| |
| |||||||
Log-Analyse und Auswertung: Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
01.02.2009, 13:34
| #1 |
 |  Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hallo, und schon mal vielen Dank an den jenigen der sich mit diesem Post beschäftigt. Ich habe mein Problem bemerkt als ich gestern im Arbeitsplatz meine Festplatte C:\ öffnen wollte und folgende Fehlermeldung erschien: "RECYCLER\S-5-5-35-100025788-100006779-100001928-4221.com" konnte nicht gefunden werden. Stellen sie sicher, dass sie den Namen korrekt eingegeben habenund wiederholen sie den Vorgang. Klicken sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen. Anschließend habe ich zunächst versucht mein Antivir upzudaten, was allerdings mißlang, da Antivir keine Verbindung zum Internet aufbauen konnte. Ich ließ Antivir dann einen Suchlauf machen, bei dem 8 Viren oder unerwünschte Programme gefunden wurden. Hier der Report: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 30. Januar 2009 16:15 Es wird nach 1244138 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: Michel Computername: BOMMEL Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 11:47:27 AVSCAN.DLL : 8.1.4.0 48897 Bytes 29.07.2008 10:51:10 LUKE.DLL : 8.1.4.5 164097 Bytes 29.07.2008 10:51:10 LUKERES.DLL : 8.1.4.0 12545 Bytes 29.07.2008 10:51:10 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 14:58:15 ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 16:18:56 ANTIVIR2.VDF : 7.1.1.148 440832 Bytes 20.01.2009 15:37:42 ANTIVIR3.VDF : 7.1.1.159 140288 Bytes 21.01.2009 15:51:53 Engineversion : 8.2.0.57 AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 17:49:37 AESCRIPT.DLL : 8.1.1.26 340347 Bytes 16.01.2009 19:40:28 AESCN.DLL : 8.1.1.5 123251 Bytes 10.11.2008 10:14:35 AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 12:37:41 AEPACK.DLL : 8.1.3.5 393588 Bytes 10.01.2009 16:49:17 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 15.12.2008 12:27:09 AEHEUR.DLL : 8.1.0.84 1540471 Bytes 16.01.2009 19:40:26 AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 16:27:09 AEGEN.DLL : 8.1.1.10 323957 Bytes 16.01.2009 19:40:19 AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 17:49:31 AECORE.DLL : 8.1.5.2 172405 Bytes 29.11.2008 12:31:25 AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 17:49:27 AVWINLL.DLL : 1.0.0.12 15105 Bytes 29.07.2008 10:51:10 AVPREF.DLL : 8.0.2.0 38657 Bytes 29.07.2008 10:51:10 AVREP.DLL : 8.0.0.2 98344 Bytes 03.08.2008 11:13:16 AVREG.DLL : 8.0.0.1 33537 Bytes 29.07.2008 10:51:10 AVARKT.DLL : 1.0.0.23 307457 Bytes 18.04.2008 13:11:46 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 29.07.2008 10:51:10 SQLITE3.DLL : 3.3.17.1 339968 Bytes 18.04.2008 13:11:46 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 29.07.2008 10:51:11 NETNT.DLL : 8.0.0.1 7937 Bytes 18.04.2008 13:11:46 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 29.07.2008 10:51:07 RCTEXT.DLL : 8.0.52.0 86273 Bytes 29.07.2008 10:51:07 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Festplatten Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: aus Beginn des Suchlaufs: Freitag, 30. Januar 2009 16:15 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WkCalRem.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BlueSoleil.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'E_FATIADE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ktp3.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVExe.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '48' Prozesse mit '48' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '63' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\185.tmp [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\89.tmp [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\93.tmp [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\tmp1.tmp [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\tmp1C.tmp [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\tmp1D.tmp [FUND] Ist das Trojanische Pferd TR/Patched.DY.1 [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\tmp2.tmp [FUND] Ist das Trojanische Pferd TR/Patched.DY.1 [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Neue Programme\Spiele\HDDeluxe\hddeluxe.exe.part [0] Archivtyp: CAB SFX (self extracting) --> \autorun.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Temp\96.tmp [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'D:\' <Install> Ende des Suchlaufs: Freitag, 30. Januar 2009 17:44 Benötigte Zeit: 1:29:22 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 10721 Verzeichnisse wurden überprüft 556022 Dateien wurden geprüft 8 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 8 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 556011 Dateien ohne Befall 9152 Archive wurden durchsucht 6 Warnungen 8 Hinweise Das änderte leider nichts an meinem Problem, C:\ lässt sich immer noch nicht öffnen, Antivir lässt sich nicht updaten und Ad aware auch nicht. Außerdem lässt sich auch die Festplattenpartition D:\ nicht öffnen, allerdings ohne Fehlermeldung. Dann habe ich versucht eine Systemwiederherstellung zu starten, aber die startet nicht einmal. Soweit die von mir erkannten Probleme. Ich habe auch schon versucht mit der angezeigten Fehlermeldung zu googeln um Hilfe zu finden, allerdings sind die Hilfen die ich gefunden habe zu spezifisch um mir weiter zu helfen. Hier jetzt erstmal mein Hijack this logfile, ich hoffe es kann mir jemand helfen, und ich lasse jetzt erstmal die Finger davon. Danke im Vorraus, mixas Logfile of Trend Micro Hijack This v2.0.2 Scan saved at 13:08:54, on 01.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Neue Programme\Lavasoft\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\MSI\AV Wizard\AVExe.exe C:\Programme\Elantech\ktp3.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Neue Programme\Highjackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 79.99.43.128:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AV Wizard] C:\Programme\MSI\AV Wizard\AVExe.exe O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB002" /M "Stylus C46" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121868772625 O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - http://express.foto.com/activeX/newUploadFotoCom.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Neue Programme\Lavasoft\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe -- End of file - 9189 bytes |
|
04.02.2009, 11:38
| #2 | |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Ich habe mittlerweile noch herausgefunden dass ich mir den Schrott wohl selber heruntereladen habe, während ich ein Programm aus dem Netz geladen habe, dieses sollte mit einem Keygen geöffnet werden, ich habe den Keygen zwar nicht ausgeführt und das Programm direkt wieder heruntergeschmissen, aber es hat wohl gereicht um meinen Rechner zu infizieren.
