Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: nach virenbefall pc startet nur im abges.modus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.07.2009, 15:51   #1
Krampe
 
nach virenbefall pc startet nur im abges.modus - Standard

nach virenbefall pc startet nur im abges.modus



hi, habe mir auf einer scheinbar unseriösen seite was "eingefangen":
->die festplatte arbeitete und es ging plötzlich das microsoft sicherheitscenter auf und gab mir an, dass ich massig viren+trojaner auf dem pc hätte + ich solle auf "OK" klicken um diese zu löschen. das ganze allerdings auf englisch. habe nicht ok geklickt sondern versucht meinen browser usw. zu beenden um pc neu zu starten. dies ging allerdings schwierig (fenster liessen sich nicht schliessen, festplatte hat gerattert wie sau)sodas ich den pc einfach ausgeschaltet habe. habe nach neustart antimalware gestartet + ca. 20 Befunde gelöscht (vor 3-4tagen war da nix)antivir hat auch noch 4-5 "sachen"gefunden".

wollte dann auf die hijack-seite um meinen logfile von HijackThis auswerten zu lassen + aber nicht auf die seite gekommen - werde zu irgendwelchen anderen seiten verbunden. habe den pc nochmalig neugestartet: und jetzt fährt das ding nur bis zum win xp logo hoch und bleibt noch vor der pw-abfrage hängen (schwarzer screen). kann den pc nur noch über "verzeichniswiederherstellung" + dann im abgesicherten modus starten ( wenn ich ihn gleich im abgesicherten modus starten will, kommt ein bluescrenn mit fehlermeldung).
avantivir findet nix im abgesicherten modus - am-malwarebytes lässt sich im abgesicherten modus nicht starten --> geht das trotzdem ? nero lässt sich im abgesicherten modus auch nicht starten -> kann ich dies aktivieren um doch noch daten zu retten ?

bin woanders am pc ( kann i-net nicht starten) und kann im moment keine logfiles bieten -> lässt sich im abgesicherten modus ein usb-stick anschliessen und benutzen ?

Wo muss ich jetzt ansetzen um das Problem in den Griff zu bekommen ( wenn überhaupt noch möglich)

Ich hoffe bei dem Text sieht jemand durch und kann mir einen ansatz zur hilfe geben

Nutze Win XP/SP2
Firefox als Browser

Danke

Alt 11.07.2009, 16:22   #2
Chris4You
 
nach virenbefall pc startet nur im abges.modus - Standard

nach virenbefall pc startet nur im abges.modus



Hi,

versuche auf einen Stick folgende Programme zu ziehen:
RSIT, Gmer und Combofix:

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.

Setzte den Schreibschutz des Sticks auf on und versuche die Sachen auf dem verseuchten Rechner zu installieren (im abgesicherten Modus, alle nur Combofix noch nicht installieren).

Dann RSIT durchführen und GMER laufen lassen...
Und jetzt wird es gefährlich. Damit Du die Logs posten kannst, musst Du die ja irgenwohin kopieren... Bei dem Rechner wo Du die Logs hochladen willst, unbedingt die Umschalt-Taste (Shift-Taste) beim einstecken des Sticks drücken, damit kein Autorun ausgeführt wird...

Falls GMER ein aktives Rootkit melden sollte, dann bitte gleich Combofix installieren/ausführen...

Falls das alles nichts bringt, dann basteln wir uns eine BootCD und scannen den Rechner von CD aus....

Hast Du eine XP-CD? Wir können dann auch eine Reparaturinstallation versuchen... Zuerst sollten aber die ungebetenen Gäste weg. Datensicherung kann später erfolgen, wenn Du die Platte als Slave an einen anderen Rechner hängst (nur sollten dann die Gäste weg sein, sonst ist der "Gastrechner" auch gleich "hin")...

chris
__________________

__________________

Alt 11.07.2009, 19:56   #3
Krampe
 
nach virenbefall pc startet nur im abges.modus - Standard

nach virenbefall pc startet nur im abges.modus



...erstmal danke für die schnelle u. ausführliche hilfe.

