Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Laptop im Schneckentempo - mit Logfile

Laptop im Schneckentempo - mit Logfile


Log-Analyse und Auswertung: Laptop im Schneckentempo - mit Logfile

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Seite 2 von 2 1 2
Alt 05.08.2009, 16:32   #16
sharcy^
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


Hier noch der Screenshot aus PrevX


http://www.pic-upload.de/view-2743124/prevx.jpg.html

Alt 06.08.2009, 06:37   #17
Chris4You
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


Hi,


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
c:\optikkopie\system\pbackup.exe
C:\Programme\HomeCinema\YouCam\LTCLR13n.dll
c:\Programme\Prisma\ser...\Prisma Datensicherung.lnk <- Pfad ergänzen bzw. Datei suchen
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Danach bitte die Systemwiederherstellung plätten wie folgt:
Systemwiederherstellung löschen
BSI-Faltblattt (http://www.bsi.de/literat/faltbl/F24VirenundCo.htm) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Einge der versteckten Dateien tummeln sich im temporären Verzeichnis für den Internetexplorer, daher
CCleaner anwenden:
Anleitung & Download: http://www.trojaner-board.de/51464-anleitung-ccleaner.html

Der Rest läuft wohl über ein Backupverzeichnis, oder (C:\RRbackups), das sollte (wenn Du das bestätigen kannst),
Okay sein...

Allgemeine Optimierung:
Ggf. vorher Backup machen
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
http://www.iobit.com/advancedwindowscareper.html?Str=download
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Führe dann einen Update der Signatur/Reperaturdateien aus.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

Was mir bisher noch nie passiert ist, dass GMER keinen (direkten) Zugriff auf die Laufwerke erhält,
das gefällt mir nicht...

chris
__________________

__________________
Alt 06.08.2009, 08:26   #18
sharcy^
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


c:\optikkopie\system\pbackup.exe

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.06 Trojan-Spy.Banker!IK
AhnLab-V3 5.0.0.2 2009.08.05 -
AntiVir 7.9.0.240 2009.08.05 -
Antiy-AVL 2.0.3.7 2009.08.05 -
Authentium 5.1.2.4 2009.08.06 -
Avast 4.8.1335.0 2009.08.06 -
AVG 8.5.0.406 2009.08.05 -
BitDefender 7.2 2009.08.06 -
CAT-QuickHeal 10.00 2009.08.06 -
ClamAV 0.94.1 2009.08.06 -
Comodo 1883 2009.08.06 -
DrWeb 5.0.0.12182 2009.08.06 -
eSafe 7.0.17.0 2009.08.05 Suspicious File
eTrust-Vet 31.6.6661 2009.08.06 -
F-Prot 4.4.4.56 2009.08.05 -
F-Secure 8.0.14470.0 2009.08.06 -
Fortinet 3.120.0.0 2009.08.06 -
GData 19 2009.08.06 -
Ikarus T3.1.1.64.0 2009.08.06 Trojan-Spy.Banker
Jiangmin 11.0.800 2009.08.06 -
K7AntiVirus 7.10.811 2009.08.05 -
Kaspersky 7.0.0.125 2009.08.06 -
McAfee 5699 2009.08.05 -
McAfee+Artemis 5699 2009.08.05 -
McAfee-GW-Edition 6.8.5 2009.08.06 -
Microsoft 1.4903 2009.08.06 -
NOD32 4310 2009.08.05 -
Norman 6.01.09 2009.08.05 -
nProtect 2009.1.8.0 2009.08.06 -
Panda 10.0.0.14 2009.08.05 -
PCTools 4.4.2.0 2009.08.05 -
Prevx 3.0 2009.08.06 High Risk System Back Door
Rising 21.41.31.00 2009.08.06 -
Sophos 4.44.0 2009.08.06 -
Sunbelt 3.2.1858.2 2009.08.05 -
Symantec 1.4.4.12 2009.08.06 -
TheHacker 6.3.4.3.377 2009.08.05 -
TrendMicro 8.950.0.1094 2009.08.06 -
VBA32 3.12.10.9 2009.08.06 -
ViRobot 2009.8.6.1870 2009.08.06 -
VirusBuster 4.6.5.0 2009.08.05 -
weitere Informationen
File size: 229888 bytes
MD5...: 7390dc8e73aa4f210a326b6d224e015c
SHA1..: 405a2bf859141337782b79ede120d60315d6dd25
SHA256: 48d6013217fa4c59abb8ca8a3ce342c3f09c7a00f1042a7cb331a6b1cf1bc299
ssdeep: 6144:qPKjjhZGLJHPYc4SGBPrDD79guSi3RXpcXQ+1y+:qijjhKHgcGBDDD79c2Z
Ib1y
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda's Crypter (33.4%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Win16/32 Executable Delphi generic (2.6%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9bc00
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x65000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x66000 0x36000 0x35e00 7.93 2f72a9b76b370e8b463ba5c442b13a75
.rsrc 0x9c000 0x2000 0x2000 4.36 2d8b599f013e0eb1ff66b5f98bb561ed

