Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Kann nur noch im abgesicerten Modus starten

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 18.03.2009, 19:10   #16
chris199
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Hallo,

er arbeitet noch, bisher hat er aber noch gar nicht so viel gefunden, das Log ist noch nicht so lang.

Ich habe alles angeklickt, deshalb braucht er scheinbar so lange, zur Zeit ist er bei den Files.

Christian

Alt 18.03.2009, 20:32   #17
Redwulf
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



kein Problem...
__________________

__________________

Alt 18.03.2009, 20:38   #18
chris199
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Hallo,

er ist endlich fertig.
Anbei das Log als Datei. Christian
__________________

Geändert von chris199 (18.03.2009 um 20:46 Uhr)

Alt 18.03.2009, 20:46   #19
chris199
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Teil I
Code:
ATTFilter
GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-18 20:30:45
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

INT 0x06        \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)  A7EF016D
INT 0x0E        \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)  A7EEFFC2

Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwCreateFile [0xA84849CA]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwCreateKey [0xA8484A61]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwCreateProcess [0xA8484978]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwCreateProcessEx [0xA848498C]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwDeleteKey [0xA8484A75]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwDeleteValueKey [0xA8484AA1]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwEnumerateKey [0xA8484B17]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwEnumerateValueKey [0xA8484AFC]
Code            8ADBB978                                                                                                         ZwFlushInstructionCache
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwMapViewOfSection [0xA8484A0A]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwNotifyChangeKey [0xA8484B41]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwOpenKey [0xA8484A4D]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwOpenProcess [0xA8484950]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwOpenThread [0xA8484964]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwProtectVirtualMemory [0xA84849DE]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwQueryKey [0xA8484B7D]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwQueryMultipleValueKey [0xA8484AE6]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwQueryValueKey [0xA8484AD2]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwRenameKey [0xA8484A8B]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwReplaceKey [0xA8484B69]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwRestoreKey [0xA8484B55]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwSetContextThread [0xA84849B6]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwSetInformationProcess [0xA84849A2]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwSetValueKey [0xA8484AB7]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwTerminateProcess [0xA8484A39]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwUnloadKey [0xA8484B2B]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwUnmapViewOfSection [0xA8484A20]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     ZwYieldExecution [0xA84849F4]
Code            8ADB48B6                                                                                                         IofCallDriver
Code            8ADB200E                                                                                                         IofCompleteRequest
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     NtCreateFile
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     NtMapViewOfSection
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     NtOpenProcess
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     NtOpenThread
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                     NtSetInformationProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!IofCallDriver                                                                                       804EF1A6 5 Bytes  JMP 8ADB48BB 
.text           ntkrnlpa.exe!IofCompleteRequest                                                                                  804EF236 5 Bytes  JMP 8ADB2013 
.text           ntkrnlpa.exe!ZwYieldExecution                                                                                    80504AE8 7 Bytes  JMP A84849F8 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtCreateFile                                                                                        80579084 5 Bytes  JMP A84849CE \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtMapViewOfSection                                                                                  805B2006 7 Bytes  JMP A8484A0E \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwUnmapViewOfSection                                                                                805B2E14 5 Bytes  JMP A8484A24 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                                             805B6812 5 Bytes  JMP 8ADBB97C 
PAGE            ntkrnlpa.exe!ZwProtectVirtualMemory                                                                              805B83E6 7 Bytes  JMP A84849E2 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenProcess                                                                                       805CB408 5 Bytes  JMP A8484954 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenThread                                                                                        805CB694 5 Bytes  JMP A8484968 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtSetInformationProcess                                                                             805CDE52 5 Bytes  JMP A84849A6 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcessEx                                                                                   805D1142 7 Bytes  JMP A8484990 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcess                                                                                     805D11F8 5 Bytes  JMP A848497C \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwSetContextThread                                                                                  805D1702 5 Bytes  JMP A84849BA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwTerminateProcess                                                                                  805D29AA 5 Bytes  JMP A8484A3D \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwQueryValueKey                                                                                     806219CA 5 Bytes  JMP A8484AD6 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwSetValueKey                                                                                       80621D18 7 Bytes  JMP A8484ABB \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwUnloadKey                                                                                         80622042 7 Bytes  JMP A8484B2F \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwQueryMultipleValueKey                                                                             806228E0 7 Bytes  JMP A8484AEA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwRenameKey                                                                                         806231B4 7 Bytes  JMP A8484A8F \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateKey                                                                                         80623792 5 Bytes  JMP A8484A65 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwDeleteKey                                                                                         80623C22 7 Bytes  JMP A8484A79 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwDeleteValueKey                                                                                    80623DF2 7 Bytes  JMP A8484AA5 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                                                      80623FD2 5 Bytes  JMP A8484B1B \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwEnumerateValueKey                                                                                 8062423C 7 Bytes  JMP A8484B00 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwOpenKey                                                                                           80624B64 5 Bytes  JMP A8484A51 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwQueryKey                                                                                          80624E8A 7 Bytes  JMP A8484B81 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwRestoreKey                                                                                        8062514A 5 Bytes  JMP A8484B59 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwReplaceKey                                                                                        8062583E 5 Bytes  JMP A8484B6D \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwNotifyChangeKey                                                                                   80625958 5 Bytes  JMP A8484B45 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
.reloc          C:\WINDOWS\system32\ntkrnlpa.exe
         

