| |
| |||||||
Log-Analyse und Auswertung: Internetseiten mit Werbung öffnen sich automatisch, "Befall" von Maleware hat sprunghaft zugenommen (u.a.: pup.funmoods)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.10.2014, 19:59
| #1 |
 |  Internetseiten mit Werbung öffnen sich automatisch, "Befall" von Maleware hat sprunghaft zugenommen (u.a.: pup.funmoods) Hallo, seit einigen Tagen öffnen sich immer wieder Internetseiten mit Werbung, selbst wenn ich Firefox gar nicht geöffnet habe und die Anzahl der gefundenen Spyware etc. ist rasant angestiegen. Seit einiger Zeit funktioniert meine WLan Verbindung auch nur noch sporadisch, wobei das Problem schon länger besteht und wahrscheinlich nichts damit zu tun hat? Mit GMER hatte ich Probleme bei der Ausführung, habe dann den Haken bei Devices entfernt, dann klappte es. Code:
ATTFilter GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-10-20 19:32:12
Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 Hitachi_ rev.PB3O 298,09GB
Running: Gmer-19357.exe; Driver: C:\Users\Medion\AppData\Local\Temp\ugriypod.sys
---- System - GMER 2.1 ----
SSDT \??\C:\Windows\system32\drivers\sp_rsdrv2.sys ZwClose [0x90B70444]
SSDT \??\C:\Windows\system32\drivers\sp_rsdrv2.sys ZwCreateFile [0x90B6FC8A]
SSDT \??\C:\Windows\system32\drivers\sp_rsdrv2.sys ZwCreateKey [0x90B6F958]
SSDT 8848F514 ZwCreateMutant
SSDT 88499854 ZwCreateProcess
SSDT 884892E4 ZwCreateProcessEx
SSDT \??\C:\Windows\system32\drivers\sp_rsdrv2.sys ZwCreateSection [0x90B71520]
SSDT 8848F4DC ZwCreateSymbolicLinkObject
SSDT 8848F5BC ZwCreateThread
SSDT 8848F584 ZwCreateThreadEx
SSDT 8849F2BC ZwCreateUserProcess
SSDT 8848F38C ZwDebugActiveProcess
SSDT \??\C:\Windows\system32\drivers\sp_rsdrv2.sys ZwDeleteKey [0x90B6FA68]
SSDT \??\C:\Windows\system32\drivers\sp_rsdrv2.sys ZwDeleteValueKey [0x90B6FB5A]
SSDT 8848F4A4 ZwDuplicateObject
SSDT 8848F434 ZwGetContextThread
SSDT \??\C:\Windows\system32\drivers\sp_rsdrv2.sys ZwLoadDriver [0x90B70780]
SSDT 8848F62C ZwMapViewOfSection
SSDT \??\C:\Windows\system32\drivers\sp_rsdrv2.sys ZwOpenFile [0x90B6FF9C]
SSDT 884A073C ZwOpenProcess
SSDT 8848F664 ZwOpenSection
SSDT 8849F10C ZwOpenThread
SSDT 88494694 ZwRenameKey
SSDT 8849465C ZwRestoreKey
SSDT 8848F3C4 ZwResumeThread
SSDT 8848F3FC ZwSetContextThread
SSDT \??\C:\Windows\system32\drivers\sp_rsdrv2.sys ZwSetInformationFile [0x90B700D2]
SSDT 8848F46C ZwSetSystemInformation
SSDT \??\C:\Windows\system32\drivers\sp_rsdrv2.sys ZwSetValueKey [0x90B6F77E]
SSDT 8848F354 ZwSystemDebugControl
SSDT \??\C:\Windows\system32\drivers\sp_rsdrv2.sys ZwTerminateProcess [0x90B706C8]
SSDT 884871C4 ZwTerminateThread
SSDT \??\C:\Windows\system32\drivers\sp_rsdrv2.sys ZwWriteFile [0x90B702BC]
SSDT 8848F5F4 ZwWriteVirtualMemory
---- Kernel code sections - GMER 2.1 ----
.text ntkrnlpa.exe!ZwRollbackEnlistment + 142D 8328DA15 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 832C7212 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!KeRemoveQueueEx + 116F 832CE504 4 Bytes [44, 04, B7, 90] {INC ESP; ADD AL, 0xb7; NOP }
.text ntkrnlpa.exe!KeRemoveQueueEx + 11AF 832CE544 4 Bytes [8A, FC, B6, 90] {MOV BH, AH; MOV DH, 0x90}
.text ntkrnlpa.exe!KeRemoveQueueEx + 11BF 832CE554 4 Bytes [58, F9, B6, 90] {POP EAX; STC ; MOV DH, 0x90}
.text ntkrnlpa.exe!KeRemoveQueueEx + 11CF 832CE564 4 Bytes [14, F5, 48, 88]
.text ntkrnlpa.exe!KeRemoveQueueEx + 11E3 832CE578 8 Bytes [54, 98, 49, 88, E4, 92, 48, ...]
.text ...
---- Registry - GMER 2.1 ----
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\CIT\System\Active
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\CIT\System\Active@C5930859 1851
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\CIT\System\Active@5C7ED759 1843
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\CIT\System\Active@93FF0859 1854
Reg HKLM\SOFTWARE\Microsoft\Windows Search\UsnNotifier\Windows\Catalogs\SystemIndex@{A68A6F46-602D-11E0-871E-806E6F6E6963} 21560373688
---- Disk sectors - GMER 2.1 ----
Disk \Device\Harddisk0\DR0 unknown MBR code
---- EOF - GMER 2.1 ----
und die Ergebnisse der letzen Suche meines Antivirenprogramms Trend Micro, sowie die Spyware und Virenfunde der letzten Monate (da es so viel ist, muss ich es leider als Datei anhängen). Ich bedanke mich jetzt schon mal für die Geduld und Hilfe von euch  Geändert von Mika_80 (20.10.2014 um 20:22 Uhr) |
| Themen zu Internetseiten mit Werbung öffnen sich automatisch, "Befall" von Maleware hat sprunghaft zugenommen (u.a.: pup.funmoods) |
| conduit.search, conduit.search entfernen, datei anhängen, fehlercode 22, funmoods entfernen, installer entfernen, mypc backup entfernen, newplayer entfernen, pricesparrow entfernen, pup.funmoods, securita scout entfernen, sweetpage entfernen, the sea app entfernen, this device is disabled. (code 22), win32/bearshare.a, win32/downloadsponsor.a, win32/installcore.bn, win32/installcore.by, win32/packed.vmdetector.i, win32/systweak.d, win32/toolbar.crossrider.aw, win32/toolbar.inbox.f, win32/toolbar.linkury.d, win32/toolbar.searchsuite.q, win32/winloadsda.d, yahoo community smartbar entfernen |
Baum-Darstellung