Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: System Alert und andere Probleme

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.07.2007, 16:32   #1
biojoerg
 
System Alert und andere Probleme - Unglücklich

System Alert und andere Probleme



Hi Sunny!
Danke für Deine Hilfe, hier der log von combofix:

"Besitzer" - 2007-07-05 18:14:00 - ComboFix 07-07-04.4 - Service Pack 2


((((((((((((((((((((((((( Files Created from 2007-06-05 to 2007-07-05 )))))))))))))))))))))))))))))))


2007-07-05 17:52 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-05 17:51 1,118,823 --a------ C:\Programme\ComboFix.exe
2007-07-05 13:57 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Talkback
2007-07-05 13:51 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-07-05 13:51 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-07-05 13:51 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-07-05 13:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-07-05 13:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-07-05 13:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-07-05 13:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-07-05 13:51 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-07-05 13:46 883,694 --a------ C:\Programme\SmitfraudFix.exe
2007-07-05 13:46 <DIR> d-------- C:\DOKUME~1\Besitzer\SmitfraudFix
2007-07-01 18:56 <DIR> d-------- C:\DOKUME~1\Besitzer\.jpi_cache
2007-06-17 19:45 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Leadertech


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-05 16:08:37 -------- d-----w C:\DOKUME~1\Besitzer\ANWEND~1\OpenOffice.org2
2007-07-05 15:34:59 -------- d-----w C:\Programme\QuickTime
2007-07-05 15:34:59 -------- d-----w C:\Programme\iTunes
2007-07-05 15:34:55 -------- d-----w C:\Programme\Messenger
2007-07-05 15:34:37 -------- d-----w C:\Programme\ArcorOnline
2007-07-05 15:34:23 -------- d-----w C:\Programme\Opera
2007-07-03 17:04:30 8,704 --s-a-w C:\WINDOWS\system32\xnvaogd.dll
2007-06-28 05:47:08 -------- d-----w C:\Programme\VISTASCAN
2007-06-28 05:30:15 -------- d-----w C:\Programme\Feurio
2007-06-23 09:03:42 -------- d-----w C:\Programme\Filzip
2007-06-17 10:46:32 6,213 ----a-w C:\WINDOWS\mozver.dat
2007-06-09 19:43:21 -------- d-----w C:\Programme\IrfanView
2007-06-03 13:02:50 -------- d-----w C:\Programme\Vista
2007-06-03 12:57:25 12,296 ----a-w C:\WINDOWS\gcurve.dat
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-09 21:04:01 -------- d-----w C:\Programme\CDBurnerXP Pro 3
2007-05-09 19:32:35 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll
2005-11-13 18:56:46 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-10-22 23:08 62080 --a------ C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F5C8C42-31DD-8F7E-1470-E4F6CD48CCD7}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 21:10]
"@"="" []
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2004-12-01 00:19]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 09:54 C:\WINDOWS\SOUNDMAN.EXE]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-10-09 18:02]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-02-23 16:45]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-03-06 20:43]
"Arcor Online"="" []
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"UIWatcher"="C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe" [2002-08-02 17:02]
"Free Download Manager"="C:\Programme\Free Download Manager\fdm.exe" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"<NO NAME>"=
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{1b17f1db-790e-4d42-8e0c-d4d19123ee5b}"="C:\WINDOWS\system32\xnvaogd.dll" [2007-07-03 19:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
avldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^UMAX VistaAccess.lnk]
path=C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\UMAX VistaAccess.lnk
backup=C:\WINDOWS\pss\UMAX VistaAccess.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"W32Time"=2 (0x2)
"LmHosts"=2 (0x2)
"lanmanserver"=2 (0x2)
"mnmsrvc"=3 (0x3)
"WZCSVC"=2 (0x2)
"ERSvc"=2 (0x2)
"Browser"=2 (0x2)


**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-05 18:18:55
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQueryDirectoryFile, ZwQuerySystemInformation

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = C:\WINDOWS\system32:c_1000f.nls

scanning hidden files ...

