Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Rechner lässt sich nicht im abgesicherten Modus hochfahren

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.11.2007, 17:03   #1
Gert mit t
 
Rechner lässt sich nicht im abgesicherten Modus hochfahren - Standard

Rechner lässt sich nicht im abgesicherten Modus hochfahren



Hallo
ich melde mich zum ersten mal in diesem Forum. Ich habe ein Notebook mit Windows XP Home mit SP 2 in Betrieb. Jetzt lässt sich der Rechner nicht mehr im abgesicherten Modus hochfahren. Antvirenprogramme lassen sich nicht updaten oder neu installieren. Ebenso der Internetexplorer. Wenn ich im Internetexplorer eine URL eingebe wird diese in Opera (Mein Standardbrowser) geöffnet




Logfile of Trend Micro HijackThis v2.0.2
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]



aswclnr sagt mir folgendes:

15.11.2007, 08:50:26
Memory scanning started...
No virus body found in memory.
Memory scanning finished (36,2s).
----------
Files scanning started...
C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Temp\hsperfdata_Max Mustermann\1464... file could not be scanned!
C:\WINDOWS\system32\ntoskrnl.exe... file could not be scanned!
C:\WINDOWS\system32\CatRoot2\edb.log... file could not be scanned!
C:\WINDOWS\system32\CatRoot2\tmp.edb... file could not be scanned!
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb... file could not be scanned!
C:\WINDOWS\system32\dllcache\ntoskrnl.exe... file could not be scanned!
No virus body found.
Files scanning finished (157062 files, 0 infected, 2912,1s).
Drives scanned: C:

wobei diese beiden Dateien:
C:\WINDOWS\system32\ntoskrnl.exe..
C:\WINDOWS\system32\dllcache\ntoskrnl.exe.
nur ganz kurz im Explorer zu lesen sind um dann als:
ntprint.dll zu erscheinen

Kaspersky Onlinescanner hat folgendes Ergebniss:

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 4. November 2007 20:57:02
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 4/11/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 451496

Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte
Archive untersuchen ja
Mail-Datenbanken untersuchen ja

Untersuchungsobjekt Arbeitsplatz
C:\
D:\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 155765
Viren gefunden 3
Infizierte Objekte gefunden 5
Verdächtige Objekte gefunden 0
Untersuchungszeit 01:54:02

Name des infizierten Objekts Virusname Letzte Aktion
C:\!KillBox\A0000489.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.fg übersprungen

C:\!KillBox\A0000510.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.fg übersprungen

C:\!KillBox\wowfaxuj.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Stud.d übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\indexer\indexer.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\indexer\indexer_2048.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\indexer\indexer_256.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\indexer\indexer_64.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\indexer\indexer_8192.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\lexicon\lexicon.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Opera\Opera\mail\mailbase.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007110420071105\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\ntuser.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Programme\RealVNC\VNC4\vncviewer.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.4 übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\EventCache\{7604F53D-03AD-470F-88E0-042C1C70D7A9}.bin Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\fidbox2.dat Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\fidbox2.idx Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wowfaxuj.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Stud.d übersprungen

C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Vielen Dank im Voraus für eure Mühe

Gert

Geändert von Gert mit t (15.11.2007 um 17:44 Uhr) Grund: Wichtiger Zusatz

Alt 15.11.2007, 17:16   #2
Franz1968
/// Helfer-Team
 
Rechner lässt sich nicht im abgesicherten Modus hochfahren - Standard

Rechner lässt sich nicht im abgesicherten Modus hochfahren



Hallo,

da du noch online bist, editiere bitte alle aktiven Links und persönliche Informationen wie z. B. deinen Namen aus deinem Posting.

Wie bist du darauf gekommen, drei Dateien mit Killbox zu löschen?
Zitat:
C:\!KillBox\A0000489.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.fg übersprungen

C:\!KillBox\A0000510.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.fg übersprungen

C:\!KillBox\wowfaxuj.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Stud.d übersprungen
Du hast damit nichts falsch gemacht, aber dennoch wäre der Hintergrund interessant.

Die ersten beiden dieser Dateien:
Zitat:
C:\!KillBox\A0000489.exe
C:\!KillBox\A0000510.sys
überprüfe bitte auf Virustotal; im Anschluss poste das Ergebnis.

Prüfe außerdem dein System mit Blacklight: ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
Poste im Anschluss den Report.
__________________

__________________

Alt 15.11.2007, 18:13   #3
Gert mit t
 
Rechner lässt sich nicht im abgesicherten Modus hochfahren - Standard

Rechner lässt sich nicht im abgesicherten Modus hochfahren



Jetzt sieht es so aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:53, on 15.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\flcss.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RFA Platinum\rfagent.exe
C:\PROGRA~1\SA269F~1.D\PHOENI~1\pbtray.exe
C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7pro\IE7Pro.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {3041BE2F-134A-4AD5-8BB2-63413471E5DF} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe"
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\system32\flcss.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [rfagent] "C:\Programme\RFA Platinum\rfagent.exe"
O4 - HKCU\..\Run: [Phoenix Backup] C:\PROGRA~1\SA269F~1.D\PHOENI~1\pbtray.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [XPize Darkside Reloader] C:\WINDOWS\XPize Darkside\XPize Darkside Reloader.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194181257359
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/activex/fa_os_mms/upload_1141.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{421DFB53-8436-43DA-AC27-64D8598962ED}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5231F3AB-8FD7-437F-B23B-0D8889EAC4C1}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{421DFB53-8436-43DA-AC27-64D8598962ED}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{421DFB53-8436-43DA-AC27-64D8598962ED}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

