Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Windows XP Laptop möglicherweise infiziert?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.11.2012, 19:30   #1
Killerbee87
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Guten Abend liebe Leute,

nachdem ich den PC meines Bruder leider nicht mehr retten konnte
(siehe mein anderes Problem http://www.trojaner-board.de/126859-...tml#post955768
habe ich nun die Befürchtung, dass bei dieser Rettungsaktion mein eigener Laptop Schaden davon getragen hat.

Es gibt keine Anzeichen für einen Befall, jedoch wie man aus meinem anderen Thema erkenne kann, ist der PC meines Bruders ein extrem hoffnungsloser Fall.

Mein Laptop ist mit Kasperky Pure 2.0 geschützt und ich habe jedesmal, wenn ich mit dem USB Logfiles von dem befallenen PC (Internetverbindung kann man auf dem PC keine mehr ausführen) auf den Laptop übertragen habe, eine vollständige Untersuchung des Sticks durchgeführt - Es wurden keine Bedrohungen angezeigt.

Dennoch bin ich verunsichert und bitte um eure Hilfe.

Kurzinfos zu meinem Laptop:
System: Microsoft Windows XP Media Center Edition, Version 2002, Service Pack 3
Hersteller: HP
Prozessor: Intel Core 2 CPU T5500, 1,66 Ghz, 1,00 GB RAM

Vielen Danke für eure Hilfe & Support schon mal im Voraus!

Liebe Grüße
Kathi

Alt 14.11.2012, 22:41   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Hallo und

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Zitat:
(siehe mein anderes Problem
Nochmal zur Info: Ich bin da eingeschritten und hab Screenshots entfernt, die euren Windows-Lizenzschlüssel zeigten. Diesen sollte man niemals öffentlich machen!

Zitat:
Kurzinfos zu meinem Laptop:
System: Microsoft Windows XP Media Center Edition, Version 2002, Service Pack 3
Schon irgendwelche Scans mit anderen Tools gemacht? Log mit Funden da? Siehe => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!
__________________

__________________

Alt 15.11.2012, 16:57   #3
Killerbee87
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Hallo cosinus, vielen dank für deine Antwort.

Nein ich habe noch keine Logs bzw. Andere scans als mit kaspersky bei diesem gerät durchgeführt. Soll ich Otl und defogger ausführen?
Lg kathi
__________________

Alt 15.11.2012, 20:48   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Wenn es so noch KEINE Hinweise gibt, würde ich nur Scans mit MBAM und ESET empfehlen:
Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren anschließend führst du das hier aus

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Alt 15.11.2012, 22:03   #5
Killerbee87
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Hallo Cosinus,

alles klar - hab jetzt schon mal den Quickscan von Malewarebytes durchlaufen lassen und 4 Objekte wurden gefunden (siehe untenstehende Logdatei)

Da mir schon die Augen zufallen, werde ich das mit dem Eset Online Scanner morgen machen, wenn das ok ist?

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.15.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Katie :: PC308434332191 [limitiert]

Schutz: Deaktiviert

15.11.2012 22:08:42
mbam-log-2012-11-15 (22-08-42).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 286798
Laufzeit: 49 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IBUpdaterService (PUP.InstallBrain) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Lg und Gute Nacht!

Kathi


Alt 16.11.2012, 08:34   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Das sind nur Reste. Mach bitte mit ESET weiter
__________________
--> Windows XP Laptop möglicherweise infiziert?

Alt 16.11.2012, 18:15   #7
Killerbee87
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Hallo cosinus,

lang hats gedauert (und ich bin dabei eingeschlafen ) aber untenstehend nun auch das ESET logfile:

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=1851d399f0c95945bc3d40c4ae41d2d5
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-11-16 05:39:53
# local_time=2012-11-16 06:39:53 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1280 16777191 100 0 1293124 1293124 0 0
# compatibility_mode=8192 67108863 100 0 4645 4645 0 0
# scanned=164881
# found=6
# cleaned=0
# scan_time=10473
C:\Dokumente und Einstellungen\Katie\Eigene Dateien\Downloads\SoftonicDownloader_fuer_datarecovery.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kgo0tkz9.default\Cache\D98DDDA8d01	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie.PC308434332191\Eigene Dateien\Downloads\SoftonicDownloader_fuer_avira-antivir.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie.PC308434332191\Eigene Dateien\Downloads\SoftonicDownloader_fuer_photoscape.exe	a variant of Win32/SoftonicDownloader.E application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie.PC308434332191\Lokale Einstellungen\Temp\C6F92E71-BAB0-7891-AD94-68C98A4A2843\Latest\MyBabylonTB.exe	Win32/Toolbar.Funmoods application (unable to clean)	00000000000000000000000000000000	I
F:\Katie\Kingston stick\Downloads\SoftonicDownloader_fuer_avira-antivir.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
         