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> advapi32.dll: RegCloseKey
> comctl32.dll: ImageList_Add
> gdi32.dll: SaveDC
> oleaut32.dll: VariantCopy
> shell32.dll: SHGetMalloc
> user32.dll: GetDC
> version.dll: VerQueryValueA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX
packers (F-Prot): UPX
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E79388D90061706F821C03F994BB8300F2607770' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E79388D90061706F821C03F994BB8300F2607770</a>
__________________
Alt 06.08.2009, 08:31   #19
sharcy^
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


C:\Programme\HomeCinema\YouCam\LTCLR13n.dll

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.06 -
AhnLab-V3 5.0.0.2 2009.08.05 -
AntiVir 7.9.0.240 2009.08.05 -
Antiy-AVL 2.0.3.7 2009.08.05 -
Authentium 5.1.2.4 2009.08.06 -
Avast 4.8.1335.0 2009.08.06 -
AVG 8.5.0.406 2009.08.05 -
BitDefender 7.2 2009.08.06 -
CAT-QuickHeal 10.00 2009.08.06 -
ClamAV 0.94.1 2009.08.06 -
Comodo 1883 2009.08.06 -
DrWeb 5.0.0.12182 2009.08.06 -
eSafe 7.0.17.0 2009.08.05 -
eTrust-Vet 31.6.6661 2009.08.06 -
F-Prot 4.4.4.56 2009.08.05 -
F-Secure 8.0.14470.0 2009.08.06 -
Fortinet 3.120.0.0 2009.08.06 -
GData 19 2009.08.06 -
Ikarus T3.1.1.64.0 2009.08.06 -
Jiangmin 11.0.800 2009.08.06 -
K7AntiVirus 7.10.811 2009.08.05 -
Kaspersky 7.0.0.125 2009.08.06 -
McAfee 5699 2009.08.05 -
McAfee+Artemis 5699 2009.08.05 -
McAfee-GW-Edition 6.8.5 2009.08.06 -
Microsoft 1.4903 2009.08.06 -
NOD32 4310 2009.08.05 -
Norman 6.01.09 2009.08.05 -
nProtect 2009.1.8.0 2009.08.06 -
Panda 10.0.0.14 2009.08.05 -
PCTools 4.4.2.0 2009.08.05 -
Prevx 3.0 2009.08.06 -
Rising 21.41.31.00 2009.08.06 -
Sophos 4.44.0 2009.08.06 -
Sunbelt 3.2.1858.2 2009.08.05 -
Symantec 1.4.4.12 2009.08.06 -
TheHacker 6.3.4.3.377 2009.08.05 -
TrendMicro 8.950.0.1094 2009.08.06 -
VBA32 3.12.10.9 2009.08.06 -
ViRobot 2009.8.6.1870 2009.08.06 -
VirusBuster 4.6.5.0 2009.08.05 -
weitere Informationen
File size: 1699112 bytes
MD5...: 4ce2bed4685248ac4f50877bb0448d28
SHA1..: 0e3326c56a0d1074608c1ad172223d17342e9d17
SHA256: 9ecef133ab0b3f04abb3a2d9cc788aaafa02a691f778090c639ebfb9f8e906e7
ssdeep: 24576:KpZg9scjWj/old9HJwhCY/FdmNT1IaXnBBBd6KwnGWlc549vfbCCard5Fz
:/BZwhCI0zhgLCCAd5Fz
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1c6a0
timedatestamp.....: 0x3f099845 (Mon Jul 07 15:56:53 2003)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x25690 0x25800 6.65 4780edfb4ecd0791ff841c1b864b3b7c
.rdata 0x27000 0x1f2c 0x2000 5.42 8f37215ba88661bf59f45650270e44cb
.data 0x29000 0x8c14 0x3e00 2.41 f43aa58486f351c4c0dc41a763d0a48a
.rsrc 0x32000 0x16ed60 0x16ee00 6.71 756f7aece5b9ba09ec7608239f1ce7d4
.reloc 0x1a1000 0x2ea6 0x3000 4.53 c4b0afe4f4adce073426d16d4038e78e