habe mir die drei progs runtergeladen + rsit&gmer installiert + laufen lassen:
gmer hat "sachen" gefunden. bin jetzt an der "heiklen" stelle die logfiles vom verseuchten pc über stick zum sauberen pc zu übertragen und frage da lieber nochmal genau nach: habe vergessen vorm anschliessen des sticks am verseuchten pc den schreibschutz auf on zu stellen - am stick selber ist da auch nix dran ( wo stelle ich den schreibschutz ein ?)
- will nun die logfiles vom verseuchten pc auf stick übertragen - muss ich da sicherheitskram beachten ?
- beim übertragen auf cleanen pc: vor dem reinstecken des sticks schon die shift-taste gedrückt halten + dann nur so lange, das kein autostart ausgeführt wird + dann die logs vom stick direkt hier in thread kopieren ?

...sry, frage lieber nochmal genau nach - wenn ich den rechner hier auch noch abschiesse gibts ärger mit der mutti
__________________

Alt 11.07.2009, 20:06   #4
Krampe
 
nach virenbefall pc startet nur im abges.modus - Standard

nach virenbefall pc startet nur im abges.modus



arghh... combofix lässt sich nicht starten - wenn ich die .exe anklicke passiert nix. liegt das am abgesicherten modus ? (ein anderer modus geht im moment nicht).

Alt 11.07.2009, 20:10   #5
Chris4You
 
nach virenbefall pc startet nur im abges.modus - Standard

nach virenbefall pc startet nur im abges.modus



Hi,

nein, der Start wird verhindert...
Nenne die Exe auf test.com um...
Zum Autostart: so lange Shift drücken, bis der Stick erkannt wurde (und noch ein bisschen länger). Wenn möglich nutze auf dem sicheren Rechner dazu ein eingeschränktes Benutzerkonto...

Was hat GMER gefunden? Eventuell können wir den Rootkit "per Hand austricksen"...

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 13.07.2009, 11:30   #6
Krampe
 
nach virenbefall pc startet nur im abges.modus - Standard

nach virenbefall pc startet nur im abges.modus



Hi,
Beim starten von Combofix kam die Meldung das der PC nicht über die MS Wiederherstellungskonsole verfügt. Während Combofix arbeitete kam öfters Fehlermeldungen: catchme.tmp + catchme.cfexe haben einen Fehler verursacht + müssen beendet werden. Ausserdem meldete sich das MS Sicherheitscenter das Autoupdate + Firewall deaktiviert sind ( kam vorher noch nie). Ansonsten fährt der PC nach Combofix wieder normal hoch (im moment zumindest)


Die Logfiles sind zu gross, hier erstmal Combofix: (am Anfang vom Combofix-Log kam ein Meter Text bezüglich AVira, den hab ich mal nicht mit reingestellt)

ComboFix 09-07-09.08 - Fred 13.07.2009 10:44.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2047.1728 [GMT 2:00]

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\exefld
c:\windows\Install.txt
c:\windows\system32\404Fix.exe
c:\windows\system32\ban_list.txt
c:\windows\system32\drivers\TDSSserv.sys
c:\windows\system32\drivers\UACrfthklyxevxbltqwr.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\Install.txt
c:\windows\system32\msvcsv60.dll
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\UACewipjnowxvxspwmix.dll
c:\windows\system32\UACfajnqvimkolslrvmu.dat
c:\windows\system32\uacinit.dll
c:\windows\system32\UACptncnkehyubhqdvip.dll
c:\windows\system32\UACrijwkmeoxwputoiih.dll
c:\windows\system32\UACriqhepfqjxjlkdqfr.dll
c:\windows\system32\UACsipmpibegeliqfame.dll
c:\windows\system32\UACtoidtqjibfgjrqmqb.dat
c:\windows\system32\UACxmtnosswqvdkrjlqp.dll
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV
-------\Legacy_TDSSSERV
-------\Service_UACd.sys
-------\Legacy_6TO4
-------\Legacy_MSNCACHE
-------\Legacy_PCMSTUB
-------\Service_m_hook


((((((((((((((((((((((( Dateien erstellt von 2009-06-13 bis 2009-07-13 ))))))))))))))))))))))))))))))
.