Alt 18.03.2009, 20:48   #20
chris199
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Teil II

[CODE][---- User code sections - GMER 1.0.15 ----

.text c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[416] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 0041BF60 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[416] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 0041BFE0 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00D10000
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00D10084
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00D10F8F
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00D10069
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00D10058
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00D10FC0
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00D100A6
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00D10F6A
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00D100E6
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00D10F4D
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 00D10F3C
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 00D10047
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 00D10FE5
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 00D10095
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 00D10036
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 00D1001B
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 00D100CB
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 00D00025
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 00D00F97
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00D00FD4
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 00D00FE5
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00D00FA8
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00D00000
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegCreateKeyW 77DCBA25 5 Bytes JMP 00D00040
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 00D00FC3
.text C:\WINDOWS\system32\svchost.exe[772] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00CF003D
.text C:\WINDOWS\system32\svchost.exe[772] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00CF0022
.text C:\WINDOWS\system32\svchost.exe[772] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00CF0FC3
.text C:\WINDOWS\system32\svchost.exe[772] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00CF0FEF
.text C:\WINDOWS\system32\svchost.exe[772] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00CF0FB2
.text C:\WINDOWS\system32\svchost.exe[772] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00CF0FDE
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 0007000A
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00070F70
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00070F81
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0007005B
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00070F9E
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00070FD4
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00070F27
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00070F38
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00070ECC
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00070EF1
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 00070EBB
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 00070FB9
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 00070FEF
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 00070F55
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 00070040
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 00070025
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 00070F0C
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 0006001B
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 00060F72
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00060FD4
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 0006000A
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00060F83
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00060FE5
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegCreateKeyW 77DCBA25 2 Bytes JMP 00060F9E
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA28 2 Bytes [29, 88]
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 00060FAF
.text C:\WINDOWS\system32\services.exe[1048] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00050042
.text C:\WINDOWS\system32\services.exe[1048] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00050FB7
.text C:\WINDOWS\system32\services.exe[1048] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 0005000C
.text C:\WINDOWS\system32\services.exe[1048] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00050FEF
.text C:\WINDOWS\system32\services.exe[1048] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00050027
.text C:\WINDOWS\system32\services.exe[1048] msvcrt.dll!_wopen /CODE]


Geändert von chris199 (18.03.2009 um 21:13 Uhr)

Alt 18.03.2009, 21:48   #21
Redwulf
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
__________________
--> Kann nur noch im abgesicerten Modus starten

Alt 18.03.2009, 21:51   #22
chris199
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Hallo,

anbei ein Link:

http://www.file-upload.net/download-1535624/gmer.txt.log.html

Gib bitte Bescheid ob die Datei lesbar ist.

