Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.03.2009, 18:38   #1
TheFiddler
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



Hallo liebe Community,

hab mir gestern wohl ein Trojaner/Virus/o.ä. eingefangen.
Angefangen hat es damit, dass ich keinen Zugriff mehr auf C: bekam:

"RECYCLER\S-2-8-25-100022654-100031522-100016613-1419.com" konnte nicht gefunden werden.
Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang.
Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen."

Außerdem kam ich trotz der Meldung "Verbindung hergestellt" nicht mehr ins Netz.
Habe darauf hin am Zweit-Rechner gegoogelt und konnte mit Hilfe meines USB-Sticks und des Tools "Autorun-Eater" den Fehler beheben
=> "autorun.inf" gelöscht
=> wieder Festplattenzugriff, wieder Internetzugang.

Um sicherzugehen, habe ich dann noch adaware, a-squared und nach Recherche hier im Forum auch CCleaner drüberlaufen lassen und alles entfernt, was gefunden wurde.

Trotzdem habe ich in unregelmäßigen Abstand ab und zu bluescreens und muss restarten.
Außerdem is der Browser (Firefox 3) irgendwie langsamer als sonst und ich werde manchmal zu falschen Seiten weitergeleitet.
Bei meinem google-Mail-Account kann ich mich nicht mehr einloggen (funktioniert am Zweit-Rechner tadellos).
Software-Updates (z.B. adaware-Updates) sind auch nicht mehr möglich, da angeblich keine Internetverbindung besteht.

Was kann ich noch tun, um das Problem loszuwerden?
Zu allem Überfluss war zum Zeitpunkt des Befalls eine externe HDD angeschlossen, auf der der "Autorun Eater" bereits die "autorun.inf" vernichtet hat.
Kann ich sie nun wieder bedenkenos an andere PCs anschließen oder besteht noch Gefahr? Was ist mit dem USB Stick?


Um euch ein paar Infos zu geben, habe ich auch ein HijackThis-Log gemacht:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:07:30, on 11.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Autorun Eater\oldmcdonald.exe
C:\Programme\Autorun Eater\billy.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Home
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{067B1E40-5BAC-4D06-879B-0FB4451DB6DD}: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter
O17 - HKLM\System\CCS\Services\Tcpip\..\{43B7001A-3E8E-4C30-849A-F64E22F8B1BE}: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.166,undsoweiter.255.112.undsoweiter
O17 - HKLM\System\CS1\Services\Tcpip\..\{067B1E40-5BAC-4D06-879B-0FB4451DB6DD}: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\icf.exe.exe:ext.exe (file missing)
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 5436 bytes

Bei jedem Systemstart kommt die Meldung: "Error: Die Datei oder das Verzeichnis ist beschädigt und nicht lesbar"
Nach Bestätigen mit "OK" komme ich ganz normal auf den Desktop.
Ich würde wirklich nur ungern formatieren, v.a. die externe Festplatte...
Bitte helft mir, ich weiß echt nicht mehr weiter : (

Timo

Geändert von TheFiddler (11.03.2009 um 18:58 Uhr)

Alt 11.03.2009, 19:10   #2
TheFiddler
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



Habe jetzt auf Anraten der automatischen Auswertung auf hijackthis.de folgendes "gefixed" und habe jetzt keine Internetverbindung mehr.


O17 - HKLM\System\CCS\Services\Tcpip\..\{067B1E40-5BAC-4D06-879B-0FB4451DB6DD}: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter
O17 - HKLM\System\CCS\Services\Tcpip\..\{43B7001A-3E8E-4C30-849A-F64E22F8B1BE}: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.166,undsoweiter.255.112.undsoweiter
O17 - HKLM\System\CS1\Services\Tcpip\..\{067B1E40-5BAC-4D06-879B-0FB4451DB6DD}: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\icf.exe.exe:ext.exe (file missing)
__________________


Alt 11.03.2009, 19:21   #3
john.doe
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



Hallo und

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas
__________________
__________________

Alt 11.03.2009, 19:28   #4
handball10
/// Helfer-Team
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



moin,

kleine Frage:
Warum fixt du einfach mal so Einträge aus deinem HJT-Log
Die Online-Auswertung ist nicht Unfehlbar!
Wenn du nicht genau weißt, was du da genau fixt, musst du eventuell mit den Folgen leben. Wenn du das Programm startest, kannst du auf dem Button
"View the list of Backups" die Änderungen über "Restore" rückgängig machen.

Mache anschließend nochmal ein frisches HJT-Logfile!

Noch eine Frage: Wieso hast du die IP-Adresse an den jeweiligen Enden mit "undsoweiter" "unbrauchbar" gemacht.

Jedenfalls bringt es uns wenig, wenn wir nur Bruchteile sehn...
Naja, die ersten 3 IP-Teile weisen auf Odessa hin. D.h. ,dass dein gesamter Internetverkehr über die Ukraine umgeleitet wird und somit alles, was du bspw. an Passwörter eingibst, mitgeloggt wird!!

Wenn du Online-Banking o.ä. wie Ebay etc. machst solltest du schnellstens von einem sauberen PC aus deine Zugangsdaten ändern!

