| |
| |||||||
Log-Analyse und Auswertung: Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
01.02.2009, 13:34
| #1 |
 |  Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hallo, und schon mal vielen Dank an den jenigen der sich mit diesem Post beschäftigt. Ich habe mein Problem bemerkt als ich gestern im Arbeitsplatz meine Festplatte C:\ öffnen wollte und folgende Fehlermeldung erschien: "RECYCLER\S-5-5-35-100025788-100006779-100001928-4221.com" konnte nicht gefunden werden. Stellen sie sicher, dass sie den Namen korrekt eingegeben habenund wiederholen sie den Vorgang. Klicken sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen. Anschließend habe ich zunächst versucht mein Antivir upzudaten, was allerdings mißlang, da Antivir keine Verbindung zum Internet aufbauen konnte. Ich ließ Antivir dann einen Suchlauf machen, bei dem 8 Viren oder unerwünschte Programme gefunden wurden. Hier der Report: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 30. Januar 2009 16:15 Es wird nach 1244138 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: Michel Computername: BOMMEL Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 11:47:27 AVSCAN.DLL : 8.1.4.0 48897 Bytes 29.07.2008 10:51:10 LUKE.DLL : 8.1.4.5 164097 Bytes 29.07.2008 10:51:10 LUKERES.DLL : 8.1.4.0 12545 Bytes 29.07.2008 10:51:10 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 14:58:15 ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 16:18:56 ANTIVIR2.VDF : 7.1.1.148 440832 Bytes 20.01.2009 15:37:42 ANTIVIR3.VDF : 7.1.1.159 140288 Bytes 21.01.2009 15:51:53 Engineversion : 8.2.0.57 AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 17:49:37 AESCRIPT.DLL : 8.1.1.26 340347 Bytes 16.01.2009 19:40:28 AESCN.DLL : 8.1.1.5 123251 Bytes 10.11.2008 10:14:35 AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 12:37:41 AEPACK.DLL : 8.1.3.5 393588 Bytes 10.01.2009 16:49:17 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 15.12.2008 12:27:09 AEHEUR.DLL : 8.1.0.84 1540471 Bytes 16.01.2009 19:40:26 AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 16:27:09 AEGEN.DLL : 8.1.1.10 323957 Bytes 16.01.2009 19:40:19 AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 17:49:31 AECORE.DLL : 8.1.5.2 172405 Bytes 29.11.2008 12:31:25 AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 17:49:27 AVWINLL.DLL : 1.0.0.12 15105 Bytes 29.07.2008 10:51:10 AVPREF.DLL : 8.0.2.0 38657 Bytes 29.07.2008 10:51:10 AVREP.DLL : 8.0.0.2 98344 Bytes 03.08.2008 11:13:16 AVREG.DLL : 8.0.0.1 33537 Bytes 29.07.2008 10:51:10 AVARKT.DLL : 1.0.0.23 307457 Bytes 18.04.2008 13:11:46 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 29.07.2008 10:51:10 SQLITE3.DLL : 3.3.17.1 339968 Bytes 18.04.2008 13:11:46 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 29.07.2008 10:51:11 NETNT.DLL : 8.0.0.1 7937 Bytes 18.04.2008 13:11:46 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 29.07.2008 10:51:07 RCTEXT.DLL : 8.0.52.0 86273 Bytes 29.07.2008 10:51:07 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Festplatten Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: aus Beginn des Suchlaufs: Freitag, 30. Januar 2009 16:15 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WkCalRem.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BlueSoleil.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'E_FATIADE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ktp3.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVExe.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '48' Prozesse mit '48' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '63' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\185.tmp [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\89.tmp [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\93.tmp [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\tmp1.tmp [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\tmp1C.tmp [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\tmp1D.tmp [FUND] Ist das Trojanische Pferd TR/Patched.DY.1 [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\tmp2.tmp [FUND] Ist das Trojanische Pferd TR/Patched.DY.1 [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Neue Programme\Spiele\HDDeluxe\hddeluxe.exe.part [0] Archivtyp: CAB SFX (self extracting) --> \autorun.