lg
Kathi

Alt 16.11.2012, 21:03   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Code:
ATTFilter
C:\Dokumente und Einstellungen\Katie\Eigene Dateien\Downloads\SoftonicDownloader_fuer_datarecovery.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie.PC308434332191\Eigene Dateien\Downloads\SoftonicDownloader_fuer_avira-antivir.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie.PC308434332191\Eigene Dateien\Downloads\SoftonicDownloader_fuer_photoscape.exe	a variant of Win32/SoftonicDownloader.E application (unable to clean)	00000000000000000000000000000000	I
F:\Katie\Kingston stick\Downloads\SoftonicDownloader_fuer_avira-antivir.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
         
Vermüllte Software von Softonic scheint gerade stark in Mode zu sein!

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller oder von Filepony aber nicht von solchen Toolbarklitschen wie Softonic!

Code:
ATTFilter
C:\Dokumente und Einstellungen\Katie\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kgo0tkz9.default\Cache\D98DDDA8d01	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie.PC308434332191\Lokale Einstellungen\Temp\C6F92E71-BAB0-7891-AD94-68C98A4A2843\Latest\MyBabylonTB.exe	Win32/Toolbar.Funmoods application (unable to clean)	00000000000000000000000000000000	I
         
Browsercache und Temp leeren (Datenträgerbereinigung)

Alt 16.11.2012, 21:15   #9
Killerbee87
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Grüß dich!

Zitat:
Vermüllte Software von Softonic scheint gerade stark in Mode zu sein!
Beim Durchstöbern und Lesen sämtlicher Beiträge auf eurem Board, ist mir schon aufgefallen, dass Softonic nicht so wirklich der Burner ist. Im Hinterkopf hab ich schon gewusst, dass ich irgendwann irgendwas von dort heruntergeladen hab, nur wusste ich nicht, dass ich davon noch was oben hab

Zitat:
Browsercache und Temp leeren (Datenträgerbereinigung)
Sonst muss ich nix machen? Danach ist alles gut und im grünen Bereich?
Die gefundenen Sachen verschwinden dann auch?

lg Kathi

Alt 16.11.2012, 22:08   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Naja wir können tiefer graben

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Alt 17.11.2012, 21:36   #11
Killerbee87
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Guten Abend,

untenstehend das GMER Log (hat ganz ohne Probleme und gleich von Anfang an funktioniert)

Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-11-17 22:24:22
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0  rev.
Running: 2dt0qi8k.exe; Driver: C:\DOKUME~1\KATIE~1.PC3\LOKALE~1\Temp\pfliikob.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwAdjustPrivilegesToken [0xEFC8CF2A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwClose [0xEFC8D824]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwConnectPort [0xEFCA77BC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateEvent [0xEFC8DD96]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateMutant [0xEFC8DC84]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreatePort [0xEFCA7AD4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateProcess [0xEFC8DFC6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateProcessEx [0xEFC8E18E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateSection [0xEFC8CCE6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateSemaphore [0xEFC8DEAE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateThread [0xEFC8D556]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateWaitablePort [0xEFCA7B9C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDebugActiveProcess [0xEFC8E4AC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeleteKey [0xEFCA1D6E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeleteValueKey [0xEFCA3578]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeviceIoControlFile [0xEFC8D866]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDuplicateObject [0xEFC8F4AC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwEnumerateKey [0xEFCA2D72]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwEnumerateValueKey [0xEFCA3722]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadDriver [0xEFC8E59E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadKey [0xEFCA28AA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadKey2 [0xEFCA2B06]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwMapViewOfSection [0xEFC8EB0A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwNotifyChangeKey [0xEFCA5FD8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenEvent [0xEFC8DE28]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenMutant [0xEFC8DD10]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenProcess [0xEFC8D164]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenSection [0xEFC8E8EE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenSemaphore [0xEFC8DF40]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenThread [0xEFC8D058]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryKey [0xEFCA1BA2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryMultipleValueKey [0xEFCA3382]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryObject [0xEFCA61CE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQuerySection [0xEFC8EE30]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryValueKey [0xEFCA3172]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueueApcThread [0xEFC8E73E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRenameKey [0xEFCA1E82]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplaceKey [0xEFCA24F6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplyPort [0xEFCA7D16]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplyWaitReceivePort [0xEFCA7C64]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRequestWaitReplyPort [0xEFCA7D82]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRestoreKey [0xEFCA26FE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwResumeThread [0xEFC8F34E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSaveKey [0xEFCA2028]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSaveKeyEx [0xEFCA21BE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSaveMergedKeys [0xEFCA235A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSecureConnectPort [0xEFCA7944]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetContextThread [0xEFC8D6C6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetInformationToken [0xEFC8E358]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetSystemInformation [0xEFC8EF80]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetValueKey [0xEFCA2F32]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSuspendProcess [0xEFC8F074]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSuspendThread [0xEFC8F1AE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSystemDebugControl [0xEFC8E3CE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwTerminateProcess [0xEFC8D302]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwTerminateThread [0xEFC8D25A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwUnmapViewOfSection [0xEFC8ECE8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwWriteVirtualMemory [0xEFC8D3EC]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!FsRtlCheckLockForReadAccess                                               804EAFC4 5 Bytes  JMP EFC7EE5A \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text           ntkrnlpa.exe!IoIsOperationSynchronous                                                  804EF96C 5 Bytes  JMP EFC7F236 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text           ntkrnlpa.exe!ZwCallbackReturn + 2C94                                                   8050458C 12 Bytes  [D4, 7A, CA, EF, C6, DF, C8, ...]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2D60                                                   80504658 12 Bytes  [9E, E5, C8, EF, AA, 28, CA, ...] {SAHF ; IN EAX, 0xc8; OUT DX, EAX; STOSB ; SUB DL, CL; OUT DX, EAX; PUSH ES; SUB ECX, EDX; OUT DX, EAX}
.text           ntkrnlpa.exe!ZwCallbackReturn + 2DD0                                                   805046C8 8 Bytes  [EE, E8, C8, EF, 40, DF, C8, ...]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2EDC                                                   805047D4 16 Bytes  [82, 1E, CA, EF, F6, 24, CA, ...]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2F14                                                   8050480C 20 Bytes  [4E, F3, C8, EF, 28, 20, CA, ...]
.text           ...                                                                                    
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                               section is writeable [0xF53E7360, 0x2255BD, 0xE8000020]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                [F6F06E60] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                [F6F06E60] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                               kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \FileSystem\Fastfat \Fat                                                               fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                  sector 00: rootkit-like behavior

---- EOF - GMER 1.0.15 ----
         
aswmbr folgt dann morgen.
lg und Gute Nacht,
Kathi

Alt 17.11.2012, 22:09   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Bitte poste nach Möglichkeit alle Logs in einem Rutsch

Alt 18.11.2012, 10:59   #13
Killerbee87
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



anbei der aswmbr log:

Code:
ATTFilter
aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-18 10:45:59
-----------------------------
10:45:59.359    OS Version: Windows 5.1.2600 Service Pack 3
10:45:59.359    Number of processors: 2 586 0xF06
10:45:59.359    ComputerName: PC308434332191  UserName: Katie
10:46:27.390    Initialize success
11:03:48.171    AVAST engine defs: 12111800
11:04:02.515    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
11:04:02.515    Disk 0 Vendor:   Size: 0MB BusType: 0
11:04:02.546    Disk 0 MBR read successfully
11:04:02.546    Disk 0 MBR scan
11:04:02.671    Disk 0 unknown MBR code
11:04:02.671    Disk 0 MBR hidden
11:04:02.687    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        85878 MB offset 63
11:04:02.734    Disk 0 Partition 2 00     0C    FAT32 LBA RECOVERY     8479 MB offset 175895685
11:04:02.750    Disk 0 Partition 3 00     D7              NTFS         1027 MB offset 193261950
11:04:02.828    Disk 0 scanning C:\WINDOWS\system32\drivers
11:04:25.484    Service scanning
11:04:37.000    Service KL1 C:\WINDOWS\system32\DRIVERS\kl1.sys **LOCKED** 5
11:04:37.140    Service kl2 C:\WINDOWS\system32\DRIVERS\kl2.sys **LOCKED** 5
11:04:37.343    Service klim5 C:\WINDOWS\system32\DRIVERS\klim5.sys **LOCKED** 5
11:04:37.421    Service klmouflt C:\WINDOWS\system32\DRIVERS\klmouflt.sys **LOCKED** 5
11:04:56.765    Modules scanning
11:05:13.046    Disk 0 trace - called modules:
11:05:13.093    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys 
11:05:13.093    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86f41030]
11:05:13.109    3 CLASSPNP.SYS[f7564fd7] -> nt!IofCallDriver -> \Device\00000086[0x86f298d0]
11:05:13.109    5 ACPI.sys[f73da620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x86fca030]
11:05:15.046    AVAST engine scan C:\WINDOWS
11:05:52.000    AVAST engine scan C:\WINDOWS\system32
11:11:12.000    AVAST engine scan C:\WINDOWS\system32\drivers
11:11:40.000    AVAST engine scan C:\Dokumente und Einstellungen\Katie.PC308434332191
11:26:11.812    AVAST engine scan C:\Dokumente und Einstellungen\All Users
11:32:04.281    Scan finished successfully
11:56:26.734    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Katie.PC308434332191\Desktop\MBR.dat"
11:56:26.765    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Katie.PC308434332191\Desktop\aswMBR.txt"
         