Gruß
Handball10


[EDIT]
Oh, da war John schneller.
Hab wohl zu lange zum schreiben gebraucht
[/EDIT]

Alt 11.03.2009, 19:48   #5
TheFiddler
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



Sorry, handball10, habs restored, und jetzt auch wieder Internetzugang, danke!
Nun besteht immer noch das Problem aus meinem ersten Post.
Ich benutze kein Online-Banking und in ebay hab ich von dem befallenen Rechner nicht eingeloggt.

Hier das neue Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:38, on 11.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\acer\epm\epm-dm.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{067B1E40-5BAC-4D06-879B-0FB4451DB6DD}: NameServer = 85.255.112.193,85.255.112.174
O17 - HKLM\System\CCS\Services\Tcpip\..\{43B7001A-3E8E-4C30-849A-F64E22F8B1BE}: NameServer = 85.255.112.193,85.255.112.174
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.193,85.255.112.174
O17 - HKLM\System\CS1\Services\Tcpip\..\{067B1E40-5BAC-4D06-879B-0FB4451DB6DD}: NameServer = 85.255.112.193,85.255.112.174
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.193,85.255.112.174
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\icf.exe.exe:ext.exe (file missing)
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 5279 bytes



Soll ich den von john.doe empfohlenen "combofix" nun trotzdem durchführen?


Alt 11.03.2009, 19:54   #6
john.doe
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



Nö, ich poste nur, weil ich ja sonst nichts besseres zu tun habe.

ciao, andreas
__________________
--> Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.

Alt 11.03.2009, 20:13   #7
TheFiddler
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



Entschuldige meine Planlosigkeit, John!
Was muss ich jetzt tun? Bin ich jetzt clean?

Hier das Log-File:


ComboFix 09-03-10.03 - Andrea 2009-03-11 21:05:47.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1022.768 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Andrea\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\Andrea\LOKALE~1\Temp\tmp1.tmp
c:\dokume~1\Andrea\LOKALE~1\Temp\tmp2.tmp
c:\windows\system32\drivers\gaopdxxiuyxmftilrlovdkrwkpaswdhabwexvk.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\gaopdxoptmpfulneslbxxyvbnhpfumpixdqwmi.dll
c:\windows\system32\packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys
-------\Legacy_ICF
-------\Service_ICF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2009-02-11 bis 2009-03-11 ))))))))))))))))))))))))))))))
.

2009-03-11 21:09 . 2009-03-11 21:09 <DIR> d--hs---- C:\FOUND.000
2009-03-11 19:44 . 2009-03-11 19:44 34,816 --a------ c:\windows\system32\drivers\gaopdxvimpulqgkoewqbomtkltqylyfyfsgodx.sys
2009-03-11 19:07 . 2009-03-11 19:07 <DIR> d-------- c:\programme\Trend Micro
2009-03-11 18:27 . 2009-03-11 18:27 <DIR> d-------- c:\programme\CCleaner
2009-03-11 00:14 . 2009-03-11 00:14 <DIR> d-------- c:\programme\a-squared Free
2009-03-10 23:54 . 2009-03-10 23:54 <DIR> d-------- c:\programme\Lavasoft
2009-03-10 23:22 . 2009-03-10 23:22 <DIR> d-------- c:\programme\Autorun Eater
2009-03-10 22:53 . 2009-03-10 23:03 34,816 --a------ c:\windows\system32\drivers\gaopdxaukirflngwuhtabeyxmycpkboeitprqx.sys
2009-03-10 22:47 . 2009-03-10 22:47 0 --a------ c:\windows\system32\8104297.jun
2009-03-10 22:46 . 2009-03-10 22:46 <DIR> d-------- c:\programme\Browser Hijack Recover
2009-03-10 22:13 . 2009-03-11 21:04 4 --a------ c:\windows\system32\gaopdxcounter
2009-03-10 21:02 . 2009-03-10 21:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2009-03-10 21:00 . 2009-03-10 21:00 <DIR> d-------- c:\dokumente und einstellungen\Andrea\Anwendungsdaten\DAEMON Tools Pro
2009-03-10 21:00 . 2009-03-10 21:00 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2009-03-08 14:24 . 2009-03-08 14:24 <DIR> d-------- c:\windows\system32\LogFiles
2009-03-08 01:08 . 2009-03-08 01:08 <DIR> d-------- c:\dokumente und einstellungen\Andrea\Anwendungsdaten\OpenOffice.org
2009-03-07 19:03 . 2009-03-07 19:03 <DIR> d-------- C:\Filme Timo
2009-03-05 17:57 . 2004-08-04 05:00 26,496 --a------ c:\windows\system32\dllcache\usbstor.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-19 16:07 --------- d-----w c:\dokumente und einstellungen\Andrea\Anwendungsdaten\AdobeUM
2009-01-06 14:57 499,712 ----a-w c:\windows\system32\msvcp71.dll
2009-01-06 14:57 348,160 ----a-w c:\windows\system32\msvcr71.dll
2008-12-28 13:18 21,840 ----a-w c:\windows\system32\SIntfNT.dll
2008-12-28 13:18 17,212 ----a-w c:\windows\system32\SIntf32.dll
2008-12-28 13:18 12,067 ----a-w c:\windows\system32\SIntf16.dll
2008-12-27 20:47 2,829 ----a-w c:\windows\DIIUnin.pif
2008-12-27 20:47 102,400 ----a-w c:\windows\DIIUnin.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-02-07 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-02-07 126976]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 688218]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PCMService"="c:\programme\Arcade\PCMService.exe" [2005-03-09 49152]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-01-06 185872]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-03-28 188416]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2007-05-11 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2007-05-11 78208]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2007-05-11 7296]
R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2007-05-11 4010]
.
Inhalt des "geplante Tasks" Ordners

