Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Rootkit.Gen immer noch da? oder schon gelöscht?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.04.2008, 19:36   #1
PASA
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Icon35

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



halloooo erst mal :aplaus:

Ich versuch mal mein Problem zu schildern, Die abläufe sind nacheinander aufgelistet.

- Ich kamm nachhause und Wollte mein lieblingsspiel 9Dragons zocken.

- Start des Rechners: nach dem ersten start ist er abgestürtzt.

-Zweiter versuch: Rechner ist On und internet verbindung steht, beim start des mmorpgs (9Dragons) bekamm ich eine warnung von Avira AntiVir Personal.
(gelöscht)

-Neuer versuch: 9Dragons wird angemacht ...... 1sekunde später wieder die selbe meldung (Rootkit) so ging es ne weile weiter.
Lustig das sich die Viren im GameGurad Ordner befinden ^^
( Game Guard = Schutz Programm für 9Dragons und mich wen ich spiele (antiHack, macro, cheat usw))

-9Dragons: geht mitlerweile granicht mehr.

- AntiVir weg / Dr.Web kommt: Da AntiVir den Virus nicht gelöscht bekommt habe ich mich für meine 6 monate free Version von Dr. Web entschiden.
Jedoch hatt er diesen Virus erst garnicht bemerkt.

-Dr.Web scann: Dr.Web ist immer nach 25% bei einem system check abgestürzt. Daher das Programm gelöscht.

-AntiVir is Back :aplaus: : Wieder geladen + update und system prüfen lassen .......... nix O.o ?

So jetzt bin ich soweit das ich 9Dragons anmachen kann ohne das eine meldung kommt aber ich trau mich nicht einzuloggen da ich befürchte das der TR/Rootkit.Gen immer noch da ist und dadurch mein acc gehackt wird.

Vielen dank für die hilfe im voraus

und sry für die schlechte Rechtschreibung kanns nicht besser^^.

HiJackThis Log und AntiVir Log folgen gleich .

Geändert von Sunny (30.04.2008 um 21:02 Uhr)

Alt 30.04.2008, 19:37   #2
PASA
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Standard

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



EDIT:

Bitte zukünftig beachten -> http://www.trojaner-board.de/22770-a...log-files.html
__________________


Geändert von Sunny (30.04.2008 um 21:05 Uhr)

Alt 30.04.2008, 21:11   #3
BataAlexander
> MalwareDB
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Standard

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
__________________

Alt 30.04.2008, 21:13   #4
PASA
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Standard

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



ja sry .... habs übersehen :/

aber jetzt sind die logs nun auch weg >.< .

Naja hab mich selber nochmal schlau gemacht und das hier befolgt.

Hoffe nur das der link erlaubt ist :P

http://www.trojaner-board.de/51187-a...i-malware.html



ergebniss:

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 703

Scan Art: Komplett Scan (A:\|C:\|D:\|E:\|F:\|)
Objekte gescannt: 101896
Scan Dauer: 59 minute(s), 1 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\The Weather Channel (Adware.Hotbar) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\nssF2.tmp\nsExec.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\nssF2.tmp\nsF3.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.


Edit: danke BataAlexander ich werds gleich mal machen

und sry nochmal für den regelverstoss. war nicht beabsichtigt

Alt 30.04.2008, 21:44   #5
PASA
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Standard

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



ComboFix 08-04-29.5 - ***** 2008-04-30 22:27:19.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.693 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\*****\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-30 ))))))))))))))))))))))))))))))
.

2008-04-30 21:01 . 2008-04-30 21:02 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-30 21:01 . 2008-04-30 21:01 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
2008-04-30 21:01 . 2008-04-30 21:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-30 19:41 . 2008-04-30 19:41 <DIR> d-------- C:\Programme\Trend Micro
2008-04-30 19:06 . 2008-04-30 19:06 <DIR> d-------- C:\Programme\Avira
2008-04-30 17:20 . 2008-04-30 17:29 <DIR> d-------- C:\Dokumente und Einstellungen\*****\DoctorWeb
2008-04-30 17:19 . 2008-04-30 19:25 <DIR> d-------- C:\Programme\DrWeb
2008-04-30 17:19 . 2008-04-30 17:19 77,824 --a----t- C:\WINDOWS\system32\DRWEBSP.DLL
2008-04-30 15:04 . 2008-04-30 15:04 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-04-26 13:36 . 2008-04-26 13:36 0 --a------ C:\WINDOWS\Irremote.ini
2008-04-13 12:36 . 2008-04-13 12:36 <DIR> d-------- C:\Programme\VestGame
2008-04-12 22:21 . 2008-04-12 22:21 <DIR> d-------- C:\AeriaGames
2008-04-10 18:34 . 2008-04-10 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\*****\LimeWire Saved
2008-04-10 18:34 . 2008-04-10 19:38 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Incomplete
2008-04-10 18:33 . 2008-04-10 19:11 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\LimeWire
2008-04-10 18:32 . 2008-04-10 19:11 <DIR> d-------- C:\Programme\LimeWire
2008-04-08 13:59 . 2008-04-08 13:59 <DIR> d-------- C:\Programme\ZC2.10
2008-03-24 16:48 . 2008-04-26 13:29 <DIR> d-------- C:\Programme\ICQToolbar
2008-03-24 16:46 . 2008-04-30 19:29 <DIR> d-------- C:\Programme\ICQ6