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Temp\96.tmp [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'D:\' <Install> Ende des Suchlaufs: Freitag, 30. Januar 2009 17:44 Benötigte Zeit: 1:29:22 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 10721 Verzeichnisse wurden überprüft 556022 Dateien wurden geprüft 8 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 8 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 556011 Dateien ohne Befall 9152 Archive wurden durchsucht 6 Warnungen 8 Hinweise Das änderte leider nichts an meinem Problem, C:\ lässt sich immer noch nicht öffnen, Antivir lässt sich nicht updaten und Ad aware auch nicht. Außerdem lässt sich auch die Festplattenpartition D:\ nicht öffnen, allerdings ohne Fehlermeldung. Dann habe ich versucht eine Systemwiederherstellung zu starten, aber die startet nicht einmal. Soweit die von mir erkannten Probleme. Ich habe auch schon versucht mit der angezeigten Fehlermeldung zu googeln um Hilfe zu finden, allerdings sind die Hilfen die ich gefunden habe zu spezifisch um mir weiter zu helfen. Hier jetzt erstmal mein Hijack this logfile, ich hoffe es kann mir jemand helfen, und ich lasse jetzt erstmal die Finger davon. Danke im Vorraus, mixas Logfile of Trend Micro Hijack This v2.0.2 Scan saved at 13:08:54, on 01.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Neue Programme\Lavasoft\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\MSI\AV Wizard\AVExe.exe C:\Programme\Elantech\ktp3.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Neue Programme\Highjackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 79.99.43.128:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AV Wizard] C:\Programme\MSI\AV Wizard\AVExe.exe O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB002" /M "Stylus C46" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121868772625 O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - http://express.foto.com/activeX/newUploadFotoCom.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Neue Programme\Lavasoft\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe -- End of file - 9189 bytes |
|
04.02.2009, 11:38
| #2 | |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Ich habe mittlerweile noch herausgefunden dass ich mir den Schrott wohl selber heruntereladen habe, während ich ein Programm aus dem Netz geladen habe, dieses sollte mit einem Keygen geöffnet werden, ich habe den Keygen zwar nicht ausgeführt und das Programm direkt wieder heruntergeschmissen, aber es hat wohl gereicht um meinen Rechner zu infizieren.
__________________Außerdem habe ich eben imTask Manager einen Prozeß bemerkt, mit ähnlichem Namen wie diesem: "S-5-5-35-100025788-100006779-100001928-4221.com" der die CPU fasst komplett auslastete. Ich nehme an das hat auch mit der Schadsoftware auf meinem Rechner zu tun. Seit meinem letzten Post habe ich zudem Antivir noch einmal durchlaufen lassen, leider immer noch mit der Virendefinition vom 21.01.09 ich habe wieder die gleichen Trojaner TR/Vundo.gen und TR/Patched.DY.1 gefunden. Hier noch einmal ein aktuelles HJT Logfile: Zitat:
Danke im Vorraus, mixas Geändert von mixas (04.02.2009 um 11:44 Uhr) |
|
04.02.2009, 14:02
| #3 |
  | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hi,
__________________bitte prüfen: Arbeitsplatz->rechte Maustaste->Eigenschaften-> Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen-> Nicht PnP-Treiber und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten. Danach MAM: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Neu booten, Avira updaten und so einstellen, dann fullscan: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html Poste alle Logs... chris
__________________ |
|
04.02.2009, 14:53
| #4 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hi Chris, danke erstmal das du mir hilfst. In meinem Gerätemanager ist kein Prozess mit Namen "TDSSserv.sys" oder so ähnlich, dafür einer mit Namen "Serial" der durch ein Ausrufezeichen im Gelben Kreis hinterlegt ist. Hier ist ein Screenshot vom Gerätemanager http://www.file-upload.net/view-1429...nshot.JPG.html Kann das derjenige sein, zumal ich meine das ein Prozess Namens "Serial" auch aktiv war als ich im Task Manager den Prozess "S-5-5-35-100025788-100006779-100001928-4221.com" gesehen habe. Soll ich die O17 Einträge eigentlich jetzt mit HJT fixen? Geändert von mixas (04.02.2009 um 15:09 Uhr) |
|
04.02.2009, 17:33
| #5 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hi, das wäre neu, es kann ja aber auch ein Problem mit der Seriellen SST vorliegen, ev. disablen! Bitte mit der rechten Maustaste draufklicken->Eigenschaften->Treiber-> Treiberdetails. Bitte posten was dort als Treiber angegeben wurde und über virustotal.com prüfen lassen... Die genannten Einträge umgehen fixen und MAM nicht vergessen! chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
04.02.2009, 18:01
| #6 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Also, die genannten Einträge sind gefixt, bei "serial" steht in den Treiberdetails: C:\windows\system32\drivers\serial.sys ich habe die Datei bei virustotal.com prüfen lassen, Ergebnis 0/39 0%. Ich erspare dir an dieser stelle das log dazu, ich denke das war wohl nur ein Schuss ins blaue von mir. Ansonsten läuft MBAM inzwischen seit einer Stunde, ich stelle dann gleich das Log ein, sowie dann auch das aktuelle HJT Log. Muss ich bei den nicht PnP-Treibern noch welche nachprüfen? |
|
04.02.2009, 19:17