2009-03-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
mWindow Title =
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
FF - ProfilePath - c:\dokumente und einstellungen\Andrea\Anwendungsdaten\Mozilla\Firefox\Profiles\6jm0utt4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-11 21:09:49
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]
"imagepath"="\systemroot\system32\drivers\gaopdxefyrxoyoxovkjkdxlvjlqeohddqunmwo.sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]
@DACL=(02 0000)
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=expand:"\\systemroot\\system32\\drivers\\gaopdxefyrxoyoxovkjkdxlvjlqeohddqunmwo.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(968)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\a-squared Free\a2service.exe
c:\acer\eManager\anbmServ.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-11 21:10:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-11 20:10:50

Vor Suchlauf: 18 Verzeichnis(se), 87,099,473,920 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 87,070,441,472 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

150

Alt 11.03.2009, 20:38   #8
john.doe
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



Zitat:
Bin ich jetzt clean?
Nein, noch lange nicht. Seit wann hast du Probleme?
Zitat:
Was muss ich jetzt tun?
Du bekommst schon Anweisungen, immer mit der Ruhe. Alter Mann ist doch kein D-Zug.
Zitat:
Entschuldige meine Planlosigkeit, John!
Kein Problem. Timo oder Andrea?

Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

File::
c:\windows\Tasks\Ad-Aware Update (Weekly).job
c:\windows\system32\drivers\gaopdxvimpulqgkoewqbomtkltqylyfyfsgodx.sys
c:\windows\system32\drivers\gaopdxaukirflngwuhtabeyxmycpkboeitprqx.sys
c:\windows\system32\8104297.jun
c:\windows\system32\gaopdxcounter

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"=-
"MSPY2002"=-
"PHIME2002ASync"=-
"PHIME2002A"=-
"TkBellExe"=-

RegLockDel::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]

DirLook::
C:\FOUND.000
C:\Filme Timo
c:\windows\system32\LogFiles
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.


ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 11.03.2009, 20:47   #9
TheFiddler
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



Ich hab's mit der rechten Maustaste draufgezogen, dann kam "Öffnen mit", ich hoffe es hat geklappt.
Unten die (hoffentlich) neue Log-File:

Völlig verängstigt,
Timo & Andrea



ComboFix 09-03-10.03 - Andrea 2009-03-11 21:42:40.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1022.719 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Andrea\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Andrea\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\system32\8104297.jun
c:\windows\system32\drivers\gaopdxaukirflngwuhtabeyxmycpkboeitprqx.sys
c:\windows\system32\drivers\gaopdxvimpulqgkoewqbomtkltqylyfyfsgodx.sys
c:\windows\system32\gaopdxcounter
c:\windows\Tasks\Ad-Aware Update (Weekly).job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\8104297.jun
c:\windows\system32\drivers\gaopdxaukirflngwuhtabeyxmycpkboeitprqx.sys
c:\windows\system32\drivers\gaopdxvimpulqgkoewqbomtkltqylyfyfsgodx.sys
c:\windows\system32\gaopdxcounter
c:\windows\Tasks\Ad-Aware Update (Weekly).job

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-11 bis 2009-03-11 ))))))))))))))))))))))))))))))
.

2009-03-11 21:09 . 2009-03-11 21:09 <DIR> d--hs---- C:\FOUND.000
2009-03-11 19:07 . 2009-03-11 19:07 <DIR> d-------- c:\programme\Trend Micro
2009-03-11 18:27 . 2009-03-11 18:27 <DIR> d-------- c:\programme\CCleaner
2009-03-11 00:14 . 2009-03-11 00:14 <DIR> d-------- c:\programme\a-squared Free
2009-03-10 23:54 . 2009-03-10 23:54 <DIR> d-------- c:\programme\Lavasoft
2009-03-10 23:22 . 2009-03-10 23:22 <DIR> d-------- c:\programme\Autorun Eater
2009-03-10 22:46 . 2009-03-10 22:46 <DIR> d-------- c:\programme\Browser Hijack Recover
2009-03-10 21:02 . 2009-03-10 21:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2009-03-10 21:00 . 2009-03-10 21:00 <DIR> d-------- c:\dokumente und einstellungen\Andrea\Anwendungsdaten\DAEMON Tools Pro
2009-03-10 21:00 . 2009-03-10 21:00 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2009-03-08 14:24 . 2009-03-08 14:24 <DIR> d-------- c:\windows\system32\LogFiles
2009-03-08 01:08 . 2009-03-08 01:08 <DIR> d-------- c:\dokumente und einstellungen\Andrea\Anwendungsdaten\OpenOffice.org
2009-03-07 19:03 . 2009-03-07 19:03 <DIR> d-------- C:\Filme Timo
2009-03-05 17:57 . 2004-08-04 05:00 26,496 --a------ c:\windows\system32\dllcache\usbstor.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-19 16:07 --------- d-----w c:\dokumente und einstellungen\Andrea\Anwendungsdaten\AdobeUM
2009-01-06 14:57 499,712 ----a-w c:\windows\system32\msvcp71.dll
2009-01-06 14:57 348,160 ----a-w c:\windows\system32\msvcr71.dll
2008-12-28 13:18 21,840 ----a-w c:\windows\system32\SIntfNT.dll
2008-12-28 13:18 17,212 ----a-w c:\windows\system32\SIntf32.dll
2008-12-28 13:18 12,067 ----a-w c:\windows\system32\SIntf16.dll
2008-12-27 20:47 2,829 ----a-w c:\windows\DIIUnin.pif
2008-12-27 20:47 102,400 ----a-w c:\windows\DIIUnin.exe
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Filme Timo ----