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-30 20:25 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\DNA
2008-04-30 17:27 --------- d-----w C:\Programme\9Dragons
2008-04-30 17:25 23,524 ----a-w C:\WINDOWS\system32\drivers\GVTDrv.sys
2008-04-30 17:25 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-30 17:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-26 11:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-04-26 11:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-04-26 11:33 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\DivX
2008-04-26 11:31 --------- d-----w C:\Programme\MAGIX
2008-04-19 20:56 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-07 13:32 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\BitTorrent
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 20:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-05 16:04 --------- d-----w C:\Programme\Java
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-01-04 21:59 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-01-04 21:58 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-01-04 21:58 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-01-04 21:58 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-01-04 21:58 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-01-04 21:58 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-01-04 21:58 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 21:56 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"DW4"="C:\Programme\The Weather Channel FW\Desktop Weather\DesktopWeather.exe" [ ]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-01-13 15:37 290112]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-04 18:14 8491008]
"nwiz"="nwiz.exe" [2007-10-04 18:14 1626112 C:\WINDOWS\system32\nwiz.exe]
"NVRTCLK"="C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe" [2003-12-30 11:44 24576]
"VGAUtil"="C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe" [2004-09-17 14:32 552960]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-04 18:14 81920]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 06:42 577536 C:\WINDOWS\soundman.exe]
"Media Codec Update Service"="C:\Programme\Essentials Codec Pack\update.exe" [ ]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\GigaByte\\VGA Utility Manager\\G-vga.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\AeriaGames\\12Sky\\TwelveSky.exe"=

R3 GVTDrv;GVTDrv;C:\WINDOWS\system32\drivers\GVTDrv.sys [2008-04-30 19:25]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Programme\Lavalys\EVEREST Ultimate Edition\kerneld.wnt []
S4 Xgiv3;Xgiv3;C:\WINDOWS\system32\DRIVERS\Xgiv3m.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71f57b02-b592-11dc-a78d-00a1b0f02c56}]
\Shell\AutoRun\command - G:\Launcher\LAUNCHER.EXE

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://***.gmer.net
Rootkit scan 2008-04-30 22:29:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\C:\Programme\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"
.
Zeit der Fertigstellung: 2008-04-30 22:31:29
ComboFix-quarantined-files.txt 2008-04-30 20:31:17

11 Verzeichnis(se), 26,535,157,760 Bytes frei
14 Verzeichnis(se), 29,285,421,056 Bytes frei

138 --- E O F --- 2008-04-09 12:03:22
--------------------------------------------------------------------------------------
So denk mal hab die Privaten sachen gefilter.
Links auch.
Fals ich was übersehen habe bitte PM ich Edite dann sofort.
--------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:33:42, on 30.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.****.daemon-search.com/default
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 82.98.86.162 gameguard.9dragons.co*
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Media Codec Update Service] C:\Programme\Essentials Codec Pack\update.exe -silent
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DW4] "C:\Programme\The Weather Channel FW\Desktop Weather\DesktopWeather.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - h**p://***.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5449 bytes


Alt 30.04.2008, 23:25   #6
BataAlexander
> MalwareDB
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Standard

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



Ich kann keinen weiteren Befal sehen, außer vlt. das Einfallstor.
Zitat:
LimeWire
Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.




Alt 01.05.2008, 11:12   #7
PASA
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Standard

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



LimeWire Ladet die radieschen nur noch von unten.

R.I.P
LimeWire :P

Und danke für die hilfe.


Ein problem habe ich noch, ich denk mal das kann ich auch hier posten.

Wenn ich meinen Rechner anmache stürtzt der meistens beim Ersten versuch ab, so 80% chance auf den absturtz.

