smartphone, Tablet & Handy Security - 22.12.2014 (2)
  2. Avast: Infektion blockiert , Infektion: URL:Mal (bei Ebay.de)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (3)
  3. Java Drive By
    Log-Analyse und Auswertung - 07.03.2014 (3)
  4. NoScript und Drive-by-Downloads
    Antiviren-, Firewall- und andere Schutzprogramme - 13.12.2013 (9)
  5. Bestmöglicher Schutz vor drive-by-Infektionen
    Diskussionsforum - 14.07.2013 (74)
  6. Drive-by-download & live-System
    Diskussionsforum - 03.05.2013 (3)
  7. Drive-By-Variante von BKA UKash ?
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (21)
  8. AKM / BMI Trojaner, OTL via USB-Drive
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (1)
  9. Drive-By Infektion und seine Folgen (Bank Phishing)
    Antiviren-, Firewall- und andere Schutzprogramme - 03.04.2012 (9)
  10. Windows 8: Die Rückkehr des Drive Extenders
    Nachrichten - 06.01.2012 (0)
  11. Drive-by-Installation
    Anleitungen, FAQs & Links - 17.09.2010 (1)
  12. Solid State Drive (SSD)
    Netzwerk und Hardware - 28.03.2010 (7)
  13. Drive Cleaner auf Mac - gefährlich?
    Plagegeister aller Art und deren Bekämpfung - 01.10.2007 (3)
  14. Paragon Drive Backup 2007
    Alles rund um Windows - 24.09.2007 (6)
  15. Drive Cleaner
    Plagegeister aller Art und deren Bekämpfung - 15.06.2007 (7)
  16. Drive Cleaner Pop Up
    Log-Analyse und Auswertung - 27.03.2007 (3)
  17. Samsung 48x12x40 CD-RW-Drive?
    Netzwerk und Hardware - 08.01.2003 (14)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema drive-by Infektion - Moin, diesmal hats meinen Privatrechner erwischt: Browser schließt sich, trojaner fake alert öffnet sich und fährt nach etwa 1 Minute den Rechner runter. Dann Reboot Endlosschleife. PC im abgesicherten Modus - drive-by Infektion...
Archiv
Du betrachtest: drive-by Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131