2008-10-24 16:53 731340800 --a------ c:\filme timo\Willkommen.bei.den.Schtis.DVDSCR.MD.German.XViD-NTG\ntg-schtis_xvid.avi
2008-09-04 11:03 8460 --a------ c:\filme timo\The.Dark.Knight.DVDSCREENER.Line.Dubbed.German.XviD-VCF\vcf-dark.nfo
2008-09-03 21:38 732327936 --a------ c:\filme timo\The.Dark.Knight.DVDSCREENER.Line.Dubbed.German.XviD-VCF\vcf-dark-b.avi
2008-09-03 21:37 735055872 --a------ c:\filme timo\The.Dark.Knight.DVDSCREENER.Line.Dubbed.German.XviD-VCF\vcf-dark-a.avi
2007-10-14 01:29 626200576 --a------ c:\filme timo\Ratatouille.DVDRip.Line.Dubbed.German.iNTERNAL.XviD-VCF\vcf-rat_b.avi
2007-10-14 01:10 627058688 --a------ c:\filme timo\Ratatouille.DVDRip.Line.Dubbed.German.iNTERNAL.XviD-VCF\vcf-rat_a.avi

---- Directory of C:\FOUND.000 ----

2009-03-11 21:09 65536 --------- c:\found.000\FILE0028.CHK
2009-03-11 21:09 65536 --------- c:\found.000\FILE0002.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0029.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0027.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0025.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0024.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0023.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0022.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0021.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0020.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0019.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0018.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0017.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0016.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0015.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0014.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0013.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0012.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0011.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0010.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0009.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0008.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0007.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0006.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0005.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0004.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0003.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0001.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0000.CHK
2009-03-11 21:09 163840 --------- c:\found.000\FILE0026.CHK

---- Directory of c:\windows\system32\LogFiles ----



(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-02-07 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-02-07 126976]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 688218]
"PCMService"="c:\programme\Arcade\PCMService.exe" [2005-03-09 49152]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-03-28 188416]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2007-05-11 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2007-05-11 78208]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2007-05-11 7296]
R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2007-05-11 4010]
.
.
------- Zusätzlicher Suchlauf -------
.
mWindow Title =
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
FF - ProfilePath - c:\dokumente und einstellungen\Andrea\Anwendungsdaten\Mozilla\Firefox\Profiles\6jm0utt4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-11 21:44:31
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(904)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\programme\INTEL\WIRELESS\BIN\EVTENG.EXE
c:\programme\INTEL\WIRELESS\BIN\S24EVMON.EXE
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\programme\A-SQUARED FREE\A2SERVICE.EXE
c:\acer\EMANAGER\ANBMSERV.EXE
c:\programme\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE
c:\programme\INTEL\WIRELESS\BIN\REGSRVC.EXE
c:\windows\SYSTEM32\WDFMGR.EXE
c:\windows\SYSTEM32\WSCNTFY.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-11 21:45:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-11 20:45:26
ComboFix2.txt 2009-03-11 20:10:52

Vor Suchlauf: 18 Verzeichnis(se), 87.052.255.232 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 87,038,820,352 Bytes frei

161

Alt 11.03.2009, 21:00   #10
john.doe
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



1.) Deinstalliere:
  • AdAware
  • A-Squared
  • Autorun Eater
  • Browser Hijack Recover

2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
c:\windows\system32\drivers\osaio.sys
c:\windows\system32\drivers\osanbm.sys
         
Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 11.03.2009, 21:29   #11
TheFiddler
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



Ok, zuerst zur osaio.sys:

