| |
| |||||||
Log-Analyse und Auswertung: Verdacht auf Neubefall nach Neuinstallation!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
25.03.2009, 13:42
| #1 |
| Gast |  Verdacht auf Neubefall nach Neuinstallation! Hallo an alle, nach diesem Vorfall hier habe ich trotzdem mein System Neu Aufgesetzt, und als ich den Rechner heute hochfuhr habe ich eine mir unbekannte Aktivität festgestellt. Zum Vorfall: Ich habe den Treiber meiner TV-Karte gestartet, und musste feststellen das der Ton aus den Boxen dumpf und verrauscht klang. Habe daraufhin über den Systray die Konfiguration meiner Soundkarte gestartet. Als ich die erste Einstellung am Equalizer anklickte, öffnete sich das Soundkonfigurationsprogramm 5x nacheinander Selbstständig, und ungefähr 15x die kleineren Fenster für die Feineinstellungen wie Auswahl der Anschlüsse für die Boxen und Soundumgebungseinstellungen. Habe danach das AV-Programm und Malewarebytes (ebenfalls im abgesicherten Modus) durchlaufen lassen, kein Fund. Als aber Kaspersky im Normalmodus lief, meldete sich der Rechner nach ungefähr 60% Scanfortschritt ab, und ich musste mich neu Anmelden. Kaspersky Lief aber trotzdem paralel weiter. Nun zu meiner Vorgehensweise beim Neuaufsetzen: Habe mich Strikt an die Anleitung gehalten. Nachdem zum ersten mal der Desktop zu sehen war, habe ich folgende Schritte nacheinander abgearbeitet: 1. Installation von Mainboard,- Soundkarten,- und TV-Kartentreiber 2. Installation von Kaspersky 3. Modeminstallation Danach wurden sofort automatisch Updates für AV-Programm und Windows gezogen. Danach habe ich die Windowsupdate Webseite (über Startmenü-alle Programme-Windowsupdate) solange aufgerufen bis alle Patches für XP durchwaren, weil ja der Rechner immer wieder Neugestartet werden musste, nachdem ich einen teil der Uodates gedownloadet habe. Die darauffolgenden Maßnahmen waren: Erstellung eines eingeschränkten Benutzerkontos, sowie Passwortvergabe für Admin,- und Eingeschränktes Benutzerkonto. Danach Windows Onlineaktivierung über Startmenü. Abschalten der überflüssigen Windowsdienste durch das entsprechende Tool, wie in der Anleitung zum Neuaufsetzen beschrieben. Malewarebytes ab sofort dauerhaft Installiert Letzte Maßnahme: Radikale Änderung der Surfgewohnheiten Paralel habe ich noch die Autorunfunktion deaktiviert, weil ich noch Daten auf einem USB-Stick hatte, die ich mit Kaspersky überprüfen wollte, befor Windows oder ich darauf zugreife, war aber alles Sauber. Auf dem Stick befinden sich Phase5, 2 von mir erstellte Homepages, Bilder im .jpg und .png Format, und meine Bewrebungsunterlagen im .doc Format mehr nicht. Hier nun meine Logfiles von Hijack und Malewarebytes Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:28:33, on 25.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\GIGABYTE\GEST\gest.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\UpdateStar\UpdateStar.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\GIGABYTE\GEST\GSvr.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O4 - HKLM\..\Run: [GEST] C:\Programme\GIGABYTE\GEST\RUN.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [UpdateStar] C:\Dokumente und Einstellungen\***\Anwendungsdaten\UpdateStar\UpdateStar.exe -A O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1237799221328 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 5149 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1894
Windows 5.1.2600 Service Pack 3
25.03.2009 11:39:39
mbam-log-2009-03-25 (11-39-39).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 92442
Laufzeit: 10 minute(s), 20 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Desweiteren wollte ich wissen, warum das AV-Programm nicht auf Passwortgeschützte Archive beim Scan zugreift. Ich weiß das man das Umstellen kann, aber wäre das klug? Desweiteren macht mir diese Meldung hier Sorgen. 24.03.2009 16:40:27 UDP von 218.23.37.51 auf lokalen Port 1434 Nicht vorhanden Gefunden: Intrusion.Win.MSSQL.worm.Helkern Ich habe mich hier im Board und über Google schon darüber Informiert und herausgefunden das, wenn XP aktuell gehalten wird, bräuchte man sich da keine Sorgen zu machen, weil dies ein älterer Wurmcode sei der nur ungepatchte Windowssysteme angreift. Aber ich finde keinen Eintrag im Bericht von Kaspersky das dagegen vorgegangen wird. Letzte Frage: Ist man gezwungen die Optionalen Updates von Windows zu ziehen? Weil ja zb. Windows Search 4.0 auch vom Explorer aus auf das WEB zugreift, und das gefällt mir garnicht. Ich hoffe das waren ertmal genug Infos für euch, und ich hoffe das meine Bedenken  unbegründet sind. |
|
17.04.2009, 10:58
| #2 |
| Gast | Verdacht auf Neubefall nach Neuinstallation! Ich habe mal kein neues Thema erstellt, weil ich im Moment ein Problem habe welches sich in einer ähnlichen Form meinem ersten Beitrag befasst.