--
End of file - 8371 bytes
Zu den gelöschten Dateien kann ich dir leider nichts sagen. Bin ein reiner User. Hab von allem was im Hintergrund läuft fast gar keine Ahnung. Auch die Killbox ist nicht mehr installiert. Ein neuer Kasperskyscan war leider nicht möglich, da der IE – Explorer da streikt.

Gert
__________________

Alt 15.11.2007, 18:17   #4
Franz1968
/// Helfer-Team
 
Rechner lässt sich nicht im abgesicherten Modus hochfahren - Standard

Rechner lässt sich nicht im abgesicherten Modus hochfahren



Ok, aber du wirst Killbox ja aufgrund eines konkreten Verdachts angewendet haben. Welcher war das?

Vergiss bitte nicht die Virustotal-Auswertung und den Blacklight-Scan.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 15.11.2007, 18:30   #5
Gert mit t
 
Rechner lässt sich nicht im abgesicherten Modus hochfahren - Standard

Rechner lässt sich nicht im abgesicherten Modus hochfahren



Blacklight Scan sagt: 10 hidden Items found.
Kann man bei Virus Total immer nur eine Datei hochladen?

Gert


Alt 15.11.2007, 18:34   #6
Franz1968
/// Helfer-Team
 
Rechner lässt sich nicht im abgesicherten Modus hochfahren - Standard

Rechner lässt sich nicht im abgesicherten Modus hochfahren



Ja, immer nur eine Datei auf einmal.

Die hidden items würde ich gern mal sehen. Blacklight legt eine Reportdatei im Ordner C:\ ab. Ihr Name beginnt mit fsbl und hört mit der Endung .txt auf; dazwischen stehen Ziffern (u. a. das aktuelle Datum). Poste bitte ihren Inhalt.
__________________
--> Rechner lässt sich nicht im abgesicherten Modus hochfahren

Alt 15.11.2007, 19:02   #7
Gert mit t
 
Rechner lässt sich nicht im abgesicherten Modus hochfahren - Standard

Rechner lässt sich nicht im abgesicherten Modus hochfahren



Ich habs gefunden (schwitz)

11/15/07 19:19:28 [Info]: BlackLight Engine 1.0.67 initialized
11/15/07 19:19:28 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/15/07 19:19:28 [Note]: 7019 4
11/15/07 19:19:28 [Note]: 7005 0
11/15/07 19:19:34 [Note]: 7006 0
11/15/07 19:19:34 [Note]: 7011 1284
11/15/07 19:19:35 [Note]: 7026 0
11/15/07 19:19:35 [Note]: 7026 0
11/15/07 19:19:37 [Note]: FSRAW library version 1.7.1024
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Empty.txt
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Filters.xml
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\news.png
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\paint.png
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Profiles\Blank.txt
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample1.jpg
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample2.jpg
11/15/07 19:21:43 [Note]: 10002 3
11/15/07 19:21:43 [Note]: 10002 2
11/15/07 19:21:43 [Note]: 10002 2
11/15/07 19:22:48 [Note]: 10002 2
11/15/07 19:22:48 [Note]: 10002 2
11/15/07 19:23:12 [Info]: Hidden file: c:\WINDOWS\system32\wintems.exe
11/15/07 19:23:12 [Note]: 10002 2
11/15/07 19:23:45 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
11/15/07 19:23:45 [Note]: 10002 2
11/15/07 19:23:45 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
11/15/07 19:23:45 [Note]: 10002 2
11/15/07 19:58:11 [Note]: 7007 0

Gert

Alt 15.11.2007, 19:09   #8
Gert mit t
 
Rechner lässt sich nicht im abgesicherten Modus hochfahren - Standard

Rechner lässt sich nicht im abgesicherten Modus hochfahren



Welche Dateien müssen denn unbedingt mit Virus Total gecheckt werden.