existiert einmal in: C:\WINDOWS\system32\drivers

Datei osaio.sys empfangen 2009.03.11 22:15:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 44 und 63 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.11 -
AhnLab-V3 5.0.0.2 2009.03.11 -
AntiVir 7.9.0.109 2009.03.11 -
Authentium 5.1.0.4 2009.03.11 -
Avast 4.8.1335.0 2009.03.11 -
AVG 8.0.0.237 2009.03.11 -
BitDefender 7.2 2009.03.11 -
CAT-QuickHeal 10.00 2009.03.11 -
ClamAV 0.94.1 2009.03.11 -
Comodo 1049 2009.03.11 -
DrWeb 4.44.0.09170 2009.03.11 -
eSafe 7.0.17.0 2009.03.11 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.11 -
F-Secure 8.0.14470.0 2009.03.11 -
Fortinet 3.117.0.0 2009.03.11 -
GData 19 2009.03.11 -
Ikarus T3.1.1.45.0 2009.03.11 -
K7AntiVirus 7.10.667 2009.03.11 -
Kaspersky 7.0.0.125 2009.03.11 -
McAfee 5550 2009.03.11 -
McAfee+Artemis 5550 2009.03.11 -
Microsoft 1.4405 2009.03.11 -
NOD32 3928 2009.03.11 -
Norman 6.00.06 2009.03.11 -
nProtect 2009.1.8.0 2009.03.11 -
Panda 10.0.0.10 2009.03.11 -
PCTools 4.4.2.0 2009.03.11 -
Prevx1 V2 2009.03.11 -
Rising 21.20.22.00 2009.03.11 -
SecureWeb-Gateway 6.7.6 2009.03.11 -
Sophos 4.39.0 2009.03.11 -
Sunbelt 3.2.1858.2 2009.03.11 -
Symantec 1.4.4.12 2009.03.11 -
TheHacker 6.3.3.0.279 2009.03.11 -
TrendMicro 8.700.0.1004 2009.03.11 -
VBA32 3.12.10.1 2009.03.11 -
ViRobot 2009.3.11.1645 2009.03.11 -
VirusBuster 4.5.11.0 2009.03.11 -
weitere Informationen
File size: 7296 bytes
MD5...: 9d1177c2a8de936b33d85ff75e8cbf1a
SHA1..: 78b5669f240d58d74f75e44f03c71ea4641dd102
SHA256: 82525e25441c4f3a3de6a8d2dfd6121592c25a99a9e506f05f158cdc3c17ab51
SHA512: ae5d8960fc47dd2c3a29d81ee8021e5ace27ea87017caf96affc9c6b541425e7
c1ce4f2c632f162520572d8d383418a37c7407db5d25845df52c64c3099b16e5
ssdeep: 96:I44YafOGpje9XUnHCQVlLfIvffhd1BSuacMBaVofLQqQUXU:8YdGpPnHfVVfI
vf5pSuYOMU
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.4%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
VXD Driver (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11a4
timedatestamp.....: 0x42c39636 (Thu Jun 30 06:50:30 2005)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0xe18 0xe80 6.28 135a69427eebb8c495baf0a99f32d550
.rdata 0x1300 0x144 0x180 3.19 f1b4852992923c814442a78afb95d6f5
.data 0x1480 0x4 0x80 0.26 8a65a8f2c1c961d9edecdac3bad497bb
INIT 0x1500 0x220 0x280 4.51 d4e690a132508388d8cd611730313d2e
.rsrc 0x1780 0x3e8 0x400 3.39 7f2190aca05c54aec10c5b7d00876a4b
.reloc 0x1b80 0x9e 0x100 3.08 1ac1ab98e222210237b2aaa2bfaa857c

( 2 imports )
> ntoskrnl.exe: IoDeleteDevice, IoDeleteSymbolicLink, RtlInitUnicodeString, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, ExAllocatePoolWithTag, ExFreePool, _except_handler3, strncmp, MmUnmapIoSpace, KeInitializeSpinLock, MmMapIoSpace
> HAL.dll: KfReleaseSpinLock, KeStallExecutionProcessor, WRITE_PORT_UCHAR, READ_PORT_UCHAR, HalGetBusData, KfAcquireSpinLock

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9d1177c2a8de936b33d85ff75e8cbf1a' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9d1177c2a8de936b33d85ff75e8cbf1a</a>




dann noch einmal in: C:\Acer\eManager

Datei osaio.sys empfangen 2009.03.11 22:12:57 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.11 -
AhnLab-V3 5.0.0.2 2009.03.11 -
AntiVir 7.9.0.109 2009.03.11 -
Authentium 5.1.0.4 2009.03.11 -
Avast 4.8.1335.0 2009.03.11 -
AVG 8.0.0.237 2009.03.11 -
BitDefender 7.2 2009.03.11 -
CAT-QuickHeal 10.00 2009.03.11 -
ClamAV 0.94.1 2009.03.11 -
Comodo 1049 2009.03.11 -
DrWeb 4.44.0.09170 2009.03.11 -
eSafe 7.0.17.0 2009.03.11 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.11 -
F-Secure 8.0.14470.0 2009.03.11 -
Fortinet 3.117.0.0 2009.03.11 -
GData 19 2009.03.11 -
Ikarus T3.1.1.45.0 2009.03.11 -
K7AntiVirus 7.10.667 2009.03.11 -
Kaspersky 7.0.0.125 2009.03.11 -
McAfee 5550 2009.03.11 -
McAfee+Artemis 5550 2009.03.11 -
Microsoft 1.4405 2009.03.11 -
NOD32 3928 2009.03.11 -
Norman 6.00.06 2009.03.11 -
nProtect 2009.1.8.0 2009.03.11 -
Panda 10.0.0.10 2009.03.11 -
PCTools 4.4.2.0 2009.03.11 -
Prevx1 V2 2009.03.11 -
Rising 21.20.22.00 2009.03.11 -
SecureWeb-Gateway 6.7.6 2009.03.11 -
Sophos 4.39.0 2009.03.11 -
Sunbelt 3.2.1858.2 2009.03.11 -
Symantec 1.4.4.12 2009.03.11 -
TheHacker 6.3.3.0.279 2009.03.11 -
TrendMicro 8.700.0.1004 2009.03.11 -
VBA32 3.12.10.1 2009.03.11 -
ViRobot 2009.3.11.1645 2009.03.11 -
VirusBuster 4.5.11.0 2009.03.11 -
weitere Informationen
File size: 7296 bytes
MD5...: 9d1177c2a8de936b33d85ff75e8cbf1a
SHA1..: 78b5669f240d58d74f75e44f03c71ea4641dd102
SHA256: 82525e25441c4f3a3de6a8d2dfd6121592c25a99a9e506f05f158cdc3c17ab51
SHA512: ae5d8960fc47dd2c3a29d81ee8021e5ace27ea87017caf96affc9c6b541425e7
c1ce4f2c632f162520572d8d383418a37c7407db5d25845df52c64c3099b16e5
ssdeep: 96:I44YafOGpje9XUnHCQVlLfIvffhd1BSuacMBaVofLQqQUXU:8YdGpPnHfVVfI
vf5pSuYOMU
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.4%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
VXD Driver (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11a4
timedatestamp.....: 0x42c39636 (Thu Jun 30 06:50:30 2005)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0xe18 0xe80 6.28 135a69427eebb8c495baf0a99f32d550
.rdata 0x1300 0x144 0x180 3.19 f1b4852992923c814442a78afb95d6f5
.data 0x1480 0x4 0x80 0.26 8a65a8f2c1c961d9edecdac3bad497bb
INIT 0x1500 0x220 0x280 4.51 d4e690a132508388d8cd611730313d2e
.rsrc 0x1780 0x3e8 0x400 3.39 7f2190aca05c54aec10c5b7d00876a4b
.reloc 0x1b80 0x9e 0x100 3.08 1ac1ab98e222210237b2aaa2bfaa857c