__________________Außerdem habe ich eben imTask Manager einen Prozeß bemerkt, mit ähnlichem Namen wie diesem: "S-5-5-35-100025788-100006779-100001928-4221.com" der die CPU fasst komplett auslastete. Ich nehme an das hat auch mit der Schadsoftware auf meinem Rechner zu tun. Seit meinem letzten Post habe ich zudem Antivir noch einmal durchlaufen lassen, leider immer noch mit der Virendefinition vom 21.01.09 ich habe wieder die gleichen Trojaner TR/Vundo.gen und TR/Patched.DY.1 gefunden. Hier noch einmal ein aktuelles HJT Logfile: Zitat:
Danke im Vorraus, mixas Geändert von mixas (04.02.2009 um 11:44 Uhr) |
|
04.02.2009, 14:02
| #3 |
  | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hi,
__________________bitte prüfen: Arbeitsplatz->rechte Maustaste->Eigenschaften-> Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen-> Nicht PnP-Treiber und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten. Danach MAM: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Neu booten, Avira updaten und so einstellen, dann fullscan: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html Poste alle Logs... chris
__________________ |
|
04.02.2009, 14:53
| #4 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hi Chris, danke erstmal das du mir hilfst. In meinem Gerätemanager ist kein Prozess mit Namen "TDSSserv.sys" oder so ähnlich, dafür einer mit Namen "Serial" der durch ein Ausrufezeichen im Gelben Kreis hinterlegt ist. Hier ist ein Screenshot vom Gerätemanager http://www.file-upload.net/view-1429...nshot.JPG.html Kann das derjenige sein, zumal ich meine das ein Prozess Namens "Serial" auch aktiv war als ich im Task Manager den Prozess "S-5-5-35-100025788-100006779-100001928-4221.com" gesehen habe. Soll ich die O17 Einträge eigentlich jetzt mit HJT fixen? Geändert von mixas (04.02.2009 um 15:09 Uhr) |
|
04.02.2009, 17:33
| #5 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Hi, das wäre neu, es kann ja aber auch ein Problem mit der Seriellen SST vorliegen, ev. disablen! Bitte mit der rechten Maustaste draufklicken->Eigenschaften->Treiber-> Treiberdetails. Bitte posten was dort als Treiber angegeben wurde und über virustotal.com prüfen lassen... Die genannten Einträge umgehen fixen und MAM nicht vergessen! chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
04.02.2009, 18:01
| #6 |
| | Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... Also, die genannten Einträge sind gefixt, bei "serial" steht in den Treiberdetails: C:\windows\system32\drivers\serial.sys ich habe die Datei bei virustotal.com prüfen lassen, Ergebnis 0/39 0%. Ich erspare dir an dieser stelle das log dazu, ich denke das war wohl nur ein Schuss ins blaue von mir. Ansonsten läuft MBAM inzwischen seit einer Stunde, ich stelle dann gleich das Log ein, sowie dann auch das aktuelle HJT Log. Muss ich bei den nicht PnP-Treibern noch welche nachprüfen? |
|
| Themen zu Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... |
| .com, 1.exe, ad aware, ad-aware, antivir, avgnt.exe, bho, bonjour, festplatte, festplatte c, festplatte c:, firefox, highjackthis, hijack, hijack this, hkus\s-1-5-18, jusched.exe, logfile, logon.exe, mozilla, nicht gefunden, nicht öffnen, nt.dll, object, plug-in, problem, registry, software, starten, suchlauf, svchost.exe, system, trojaner, usb, verweise, viren, virus, virus gefunden, windows, windows\temp |
Hybrid-Darstellung
