Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.08.2009, 10:48   #1
Addan
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Daumen runter

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



Hallo, ich habe heute mir einen/oder mehrere böse Trojaner eingefangen!
Mein Kaspersky Internet Security 2010 zeigt mir immer eine Warnung über einen Trojaner, wenn ich: IE,Paint,MSN,Malwarebytes usw. öffne, eigentlich bei fast ALLEN .exe dateien, nur das bei manchen die Warnung "Potentiell gefährliches Programm". erscheint.
Es öffnet sich auch ab und zu die Meldung:
Zitat:
"Potenziell gefährliches Programm"
Es wurde eine potentiell gefährliche Veränderung eines Programms erkannt Generic Host Process for Win32 Services zuvor in der Gruppe "Stark beschränkt".
Das Programm besitzt keine digitale Signatur.
Vertrauen Sie diesem Programm?

Was ich beobachtet habe bei der ".exe Warnung" ist immer:
Zitat:
Zugriff auf die C:\WINDOWS\system32\WINLOGON.EXE. Sie enthält: trojanisches Programm Trojan.Win32.Patched.aa.

Was ich auch bemerkt habe, wie schon in einem vorherigen Thread hier im Trojaner-Board hab ich im Task-Manager bei "Prozesse" die b.exe .


Aja und die Festplatten lassen sich nicht "normal" durch doppelklick öffnen weil da immer die Meldung :Öffnen mit ,kommt (muss mit Rechtsklick Explorer machen). Dieses Problem aber hab ich schon seit längerem.


PS. Kaspersky blockt vieles durch den Virus, dass man nichts öffnen kann, aber wenn ich ihn deaktiviere kann man alles normal öffnen.


Bitte um Hilfe, liebe Trojaner-Board Community!

Mit freundlichen Grüßen!
Addan


Alt 30.08.2009, 10:53   #2
raman
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an




Da hat eine Malware deine Systemdatei(en) gepatcht/veraendert.
Das ist in dem Sinne verhaengnissvoll, da du die Winlogon.exe nicht loeschen darfst, da der Rechner dann nicht mehr startet und wenn du die Malwaredatei loeschst, die durch die gepatchte winlogon.exe gestartet werden soll, erleidet dein Rechner das selbe Schicksal.

Frage ist, moechtest du den Rechner lieber gleich neuaufsetzen, oder bevorzugst du eine Reinigung? In beiden Faellen ist trotzdem eine Datensicherung ratsam.

Solltest du reinigen bevorzugen, lies das bitte durch, arbeite die Programme unter 2. ab und poste die entsprechenden Reporte. Lasse4 Mbam nur pruefen, nicht reinigen!
http://www.trojaner-board.de/69886-a...-beachten.html

Nachtrag: Ein GMER Report waere auch ratsam
__________________

__________________

Alt 30.08.2009, 12:11   #3
Addan
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



So hier ist mal der Malwarebytes' Log...
Weitere Logs von anderen Programmen kommen noch!

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2713
Windows 5.1.2600 Service Pack 3

30.08.2009 13:02:50
mbam-log-2009-08-30 (13-02-45).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 301004
Laufzeit: 25 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{acc358bf-0669-f215-b5da-4aae9ff7af31} (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\poxcrydolnvw (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Monopod (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\***\vovxbt.exe (Backdoor.Tofsee) -> No action taken.
C:\Dokumente und Einstellungen\***\Desktop\KEYGEN2.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\rsyncini.exe (Trojan.Shutdowner) -> No action taken.
C:\WINDOWS\system32\csc.dll (Trojan.Downloader) -> No action taken.
C:\autorun.inf (SuspectAutorun.Rootdrive.H) -> No action taken.
C:\WINDOWS\system32\kr_done1 (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\msb.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\b.exe (Trojan.FakeAlert) -> No action taken.
         
__________________

Alt 30.08.2009, 12:35   #4
Addan
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



Hab RSIT jetzt auch gemacht.
Die Log Datei ist leider zu lang zum posten...
Ich hänge mal beide Dateien an... (log&info)

Irgendwas ist da auch nicht in Ordnung man kanns am Anfang der LOG Datei sehen! "HijackThis download failed".