Gert

Alt 15.11.2007, 19:11   #9
Franz1968
/// Helfer-Team
 
Rechner lässt sich nicht im abgesicherten Modus hochfahren - Standard

Rechner lässt sich nicht im abgesicherten Modus hochfahren



Das war zu befürchten.
hidr.exe und srosa.sys gehören zu Bagle, wintems.exe offenbar auch. Bagle ist eine Familie von Würmern, deren Vertreter meist Rootkitfähigkeiten haben. In deinem Fall (wintems.exe) scheint Bagle auch eine Backdoor eingerichtet zu haben. Dadurch ist dein System kompromittiert.
Ich kann dir nur empfehlen, es neu aufzusetzen, denn eine Rootkit- und/oder Backdoor-Infektion kann man nicht zuverlässig bereinigen. Eine Anleitung dazu findest du hier im Unterforum FAQ.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 15.11.2007, 19:14   #10
Franz1968
/// Helfer-Team
 
Rechner lässt sich nicht im abgesicherten Modus hochfahren - Standard

Rechner lässt sich nicht im abgesicherten Modus hochfahren



Dein nachfolgendes Posting sehe ich erst jetzt, nach meiner Antwort. Die Prüfung mit Virustotal ist nicht mehr notwendig, denn der Verdacht auf Bagle hat sich schon durch Blacklight "eindrucksvoll" bestätigt. An einer Neuinstallation führt meiner Meinung nach kein Weg vorbei, sorry.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 15.11.2007, 19:30   #11
Gert mit t
 
Rechner lässt sich nicht im abgesicherten Modus hochfahren - Standard

Rechner lässt sich nicht im abgesicherten Modus hochfahren



Keine schöne Nachricht aber trotzdem vielen Dank.

Gert

Antwort

Themen zu Rechner lässt sich nicht im abgesicherten Modus hochfahren
.dll, abgesicherten modus, adware.win32.stud.d, banke, banken, content.ie5, dateien, dllcache, drivers, einstellungen, escan, gesperrt, hijack, hijackthis, home, infected, micro, microsoft, neu, notebook, opera, programme, scan, security, system, system volume information, temp, trend micro, virus, windows, windows xp, windows\system32\drivers



Ähnliche Themen: Rechner lässt sich nicht im abgesicherten Modus hochfahren


  1. Windows 7 Professional: PC lässt sich nur im Abgesicherten Modus bedienen
    Log-Analyse und Auswertung - 18.11.2015 (5)
  2. Windows Vista: GVU Trojaner, Computer lässt sich nicht im abgesicherten Modus booten.
    Log-Analyse und Auswertung - 18.04.2014 (7)
  3. Bundestrojaner - Win XP lässt sich im abgesicherten Modus nicht starten
    Log-Analyse und Auswertung - 19.03.2014 (5)
  4. United Kingdom Police Trojaner, Rechner startet nicht mehr im Abgesicherten Modus
    Log-Analyse und Auswertung - 22.02.2014 (3)
  5. Rechner fährt nicht mehr hoch selbs im abgesicherten modus, Code erstellt
    Log-Analyse und Auswertung - 08.01.2014 (1)
  6. GVU - Trojaner - Rechner fährt nicht im Abgesicherten Modus hoch, was tun?
    Plagegeister aller Art und deren Bekämpfung - 23.10.2013 (14)
  7. Windows XP GVU-Trojaner lässt mich nicht in den abgesicherten Modus
    Log-Analyse und Auswertung - 22.10.2013 (5)
  8. PC lässt sich nicht mehr hochfahren, auch nicht im abgesicherten Modus (Windows 7)
    Plagegeister aller Art und deren Bekämpfung - 30.08.2013 (11)
  9. GVU Trojaner lässt mich nicht in den Abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 17.07.2013 (19)
  10. GVU Trojaner; Laptop läßt sich auch nicht im abgesicherten Modus starten
    Log-Analyse und Auswertung - 08.07.2013 (16)
  11. GVU Trojaner; Laptop läßt sich auch nicht im abgesicherten Modus starten
    Plagegeister aller Art und deren Bekämpfung - 13.04.2013 (15)
  12. GVU-Virus, Rechner als Standardnutzer nicht mehr nutzbar, Rechner funktioniert nur als Admin oder im Abgesicherten Modus als Standardnutzer
    Log-Analyse und Auswertung - 22.01.2013 (31)
  13. Rechner lässt sich erst nach Aus- und Einschalten des Slaves hochfahren
    Netzwerk und Hardware - 02.07.2012 (28)
  14. S.M.A.R.T HHD VIRUS / PC lässt sich nicht mehr hochfahren
    Plagegeister aller Art und deren Bekämpfung - 16.04.2012 (7)
  15. Vista lässt sich nur im abgesicherten Modus bedienen
    Alles rund um Windows - 01.12.2011 (13)
  16. Vista lässt sich nur im abgesicherten Modus bedienen
    Log-Analyse und Auswertung - 30.11.2011 (2)
  17. PC Virenverseucht, lässt sich nicht mal mehr im abgesicherten modus starten!
    Plagegeister aller Art und deren Bekämpfung - 04.06.2009 (1)

Zum Thema Rechner lässt sich nicht im abgesicherten Modus hochfahren - Hallo ich melde mich zum ersten mal in diesem Forum. Ich habe ein Notebook mit Windows XP Home mit SP 2 in Betrieb. Jetzt lässt sich der Rechner nicht mehr - Rechner lässt sich nicht im abgesicherten Modus hochfahren...
Archiv
Du betrachtest: Rechner lässt sich nicht im abgesicherten Modus hochfahren auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.