Danke Christian

Alt 18.03.2009, 22:14   #23
Redwulf
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Zitat:
Zitat von chris199 Beitrag anzeigen
Hallo,

anbei ein Link:

http://www.file-upload.net/download-1535624/gmer.txt.log.html

Gib bitte Bescheid ob die Datei lesbar ist.

Danke Christian
Nöö, geht nicht..hier die Fehlermeldung

Warning: mysql_connect() [function.mysql-connect]: Lost connection to MySQL server at 'reading authorization packet', system error: 0 in /home/www/www12/html/con.inc.php on line 7
Lost connection to MySQL server at 'reading authorization packet', system error: 0


Speicher das log einfach als Text datei ab [Gmer.txt] und lad sie nochmal hoch.......
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 18.03.2009, 22:25   #24
Redwulf
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Ok ich sehs jetzt......danke myrtille

Chris lad schon mal den Avenger.....komme gleich wieder, muss was basteln


Edit:
Habs identifiziert...bin grad am Script für Avenger
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Geändert von Redwulf (18.03.2009 um 22:32 Uhr)

Alt 18.03.2009, 22:41   #25
Redwulf
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



So nun kanns losgehen:

Lade nun Avenger und kopiere den text der Codebox in das Scriptfeld des Avenger. Achte darauf das zwischen den Buchstaben keine Lücke entsteht, dass passiert manchmal bei kopieren und einfügen von texten aus einer Codebox. es muss nachher genauso wie in der Codebox dort stehen....

Code:
ATTFilter
Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxbgijxmpjwsrsipxfmqpfuwyksdpqquba.sys
C:\WINDOWS\system32\gaopdxibrqtenpofybwudgnbiwulmqbwultpwe.dll
C:\WINDOWS\system32\gaopdxcounter
         
Danach auf Execute. Avenger fängt an zu arbeiten und bootet dein system unter Umständen mehrmals. Das sieht wild aus, aber keine Sorge, lass Avenger machen. Zum Abschluß fährt dein system wieder hoch.Das Logfile findest du unter C:\avenger.txt
Poste das bitte hier

Hiernach sollte es deinem System merklich besser gehen. Mache nun deine Malwarebytes und McAffee updates. es kann auch sein, dass dein AV bereits jetzt Viren anzeigt...lass sie löschen.
Weiteres nach dem Avenger Logfile
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Geändert von Redwulf (18.03.2009 um 22:54 Uhr) Grund: Schreibfälhla

Alt 19.03.2009, 00:59   #26
Redwulf
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Zitat:
Zitat von Redwulf Beitrag anzeigen
Hiernach sollte es deinem System merklich besser gehen.
Damit kein Missverständnis aufkommt, wir sind damit noch nicht am Ende...
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 19.03.2009, 10:54   #27
chris199
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Bin wieder da und werde mir den Avenger runterladen.

Musste mich gestern noch um die Familie kümmern.

Bin wieder im abgesicherten Modus.

Christian

Alt 19.03.2009, 11:19   #28
Redwulf
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Läuft der normale Boot nicht?
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 19.03.2009, 11:27   #29
chris199
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Hallo,

gute Nachrichten, bin seid 10 min. im Normalmodus und kann auch wieder im Normalmodus surfen. Habe endlich wieder ein normales Bild.
Im Abgesicherten Modus ist das arbeiten manchmal etwas schwer.

McAfee holt sich gerade ein Update, werde gleich einen Scan durchführen, oder soll ich erst Malware durchführen??

Christian


Das Log:

Code:
ATTFilter
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath:  \systemroot\system32\drivers\gaopdxbgijxmpjwsrsipxfmqpfuwyksdpqquba.sys 
Driver disabled successfully.

Rootkit scan completed.