Ich mache auch gleich den GMER Report

LG Addan
Angehängte Dateien
Dateityp: txt log.txt (31,2 KB, 572x aufgerufen)
Dateityp: txt info.txt (18,8 KB, 452x aufgerufen)

Alt 30.08.2009, 13:00   #5
raman
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



War das der Ausgang der Infektion?
KEYGEN2.exe

Da bei dir auch einiges an Backdoor Programmen aktiv ist, solltest du das Neuaufsetzen ochmal ueberdenken und dich hier durchlesen:
http://www.trojaner-board.de/75622-d...ittierung.html

Solltest du nach wie vor reinigen wollen, gehts mit Combofix weiter:

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

__________________
MfG Ralf

Alt 30.08.2009, 13:30   #6
Addan
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



KEYGEN2 ist es 100% nicht, es ist eine vertraute .exe die ich schon über 1 Jahr benutze...
Ich will weiter bereinigen und ja ich mache gerade GMER.
Werde dannach auch den Combofix machen...
Ich glaube ich weiß auch von wo ich den Virus habe...
Wenn du willst kann ich dir dann den Link Privat schicken (wenn du dich so mit Viren und so auskennst...)

Zitat:
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Ich hoffe das trifft da jetzt nicht zu...
weil das ja nicht meine Frage / Problem ist...

PS. Ich schreibe von einem anderen PC... es rennt hier nicht die GMER

LG

Alt 30.08.2009, 13:53   #7
raman
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



Den Link kannst du mir gerne schicken und die keygen2.exe kannst du, wenn du willst hier hochladen...
http://www.trojaner-board.de/54791-a...ner-board.html

Leg den GMER Report noch nach
__________________
MfG Ralf

Alt 30.08.2009, 14:04   #8
Addan
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



GMER Log

Code:
ATTFilter
GMER 1.0.15.15077 [tw6dupgv.exe] - http://www.gmer.net
Rootkit scan 2009-08-30 14:47:22
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwAdjustPrivilegesToken [0xB7F7236E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwClose [0xB7F72A86]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwConnectPort [0xB7F7360C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwCreateEvent [0xB7F73B40]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwCreateFile [0xB7F72D78]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwCreateKey [0xB7F71460]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwCreateMutant [0xB7F73A18]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwCreateNamedPipeFile [0xB7F70D0A]
SSDT            a347bus.sys (Plug and Play BIOS Extension/ )                                                                 ZwCreatePagingFile [0xBA780B00]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwCreatePort [0xB7F738D4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwCreateSection [0xB7F72102]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwCreateSemaphore [0xB7F73C72]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwCreateSymbolicLinkObject [0xB7F7540E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwCreateThread [0xB7F72886]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwCreateWaitablePort [0xB7F73976]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwDeleteKey [0xB7F71A20]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwDeleteValueKey [0xB7F71CF8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwDeviceIoControlFile [0xB7F7321C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwDuplicateObject [0xB7F75980]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwEnumerateKey [0xB7F71E3A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwEnumerateValueKey [0xB7F71EE4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwFsControlFile [0xB7F73016]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwLoadDriver [0xB7F74EA6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwLoadKey [0xB7F7143C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwLoadKey2 [0xB7F7144E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwNotifyChangeKey [0xB7F72030]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwOpenEvent [0xB7F73BE2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwOpenFile [0xB7F72B08]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwOpenKey [0xB7F71604]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwOpenMutant [0xB7F73AB0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwOpenProcess [0xB7F7256E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwOpenSection [0xB7F75438]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwOpenSemaphore [0xB7F73D14]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwOpenThread [0xB7F72492]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwQueryKey [0xB7F71F8E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwQueryMultipleValueKey [0xB7F71BB6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwQueryValueKey [0xB7F718BC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwQueueApcThread [0xB7F75128]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwRenameKey [0xB7F71B34]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwReplaceKey [0xB7F710C2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwReplyPort [0xB7F7409E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwReplyWaitReceivePort [0xB7F73F64]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwRequestWaitReplyPort [0xB7F74C30]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwRestoreKey [0xB7F71224]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwResumeThread [0xB7F75860]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwSaveKey [0xB7F70EC4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwSecureConnectPort [0xB7F73312]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwSetContextThread [0xB7F72984]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwSetInformationToken [0xB7F745F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwSetSecurityObject [0xB7F74FA0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwSetSystemInformation [0xB7F754C2]
SSDT            a347bus.sys (Plug and Play BIOS Extension/ )                                                                 ZwSetSystemPowerState [0xBA78C550]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwSetValueKey [0xB7F71744]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwSuspendProcess [0xB7F755A6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwSuspendThread [0xB7F756D2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwSystemDebugControl [0xB7F74DD2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwTerminateProcess [0xB7F726EA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwTerminateThread [0xB7F7263C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        ZwWriteVirtualMemory [0xB7F727C8]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                        IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!FsRtlCheckLockForReadAccess                                                                     804EAF74 5 Bytes  JMP B7F67424 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text           ntkrnlpa.exe!IoIsOperationSynchronous                                                                        804EF902 5 Bytes  JMP B7F677DE \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text           ntkrnlpa.exe!ZwCallbackReturn + 2C70                                                                         805044FC 16 Bytes  [18, 3A, F7, B7, 0A, 0D, F7, ...]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2C8C                                                                         80504518 16 Bytes  [02, 21, F7, B7, 72, 3C, F7, ...] {ADD AH, [ECX]; DIV DWORD [EDI-0x4808c38e]; PUSH CS; PUSH ESP; DIV DWORD [EDI-0x4808d77a]}
.text           ntkrnlpa.exe!ZwCallbackReturn + 2D48                                                                         805045D4 12 Bytes  [A6, 4E, F7, B7, 3C, 14, F7, ...]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2EC4                                                                         80504750 16 Bytes  [34, 1B, F7, B7, C2, 10, F7, ...] {XOR AL, 0x1b; DIV DWORD [EDI-0x4808ef3e]; SAHF ; INC EAX; DIV DWORD [EDI-0x4808c09c]}
.text           ntkrnlpa.exe!ZwCallbackReturn + 2FB8                                                                         80504844 12 Bytes  [A6, 55, F7, B7, D2, 56, F7, ...]
.text           ...                                                                                                          