( 2 imports )
> ntoskrnl.exe: IoDeleteDevice, IoDeleteSymbolicLink, RtlInitUnicodeString, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, ExAllocatePoolWithTag, ExFreePool, _except_handler3, strncmp, MmUnmapIoSpace, KeInitializeSpinLock, MmMapIoSpace
> HAL.dll: KfReleaseSpinLock, KeStallExecutionProcessor, WRITE_PORT_UCHAR, READ_PORT_UCHAR, HalGetBusData, KfAcquireSpinLock

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9d1177c2a8de936b33d85ff75e8cbf1a' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9d1177c2a8de936b33d85ff75e8cbf1a</a>




Jetzt zur osanbm.sys, existiert einmal in: C:\WINDOWS\system32\drivers

Datei osanbm.sys empfangen 2009.03.11 22:21:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.11 -
AhnLab-V3 5.0.0.2 2009.03.11 -
AntiVir 7.9.0.109 2009.03.11 -
Authentium 5.1.0.4 2009.03.11 -
Avast 4.8.1335.0 2009.03.11 -
AVG 8.0.0.237 2009.03.11 -
BitDefender 7.2 2009.03.11 -
CAT-QuickHeal 10.00 2009.03.11 -
ClamAV 0.94.1 2009.03.11 -
Comodo 1049 2009.03.11 -
DrWeb 4.44.0.09170 2009.03.11 -
eSafe 7.0.17.0 2009.03.11 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.11 -
F-Secure 8.0.14470.0 2009.03.11 -
Fortinet 3.117.0.0 2009.03.11 -
GData 19 2009.03.11 -
Ikarus T3.1.1.45.0 2009.03.11 -
K7AntiVirus 7.10.667 2009.03.11 -
Kaspersky 7.0.0.125 2009.03.11 -
McAfee 5550 2009.03.11 -
McAfee+Artemis 5550 2009.03.11 -
Microsoft 1.4405 2009.03.11 -
NOD32 3928 2009.03.11 -
Norman 6.00.06 2009.03.11 -
nProtect 2009.1.8.0 2009.03.11 -
Panda 10.0.0.10 2009.03.11 -
PCTools 4.4.2.0 2009.03.11 -
Prevx1 V2 2009.03.11 -
Rising 21.20.22.00 2009.03.11 -
SecureWeb-Gateway 6.7.6 2009.03.11 -
Sophos 4.39.0 2009.03.11 -
Sunbelt 3.2.1858.2 2009.03.11 -
Symantec 1.4.4.12 2009.03.11 -
TheHacker 6.3.3.0.279 2009.03.11 -
TrendMicro 8.700.0.1004 2009.03.11 -
VBA32 3.12.10.1 2009.03.11 -
ViRobot 2009.3.11.1645 2009.03.11 -
VirusBuster 4.5.11.0 2009.03.11 -
weitere Informationen
File size: 4010 bytes
MD5...: 3245bee5176697faf0744a2e1288dc77
SHA1..: 9879330af12e858665ab90b20356e67ee46ac90d
SHA256: 8b043a0b5b6ae88f04e1c5ff59f81eaa7469f2d467db09d81747ccc8799837fa
SHA512: faf3428aa80ad38f8e67d162465b4d19b7c582cf0300a379ac2640f9d13e0756
0074f8c69579966a76e4a2fd3c84e150300e036222e99b050236acc434b43d28
ssdeep: 96:EvUFKVq/4lEWcOz8G5Ig0kbbZL72fOOcxl:73xuz8GJbR722OUl
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x306
timedatestamp.....: 0x41e76190 (Fri Jan 14 06:07:12 2005)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2c0 0x4f6 0x500 6.23 18e3eef8f2eb120cb7da3869926e51b5
.rdata 0x7c0 0x84 0xa0 2.12 c15b68261e7949927a81b545d59c4387
.data 0x860 0x8 0x20 0.00 70bc8f4b72a86921468bf8e8441dce51
INIT 0x880 0x126 0x140 4.34 96cf43d8468eab73a66dc197f54de76a
.rsrc 0x9c0 0x3a0 0x3a0 3.37 bc21f3877fd5e638c24c4ac0a530d05f
.reloc 0xd60 0x5c 0x60 3.94 98e5b3161bdf5db6ebce8fb48c8678f4