Driver "gaopdxserv.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\gaopdxbgijxmpjwsrsipxfmqpfuwyksdpqquba.sys" deleted successfully.
File "C:\WINDOWS\system32\gaopdxibrqtenpofybwudgnbiwulmqbwultpwe.dll" deleted successfully.
File "C:\WINDOWS\system32\gaopdxcounter" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Alt 19.03.2009, 11:30   #30
chris199
 
Kann nur noch im abgesicerten Modus starten - Standard

Kann nur noch im abgesicerten Modus starten



Nebenbei noch eine andere Frage:

Immer wieder kommt die folgende Fehlermeldung, auch vorher schon, ich glaube die hängt mit DELL zusammen, habe sie aber bis dato nicht abstellen können:

"dsca.exe Fehler in Anwendung"

Eine Idee was ich dagegen machen kann, wenn das Hauptproblem bereinigt ist, oder muss ich da Dell fragen?

Christian

Antwort

Themen zu Kann nur noch im abgesicerten Modus starten
abgesicherten modus, adobe, ask toolbar, askbar, bho, cs3, desktop, explorer, google, helper, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, jusched.exe, logfile, malware, monitor, nicht angezeigt, plug-in, proxy, registry, siteadvisor, software, sparbuch, starten, starten nicht, starten., system, temp, windows, windows xp, wiso



Ähnliche Themen: Kann nur noch im abgesicerten Modus starten


  1. Anleitung: Smartphone im abgesicherten Modus starten (sicherer Modus)
    Smartphone, Tablet & Handy Security - 12.08.2016 (1)
  2. kann antimalware weder installieren noch starten
    Log-Analyse und Auswertung - 03.09.2014 (29)
  3. Trojaner?Bildschirm schwarz, nur noch Betrieb im abgesichterten Modus. Kann mir jemand helfen?
    Plagegeister aller Art und deren Bekämpfung - 14.10.2013 (15)
  4. GVU-Trojaner: Ich kann noch nicht mal von CD/USB starten
    Plagegeister aller Art und deren Bekämpfung - 06.09.2013 (36)
  5. gvu virus - kann window nicht mehr aus dem gesicherten modus starten
    Plagegeister aller Art und deren Bekämpfung - 24.08.2013 (1)
  6. nach interpol bka seite - jetzt nur noch weiße Seite kann nicht im abgesicherten Modus starten
    Plagegeister aller Art und deren Bekämpfung - 07.08.2013 (15)
  7. bka trojaner kann den abgesicherten modus nicht starten
    Plagegeister aller Art und deren Bekämpfung - 17.02.2013 (19)
  8. PC kann nur noch im abgesicherten Modus hochgefahren werden
    Plagegeister aller Art und deren Bekämpfung - 16.11.2012 (60)
  9. Kann nicht im Abgesicherten Modus Starten
    Plagegeister aller Art und deren Bekämpfung - 05.05.2012 (3)
  10. Bka-trojaner österreich, kann nur noch im abgesicherten modus auf den rechner zugreifen
    Plagegeister aller Art und deren Bekämpfung - 02.04.2012 (4)
  11. facebook virus: laptop nur noch im abgesichterten modus zu starten
    Plagegeister aller Art und deren Bekämpfung - 02.11.2011 (6)
  12. system fährt normal nichtmehr hoch, lediglich kann ich über abgesicherten modus pc noch nutzen
    Alles rund um Windows - 23.01.2011 (0)
  13. Windows kann nur noch im Debug-Modus gestartet werden- Server 2003
    Alles rund um Windows - 09.04.2010 (16)
  14. kann nur noch im abgesicherten modus starten...
    Log-Analyse und Auswertung - 02.11.2009 (3)
  15. Kann man einen XP-Rechner noch mit DOS starten?
    Alles rund um Windows - 28.11.2008 (3)
  16. Ich kann nur im abgesicherten Modus starten
    Log-Analyse und Auswertung - 01.01.2007 (2)
  17. Smitfraudix, Windows kann nicht im abgesicherten Modus starten!
    Mülltonne - 08.08.2006 (2)

Zum Thema Kann nur noch im abgesicerten Modus starten - Hallo, er arbeitet noch, bisher hat er aber noch gar nicht so viel gefunden, das Log ist noch nicht so lang. Ich habe alles angeklickt, deshalb braucht er scheinbar so - Kann nur noch im abgesicerten Modus starten...
Archiv
Du betrachtest: Kann nur noch im abgesicerten Modus starten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.