__________________Also folgendes: Zum ersten kann ich Malewarebytes nicht mehr Aktualisieren. Wenn ich auf Update klicke erscheint die Meldung: Update fehlgeschlagen, Vergewissern Sie sich das, das Programm nicht von einer Firewall geblockt wird und ob eine Internetanbindung besteht. Das habe ich danach geprüft, und weder die Windows Firewal, noch Kaspersky blocken das Programm. Desweiteren braucht mein Rechner zum Hochfahren fast 2 minuten, dies gestaltet sich folgendermaßen: Der Anmeldebildschirm erscheint, ich gebe mein PW für mein Eingeschränktes Konto ein, und dann bleibt der Bildschirm ungefähr 1 minute so stehen. In dem Moment wo der Desktop erscheint, sehe ich nur das Hintergrundbild, incl. der Sanduhr und die Taskleiste inc. der Symbole im Systray erscheinen ebenfalls erst nach einer Minute. Danach läuft wieder alles ganz normal. Ich habe mir gestern dieses Programm hier Installiert, und auch schon ein bissl was bei youtube gesaugt. Habe es eben wieder runtergeschmissen incl. der Mp3 Dateien, weil ja gestern noch alles schick war, also vor der Installation dieses Programms, aber das Problem nach dem Neustart besteht weiterhin. CCleaner ausgeführt und hier mein frisches Logfile. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:15:11, on 17.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\GIGABYTE\GEST\GEST.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\GIGABYTE\GEST\GSvr.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O4 - HKLM\..\Run: [GEST] C:\Programme\GIGABYTE\GEST\RUN.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1237799221328 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 5130 bytes |
|
17.04.2009, 14:16
| #3 |
| Gast | Verdacht auf Neubefall nach Neuinstallation! Habe inzwischen versucht, einige Dinge selbst in die Hand zu Nehmen, mit folgenden Ergebnissen:
__________________Virenscanner im Abgesicherten Modus durchlaufen lassen, Ergebnis Kein Fund. SuperAntiSpyware heruntergeladen, dies lässt sich übrigens ebenfalls nicht Aktualisieren. Hier das Logfile: Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 04/17/2009 at 02:15 PM
Application Version : 4.26.1000
Core Rules Database Version : 3843
Trace Rules Database Version: 1798
Scan type : Complete Scan
Total Scan Time : 00:10:39
Memory items scanned : 393
Memory threats detected : 0
Registry items scanned : 4103
Registry threats detected : 0
File items scanned : 12846
File threats detected : 2
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Eingeschränkt\Cookies\eingeschränkt@atdmt[2].txt
Adware.SeekSuggest
C:\WINDOWS\JESTERTB.DLL
Code:
ATTFilter GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-17 14:53:17
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xB69C0A72]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xB69C101E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xB69C2A82]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xB69C2438]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xB69C01E8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xB69C43E4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xB69C0E1A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xB69C062A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xB69C082A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xB69C2744]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xB69C48F0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB69C0940]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB69C09A8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xB69C25FA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xB69C3EA8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xB69C2294]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xB69C034A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xB69C0C40]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xB69C440E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xB69C0B96]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xB69C0A10]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xB69C0714]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xB69C04F2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xB69C4110]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xB69BFE6A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xB69C330C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xB69BFFCC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xB69C47C0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xB69BFC68]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xB69C2924]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xB69C0F18]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xB69C3FA2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xB69C4438]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xB69C03A0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xB69C451C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xB69C4648]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xB69C3DD4]
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB54FEDF0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xB69C0D5C]
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF84 5 Bytes JMP B69D71E8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EF912 5 Bytes JMP B69D75A2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!ZwCallbackReturn + 2C68 80504504 4 Bytes CALL 1306E10A
.text ntkrnlpa.exe!ZwCallbackReturn + 2FB8 80504854 12 Bytes [1C, 45, 9C, B6, 48, 46, 9C, ...]