C:\WINDOWS\system32:c_1000f.nls 144184 bytes executable hidden from API
C:\WINDOWS\siatu1.dll

scan completed successfully
hidden files: 2

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WinOkp]
"ImagePath"="\"C:\:iNdeDk.exe\""

Completion time: 2007-07-05 18:21:57
C:\ComboFix-quarantined-files.txt ... 2007-07-05 18:21

--- E O F ---


Liebe Leute,
habe seit gestern dieses blinkende, zwischen Kreuz und Fragezeichen wechselnde Wappenschild in der Taskleiste, das mir einen System Alert vorgaukelt und mich auf die Website von VirusProtectPro :: Home Page leiten will. Nun habe ich im Forum festgestellt, dass ich mir vermutlich trotz Panda Titanium Firewall den Zlob eingefangen habe. Ich wollte HijackThis herunterladen, aber immer, wenn ich auf einen Thread gehe, wo ich den runterladen könnte, schließen sich meine Browserfenster alle, sowohl bei Opera, als auch bei Mozilla und IE.
Ich weiss nicht weiter, hoffe jemand von euch schon
Grüß von biojoerg

Geändert von biojoerg (05.07.2007 um 17:29 Uhr)

Alt 05.07.2007, 16:39   #2
Sunny
Administrator
> Competence Manager
 

System Alert und andere Probleme - Standard

System Alert und andere Probleme



Hallo biojoerg und im Trojaner Board!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:




Datenträgerbereinigung


Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.



Gruß
Sunny
__________________

__________________

Alt 05.07.2007, 17:50   #3
biojoerg
 
System Alert und andere Probleme - Standard

System Alert und andere Probleme



hi,
wenigstens hat HijackThis nun funktioniert. Hier der log:

Logfile of HijackThis v1.99.1
Scan saved at 18:39:56, on 05.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\explorer.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\Apvxdwin.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Filzip\Filzip.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\This.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\avciman.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimreal.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F5C8C42-31DD-8F7E-1470-E4F6CD48CCD7} - (no file)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128531683515
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp07.photoprintit.de/microsite/13/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DE7AAE7-0CBC-4AEF-950E-7104FD5CA9D3}: NameServer = 195.50.140.250 195.50.140.114
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
O23 - Service: WinOkp - Unknown owner - C:\:iNdeDk.exe

viele Grüße von biojoerg
__________________

Alt 05.07.2007, 18:11   #4
Sunny
Administrator
> Competence Manager
 

System Alert und andere Probleme - Standard

System Alert und andere Probleme




So wie es aussieht ist bei dir ein Rootkit aktiv, das verschlimmert natürlich die Lage.

Poste bitte noch den eScan sobald er fertig ist und das hier:



F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 05.07.2007, 19:40   #5
biojoerg
 
System Alert und andere Probleme - Standard

System Alert und andere Probleme



Hi,
leider klappt Punkt 8 der Anleitung zum eScan nicht: mwavscan.com kann nicht gefunden werden. Hab ich das richtig verstanden, nur die Aktualisierung von eScan laufen lassen, dann beenden und in den abgesicherten Modus wechseln?
Klappt leider nicht (s.o.). Hilft Dir ein Log von eScan weiter, das ich einfach mal hab durchlaufen lassen?
Grüße,
biojoerg
(weiterhin )

P.S.: F-Secure Blacklight sagt mir: could not acquire necessary privileges (SeDebugPrivilege) und läuft auch nicht ;-(


Alt 05.07.2007, 22:13   #6
biojoerg
 
System Alert und andere Probleme - Standard

System Alert und andere Probleme



Neuester Stand:
habe es mit Hilfe von Look2Me-Destroyer geschafft, das SeDebugPrivilege wieder einzurichten und F-Secure BlackLight laufen zu lassen. Leider gab es dort kein Log, er hat aber "two items" bereinigt.
Werd mich für heute aufs Ohr hauen

Alt 05.07.2007, 22:49   #7
ordell1234
 
System Alert und andere Probleme - Standard

System Alert und andere Probleme



Hallo biojoerg,
Zitat:
Zitat von biojoerg Beitrag anzeigen
Hab ich das richtig verstanden, nur die Aktualisierung von eScan laufen lassen, dann beenden und in den abgesicherten Modus wechseln?
Yep. Probier mal im abgesicherten Modus:
Start - Ausführen: %temp%\mwavscan.com

Hat das Update von escan funktioniert?