Das schaut dan wie folgt aus:
- Rechner bootet 1A
- Alles hoch gefahren
- 2-3min später geht garnix mehr
- Manuler Neustart
- Meistens geht es beim Zweiten Versuch



Virus? Windows fehler? UFOs? O.o
-------------------------------------------------
Edit:
Ein Admin vom acclaim 9Dragons Team hatte mir geraten 9Dragons nochmal neu draufzupacken.
Aber ich sollte 9Dragons laden ohne Firewall und ohne aktiven Ativirus.
Dazu kommt noch das 9Dragons nach der insterlation Updates saugt ( soll ich auch ohne AntiVir und Firewall machen).
Nun die Frage ist kann ich mir da was einfangen?
Ich bin mir sicher das acclaim vertrauenswürdig ist aber gibt es ne möglichkeit das jemand meine situation ausnutzt und mir viren zuschicken kann?

Geändert von PASA (01.05.2008 um 11:25 Uhr)

Alt 01.05.2008, 13:31   #8
BataAlexander
> MalwareDB
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Standard

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



Wenn jemand auf Deinen Rechner will, geht das in der Regel mit eingeschalteter Firewall viel besser.
Also während des Downloads von Dragons solltest Du einfach nichts weiter machen, kein ICQ, Keine eMails. Dann ist das im grünen Bereich.

Das mit Deinem Rechner sieht für mich aus wie ein strebendes Netzteil. Das muss wohl erst mal warmlaufen, oder andere Komponenten auf dem Mainbord.
Wie alt ist das Gerät?

Alt 01.05.2008, 13:36   #9
PASA
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Standard

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



uf

Da fragste mich was ^^

Vor ca einem Jahr gebraucht gekauft. Also ich kann nicht sagen wie alt das Ding genau ist.

Gibts ne möglichkeit mit irgendweiner Software den Fehler aufzuspüren?

Alt 01.05.2008, 13:43   #10
BataAlexander
> MalwareDB
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Standard

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



Zitat:
Zitat von PASA Beitrag anzeigen
Gibts ne möglichkeit mit irgendweiner Software den Fehler aufzuspüren?
Das wird schwer.
Aber: Tritt der Fehler auch auf, wenn Du mit dem Rechner gearbeitet hast, ihn dann runterfährst und sofort wieder hochfährst? Oder arbeitet er dann direkt?

Alt 01.05.2008, 13:48   #11
PASA
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Standard

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



Selten aber es kommt halt mal vor.

Die sache ist meinsten beim ersten Hochfahren.

Da gibts dan nen schönen freeze ( also alles bleibt auf dem bildschirm eingefrohren ... maus bewegt sich nicht.) und der rechner ist dan auf einmal ganz leise ( eigentlich ein schöner neben effeckt :P )

Alt 01.05.2008, 13:58   #12
BataAlexander
> MalwareDB
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Standard

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



Zitat:
Die sache ist meinsten beim ersten Hochfahren.
Dann würde ich auf Netzteil oder Motherboard tippen.
Vielleicht postest Du in einem neuen Thread im Bereich Netzwerk und Hardware mal die genauen Symptome mit der Beschreibung der Hardware.

Alt 01.05.2008, 14:00   #13
PASA
 
TR/Rootkit.Gen immer noch da? oder schon gelöscht? - Standard

TR/Rootkit.Gen immer noch da? oder schon gelöscht?



so letztes problem dan muss ich weg ^^



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 1. Mai 2008 14:51

Es wird nach 1245960 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ***********
Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 13:08:58
ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22.04.2008 17:08:59
ANTIVIR3.VDF : 7.0.3.235 248832 Bytes 30.04.2008 17:09:00
Engineversion : 8.1.0.37
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.28 233851 Bytes 30.04.2008 17:09:21
AESCN.DLL : 8.1.0.15 119157 Bytes 30.04.2008 17:09:20
AERDL.DLL : 8.1.0.20 418165 Bytes 30.04.2008 17:09:20
AEPACK.DLL : 8.1.1.4 364918 Bytes 30.04.2008 17:09:18
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 30.04.2008 17:09:16
AEHEUR.DLL : 8.1.0.21 1196407 Bytes 30.04.2008 17:09:13
AEHELP.DLL : 8.1.0.14 115063 Bytes 30.04.2008 17:09:07
AEGEN.DLL : 8.1.0.18 299381 Bytes 30.04.2008 17:09:07
AEEMU.DLL : 8.1.0.5 430450 Bytes 07.04.2008 15:34:43
AECORE.DLL : 8.1.0.27 168310 Bytes 30.04.2008 17:09:01
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 1. Mai 2008 14:51

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '35858' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btdna.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'G-vga.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '23' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\****\LimeWire Saved\green latern we g s.mp3
[FUND] Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.N
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '487ebfb5.qua' verschoben!
C:\Dokumente und Einstellungen\*****\LimeWire Saved\we gs final fantasy rap.mp3
[FUND] Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.N
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4839bfab.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Donnerstag, 1. Mai 2008 15:29
Benötigte Zeit: 38:25 min

Der Suchlauf wurde vollständig durchgeführt.