| #7 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... So, MbAM ist durch, hier das log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3
04.02.2009 19:09:39
mbam-log-2009-02-04 (19-09-39).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 187902
Laufzeit: 1 hour(s), 57 minute(s), 9 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{3c2d2a1e-031f-4397-9614-87c932a848e0} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{04a38f6b-006f-4247-ba4c-02a139d5531c} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx.1 (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ICF (Rootkit.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll (Adware.Minibug) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll (Adware.Minibug) -> Quarantined and deleted successfully.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\418928252012.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\418928252021.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\418928252031.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\418928252051.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:14:38, on 04.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Neue Programme\Lavasoft\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\MSI\AV Wizard\AVExe.exe C:\Programme\Elantech\ktp3.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Neue Programme\Malwarebytes' Anti-Malware\mbam.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Neue Programme\Highjackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 79.99.43.128:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AV Wizard] C:\Programme\MSI\AV Wizard\AVExe.exe O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB002" /M "Stylus C46" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121868772625 O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - http://express.foto.com/activeX/newUploadFotoCom.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Neue Programme\Lavasoft\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe -- End of file - 9372 bytes |
|
04.02.2009, 21:28
| #8 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Antivir update funktioniert leider immer noch nicht, auch die Fehlermeldung beim Versuch die Festplatte aus dem Arbeitsplatz zu öffnen erscheint nach wie vor. |
|
05.02.2009, 07:42
| #9 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hi, mit dem HJ-Log kommen wir so nicht weiter, da ist nichts drin zu finden (das sieht dann nach einem weiteren Rootkit aus...). Autorun-Vrius und Autorun disablen! \Autorun.inf \resycled \resycled\boot.com Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen... http://www.techsupportforum.com/sect...isinfector.exe Trenne den Rechner physikalisch vom Netz. Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer, da der Disinfector von manchen Scannern als Virus/Trojaner fälschlicherweise erkannt wird. Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden). Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen. Wenn der Scan zuende ist, kannst du das Programm schließen. Starte Deinen Rechner neu. Dann lassen wir mal combofix von der Leine: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe chris Ps.: Falls der Download blockiert wird bzw. die Exe sich nicht starten lässt, bereits im Download-Dialog die exe umbenennen...
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.02.2009, 09:38
| #10 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hi, ich habe disinfector und Combofix durchlaufen lassen, hier das Combofixlog: Code:
ATTFilter ComboFix 09-02-04.01 - Michel 2009-02-05 9:19:50.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.655 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michel\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated)
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokume~1\Michel\LOKALE~1\Temp\tmp1.tmp
c:\dokume~1\Michel\LOKALE~1\Temp\tmp2.tmp
c:\programme\Mozilla Firefox\components\iamfamous.dll
c:\recycler\S-3-6-11-100009412-100027442-100001108-6031.com
c:\windows\system32\drivers\gaopdxcobufura.sys
c:\windows\system32\drivers\gaopdxmpareodp.sys
c:\windows\system32\drivers\gaopdxodivdyiu.sys
c:\windows\system32\drivers\gaopdxtfnmttok.sys
c:\windows\system32\drivers\gaopdxxhxyxtas.sys
c:\windows\system32\drivers\gaopdxxossthsq.sys
c:\windows\system32\gaopdxwqbbwyik.dll
c:\windows\wuasirvy.dll
d:\recycler\S-0-3-27-100031993-100025984-100009456-3402.com
d:\recycler\S-2-8-77-100023383-100001658-100002681-1511.com
d:\recycler\S-3-6-11-100009412-100027442-100001108-6031.com
d:\recycler\S-5-5-35-100025788-100006779-100001928-4211.com
d:\recycler\S-8-1-50-100017172-100008116-100025521-2841.com
d:\recycler\S-9-4-51-100004887-100023516-100032104-3212.com
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_gaopdxserv.sys
-------\Legacy_ICF
((((((((((((((((((((((( Dateien erstellt von 2009-01-05 bis 2009-02-05 ))))))))))))))))))))))))))))))
.