2009-07-09 21:35 . 2009-07-09 21:35 120 ----a-w- C:\k56kshhui43wyugheh66hjfdsn108.bat
2009-07-04 18:41 . 2009-07-04 18:41 -------- d-----w- c:\dokumente und einstellungen\Fred\Lokale Einstellungen\Anwendungsdaten\PunkBuster
2009-06-30 14:57 . 2009-06-30 14:57 49152 ----a-r- c:\dokumente und einstellungen\Fred\Anwendungsdaten\Microsoft\Installer\{C37A0BC1-52EE-4F97-8223-5CA9FC0357B0}\ARPPRODUCTICON.exe
2009-06-30 14:48 . 2009-06-30 14:48 -------- d-----w- c:\programme\Atari
2009-06-27 12:04 . 2009-06-27 12:04 -------- d-----w- c:\programme\Zero-G

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-10 19:56 . 2007-11-02 19:44 168864 ----a-w- c:\dokumente und einstellungen\Fred\Anwendungsdaten\Mozilla\Firefox\Profiles\t6tauhci.default\FlashGot.exe
2009-07-10 18:19 . 2009-03-20 18:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-07-10 06:59 . 2008-09-17 08:52 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-10 06:59 . 2009-02-22 17:44 3561743 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-07-09 21:05 . 2008-03-04 11:26 189336 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-07-09 19:13 . 2008-03-04 11:26 138880 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-07-06 20:22 . 2009-02-07 17:45 1 ----a-w- c:\dokumente und einstellungen\Fred\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-06 09:59 . 2007-06-19 14:38 48 ----a-w- c:\windows\msocreg32.dat
2009-07-04 18:41 . 2008-03-04 11:15 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-07-04 10:59 . 2007-04-02 20:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
2009-06-30 16:10 . 2009-03-22 10:56 -------- d-----w- c:\programme\Hochseefischen - Die Simulation
2009-06-17 09:27 . 2008-09-17 08:52 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-17 09:27 . 2008-09-17 08:52 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-12 10:09 . 2009-06-12 10:08 -------- d-----w- c:\programme\Waves
2009-06-11 15:59 . 2006-11-23 18:50 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-06-03 18:11 . 2009-06-03 10:05 -------- d-----w- c:\programme\DAEMON Tools Lite
2009-06-03 10:05 . 2009-06-03 10:05 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2009-06-03 10:01 . 2009-03-02 12:41 -------- d-----w- c:\dokumente und einstellungen\Fred\Anwendungsdaten\DAEMON Tools Lite
2009-06-03 09:54 . 2006-11-23 19:13 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-06-03 06:28 . 2009-06-03 06:28 -------- d-----w- c:\programme\1C Company
2009-05-27 08:58 . 2007-02-03 14:53 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-27 08:46 . 2009-05-27 08:46 -------- d-----w- c:\programme\505games
2009-05-26 20:29 . 2006-11-23 18:57 23696 ----a-w- c:\dokumente und einstellungen\Fred\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-26 17:32 . 2009-05-26 17:31 -------- d-----w- c:\programme\Microsoft Games for Windows - LIVE
2009-05-26 17:16 . 2009-05-26 17:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3
2009-05-26 17:16 . 2009-05-26 17:16 -------- d-----w- c:\programme\Bethesda Softworks
2009-05-26 17:15 . 2008-11-02 09:09 77440 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-05-26 17:14 . 2002-12-31 12:00 82966 ----a-w- c:\windows\system32\perfc007.dat
2009-05-26 17:14 . 2002-12-31 12:00 453106 ----a-w- c:\windows\system32\perfh007.dat
2009-05-26 15:54 . 2008-06-14 17:25 -------- d-----w- c:\programme\Ableton
2009-05-26 15:07 . 2006-11-28 12:06 -------- d-----w- c:\programme\AGEIA Technologies
2009-05-17 10:33 . 2006-12-02 13:43 -------- d-----w- c:\dokumente und einstellungen\Fred\Anwendungsdaten\Ableton
2009-04-29 14:41 . 2009-03-21 07:16 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-04-29 14:41 . 2009-03-21 07:16 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-04-21 13:36 . 2009-04-21 13:36 0 ---ha-w- c:\dokumente und einstellungen\Fred\Anwendungsdaten\.D3025C9257A0E5FA.sys
2009-04-21 13:36 . 2009-04-21 13:36 0 ---ha-w- c:\dokumente und einstellungen\Fred\Anwendungsdaten\.D3025C9257A0E5FA.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 153136]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-05-11 200069]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2002-12-31 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Fred^Startmenü^Programme^Autostart^OpenOffice.org 3.0.lnk]
path=c:\dokumente und einstellungen\Fred\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"O&O Defrag"=2 (0x2)
"IDriverT"=3 (0x3)
"ATKKeyboardService"=2 (0x2)
"ATI Smart"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\THQ\\Frontlines-Fuel of War\\Binaries\\FFOW.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Caplio Software\\RGateLXP.exe"=