---- User code sections - GMER 1.0.15 ----

.rsrc           C:\WINDOWS\system32\svchost.exe[776] C:\WINDOWS\system32\svchost.exe                                         section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc           C:\WINDOWS\System32\svchost.exe[788] C:\WINDOWS\System32\svchost.exe                                         section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc           C:\WINDOWS\system32\svchost.exe[1028] C:\WINDOWS\system32\svchost.exe                                        section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc           C:\WINDOWS\system32\winlogon.exe[1624] C:\WINDOWS\system32\winlogon.exe                                      section is executable [0x01077000, 0xC000, 0x60000060]
.rsrc           C:\WINDOWS\system32\winlogon.exe[1624] C:\WINDOWS\system32\winlogon.exe                                      entry point in ".rsrc" section [0x01082000]
.rsrc           C:\WINDOWS\system32\services.exe[1696] C:\WINDOWS\system32\services.exe                                      section is executable [0x0101B000, 0x2000, 0x60000060]
.rsrc           C:\WINDOWS\system32\services.exe[1696] C:\WINDOWS\system32\services.exe                                      entry point in ".rsrc" section [0x0101C000]
.rsrc           C:\WINDOWS\system32\svchost.exe[1928] C:\WINDOWS\system32\svchost.exe                                        section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc           C:\WINDOWS\system32\svchost.exe[1976] C:\WINDOWS\system32\svchost.exe                                        section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc           C:\WINDOWS\system32\svchost.exe[2044] C:\WINDOWS\system32\svchost.exe                                        section is executable [0x01005000, 0x2000, 0x60000060]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                                      [BA0C9670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                                      [BA0C9670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe[1412] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExA]    [004167F7] C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe
IAT             C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe[1412] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExW]    [00416871] C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe
IAT             C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe[1412] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!ShowWindow]         [004168EB] C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe
IAT             C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe[1412] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!SetWindowPos]     [0041699D] C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe
IAT             C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe[1412] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!CreateWindowExW]  [00416871] C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe
IAT             C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe[1412] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExA]  [004167F7] C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe
IAT             C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe[1412] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExW]  [00416871] C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe
IAT             C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe[1412] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowPos]     [0041699D] C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe
IAT             C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe[1412] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!ShowWindow]       [004168EB] C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe
IAT             C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe[1412] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!CreateWindowExW]  [00416871] C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe
IAT             C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe[1412] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!ShowWindow]       [004168EB] C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe
IAT             C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe[1412] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!SetWindowPos]     [0041699D] C:\DOKUME~1\Adrian\LOKALE~1\Temp\b.exe

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                       8A5747A0