---- User code sections - GMER 1.0.15 ----
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1828] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1828] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
.text C:\WINDOWS\system32\SearchIndexer.exe[1932] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[2280] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[2280] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [BA0F0530] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [BA0F0530] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
---- Files - GMER 1.0.15 ----
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000D.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000D.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000D.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000E.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000E.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000E.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000F.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000F.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000F.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010010.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010010.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010010.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010011.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010011.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010011.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010004.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010004.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010004.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010012.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010012.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010013.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010013.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010013.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010014.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010014.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010014.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010017.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010017.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010017.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010019.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010019.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010019.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001B.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001B.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001B.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010001.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010001.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010001.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010012.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001F.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001F.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001F.wid 65536 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010020.ci 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010020.dir 4096 bytes
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010020.wid 65536 bytes
---- EOF - GMER 1.0.15 ----
auf die Lesezeichen Klicke, erscheint nicht wie gewohnt das Drop Down Menu für die gespeicherten Lesezeichen, sondern das Bestätigungsfenster zum Hinzufügen der Seite (in diesem Fall Google) als Lesezeichen. So langsam wird mir etwas mulmig. |
|
17.04.2009, 18:13
| #4 |
| Gast | Verdacht auf Neubefall nach Neuinstallation! Habe nachdem GMER und SUPERAntiSpyware durchliefen, nochmals Kaspersky im Normalen Systemstart drüberlaufen lassen. Dabei hat er das gefunden: h**p://www.viruslist.com/de/advisories/32270 C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\43gcjvgahnu44.ths Habe die Datei danach bei Virustotal Hochgeladen: Code:
ATTFilter a-squared 4.0.0.101 2009.04.17 -
AhnLab-V3 5.0.0.2 2009.04.17 -
AntiVir 7.9.0.143 2009.04.17 -
Antiy-AVL 2.0.3.1 2009.04.17 -
Authentium 5.1.2.4 2009.04.17 -
Avast 4.8.1335.0 2009.04.16 -
AVG 8.5.0.287 2009.04.17 -
BitDefender 7.2 2009.04.17 -
CAT-QuickHeal 10.00 2009.04.17 -
ClamAV 0.94.1 2009.04.17 -
Comodo 1117 2009.04.17 -
DrWeb 4.44.0.09170 2009.04.17 -