( 4 imports )
> KERNEL32.dll: TlsFree, IsBadReadPtr, lstrcpyA, lstrlenA, LockResource, SizeofResource, LoadResource, FindResourceA, MulDiv, CloseHandle, ReadFile, SetFilePointer, GetLastError, CreateFileA, GetStartupInfoA, GetModuleFileNameA, GetFileType, GetLocaleInfoW, SetEndOfFile, RtlUnwind, GetCommandLineA, GetVersion, GetProcAddress, GetModuleHandleA, RaiseException, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, ExitProcess, HeapFree, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, IsBadWritePtr, SetLastError, TlsGetValue, SetHandleCount, GetStdHandle, GetLocaleInfoA, WriteFile, GetCPInfo, GetACP, GetOEMCP, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, WideCharToMultiByte, HeapDestroy, HeapCreate, VirtualFree, FlushFileBuffers, InterlockedDecrement, InterlockedIncrement, HeapAlloc, VirtualAlloc, SetStdHandle, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, LoadLibraryA
> USER32.dll: SetWindowTextA, GetWindowLongA, EndDialog, GetDlgItem, SendMessageA, EnableWindow, DialogBoxParamA, SetWindowLongA
> comdlg32.dll: GetOpenFileNameA
> LTKRN13N.dll: -, -, -, -

( 10 exports )
DllMain, L_ClrConvert, L_ClrConvertDirect, L_ClrConvertDirectToBitmap, L_ClrConvertToBitmap, L_ClrDlg, L_ClrFree, L_ClrInit, L_ClrIsValid, L_ClrSetConversionParams
PDFiD.: -
RDS...: NSRL Reference Data Set

Alt 06.08.2009, 08:34   #20
sharcy^
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