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                     kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                    kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device          \Driver\Cdrom \Device\CdRom0                                                                                 8A1E29A0
Device          \FileSystem\Rdbss \Device\FsWrap                                                                             8A1F7AD8
Device          \Driver\Cdrom \Device\CdRom1                                                                                 8A1E29A0
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                  8A19D3F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                           8A19D3F8
Device          \Driver\atapi \Device\Ide\IdePort1                                                                           8A19D3F8
Device          \Driver\atapi \Device\Ide\IdePort2                                                                           8A19D3F8
Device          \Driver\atapi \Device\Ide\IdePort3                                                                           8A19D3F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-19                                                                 8A19D3F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e                                                                  8A19D3F8
Device          \FileSystem\Srv \Device\LanmanServer                                                                         89D4BB78

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                    kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                  kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                            8A1A9AE0
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                  8A1A9AE0
Device          \FileSystem\Npfs \Device\NamedPipe                                                                           8A1E5A08
Device          \FileSystem\Msfs \Device\Mailslot                                                                            8A1D4C18
Device          \Driver\a347scsi \Device\Scsi\a347scsi1Port4Path0Target0Lun0                                                 8A17DE28
Device          \Driver\a347scsi \Device\Scsi\a347scsi1                                                                      8A17DE28
Device          \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer                                                           8A1B75B8
Device          \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer                                                            8A1B75B8
Device          \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer                                                                8A1B75B8
Device          \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer                                                             8A1B75B8
Device          \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer                                                            8A1B75B8
Device          \FileSystem\Cdfs \Cdfs                                                                                       8A220CA0

---- Modules - GMER 1.0.15 ----

Module          _________                                                                                                    BA6E2000-BA6FA000 (98304 bytes)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40                                                
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                        
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION                         FBC33696BB742647BB3090CC74D4B4AED6431825958EC86E01F0CA12FB82D7BB5052CDEDD8667F2958584064F1F44854111A6EEF38483A2F0FA14EE41F33C0CB0E5CC888D6AEE146C609D6BBC4DABF2E1BC370FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A9C6AECB7A5D14075D575E7D6A3B9808A6171C11EC38DE3D561DC3EBB407FCC3E58D6D88FE979A332B2D98BD30AE83EE1230DF206568804C1D89EEA2EBE813F414EB7B9F2E8085DEC01F5D2ABC28F9FCB517A2B2DCC99153A8EE46FDA95527CEE1A06CE64A2C10F5311BAB74B2DA78E279A0F3BDF59D468DCD76F61FA8BA0F6D9BE7293DD5AD2163E0935059FC9C98767C10A07B279E07DC83D96DDC0B5B26E0301063B4BBEB2583D98EDC496E1977027FC2BC564CDFC099E3E8DB3FD14CCBAC347F0C9347A08A28C82224663D50B4436AA519EF22C4E60EAD07B884E576E0C8DFAE5C54A8DBC5157E7FBD080116746DC4BA531DCC06EDF944AABE9D911ACEA28DA74E27F4FE4E83EF66863BB89260A63E1844E5D030CF0FAEE0EAB105C67D98BE8CA0ECA341A0A0B52B9E3E44C1A507286A11061AA50A751747809853635C7F9611D73D132EBB0E8CB76A84EAF1731E78EB1CEF76991EC6CC91056174295E9E5DFDB9E1012423E0D58992B6D448006DC8F10FC61
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName  Alcohol 120% (Trial Version)
Reg             HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName                        Alcohol 120% (Trial Version)

---- EOF - GMER 1.0.15 ----
         

Alt 30.08.2009, 14:10   #9
raman
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



Dann bitte der CF Report
__________________
MfG Ralf

Alt 30.08.2009, 14:32   #10
Addan
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



Ok, aber es gibt ein kleines Problem, die Seite mit dem Tutorium zu Combofix geht bei mir nicht: Fehler: Verbindung fehlgeschlagen (Mozilla)
Aber ich denke mal das was du mir hier aufgeschrieben hast wird wohl das wichtigste sein...
Zitat:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

Der Download geht aber... ich werds mal machen so wie du es beschrieben hast.

