| |
| |||||||
Log-Analyse und Auswertung: Virusbefall. IE, Firefox und Thunderbird funktionieren nicht mehr ordnungsgemäß.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
05.10.2008, 21:09
| #1 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Virusbefall. IE, Firefox und Thunderbird funktionieren nicht mehr ordnungsgemäß. Unübersichtlicher kann man nicht posten.  Poste bitte die Ergebnisse von Virustotal vollständig und so, dass man nicht quer rechts scrollen muss. Wegen der filelisting-Datei: Ist so nat. falsch gewesen, versuch es so: Geh in Arbeitsplatz / Extras / Ordneroptionen / Ansicht - dort den Haken rausnehmen bei "Erweiterungen bei bekannten Dateitypen ausblenden", fortan werden Dir bei (fast) allen Dateien auch die Endungen angezeigt. Stell dann sicher, dass mein CMD-Scrript auch tatsächlich dann die Endung .CMD hat und kein .TXT oder so. Sie sollte dann dieses Symbol haben  Danach sollte durch ein Doppelklick das Script auch ausgeführt werden.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
05.10.2008, 23:06
| #2 | ||
 |  Virusbefall. IE, Firefox und Thunderbird funktionieren nicht mehr ordnungsgemäß. C:\WINDOWS\system32\RAyyyccf.ini2
__________________Zitat:
Zitat:
Die restlichen Dateien scheinen von einem der vorher benutzen Programme entfernt. Hier das filelisting script: File-Upload.net - listing.txt post scriptum: Falls die Virustotalauflistung noch nicht vollständig genug ist, werde ich aus der Seite nicht schlau. |
|
06.10.2008, 21:00
| #3 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virusbefall. IE, Firefox und Thunderbird funktionieren nicht mehr ordnungsgemäß. Anleitung Avenger (by swandog46)
__________________Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter C:\WINDOWS\system32\RAyyyccf.ini
C:\WINDOWS\system32\RAyyyccf.ini2
C:\WINDOWS\system32\npqsAcdd.ini
C:\WINDOWS\system32\npqsAcdd.ini2
C:\WINDOWS\system32\drivers\TDSSserv.sys
__________________ |
|
20.10.2008, 09:59
| #4 | |
| | Virusbefall. IE, Firefox und Thunderbird funktionieren nicht mehr ordnungsgemäß. Gesagt getan. Der Avenger aber zeigt mir dieses: Zitat:
|
|
20.10.2008, 14:47
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Virusbefall. IE, Firefox und Thunderbird funktionieren nicht mehr ordnungsgemäß. Ah sry  Hab mich da vertan. Nimm Folgendes als Script: Code:
ATTFilter files to delete:
C:\WINDOWS\system32\RAyyyccf.ini
C:\WINDOWS\system32\RAyyyccf.ini2
C:\WINDOWS\system32\npqsAcdd.ini
C:\WINDOWS\system32\npqsAcdd.ini2
C:\WINDOWS\system32\drivers\TDSSserv.sys
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.10.2008, 23:24
| #6 |
| | Virusbefall. IE, Firefox und Thunderbird funktionieren nicht mehr ordnungsgemäß.Code:
ATTFilter //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 3)
Sun Oct 19 16:45:29 2008
16:45:29: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 3)
Sun Oct 19 16:47:42 2008
16:47:42: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 3)
Sun Oct 19 16:49:09 2008
16:49:09: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Completed script processing.
*******************
Finished! Terminate.
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 3)
Mon Oct 20 10:25:05 2008
10:25:05: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 3)
Mon Oct 20 10:27:13 2008
10:27:13: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 3)
Mon Oct 20 10:27:52 2008
10:27:52: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 3)
Mon Oct 20 11:01:22 2008
11:01:22: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 3)
Mon Oct 20 11:03:09 2008
11:03:09: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 3)
Mon Oct 20 11:03:12 2008
11:03:12: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\system32\RAyyyccf.ini" deleted successfully.
File "C:\WINDOWS\system32\RAyyyccf.ini2" deleted successfully.
File "C:\WINDOWS\system32\npqsAcdd.ini" deleted successfully.
File "C:\WINDOWS\system32\npqsAcdd.ini2" deleted successfully.
Error: file "C:\WINDOWS\system32\drivers\TDSSserv.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:25:21, on 21.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\SyncroSoft\Pos\H2O\cledx.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\***\Desktop\qlketzd.com C:\Dokumente und Einstellungen\***\Desktop\qlketzd.com C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {AF8C97B7-52C5-4CFC-9DFC-B8E2E0240D3E} - (no file) O2 - BHO: (no name) - {BAFDDE8F-BAB5-4076-9A99-0CB612956C71} - (no file) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: dfwcvm.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Druckwarteschlange (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing) -- End of file - 5604 bytes |
|
21.10.2008, 09:27
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virusbefall. IE, Firefox und Thunderbird funktionieren nicht mehr ordnungsgemäß.Code:
ATTFilter O20 - AppInit_DLLs: dfwcvm.dll
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Virusbefall. IE, Firefox und Thunderbird funktionieren nicht mehr ordnungsgemäß. |
| 0xc0000005, ad-aware, antivir, avira, bho, bonjour, browser, combofix, desktop, drivers, error, excel, firefox, funktionieren nicht, google, hijack, hijackthis, hkus\s-1-5-18, installation, internet explorer, mozilla, programm, rootkit, security, software, starten., symantec, verweist auf speicher, windows, windows xp, windows xp sp3, windows\system32\drivers, xp sp3 |
Hybrid-Darstellung