eSafe 7.0.17.0 2009.04.13 Suspicious File
eTrust-Vet 31.6.6455 2009.04.14 -
F-Prot 4.4.4.56 2009.04.16 -
F-Secure 8.0.14470.0 2009.04.17 -
Fortinet 3.117.0.0 2009.04.17 -
GData 19 2009.04.17 -
Ikarus T3.1.1.49.0 2009.04.17 -
K7AntiVirus 7.10.707 2009.04.17 -
Kaspersky 7.0.0.125 2009.04.17 -
McAfee 5587 2009.04.17 -
McAfee+Artemis 5587 2009.04.17 -
McAfee-GW-Edition 6.7.6 2009.04.17 -
Microsoft 1.4502 2009.04.17 -
NOD32 4017 2009.04.17 -
Norman 6.00.06 2009.04.17 -
nProtect 2009.1.8.0 2009.04.17 -
Panda 10.0.0.14 2009.04.17 -
PCTools 4.4.2.0 2009.04.17 -
Prevx1 V2 2009.04.17 -
Rising 21.25.44.00 2009.04.17 -
Sophos 4.40.0 2009.04.17 -
Sunbelt 3.2.1858.2 2009.04.17 -
Symantec 1.4.4.12 2009.04.17 -
TheHacker 6.3.4.0.309 2009.04.16 -
TrendMicro 8.700.0.1004 2009.04.17 -
VBA32 3.12.10.2 2009.04.12 -
ViRobot 2009.4.17.1698 2009.04.17 -
VirusBuster 4.6.5.0 2009.04.17 -
File size: 487424 bytes
MD5...: 49be7a55c9134523d830ed3249ca35c9
SHA1..: a63488fbd5b1f2bf7e94a881233f692c663f5974
SHA256: d02be0633d95ae9a91e04dc5ed560be4878d874ceef25282ed3c89df782c37f8
SHA512: 562dc6433704ea5e068aee5410889b9d66fce0b444e3c533b2f9e3c6bfae4d8e
df0743037f350905049f50771aa8e26d3d8530d04595d2c7c29bf9770f88fe03
ssdeep: 12288:DHIcwtE1+EI73flu/rBFjp+7aSov4zvMNAhHhmo7P+:FwFEAITBFN+7a2v
M2Zhmo7P
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1ac320
timedatestamp.....: 0x3fd4f4d4 (Mon Dec 08 22:01:56 2003)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x13b000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x13c000 0x71000 0x70600 7.92 74a5c95d65eb3b139400770c706a4e54
.rsrc 0x1ad000 0x7000 0x6600 5.17 14d39354ff0c5aee20dcd5af9fe69b61
( 12 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress
> ADVAPI32.dll: RegCloseKey
> comdlg32.dll: PrintDlgA
> GDI32.dll: DPtoLP
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> urlmon.dll: CreateURLMoniker
> USER32.dll: GetDC
> VERSION.dll: VerQueryValueA
> WININET.dll: InternetOpenA
> WINMM.dll: waveInStop
> WSOCK32.dll: -
( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=49be7a55c9134523d830ed3249ca35c9' target='_blank'>http://www.threatexpert.com/report.aspx?md5=49be7a55c9134523d830ed3249ca35c9</a>
packers (Kaspersky): UPX
packers (F-Prot): UPX
von mir beschrieben. Jetzt bin ich mir sicher das ich definitiv wieder mal verseucht bin. Malewarebytes und SUPERAntiSpyware lassen sich immer noch nicht Upgraden. Leider weiss ich im Moment micht mehr weiter welche Tools zur Systemanalyse bzw. zur Bereinigung ich noch nehmen soll, und Google möchte ich in dieser Situation auch nicht mehr benutzen. Ich könnte im Moment eigentlich nur noch  |
|
17.04.2009, 22:00
| #5 |
| Gast | Verdacht auf Neubefall nach Neuinstallation! Ich habe Kaspersky gerade eben nochmals im abgesicherten Modus durchlaufen lassen um ein Frisches Logfile zu erstellen. Desweiteren hier nochmal meine Aktuelle Programmliste: Code:
ATTFilter Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
ALNO AG Küchenplaner
AquaNox 2 Revelation
BMW M3 Challenge
CCleaner (remove only)
CIB pdf brewer 2.5.25
DeepBurner v1.9.0.228
Defraggler (remove only)
Dynamic Energy Saver B7.1214.3
Firebird SQL Server (D)
Gigabyte Raid Configurer
GIMP 2.6.6
Hauppauge German Help Files and Resources
Hauppauge TvTv Sync
Hauppauge WinTV Scheduler
Hauppauge WinTV2000
Hauppauge WinTV-PVR 150 Drivers
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915800-v4)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
InterVideo FilterSDK for Hauppauge
Kaspersky Internet Security 2009
Kaspersky Internet Security 2009
Logitech SetPoint
MAGIX Filme auf CD & DVD 5.0 (D)
MAGIX Foto Manager 2006 (D)
MAGIX Music Manager (D)
MAGIX Online Druck Service
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Silverlight
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.8)
MSXML 4.0 SP2 (KB954430)
nanoPEG-Editor 2.3 Hauppauge Edition
NVIDIA Drivers
NVIDIA GAME System Software 2.8.1
OpenAL
OpenOffice.org 3.0
Phase 5 HTML-Editor
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Scientific-Atlanta WebSTAR 2000 series Cable Modem
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Spelling Dictionaries Support For Adobe Reader 9
SUPERAntiSpyware Free Edition
Uninstall 1.0.0.1
Update für Windows Internet Explorer 8 (KB968220)
Update für Windows XP (KB898461)