c:\Programme\Prisma\ser...\Prisma Datensicherung.lnk

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.06 Trojan-Spy.Banker!IK
AhnLab-V3 5.0.0.2 2009.08.05 -
AntiVir 7.9.0.240 2009.08.05 -
Antiy-AVL 2.0.3.7 2009.08.05 -
Authentium 5.1.2.4 2009.08.06 -
Avast 4.8.1335.0 2009.08.06 -
AVG 8.5.0.406 2009.08.05 -
BitDefender 7.2 2009.08.06 -
CAT-QuickHeal 10.00 2009.08.06 -
ClamAV 0.94.1 2009.08.06 -
Comodo 1883 2009.08.06 -
DrWeb 5.0.0.12182 2009.08.06 -
eSafe 7.0.17.0 2009.08.05 Suspicious File
eTrust-Vet 31.6.6661 2009.08.06 -
F-Prot 4.4.4.56 2009.08.05 -
F-Secure 8.0.14470.0 2009.08.06 -
Fortinet 3.120.0.0 2009.08.06 -
GData 19 2009.08.06 -
Ikarus T3.1.1.64.0 2009.08.06 Trojan-Spy.Banker
Jiangmin 11.0.800 2009.08.06 -
K7AntiVirus 7.10.811 2009.08.05 -
Kaspersky 7.0.0.125 2009.08.06 -
McAfee 5699 2009.08.05 -
McAfee+Artemis 5699 2009.08.05 -
McAfee-GW-Edition 6.8.5 2009.08.06 -
Microsoft 1.4903 2009.08.06 -
NOD32 4310 2009.08.05 -
Norman 6.01.09 2009.08.05 -
nProtect 2009.1.8.0 2009.08.06 -
Panda 10.0.0.14 2009.08.05 -
PCTools 4.4.2.0 2009.08.05 -
Prevx 3.0 2009.08.06 High Risk System Back Door
Rising 21.41.31.00 2009.08.06 -
Sophos 4.44.0 2009.08.06 -
Sunbelt 3.2.1858.2 2009.08.05 -
Symantec 1.4.4.12 2009.08.06 -
TheHacker 6.3.4.3.377 2009.08.05 -
TrendMicro 8.950.0.1094 2009.08.06 -
VBA32 3.12.10.9 2009.08.06 -
ViRobot 2009.8.6.1870 2009.08.06 -
VirusBuster 4.6.5.0 2009.08.05 -
weitere Informationen
File size: 229888 bytes
MD5...: 7390dc8e73aa4f210a326b6d224e015c
SHA1..: 405a2bf859141337782b79ede120d60315d6dd25
SHA256: 48d6013217fa4c59abb8ca8a3ce342c3f09c7a00f1042a7cb331a6b1cf1bc299
ssdeep: 6144:qPKjjhZGLJHPYc4SGBPrDD79guSi3RXpcXQ+1y+:qijjhKHgcGBDDD79c2Z
Ib1y
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda's Crypter (33.4%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Win16/32 Executable Delphi generic (2.6%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9bc00
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x65000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x66000 0x36000 0x35e00 7.93 2f72a9b76b370e8b463ba5c442b13a75
.rsrc 0x9c000 0x2000 0x2000 4.36 2d8b599f013e0eb1ff66b5f98bb561ed

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> advapi32.dll: RegCloseKey
> comctl32.dll: ImageList_Add
> gdi32.dll: SaveDC
> oleaut32.dll: VariantCopy
> shell32.dll: SHGetMalloc
> user32.dll: GetDC
> version.dll: VerQueryValueA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX
packers (F-Prot): UPX
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E79388D90061706F821C03F994BB8300F2607770' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E79388D90061706F821C03F994BB8300F2607770</a>


Alt 06.08.2009, 09:52   #21
Chris4You
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


Hi,
die Files
Code:
ATTFilter
c:\Programme\Prisma\ser...\Prisma Datensicherung.lnk
und
c:\optikkopie\system\pbackup.exe
wie folgt umbenennen:
hänge jeweils ein .vir an -> pbackup.exe.vir und Prisma Datensicherung.lnk.vir

Was macht der Rechner?

chris
__________________
--> Laptop im Schneckentempo - mit Logfile

Alt 07.08.2009, 09:47   #22
sharcy^
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


Hi again,

danke fuer Deine weiteren Tips.

Erst konnte ich manches nicht durchfuehren, doch nachdem 'Advanced Windowscare Professional' gelaufen war, lief endlich Checkdisk wieder und ich kam auch wieder in den abgesicherten Modus - juchu. Dort habe ich die volle Phalanx an Viren,- Spy- und Malwareproggies nochmal drueberlaufen lassen und es wurde nochmal einiges gefunden und entfernt.

Nun funktioniert auch GMER, und das Logfile ist untenan.

Die beiden Dateien habe ich umbenannt, jedoch wurden sie von keinem der Programme entfernt...tauchten aber auch nicht mehr in der Liste der befallenen Dateien auf.