Das log von Blacklight befindet sich im gleichen Ordner wie die fsbl.exe und nennt sich fsbl-200707....log. Poste bitte den Inhalt.

Bei rootkit-Befall gibt es imho nur eine Lösung, und die heißt Neuaufsetzen.

Gruß

Alt 06.07.2007, 16:57   #8
biojoerg
 
System Alert und andere Probleme - Standard

System Alert und andere Probleme



hi ordell1234,

dank Dir für die Tipps. Kann nun einige Ergebnisse vorweisen. Zuerst folgt die Datei eScan_neu.txt.

Im Anschluss dann noch die fsbl.log von Blacklight. Hoffe, Du (oder irgendjemand) kann mir weiterhelfen!?!

viele Grüße,
biojoerg (voller hoffnung)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\:iNdeDk.exe infiziert von "Trojan.Win32.Agent.vp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\WindowsXP-KB910437-x86-DEU.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\WindowsXP-KB910437-x86-DEU.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\:iNdeDk.exe infiziert von "Trojan.Win32.Agent.vp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\WindowsXP-KB910437-x86-DEU.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\WindowsXP-KB910437-x86-DEU.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\11.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\15.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.h". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\164.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\18.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\A.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\C.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\E.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Besitzer\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\11.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\15.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.h". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\164.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\18.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\A.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\C.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\E.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\11.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\15.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.h". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\164.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\18.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\A.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\C.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\E.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Besitzer\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\11.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\15.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.h". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\164.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\18.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\A.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\C.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\E.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\anwendungsdaten\mozilla\firefox\mozilla firefox\updates\0\updater.exe
Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\mozilla\firefox\mozilla firefox\updates\0\updater.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\anwendungsdaten\mozilla\firefox\mozilla firefox\updates\0\updater.exe
Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\mozilla\firefox\mozilla firefox\updates\0\updater.exe
Offending file found: C:\WINDOWS\tasks\at1.job
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\WindowsXP-KB905915-x86-DEU.exe.part nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\AppPatch\18F.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\WindowsXP-KB905915-x86-DEU.exe.part nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\AppPatch\18F.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 66313
Gescannte Dateien: 66122
Gefundene Viren: 23
Gefundene Viren: 24
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 263
Anzahl Fehler: 262
Dauer des Scans bisher: 00:35:23
Dauer des Scans bisher: 00:34:49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:43:42,04
Batchende: 17:44:25,43

OK, und nun das log von Blacklight:

07/05/07 22:54:35 [Info]: BlackLight Engine 1.0.61 initialized
07/05/07 22:54:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/05/07 22:54:36 [Note]: 7019 4
07/05/07 22:54:36 [Note]: 7005 0
07/05/07 22:54:42 [Note]: 7006 0
07/05/07 22:54:42 [Note]: 7011 1788
07/05/07 22:54:42 [Note]: 7026 0
07/05/07 22:54:42 [Note]: 7026 0
07/05/07 22:54:52 [Note]: FSRAW library version 1.7.1021
07/05/07 22:55:56 [Info]: Hidden file: c:\WINDOWS\siatu1.dll
07/05/07 22:55:56 [Note]: 10002 1
07/05/07 23:02:05 [Info]: Hidden file: c:\WINDOWS\system32:c_1000f.nls
07/05/07 23:03:25 [Note]: 2000 1012
07/05/07 23:03:25 [Note]: 2000 1012
07/05/07 23:03:25 [Note]: 2000 1012
07/05/07 23:03:25 [Note]: 2000 1012
07/05/07 23:08:38 [Note]: 7007 0

Alt 06.07.2007, 17:22   #9
ordell1234
 
System Alert und andere Probleme - Standard

System Alert und andere Probleme



Hmm, mal abwarten, was Sunny sagt, aber nach meiner Einschätzung mußt du neuaufsetzen.
Zitat:
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.
klingt nicht gut und kann im Zusammenhang mit den Rootkitfunden stehen.