2009-02-04 16:58 . 2009-02-04 16:58 <DIR> d-------- c:\dokumente und einstellungen\Michel\Anwendungsdaten\Malwarebytes
2009-02-04 16:58 . 2009-02-04 16:58 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-04 16:58 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-04 16:58 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-30 17:50 . 2005-07-20 12:34 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-01-30 17:50 . 2005-07-20 15:12 <DIR> d---s---- c:\dokumente und einstellungen\Administrator\UserData
2009-01-30 17:50 . 2005-07-20 13:29 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-01-30 17:50 . 2005-07-20 13:29 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-01-30 17:50 . 2005-07-20 13:29 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-01-30 17:50 . 2005-07-27 10:06 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-01-30 17:50 . 2005-07-27 10:06 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-01-30 17:50 . 2005-07-20 13:29 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-01-30 17:50 . 2005-07-20 16:34 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2009-01-30 17:50 . 2005-07-20 14:04 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\S.A.D
2009-01-30 17:50 . 2006-03-21 15:59 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AOL
2009-01-30 17:50 . 2008-08-07 13:35 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-01-30 17:50 . 2009-01-30 17:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-04 23:38 47,114 ----a-w c:\dokumente und einstellungen\Michel\Anwendungsdaten\wklnhst.dat
2009-02-04 20:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-04 15:58 --------- d-----w c:\programme\Neue Programme
2009-02-04 15:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-02-03 17:01 --------- d-----w c:\programme\antivir
2009-01-30 14:55 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-23 01:20 --------- d-----w c:\programme\GameSpy Arcade
2008-12-19 13:51 73,216 ----a-w c:\windows\ST6UNST.EXE
2008-12-19 13:51 249,856 ------w c:\windows\Setup1.exe
2008-12-17 18:17 --------- d-----w c:\dokumente und einstellungen\Gina\Anwendungsdaten\OpenOffice.org
2008-12-12 19:45 --------- d-----w c:\dokumente und einstellungen\Michel\Anwendungsdaten\DivX
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-09 19:02 --------- d-----w c:\programme\DivX
2008-12-08 11:12 --------- d-----w c:\programme\Java
2008-09-29 13:25 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-07-26 15:01 33,048 ----a-w c:\dokumente und einstellungen\Gina\Anwendungsdaten\wklnhst.dat
2008-02-26 10:42 78,720 ----a-w c:\dokumente und einstellungen\Michel\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-04 11:35 78,720 ----a-w c:\dokumente und einstellungen\Gina\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-30 11:20 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008093020081001\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-01-12 344064]
"AV Wizard"="c:\programme\MSI\AV Wizard\AVExe.exe" [2005-03-03 81920]
"KTPWare"="c:\programme\Elantech\ktp3.exe" [2005-01-17 258048]
"EPSON Stylus C46 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE" [2004-01-13 99840]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-29 266497]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-07-20 98304]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 c:\windows\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2005-01-17 c:\windows\AGRSMMSG.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Gina\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org\program\quickstart.exe [2005-09-23 61440]
c:\dokumente und einstellungen\Michel\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]
wkcalrem.LNK - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe [2004-07-12 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-06-15 1208320]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL
"aux1"= 41892825201.CPX
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Michel^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=c:\dokumente und einstellungen\Michel\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