R2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [12.05.2007 09:39 108768]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2009 09:16 108289]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [18.08.2007 20:33 33792]
S2 gupdate1c9a985ead04212;Google Update Service (gupdate1c9a985ead04212);"c:\programme\Google\Update\GoogleUpdate.exe" /svc --> c:\programme\Google\Update\GoogleUpdate.exe [?]
S2 ygnnv;ygnnv;c:\windows\system32\drivers\xupifks.sys --> c:\windows\system32\drivers\xupifks.sys [?]
S3 ews88mt;EWS88 WDM Audio;c:\windows\system32\drivers\ews88wdm.sys [15.02.2006 13:52 85824]
S3 ni_avs;ni_avs;c:\windows\system32\drivers\ni_avs.sys [14.06.2008 19:23 25088]
S3 ni_usb;ni_usb;c:\windows\system32\drivers\ni_usb.sys [14.06.2008 19:23 84992]
.
Inhalt des "geplante Tasks" Ordners

2009-07-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-ISUSPM - c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
HKCU-Run-DAEMON Tools Pro Agent - c:\programme\DAEMON Tools Pro\DTProAgent.exe
HKCU-Run-swg - c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKLM-Run-NBKeyScan - c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.daemon-search.com/startpage
FF - ProfilePath - c:\dokumente und einstellungen\Fred\Anwendungsdaten\Mozilla\Firefox\Profiles\t6tauhci.default\
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-13 10:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(572)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3408)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-07-13 10:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-13 08:56

Vor Suchlauf: 16 Verzeichnis(se), 17.330.475.008 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 19.994.591.232 Bytes frei

754

Alt 13.07.2009, 11:36   #7
Krampe
 
nach virenbefall pc startet nur im abges.modus - Standard

nach virenbefall pc startet nur im abges.modus



Gmer + Rsit sind zu gross, weiss auch nicht was ich da kürzen darf:
kann ich die Dateien als Textdokument anhängen oder könnte ich dadurch hier irgendwas "infizieren"

Gruss

Alt 13.07.2009, 13:58   #8
Chris4You
 
nach virenbefall pc startet nur im abges.modus - Standard

nach virenbefall pc startet nur im abges.modus



Hi,

ein Rookit wurde bereits von ComboFix entfernt (und einiges mehr)...

Fileuplod:
Fiels packen (zippen) und dann:
http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

Dann noch folgende Files prüfen:
C:\k56kshhui43wyugheh66hjfdsn108.bat (oder lades es einfach mit hoch)...
sowie:
c:\windows\system32\drivers\xupifks.sys
Bei Virustotal.com...

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
c:\windows\system32\drivers\xupifks.sys
C:\k56kshhui43wyugheh66hjfdsn108.bat
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 13.07.2009, 14:38   #9
Krampe
 
nach virenbefall pc startet nur im abges.modus - Standard

nach virenbefall pc startet nur im abges.modus



Hi,

die datei c:\windows\system32\drivers\xupifks.sys ist nicht zu finden, habe es auch mit windows suche probiert. Versteckte dateien werden auch angezeigt.

die .bat ist da + hier die auswertung von Virustotal:

Datei k56kshhui43wyugheh66hjfdsn108.bat empfangen 2009.07.13 12:24:04 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.22 2009.07.13 -
AhnLab-V3 5.0.0.2 2009.07.13 -
AntiVir 7.9.0.204 2009.07.13 -
Antiy-AVL 2.0.3.1 2009.07.10 -
Authentium 5.1.2.4 2009.07.12 -
Avast 4.8.1335.0 2009.07.12 -
AVG 8.5.0.387 2009.07.13 -
BitDefender 7.2 2009.07.13 -
CAT-QuickHeal 10.00 2009.07.10 -
ClamAV 0.94.1 2009.07.13 -
Comodo 1635 2009.07.13 -
DrWeb 5.0.0.12182 2009.07.13 -
eSafe 7.0.17.0 2009.07.12 -
eTrust-Vet 31.6.6610 2009.07.13 -
F-Prot 4.4.4.56 2009.07.12 -
F-Secure 8.0.14470.0 2009.07.13 -
Fortinet 3.120.0.0 2009.07.13 -
GData 19 2009.07.13 -
Ikarus T3.1.1.64.0 2009.07.13 -
Jiangmin 11.0.706 2009.07.13 -
K7AntiVirus 7.10.791 2009.07.13 -
Kaspersky 7.0.0.125 2009.07.13 -
McAfee 5674 2009.07.12 -
McAfee+Artemis 5674 2009.07.12 -
McAfee-GW-Edition 6.8.5 2009.07.13 -
Microsoft 1.4803 2009.07.13 -
NOD32 4238 2009.07.13 -
Norman 6.01.09 2009.07.10 -
nProtect 2009.1.8.0 2009.07.13 -
Panda 10.0.0.14 2009.07.12 -
PCTools 4.4.2.0 2009.07.13 -
Prevx 3.0 2009.07.13 -
Rising 21.38.02.00 2009.07.13 -
Sophos 4.43.0 2009.07.13 -
Sunbelt 3.2.1858.2 2009.07.12 -
Symantec 1.4.4.12 2009.07.13 -
TheHacker 6.3.4.3.366 2009.07.12 -
TrendMicro 8.950.0.1094 2009.07.13 -
VBA32 3.12.10.8 2009.07.12 -
ViRobot 2009.7.13.1833 2009.07.13 -
VirusBuster 4.6.5.0 2009.07.12 -
weitere Informationen
File size: 120 bytes
MD5...: bf98f16429282bd6e57db1d946ac519d
SHA1..: 41edec512b0e053eda421ca4f4b016182fb012a9
SHA256: 6dc29183f7f69a53aeb7754061ae9188050d05eb8a1b87cb3861ab05439b6ef7
ssdeep: 3:RiXZuA5XfMJJEFwEBvMD2aZuA5XfMJJEFwEsCKReQBAJop7v:Ri07HEFvBvMD2
Z7HEFvjUBJp7v
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set

...im moment scheint alles wieder normal zu funktionieren - bis auf das Malwarebytes nicht startet (habe es auch mit Neuinstallation versucht)
Fehlermeldung:"Fehler beim Laden der Datenbank, Zeile #0. (0)"

...die fehlenden zwei logfiles versuche ich zu schicken.

Gruss.

Alt 13.07.2009, 15:21   #10
Krampe
 
nach virenbefall pc startet nur im abges.modus - Standard

nach virenbefall pc startet nur im abges.modus



hi chris,
wollte gerade im MS sicherheitscenter auf Autoupdate stellen (hatte ich voher aus), da hat es plötzlich meine Internetverbindung gecappt (t-online software) + ging dann auch nicht mehr zu starten. habepc Neugestartet + Malwarbytes Antimalware gestartet (was vorher nicht ging) + das ging plötzlich hab einen Quickscan gestartet + es wurden zwei infizierte Objekte gefunden: hier der Log:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 5.1.2600 Service Pack 2

13.07.2009 15:14:33
mbam-log-2009-07-13 (15-14-27).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 80101
Laufzeit: 2 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

....was ist denn das ?