Alt 18.11.2012, 20:48   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast


Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Alt 18.11.2012, 21:01   #15
Killerbee87
 
Windows XP Laptop möglicherweise infiziert? - Standard

Windows XP Laptop möglicherweise infiziert?



oje - was hat er denn?
wenn ich auf den fixmbr button drücke kommt die meldung von aswmbr, dass ich dadurch meine partitionen schädigen kann und ob ich das wirklich will - ist diese meldung normal? hab meine wichtigsten dateien auf meine externe fp gespeichert - reicht das?

lg

Antwort

Themen zu Windows XP Laptop möglicherweise infiziert?
anderes, befall, bruder, center, cpu, edition, guten, html, infiziert, infiziert?, intel, internetverbindung, laptop, leute, logfiles, media, microsoft, nicht mehr, problem, retten, service, usb, verbindung, version, windows, windows xp



Ähnliche Themen: Windows XP Laptop möglicherweise infiziert?


  1. Laptop infiziert?
    Plagegeister aller Art und deren Bekämpfung - 17.10.2015 (20)
  2. Laptop vom Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 06.08.2015 (3)
  3. W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI
    Log-Analyse und Auswertung - 21.05.2015 (33)
  4. Laptop mit Windows 7: Problem mit Malware und Viren (möglicherweise) PC langsam
    Log-Analyse und Auswertung - 03.11.2014 (19)
  5. Standrechner (Windows 7) und Laptop (Windows Vista SP2) infiziert - PUP Optional Frostwire TB
    Log-Analyse und Auswertung - 18.10.2014 (14)
  6. Windows 8.1 mit Thunderbird (IMAP): Möglicherweise Emails manipuliert
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (6)
  7. Windows 7 (64 Bit) - möglicherweise Virus
    Log-Analyse und Auswertung - 29.11.2013 (5)
  8. "csrss.exe" und "winlogon.exe" möglicherweise Infiziert
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (3)
  9. Laptop mit Windows Vista (32bit) infiziert mit JS/Agent.480412 (BKA-Trojaner)
    Plagegeister aller Art und deren Bekämpfung - 23.05.2013 (12)
  10. Computer möglicherweise infiziert
    Log-Analyse und Auswertung - 06.02.2013 (1)
  11. Windows XP Laptop mit verunreinigten USB-Stick infiziert, Trojaner
    Plagegeister aller Art und deren Bekämpfung - 10.12.2012 (19)
  12. Laptop infiziert mit "Windows-Verschlüsselungs Trojaner", Trojaner eingesendet
    Plagegeister aller Art und deren Bekämpfung - 31.05.2012 (31)
  13. PC möglicherweise infiziert? (Java Exploit etc?)
    Alles rund um Windows - 21.03.2011 (3)
  14. Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log
    Plagegeister aller Art und deren Bekämpfung - 28.01.2010 (2)
  15. Laptop infiziert?
    Log-Analyse und Auswertung - 26.01.2010 (4)
  16. Laptop infiziert
    Plagegeister aller Art und deren Bekämpfung - 19.04.2008 (6)
  17. Laptop infiziert???
    Log-Analyse und Auswertung - 11.06.2007 (6)

Zum Thema Windows XP Laptop möglicherweise infiziert? - Guten Abend liebe Leute, nachdem ich den PC meines Bruder leider nicht mehr retten konnte (siehe mein anderes Problem http://www.trojaner-board.de/126859-...tml#post955768 habe ich nun die Befürchtung, dass bei dieser Rettungsaktion mein - Windows XP Laptop möglicherweise infiziert?...
Archiv
Du betrachtest: Windows XP Laptop möglicherweise infiziert? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.