( 1 imports )
> ntoskrnl.exe: DbgPrint, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, MmUnmapIoSpace, RtlCompareMemory, MmMapIoSpace

( 0 exports )




und noch einmal in: C:\Acer\eManager

Datei osanbm.sys empfangen 2009.03.11 22:23:03 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 44 und 63 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.11 -
AhnLab-V3 5.0.0.2 2009.03.11 -
AntiVir 7.9.0.109 2009.03.11 -
Authentium 5.1.0.4 2009.03.11 -
Avast 4.8.1335.0 2009.03.11 -
AVG 8.0.0.237 2009.03.11 -
BitDefender 7.2 2009.03.11 -
CAT-QuickHeal 10.00 2009.03.11 -
ClamAV 0.94.1 2009.03.11 -
Comodo 1049 2009.03.11 -
DrWeb 4.44.0.09170 2009.03.11 -
eSafe 7.0.17.0 2009.03.11 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.11 -
F-Secure 8.0.14470.0 2009.03.11 -
Fortinet 3.117.0.0 2009.03.11 -
GData 19 2009.03.11 -
Ikarus T3.1.1.45.0 2009.03.11 -
K7AntiVirus 7.10.667 2009.03.11 -
Kaspersky 7.0.0.125 2009.03.11 -
McAfee 5550 2009.03.11 -
McAfee+Artemis 5550 2009.03.11 -
Microsoft 1.4405 2009.03.11 -
NOD32 3928 2009.03.11 -
Norman 6.00.06 2009.03.11 -
nProtect 2009.1.8.0 2009.03.11 -
Panda 10.0.0.10 2009.03.11 -
PCTools 4.4.2.0 2009.03.11 -
Prevx1 V2 2009.03.11 -
Rising 21.20.22.00 2009.03.11 -
SecureWeb-Gateway 6.7.6 2009.03.11 -
Sophos 4.39.0 2009.03.11 -
Sunbelt 3.2.1858.2 2009.03.11 -
Symantec 1.4.4.12 2009.03.11 -
TheHacker 6.3.3.0.279 2009.03.11 -
TrendMicro 8.700.0.1004 2009.03.11 -
VBA32 3.12.10.1 2009.03.11 -
ViRobot 2009.3.11.1645 2009.03.11 -
VirusBuster 4.5.11.0 2009.03.11 -
weitere Informationen
File size: 4010 bytes
MD5...: 3245bee5176697faf0744a2e1288dc77
SHA1..: 9879330af12e858665ab90b20356e67ee46ac90d
SHA256: 8b043a0b5b6ae88f04e1c5ff59f81eaa7469f2d467db09d81747ccc8799837fa
SHA512: faf3428aa80ad38f8e67d162465b4d19b7c582cf0300a379ac2640f9d13e0756
0074f8c69579966a76e4a2fd3c84e150300e036222e99b050236acc434b43d28
ssdeep: 96:EvUFKVq/4lEWcOz8G5Ig0kbbZL72fOOcxl:73xuz8GJbR722OUl
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x306
timedatestamp.....: 0x41e76190 (Fri Jan 14 06:07:12 2005)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2c0 0x4f6 0x500 6.23 18e3eef8f2eb120cb7da3869926e51b5
.rdata 0x7c0 0x84 0xa0 2.12 c15b68261e7949927a81b545d59c4387
.data 0x860 0x8 0x20 0.00 70bc8f4b72a86921468bf8e8441dce51
INIT 0x880 0x126 0x140 4.34 96cf43d8468eab73a66dc197f54de76a
.rsrc 0x9c0 0x3a0 0x3a0 3.37 bc21f3877fd5e638c24c4ac0a530d05f
.reloc 0xd60 0x5c 0x60 3.94 98e5b3161bdf5db6ebce8fb48c8678f4

( 1 imports )
> ntoskrnl.exe: DbgPrint, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, MmUnmapIoSpace, RtlCompareMemory, MmMapIoSpace

( 0 exports )





ein dickes Danke für deine Mühen!

Timo & Andrea

Alt 11.03.2009, 21:51   #12
john.doe
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



OK. Das sieht doch schon viel freundlicher aus.

1.) Start => Ausführen => combofix /u => OK
2.) Die Liste abarbeiten, die unter Punkt 2 zu finden ist:
http://www.trojaner-board.de/69886-a...-beachten.html
3.) SuperAntiSpyware laufen lassen und Log posten. Den abgesicherten Modus kannst du dir sparen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 12.03.2009, 00:31   #13
TheFiddler
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



Ok, es hat ewig gedauert, aber hier meine Logs:


Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1837
Windows 5.1.2600 Service Pack 2

11.03.2009 23:20:01
mbam-log-2009-03-11 (23-20-01).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 134831
Laufzeit: 15 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)











Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:45, on 11.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 4056 bytes