Gruss

Alt 13.07.2009, 16:06   #11
Chris4You
 
nach virenbefall pc startet nur im abges.modus - Standard

nach virenbefall pc startet nur im abges.modus



Hi,

auch in den Logs von GMER und RSIT tauchen diese Dateien auf,
bitte noch mal versuchen sie zu finden und bei Virustotal scannen zu lassen:
Code:
ATTFilter
C:\DOKUME~1\Fred\LOKALE~1\Temp\8625421924mmx.dll
C:\windows\system32\drivers\xupifks.sys 
C:\windows\system32\drivers\agrfb3lc.sys
         
Die erste Datei ist sehr wichtig, sie wird mit jeder Applikation geladen (und der Name/Ort spricht jetzt nicht gerade dafür, dass es keine Malware wäre)

Einge Treiber die lt. Gmer zum Rootkit gehören schwirren noch rum, bitte umgehend CCleaner einsetzten:
http://www.trojaner-board.de/51464-a...-ccleaner.html

Combofix deinstallieren:
Start->Ausführen-> combofix /u

Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-a...stellungen.htm
Fullscan und Log posten...

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris
------------------------------------------------------
Für mich:
Serivces: ygnnv, agrfb3lc, TDSSSERV, UACd.sys
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 20.07.2009, 11:20   #12
Krampe
 
nach virenbefall pc startet nur im abges.modus - Standard

nach virenbefall pc startet nur im abges.modus



nochmal danke, funzt alles wieder + scans sind scheinbar alle sauber.

Antwort

Themen zu nach virenbefall pc startet nur im abges.modus
abgesicherten modus, antimalware, antivir, auswerten, beenden, befall, browser, fehlermeldung, festplatte, gelöscht, hijackthis, hängen, logfile, logfiles, microsoft, neu, neustart, nicht starten, problem, seite, seiten, sicherheitscenter, starten., startet, trojaner, usb-stick, viren, win xp



Ähnliche Themen: nach virenbefall pc startet nur im abges.modus


  1. malwarebytes-Funde in Quarantäne geschoben->Windows7 startet nur noch im abges.Modus
    Log-Analyse und Auswertung - 11.02.2015 (32)
  2. Windows 7: BKA Trojaner - Sperrbildschirm - abges. Modus startet nicht
    Log-Analyse und Auswertung - 11.06.2014 (3)
  3. bundestrojaner, abges. modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 23.03.2014 (3)
  4. PC läuft auf Hochtouren & Crashed (außer im Abges. Modus)
    Log-Analyse und Auswertung - 09.02.2014 (1)
  5. weißer Bildschirm nach Anmeldung, im abges. Modus sofortiger Neustart nach Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 22.11.2013 (12)
  6. GVU Trojaner Win8 abges. Modus blockiert
    Log-Analyse und Auswertung - 10.09.2013 (12)
  7. GVU Trojaner - abges. Modus locked - OTL logs
    Log-Analyse und Auswertung - 20.04.2013 (2)
  8. GVU Trojaner Win XP kein start im abges. Modus möglich.
    Plagegeister aller Art und deren Bekämpfung - 30.03.2013 (17)
  9. Probleme durch 'Bundesministerium'-Trojaner - OTL startet nicht (abges. Modus)
    Plagegeister aller Art und deren Bekämpfung - 25.12.2012 (26)
  10. GVU (BKA) Trojaner - Paysafe...kein abges. Modus etc.
    Plagegeister aller Art und deren Bekämpfung - 27.11.2012 (17)
  11. AKM Trojaner - Behebung im abges. Modus mit Eingabeaufforderung
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (1)
  12. TR/Downloader Gen + Bluescreen im abges. Modus
    Log-Analyse und Auswertung - 09.12.2009 (1)
  13. kein AntiVirus im abges. Modus
    Antiviren-, Firewall- und andere Schutzprogramme - 19.02.2009 (3)
  14. Keine Internetverbindung nach der Benutzung des abges. Modus
    Log-Analyse und Auswertung - 16.12.2006 (9)
  15. Computer lahmgelegt und nur im abges. Modus startbar
    Log-Analyse und Auswertung - 17.02.2006 (1)
  16. Virus Hijacker erstellt tmp dateien auch im abges. modus
    Plagegeister aller Art und deren Bekämpfung - 15.05.2005 (4)

Zum Thema nach virenbefall pc startet nur im abges.modus - hi, habe mir auf einer scheinbar unseriösen seite was "eingefangen": ->die festplatte arbeitete und es ging plötzlich das microsoft sicherheitscenter auf und gab mir an, dass ich massig viren+trojaner auf - nach virenbefall pc startet nur im abges.modus...
Archiv
Du betrachtest: nach virenbefall pc startet nur im abges.modus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.