Ansonsten laeuft der Rechner gefuehlsmaessig viel schneller, wenn auch meiner Meinung nicht so schnell, wie das System laeufen sollte... (fast 2 min fuer vollen Bootvorgang, und es ist weder viel installiert noch viel im Autostart) doch Programme starten ausreichend schnell und alles laeuft fluessig, womit ich mal zufrieden bin - es sei denn, Du findest in dem Logfile unten noch eine Hiobsbotschaft oder hast noch mehr Tips auf Lager, was ich einfach mal prophilaktisch versuchen koennte.


Ich sag auf jeden Fall mal VIELEN VIELEN DANK fuer all die Tips, Geduld und Log-Leserei

Olly




GMER 1.0.15.15011 [j83xfxw1.exe] - http://www.gmer.net
Rootkit scan 2009-08-07 08:39:11
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xA34451DA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xA34457AE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xA34471EA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xA3446B9C]
SSDT A33A2FC6 ZwCreateKey
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xA3448B7C]
SSDT A33A2FBC ZwCreateThread
SSDT A33A2FCB ZwDeleteKey
SSDT A33A2FD5 ZwDeleteValueKey
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xA3446EAC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xA3449084]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xA34450A8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xA3445110]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xA3446D5E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xA3448620]
SSDT A33A2FDA ZwLoadKey
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xA34469F8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xA3444AB2]
SSDT A33A2FA8 ZwOpenProcess
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xA3448BA6]
SSDT A33A2FAD ZwOpenThread
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xA3445178]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xA3444E7C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xA3444C5A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xA3448888]
SSDT A33A2FE4 ZwReplaceKey
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xA3447A74]
SSDT A33A2FDF ZwRestoreKey
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xA3448F56]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xA34443D0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xA344708C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xA34456AC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xA344871A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xA3448BD0]
SSDT A33A2FD0 ZwSetValueKey
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xA3448CB4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xA3448DE0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xA344854C]
SSDT A33A2FB7 ZwTerminateProcess
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xA34454F0]

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF84 5 Bytes JMP A345C626 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EF912 5 Bytes JMP A345C9E0 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!ZwCallbackReturn + 2C40 805044DC 4 Bytes JMP 7CA34471
.text ntkrnlpa.exe!ZwCallbackReturn + 2FB8 80504854 12 Bytes [B4, 8C, 44, A3, E0, 8D, 44, ...]

---- User code sections - GMER 1.0.15 ----

? C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[728] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[728] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
? C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[1108] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[1108] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
? C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[2632] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[2632] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
.text C:\WINDOWS\system32\SearchIndexer.exe[4036] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [B97FA670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [B97FA670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\Explorer.EXE[780] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [02EC2EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[780] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [02EC2C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[780] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [02EC2C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[780] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [02EC2C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----

Alt 08.08.2009, 12:27   #23
Chris4You
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


Hi,

ein bisschen viele Kopien des MBRs, die GMER da anzeigt, daher:

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:
Zitat:
D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 10.08.2009, 13:37   #24
sharcy^
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


Hi again,

und danke fuer den erneuten Tip.

Der Laptop ist weiterhin eher lahm, aber die MBR Prüfung war wohl erfolglos, soweit ich das sagen kann. Hier er Inhalt vom Log.

'Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK'


noch Ideen??

Alt 10.08.2009, 13:53   #25
Chris4You
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


Hi,

was hat den Chkdsk ergeben?

Sonst kontrolliere mal welche Prozesse wieviel Rechenzeit verbraten:
http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx

Kühlerventilatoren etc. laufen aber schon (nicht das die CPU runtergetaktet wird)...
http://winfuture.de/news,21574.html

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 10.08.2009, 15:21   #26
sharcy^
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


Hi,

also Checkdisk läuft schnell durch ohne irgendwas zu melden. Auch die vorhandenen Ressourcen werden ausgenutzt und nichts heruntergetaktet...

Hab auch nochmal die ganzen Scanner drüber laufen lassen und sie finden nichts....das System läuft seit etwa 18 Monaten, vielleicht auch deshalb einfach etwas lahm...was hältst Du davon, die Kiste zu formatieren? Davor natürlich nochmal genau überprüfen, damit auch keine Schädlinge mit rüber genommen werden.