-----c--- 2005-06-02 16:03 1957888 c:\programme\Ahead\Nero BackItUp\NBJ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a--c--- 2005-07-14 17:41 127118 c:\programme\CyberLink\PowerCinema\PCMService.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-07-20 16:34 98304 c:\programme\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-12 19:10 21898024 c:\programme\Skype\Phone\Skype.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\CyberLink\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"c:\\Programme\\utorrent\\utorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\system32\\svchost.exe"=
"c:\\Programme\\Neue Programme\\streamingprogs\\sopcast\\SopCast.exe"=
"c:\\Programme\\AudioJack 2\\AJack2.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Neue Programme\\streamingprogs\\sopcast\\adv\\SopAdver.exe"=
"c:\\Programme\\Neue Programme\\zattoo\\zattood.exe"=
"c:\\Programme\\Neue Programme\\zattoo\\Zattoo1.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Neue Programme\\Spiele\\Worms\\Wormux\\wormux.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-10 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2006-02-10 45376]
R3 Ktp3;Elantech TouchPad(KTP3);c:\windows\system32\drivers\Ktp3.sys [2005-07-20 24704]
S2 Ca536av;5.1M MPEG4 DV Video Camera Device;c:\windows\system32\drivers\Ca536av.sys [2005-12-30 514859]
S3 ALSysIO;ALSysIO;\??\c:\dokume~1\Michel\LOKALE~1\Temp\ALSysIO.sys --> c:\dokume~1\Michel\LOKALE~1\Temp\ALSysIO.sys [?]
S3 hamachi_oem;PlayLinc Adapter;c:\windows\system32\drivers\gan_adapter.sys [2006-10-19 10664]
S3 LVHybrid;LVHybrid service;c:\windows\system32\drivers\LVHybrid.sys [2005-07-20 1000064]
S3 USBCamera;5.1M MPEG4 DV Still Camera Device;c:\windows\system32\drivers\Bulk536.sys [2005-12-30 11048]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7998aeae-f92f-11d9-8cb9-0011090ba3fb}]
\Shell\AutoRun\command - D:\Autorun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f6dcf62-fe7d-11d9-83d5-806d6172696f}]
\Shell\AutoRun\command - G:\Autorun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e68d2684-9a5b-11da-bae0-00038a000015}]
\Shell\AutoRun\command - F:\AutoRun.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyServer = 79.99.43.128:3128
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {826287F8-454E-11D9-ADFE-00062919A34C} - hxxp://express.foto.com/activeX/newUploadFotoCom.CAB
DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} - hxxp://express.foto.com/SFUploader/SpeedUploader.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\p3r0vk02.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF - plugin: c:\programme\Photosynth\npPhotosynthMozilla.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 09:28:32
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-4277028751-724578557-3880512149-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"AB141C35E9F4BF344B9FC010BB17F68A"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Neue Programme\Lavasoft\aawservice.exe
c:\windows\system32\ati2evxx.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\IVT Corporation\BlueSoleil\BTNtService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-05 9:35:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-05 08:35:56
Vor Suchlauf: 15 Verzeichnis(se), 12,267,548,672 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 13,704,249,344 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=alwaysoff /fastdetect
243 --- E O F --- 2009-01-15 13:07:46
Und bevor ichs vergesse, Antivir hat sich nachdem combofix das System das erste mal neugestartet hatte wieder aktiviert und ich hatte keine Möglichkeit es wieder zu deaktivieren, da außer dem Combofix fenster nur mein leerer Desktophintergrund zu sehen war, ich hoffe das hat keinen Schaden verursacht. Geändert von mixas (05.02.2009 um 10:02 Uhr) |
|
05.02.2009, 10:53
| #11 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\dokume~1\Michel\LOKALE~1\Temp\ALSysIO.sys
F:\AutoRun.exe