3685 Verzeichnisse wurden überprüft
165521 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
165519 Dateien ohne Befall
955 Archive wurden durchsucht
2 Warnungen
2 Hinweise
35858 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Muss ich die löschen? hab die lieder lange gesucht :/

Geändert von PASA (01.05.2008 um 14:33 Uhr)

Antwort

Themen zu TR/Rootkit.Gen immer noch da? oder schon gelöscht?
antivir, avira, check, dr.web, folge, free, gelöscht, hijack, hijackthis, hijackthis log, internet, ordner, problem, programm, prüfen, rootkit, scan, schutz, spiele, start, system, system check, tr/rootkit.gen, update, viren, virus, warnung



Ähnliche Themen: TR/Rootkit.Gen immer noch da? oder schon gelöscht?


  1. DevOps Roadshow: Enwickelst Du noch oder lieferst Du schon?
    Nachrichten - 09.06.2015 (0)
  2. PWS:Win32/Zbot.gen!AJ schon gelöscht oder versteckt er sich noch?
    Plagegeister aller Art und deren Bekämpfung - 02.04.2013 (9)
  3. Delta Search gelöscht... noch Viren ja oder nein?
    Plagegeister aller Art und deren Bekämpfung - 26.02.2013 (9)
  4. Trojan.Generic.8347442 Leider hat meine Antivierensoftware die Datei schon gelöscht. will nur sicher gehen ob noch teile vorhanden sind. d
    Plagegeister aller Art und deren Bekämpfung - 04.02.2013 (12)
  5. Rootkit mit Malwarebytes richtig gelöscht? Oder ist das System noch befallen?
    Log-Analyse und Auswertung - 27.01.2013 (1)
  6. BKA-Trojaner - Noch da oder schon weg?
    Log-Analyse und Auswertung - 01.11.2012 (8)
  7. sbcvvhost_win86... schon wieder! oder immer noch?
    Log-Analyse und Auswertung - 02.01.2012 (12)
  8. Exploit-QtPICT Trojaner aus McAfee Quarantäne gelöscht - immer noch da
    Plagegeister aller Art und deren Bekämpfung - 07.11.2011 (13)
  9. Trojan Win32 Generic BT noch vorhanden oder sicher gelöscht?
    Log-Analyse und Auswertung - 15.08.2010 (1)
  10. Trojaner PROCESSWATCH.EXE von McAffe erkannt, gelöscht, existiert aber immer noch
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (3)
  11. Trojaner gelöscht, I-net Explorer immer noch doppelt im Taskmanager
    Plagegeister aller Art und deren Bekämpfung - 15.01.2010 (19)
  12. SPR/Tool.NetCat.B gelöscht --> Desktop immer noch schwarz!
    Plagegeister aller Art und deren Bekämpfung - 06.01.2010 (5)
  13. trojan.tdss gelöscht oder noch vorhanden ???
    Plagegeister aller Art und deren Bekämpfung - 30.08.2009 (28)
  14. Svchost gelöscht - Immer noch Virus ?!
    Log-Analyse und Auswertung - 19.05.2009 (0)
  15. Trojaner gelöscht oder noch da?
    Log-Analyse und Auswertung - 31.12.2008 (0)
  16. Backdoortrojaner gelöscht oder noch vorhanden
    Log-Analyse und Auswertung - 19.02.2008 (1)
  17. Datei gelöscht, Computer noch immer infiziert
    Plagegeister aller Art und deren Bekämpfung - 11.04.2003 (14)

Zum Thema TR/Rootkit.Gen immer noch da? oder schon gelöscht? - halloooo erst mal :aplaus: Ich versuch mal mein Problem zu schildern, Die abläufe sind nacheinander aufgelistet. - Ich kamm nachhause und Wollte mein lieblingsspiel 9Dragons zocken. - Start des Rechners: - TR/Rootkit.Gen immer noch da? oder schon gelöscht?...
Archiv
Du betrachtest: TR/Rootkit.Gen immer noch da? oder schon gelöscht? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.