Navigiere mal nach C:\windows\Tasks und schaue per Rechtsklick die Eigenschaft von at1.job an. Auf welche Datei wird da verwiesen?

Fraglich ist auch, was mit der c:\iNdeDk.exe auf sich hat. Lade die Datei bei virustotal.com hoch und poste den vollstandigen Bericht inkl. HASH und Dateigröße. Gruß

Alt 06.07.2007, 18:35   #10
biojoerg
 
System Alert und andere Probleme - Standard

System Alert und andere Probleme



Zitat:
Zitat von ordell1234 Beitrag anzeigen
Navigiere mal nach C:\windows\Tasks und schaue per Rechtsklick die Eigenschaft von at1.job an. Auf welche Datei wird da verwiesen?
hier heisst es:
C:\Windows\tasks\At1.job
Ausführen:Besitzer\eigene Dateien\Downloads\Look2Me-Destroyer.exe,
ausführen als: NT Authority\System

Zitat:
Zitat von ordell1234 Beitrag anzeigen
Fraglich ist auch, was mit der c:\iNdeDk.exe auf sich hat. Lade die Datei bei virustotal.com hoch und poste den vollstandigen Bericht inkl. HASH und Dateigröße.
Leider lässt sich diese vermaledeite Datei nirgends finden.

Alt 06.07.2007, 20:28   #11
ordell1234
 
System Alert und andere Probleme - Standard

System Alert und andere Probleme



Na fein, hat escan mal wieder Käse erzählt. Dennoch bleibt das Rootkitproblem.

Suche die C:\:iNdeDk.exe mittels dieser Einstellungen. Wird vermutlich nix bringen.

Lade dir gmer (Application), neben dem Reiter Rootkit auf ">>>" klicken, Reiter Processes wählen, in der rechtes Spalte "Files..." klicken und auf C:\ suchen. Datei kopieren, in rootkit.ren umbenennen, auf dem Desktop speichern und bei virustotal.com erneut veruchen. Gruß

edit: Hilfreich kann auch sein, bei "Rootkit" auf scan zu gehen. Sollte dir der Prozess als hidden angezeigt werden, dann beende ihn mittels Rechtsklick (delete service). Datei noch nicht löschen, s.o.

Geändert von ordell1234 (06.07.2007 um 20:39 Uhr)

Alt 09.07.2007, 21:36   #12
biojoerg
 
System Alert und andere Probleme - Icon35

System Alert und andere Probleme



Liebe Leute,
bin bis Ende der Woche auf Dienstreise, werde mich danach wieder melden. Bitte vergesst mich nicht, danke!

Alt 20.07.2007, 17:32   #13
biojoerg
 
System Alert und andere Probleme - Standard

System Alert und andere Probleme



Melde mich wieder zurück, nach wie vor

Zitat:
Zitat von ordell1234 Beitrag anzeigen
Na fein, hat escan mal wieder Käse erzählt. Dennoch bleibt das Rootkitproblem.

Suche die C:\:iNdeDk.exe mittels dieser Einstellungen. Wird vermutlich nix bringen.
richtig

Zitat:
Zitat von ordell1234 Beitrag anzeigen
Lade dir gmer (Application), neben dem Reiter Rootkit auf ">>>" klicken, Reiter Processes wählen, in der rechtes Spalte "Files..." klicken und auf C:\ suchen. Datei kopieren, in rootkit.ren umbenennen, auf dem Desktop speichern und bei virustotal.com erneut veruchen.
findet die Datei leider auch nicht