Das kann ich nicht einordnen: uStart Page = hxxp://google.de/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Settings,ProxyServer = 79.99.43.128:3128 Bitte noch einmal MAM updaten und Komplettscan&bereinigen, Log posten... wuasirvy.dll -> http://www.prevx.com/filenames/X1855471434919272962-X1/3E2ETMP2EEXE.html Zur Sicherheit noch Superantispyware: http://www.trojaner-board.de/51871-anleitung-superantispyware.html Auch dieses Log posten... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.02.2009, 13:01
| #12 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hi, MAM läuft, Superantispyware mache ich danach, aber die Dateien Code:
ATTFilter c:\dokume~1\Michel\LOKALE~1\Temp\ALSysIO.sys
F:\AutoRun.exe
Und ein Laufwerk F: habe ich auch gar nicht. Kann das evtl. ein mp3 Player sein? Der war aber bestimmt schon 2-3 Monate nicht mehr angeschlossen. Ansonsten vielleicht eine SD-Card von meinem Fotoapparat oder mein Drucker, das sind die Geräte die mir jetzt einfallen die manchmal als Laufwerk F: bezeichnet werden. Die Datei ALSysIO.sys habe ich sowohl "manuell" als auch über die Windows Suche nicht gefunden. Ich melde mich dann wieder wenn die Logs von MAM und SUPERAntiSpyware da sind, Michel |
|
05.02.2009, 14:36
| #13 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hi, die Datei kommt im Log auf fast allen Laufwerken vor: [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7998aeae-f92f-11d9-8cb9-0011090ba3fb}] \Shell\AutoRun\command - D:\Autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f6dcf62-fe7d-11d9-83d5-806d6172696f}] \Shell\AutoRun\command - G:\Autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e68d2684-9a5b-11da-bae0-00038a000015}] \Shell\AutoRun\command - F:\AutoRun.exe Schaue mal ob Du die Datei auf "D" findest... Darüber pflanzen sich die Viren/Trojaner fort.. Der Explorer führt diese Datei automatisch aus, wenn das Laufwerk das erstemal angesprochen wird ... Und schwupp wird der Virus/Trojaner geladen und ist wieder aktiv. Pech für den, der einen verseuchten USB-Stick bekommt... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.02.2009, 17:25
| #14 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hi, MAM und SUPERAntiSpyware sind durch: SuperAntiSpyware: Code:
ATTFilter SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com
Generiert 02/05/2009 bei 05:19 PM
Version der Applikation : 4.25.1012
Version der Kern-Datenbank : 3744
Version der Spur-Datenbank : 1712
Scan Art : kompletter Scann
Totale Scann-Zeit : 01:53:54
Gescannte Speicherelemente : 655
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 5858
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 131681
Erfasste Datei-Elemente : 0
Code:
ATTFilter Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1730
Windows 5.1.2600 Service Pack 3
05.02.2009 15:16:26
mbam-log-2009-02-05 (15-16-26).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 181100
Laufzeit: 2 hour(s), 32 minute(s), 17 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\coolplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
05.02.2009, 18:05
| #15 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Ich habe inzwischen auf D: eine Autorun Datei gefunden, da steht drunter "Easy install CD Targa Gmbh" und sie ist 2005 erstellt und das letzte mal bearbeitet worden, Targa heißt die Firma von der mein Computer ist. Auch Virustotal hält die Datei für unbedenklich. Was vielleicht noch weiterhilft, ich habe unter C:\RECYCLER folgende Datei gefunden: S-1-5-21-4277028751-724578557-3880512149-1006 Das dazugehörige Dateisymbol ist das vom Papierkorb. In den Dateieigenschaften steht die Datei habe eine Größe von 85 Bytes, Virustotal sagt aber sie habe 0 Bytes. Unter D:\RECYCLER finden sich gleich 4 Dateien mit ähnlichem Namen. Auch diese sind laut Eigenschaften 85 Bytes groß, laut Virustotal 0 Bytes. Kannst du damit was anfangen? Michel |
|
| Themen zu Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... |
| .com, 1.exe, ad aware, ad-aware, antivir, avgnt.exe, bho, bonjour, festplatte, festplatte c, festplatte c:, firefox, highjackthis, hijack, hijack this, hkus\s-1-5-18, jusched.exe, logfile, logon.exe, mozilla, nicht gefunden, nicht öffnen, nt.dll, object, plug-in, problem, registry, software, starten, suchlauf, svchost.exe, system, trojaner, usb, verweise, viren, virus, virus gefunden, windows, windows\temp |
Linear-Darstellung