Wäre kein großer Act.

Alt 11.08.2009, 09:40   #27
Chris4You
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


Hi,

formatieren (Neuaufsetzen) ist eh die beste aller Möglichkeiten.
Sicherstellen dass alle erforderlichen Treiber (kann bei Notebooks zum Problem werden!) vorhanden sind bzw. eine passende Betriebssystem (Recover)- CD zur Verfügung steht...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 20.08.2009, 04:20   #28
sharcy^
 
Laptop im Schneckentempo - mit Logfile - Standard

Laptop im Schneckentempo - mit Logfile


Hi nochmal Chris,

wollte mich noch bedanken fuer die vielen Tips ins Tricks, die Du mir gegeben hast. Am Ende habe ich den Laptop formatiert in Win7 aufgesetzt, jetzt laeuft alles spitze.

Dank und Gruss,
Olly

Antwort
Seite 2 von 2 1 2

Themen zu Laptop im Schneckentempo - mit Logfile
abgesicherten modus, add-on, antivir, antivir guard, avira, avp, avp.exe, bho, desktop, extrem langsam, festplatte, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, langsam, lenovo, logfile, menu.exe, mozilla, object, plug-in, registry, rundll, senden, server, software, starten., thinkvantage registry monitor service, toolbars, trojaner gefunden, windows, windows xp


« Ein Trojaner auf dem PC und keine Ahnung davon | HiJackThis von Recedit - Herzlichen Dank »


Ähnliche Themen: Laptop im Schneckentempo - mit Logfile


  1. WIN7 Laptop extrem langsam; FRST#1 logfile im Post
    Plagegeister aller Art und deren Bekämpfung - 12.04.2015 (16)
  2. logfile von Acer Laptop
    Log-Analyse und Auswertung - 30.06.2013 (21)
  3. Polizeivirus auf meinem LapTop - Logfile erstellt - wie weiter?
    Log-Analyse und Auswertung - 25.11.2012 (2)
  4. Laptop wird unertraeglich langsam - Logfile
    Log-Analyse und Auswertung - 02.03.2012 (1)
  5. Dateivolumenüberprüfung, Netzwerkprobleme + Schneckentempo hoch 10! - Virus eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 01.03.2012 (1)
  6. Internet langsam, Seitenaufbau im Schneckentempo, Verdacht auf Virus oder Trojaner
    Log-Analyse und Auswertung - 25.01.2011 (35)
  7. HiJackThis LogFile - Virus auf dem Laptop?
    Log-Analyse und Auswertung - 28.05.2010 (4)
  8. Schneckentempo
    Log-Analyse und Auswertung - 03.06.2009 (5)
  9. Hilfe beim Laptop,Logfile
    Mülltonne - 08.10.2008 (0)
  10. Laptop auch infiziert, Logfile nach Malwarebytes Anti Malware
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (9)
  11. Wurm - und nun Schneckentempo
    Mülltonne - 07.06.2008 (0)
  12. Laptop logfile check plz
    Mülltonne - 16.12.2007 (0)
  13. Seitenaufbau im Internet wie im Schneckentempo
    Log-Analyse und Auswertung - 06.01.2007 (3)
  14. Logfile von meinem Laptop
    Log-Analyse und Auswertung - 02.08.2005 (1)
  15. Laptop fährt nicht mehr sauber runter (Hijack Logfile)
    Log-Analyse und Auswertung - 20.03.2005 (10)
  16. Laptop startet extrem langsam; logfile anbei...
    Log-Analyse und Auswertung - 10.02.2005 (3)
  17. Internet im schneckentempo
    Plagegeister aller Art und deren Bekämpfung - 28.10.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Laptop im Schneckentempo - mit Logfile - Hier noch der Screenshot aus PrevX http://www.pic-upload.de/view-2743124/prevx.jpg.html - Laptop im Schneckentempo - mit Logfile...
Archiv
Du betrachtest: Laptop im Schneckentempo - mit Logfile auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129