Update für Windows XP (KB943729)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VLC media player 0.9.8a
VTPlus32 für WinTV (German)
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Search 4.0
WinRAR
XMedia Recode 2.1.1.1
XML Paper Specification Shared Components Language Pack 1.0
Habe ich noch vergessen zu erwähnen, inzwischen lässt sich auch Kaspersky nicht mehr Aktualisieren. Geändert von Debakel27 (17.04.2009 um 22:11 Uhr) |
|
18.04.2009, 19:42
| #6 |
| Gast | Verdacht auf Neubefall nach Neuinstallation! Ich wollte mal vorsichtig  nachfragen ob sich schon mal jemand mit meinem Problem beschäftigt hat.Das hier ist übrigens die Fehlermeldung! Habe Malewarebytes übrigens auch schonmal deinstalliert und wieder neu eingespielt, hat aber nichts gebracht. |
|
20.04.2009, 15:47
| #7 |
| Gast | Verdacht auf Neubefall nach Neuinstallation! An die Moderatoren, dieses Thema bitte schließen, Danke. Grund: Kann nicht mehr gelöst werden, Trojaner im MasterBootRecord. |
|
20.04.2009, 18:33
| #8 |
| Administrator > Competence Manager  | Verdacht auf Neubefall nach Neuinstallation! Wieso kann das nicht gelöst werden?! Versuche bitte zunächst folgendes: Rootkit im MBR (Master Boot Record) Lade dir zunächst diese Datei -> mbr.exe direkt auf das Laufwerk wo dein Betriebssystem installiert ist. (also auf c: ) Windows Vista: Start -> bei "Suche starten" -> cmd (eintippen) -> ENTER Windows 2000 - XP: klick auf Start -> Ausführen -> cmd (eintippen) -> ENTER Dann folgende Text in die Box eingeben: mbr.exe -f (siehe Bild)  Auf c:\ wir dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
22.04.2009, 12:04
| #9 |
| Gast | Verdacht auf Neubefall nach Neuinstallation! Erstmal Danke für deine Antwort. Aufgrund meiner bisherigen, hier im Thread beschriebenen Probleme, hatte ich am Sonntag letzte Woche Besuch von einer Staatlichen Institution in Zivil. Ich möchte jetzt aber hier nicht mehr ins Detail gehen, die Sache war für mich schon peinlich genug. Nur soviel, meine Unschuld wurde definitif bewiesen. Aufgrund dieses Besuches, habe ich direkt danach meinen Rechner Neu Aufgesetzt, und sowie ich mein Modem Installiert hatte um Updates für XP und KIS zu ziehen, meldete das AV Programm den gleiche Trojaner, welche oben erwähnten Personen auf meinen Rechner per Analyse ermitteln konnten. Danach habe ich sofort alle Daten, mit denen ich Online gearbeitet habe, also Bank, Ebay etc. und auch meine Zugangsdaten meines ISP Löschen lassen. Die neuen sind schon da, aber ich möchte mit diesen Daten nicht auf meinen noch Infizierten Rechner Online gehen. Jedenfalls habe ich mir jetzt von einem Mitarbeiter vom Kaspersky Support Helfen lassen, bzw. lasse ich mir noch helfen. Das ist zwar etwas Umständlich, aber es funktioniert ganz gut. Denn schliesslich möchten die ja auch wissen mit welchem Schädling ich es hier zu tun habe, um für die Zukunft entsprechende Gegenmaßnahmen zu ergreifen, falls der Schadcode noch Unbekannt sein sollte. Und er meinte zu mir, erst wenn seine Analysen abgeschlossen sind, kann ich meinen Rechner Neu Formatieren incl. dem MBR. Deswegen solltest Du meinen Beitrag schließen zwecks Crossposting. Also, somit weißt Du jetzt ersteinmal Bescheid und kannst hier erstmal zumachen. Es ist trotzdem eine sehr interessante Erfahrung für mich das trotz der Benutzung der Virtual Box und das Ausführen von Brain.exe immer wieder der Schadcode einen Weg auf den Rechner findet. Aber wie gesagt 100%ige Sicherheit gibt es nun mal nicht. Nur wer gewarnt ist, erlebt keine bösen Überraschungen. Ich hoffe das die Sache für mich bald ausgestanden ist, und ich meinen Rechner wieder Benutzen kann. Man liest sich früher oder später. Debakel Edit: Warnung an alle User (oder zukünftige neue) die das hier Lesen, und die es noch nicht kennen sollten, Brain.exe kann man sich nirgendswo herunterladen. |
|
| Themen zu Verdacht auf Neubefall nach Neuinstallation! |
| abgesicherten modus, adobe, bho, desktop, dll, einstellung, einstellungen, explorer, format, frage, gigabyte, google, hijack, hijackthis, hkus\s-1-5-18, immer wieder, installation, internet, internet explorer, internet security, kaspersky, malwarebytes' anti-malware, maßnahme, neu aufgesetzt, nvidia, port, registrierungsschlüssel, rundll, schutz, software, system, systray, tv-karte, updates, usb-stick, versteckt sich, warum, windows, windows xp |
Linear-Darstellung