Acer eManager for Notebook
Acer eNetManagement
Acer ePowerManagement
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 6.0
Arcade 3.0
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
CCleaner (remove only)
Conexant AC-Link Audio
Diablo II
HijackThis 2.0.2
ICQ6.5
Intel(R) PROSet/Wireless Software
IrfanView (remove only)
Malwarebytes' Anti-Malware
mCore
mMHouse
Mozilla Firefox (3.0.7)
mPfMgr
mProSafe
MSXML 4.0 SP2 (KB925672)
mWlsSafe
OpenOffice.org 3.0
PowerProducer
RealPlayer
SoftV92 Data Fax Modem with SmartCP
Synaptics Pointing Device Driver
Texas Instruments PCIxx21/x515 drivers.
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
VLC media player 0.9.8a
WIDCOMM Bluetooth Software
Winamp
Windows Driver Package - Intel (NETw5x32) net (11/17/2008 12.2.0.11)
Windows Driver Package - Intel (w29n51) net (12/19/2007 9.0.4.39)
Windows Media Format Runtime




SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/12/2009 at 01:22 AM

Application Version : 4.25.1014

Core Rules Database Version : 3792
Trace Rules Database Version: 1748

Scan type : Complete Scan
Total Scan Time : 01:50:41

Memory items scanned : 384
Memory threats detected : 0
Registry items scanned : 3367
Registry threats detected : 0
File items scanned : 74869
File threats detected : 0





Sieht gut aus, oder? Vielen vielen Dank, John!
Oder muss ich noch irgendetwas tun?

Gute Nacht
Timo & Andrea

Alt 12.03.2009, 16:14   #14
john.doe
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



Zitat:
Sieht gut aus, oder?
Ja. Ich wäre aber nicht ich, wenn ich nicht noch irgendetwas zum Rumnörgeln finden würde.

1.) Deinstalliere alle Programme, die wir eingesetzt haben (MalwareBytes kannst du behalten).
2.) Deinstalliere Acrobat Reader (hoffnungslos veraltet)
3.) Installiere (Toolbars immer abwählen, Haken weg):4.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
         
Danach bist du und deine Freundin entlassen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 12.03.2009, 20:43   #15
TheFiddler
 
Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Standard

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.



Hey John,

hab alles gemacht, was du geschrieben hast!

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
war nicht mehr dabei, dafür hatte ich:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
zweimal ô_Ô

Vielen vielen Dank nochmal!

Timo & Andrea

Antwort

Themen zu Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.
.com, bluescree, browser, einloggen, error, explorer, fehler, festplatte, firefox, hijack, hkus\s-1-5-18, home, icq, internet explorer, keine internetverbindung, microsoft, monitor, mozilla, nicht gefunden, notebook, problem, programme, seiten, suche, system, trojaner, windows, windows xp



Ähnliche Themen: Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.


  1. Böser Trojaner ? (Kein zugriff mehr auf System32 )
    Plagegeister aller Art und deren Bekämpfung - 04.12.2014 (16)
  2. Trojaner? Bildschirm schwarz-kein Zugriff.
    Plagegeister aller Art und deren Bekämpfung - 19.06.2013 (2)
  3. GVU Trojaner, kein Zugriff, OTL Scan vorhanden
    Plagegeister aller Art und deren Bekämpfung - 24.05.2013 (15)
  4. GVU Trojaner kein Zugriff via Abgesicherter Modus
    Plagegeister aller Art und deren Bekämpfung - 17.05.2013 (15)
  5. FBI Moneypack Virus/Trojaner - kein Zugriff
    Plagegeister aller Art und deren Bekämpfung - 09.05.2013 (4)
  6. GVU Trojaner und kein Windows Zugriff
    Plagegeister aller Art und deren Bekämpfung - 13.04.2013 (2)
  7. GVU Trojaner und kein Zugriff auf abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 04.03.2013 (12)
  8. GVU Trojaner, kein Zugriff mehr möglich
    Log-Analyse und Auswertung - 19.02.2013 (5)
  9. GVU Trojaner - kein Zugriff auf Win7 möglich
    Plagegeister aller Art und deren Bekämpfung - 24.01.2013 (19)
  10. Trojaner in Index.php Datei - Kein Zugriff auf Website
    Plagegeister aller Art und deren Bekämpfung - 13.11.2012 (0)
  11. AKM 50€ Trojaner Win 7, kein Zugriff auf Computer, OTL bei
    Log-Analyse und Auswertung - 23.09.2012 (1)
  12. Gema Trojaner, Win 7, kein Zugriff (Build7601, SP1)
    Plagegeister aller Art und deren Bekämpfung - 05.09.2012 (11)
  13. Ukash Trojaner und kein zugriff auf System
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (1)
  14. (2x) GEMA-Trojaner, kein Zugriff möglich, kein Laufwerk vorhanden
    Mülltonne - 25.03.2012 (1)
  15. BKA Trojaner, kein zugriff auf desktop.
    Plagegeister aller Art und deren Bekämpfung - 22.04.2011 (4)
  16. Trojaner auf dem PC, aber kein Zugriff um ihn zu löschen/entfernen?
    Plagegeister aller Art und deren Bekämpfung - 04.06.2010 (2)
  17. Kein Zugriff auf Festplatten, Trojaner ?
    Log-Analyse und Auswertung - 15.01.2009 (0)

Zum Thema Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. - Hallo liebe Community, hab mir gestern wohl ein Trojaner/Virus/o.ä. eingefangen. Angefangen hat es damit, dass ich keinen Zugriff mehr auf C: bekam: "RECYCLER\S-2-8-25-100022654-100031522-100016613-1419.com" konnte nicht gefunden werden. Stellen Sie sicher, - Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc....
Archiv
Du betrachtest: Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.