Zitat:
Zitat von ordell1234 Beitrag anzeigen
edit: Hilfreich kann auch sein, bei "Rootkit" auf scan zu gehen. Sollte dir der Prozess als hidden angezeigt werden, dann beende ihn mittels Rechtsklick (delete service). Datei noch nicht löschen, s.o.
Unter Rootkit hat GMER tatsächlich das Programm gefunden. Auszug aus dem Log:
---- Files - GMER 1.0.13 ----

ADS C:\:iNdeDk.exe <-- ROOTKIT !!!
File C:\WINDOWS\siatu1.dll
ADS C:\WINDOWS\system32:c_1000f.nls

---- Services - GMER 1.0.13 ----

Service C:\:iNdeDk.exe [AUTO] WinOkp <-- ROOTKIT !!!

---- EOF - GMER 1.0.13 ----

Nun weiss ich leider nicht, wie ich die Datei kopieren kann. Wenn ich auf Files unter C:\ suche, passiert gar nix, er geht dann zurück zu Processes!??

Viele Grüße

Antwort

Themen zu System Alert und andere Probleme
adobe, alert, andere probleme, appinit_dlls, ashampoo uninstaller, besitzer, browser, cdburnerxp, combofix, ctfmon.exe, explorer, firewall, free download, helper, hijack, hijackthis, home, installation, log, mozilla, problem, programme, rootkit, schließen, schließen sich, server, software, system, taskleiste, windows, zlob



Ähnliche Themen: System Alert und andere Probleme


  1. System-warning-alert.com entfernen
    Anleitungen, FAQs & Links - 03.11.2015 (2)
  2. Probleme mit Hitman.Pro.Alert
    Antiviren-, Firewall- und andere Schutzprogramme - 21.09.2015 (8)
  3. PC Defender System Alert
    Plagegeister aller Art und deren Bekämpfung - 07.01.2013 (47)
  4. Virus blockiert System -> "alert[1].htm" fake alert.AP -> 100 € Forderung
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (15)
  5. windows system alert
    Plagegeister aller Art und deren Bekämpfung - 24.07.2010 (41)
  6. WINDOWS SECURITY ALERT und andere Fehlermeldungen
    Plagegeister aller Art und deren Bekämpfung - 26.05.2010 (12)
  7. system alert, windows security alert und fremde antiviren programme
    Plagegeister aller Art und deren Bekämpfung - 01.01.2010 (51)
  8. System Alert: Malware threats
    Plagegeister aller Art und deren Bekämpfung - 21.06.2008 (1)
  9. System Alert
    Log-Analyse und Auswertung - 07.03.2008 (10)
  10. System Alert - Absoluter Laie!!
    Plagegeister aller Art und deren Bekämpfung - 23.02.2008 (6)
  11. Hilfe!!!! Spyware Alert. System Alert.
    Mülltonne - 04.02.2008 (0)
  12. pc alert - system alert HIILFE
    Log-Analyse und Auswertung - 26.12.2007 (7)
  13. System Alert --> Log ok?
    Log-Analyse und Auswertung - 12.08.2007 (1)
  14. System Alert
    Plagegeister aller Art und deren Bekämpfung - 13.07.2007 (6)
  15. System Alert: SpyLocked
    Plagegeister aller Art und deren Bekämpfung - 01.07.2007 (5)
  16. SpyCrush 3.3 / System Alert
    Plagegeister aller Art und deren Bekämpfung - 30.06.2007 (1)
  17. System ALert
    Plagegeister aller Art und deren Bekämpfung - 15.04.2007 (4)

Zum Thema System Alert und andere Probleme - Hi Sunny! Danke für Deine Hilfe, hier der log von combofix: "Besitzer" - 2007-07-05 18:14:00 - ComboFix 07-07-04.4 - Service Pack 2 ((((((((((((((((((((((((( Files Created from 2007-06-05 to 2007-07-05 ))))))))))))))))))))))))))))))) - System Alert und andere Probleme...
Archiv
Du betrachtest: System Alert und andere Probleme auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.