Alt 30.08.2009, 15:18   #11
Addan
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



So jetzt gibts aber ein großes Problem...
Ich hab ComboFix gestartet alles wie dus beschrieben hast...
Dann musste ich irgendwas bei ComboFix runterladen, weil ich kein Systemwiederherstellungs Modul oder so was hatte...
Es hat sich selber runtergeladen, dann kam eine Meldung erfolg oder so was raus... und ja ComboFix beginnt zu arbeiten...
Er macht alles dann nach einer Zeit startet er den PC neu, und bis dahin war noch alles ok... dann beim Starten kommt das "Willkommen" -Fenster dann verschwindet es, so wie immer und dann kommt mein Desktop Hintergrund und es bleibt einfach so die ganze Zeit... keine Ordner... keine "Liste" da unten mit "Start" und so weiter... jetzt habe ich den Windows Task Manager an gemacht und bei Neuer Task: Desktop eingegeben es kommt ein Fenster mit Öffnen mit... und ja es geht nichts... hab Mozilla ausgewählt und hab Internet...

Ist mein PC jetzt durch ComboFix "total kaputt" ??
Was SOLL ich MACHEN?

Alt 30.08.2009, 15:45   #12
raman
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



Du musst beim "Taskmanager/neuer Task"
explorer
eingeben und enter druecken...
__________________
MfG Ralf

Alt 30.08.2009, 16:18   #13
Addan
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



Habs das auch vorher schon versucht, aber es kommt eine Fehlermeldung...
Code:
ATTFilter
"explorer" konnte nicht gefunden werden.Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.
         
Ist mein PC jetzt "total kaputt" ?

Alt 30.08.2009, 16:23   #14
raman
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



schaue, ob du unter c:\windows die Datei explorer.exe finden kannst und starte sie
__________________
MfG Ralf

Alt 30.08.2009, 16:40   #15
Addan
 
Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Standard

Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an



Gibts nicht
Was jetzt

Antwort

Themen zu Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an
bitte um hilfe, dateien, explorer, festplatte, generic, generic host, generic host process, gruppe, internet, internet security, internet security 2010, kaspersky, kis, logon.exe, malwarebytes, msn, problem, programm, prozesse, rechtsklick, security, system, system32, task-manager, trojaner, trojaner eingefangen, trojaner-board, trojanisches programm, virus, warnung, win32, windows, winlogon.exe, öffnet



Ähnliche Themen: Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an


  1. Seit 2 Tagen findet Avira AntiVir überall Viren und Trojaner. Tr Dropper.Gen hauptsächlich
    Plagegeister aller Art und deren Bekämpfung - 19.02.2014 (25)
  2. Überall Werbung...Trojaner?
    Log-Analyse und Auswertung - 01.09.2013 (3)
  3. Trojaner überall Trojaner
    Log-Analyse und Auswertung - 11.07.2012 (3)
  4. UKASH, Bundespolizei wird von Scans nicht erkannt, zeigt aber (fast) alle Symptome
    Plagegeister aller Art und deren Bekämpfung - 25.06.2012 (11)
  5. Windows verschlüsselungs trojaner fast wieder behoben ;-)
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (9)
  6. nochmal skype/facebook trojaner :( pc fast tot..
    Plagegeister aller Art und deren Bekämpfung - 12.09.2010 (21)
  7. Trojaner-Angriffe fast nur noch über legitime Webseiten
    Nachrichten - 30.06.2010 (0)
  8. Automatische Webverschlüsselung für (fast) überall
    Nachrichten - 18.06.2010 (0)
  9. TM erkennt rootkit im KIS2010 ordner. flase positive?
    Mülltonne - 07.04.2010 (4)
  10. Trojaner vundo Befall: firefox zeigt nur weiße Seite an + weitere Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.01.2010 (6)
  11. Trojaner legen mein Internet fast lahm
    Log-Analyse und Auswertung - 25.01.2009 (0)
  12. Hilfäää überall trojaner
    Mülltonne - 01.10.2008 (2)
  13. Auf einmal überall Trojaner, bitte um Hilfe
    Log-Analyse und Auswertung - 23.07.2008 (1)
  14. Rechner komplett infiziert - Überall Viren sogutwie alles Trojaner
    Plagegeister aller Art und deren Bekämpfung - 03.02.2008 (4)
  15. Trojaner überall jetzt schnell und einfach aufgedeckt!
    Plagegeister aller Art und deren Bekämpfung - 17.01.2008 (1)
  16. trojaner überall
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (9)
  17. Bitte um Hilfe - Ports geblocked, Trojaner überall
    Log-Analyse und Auswertung - 19.09.2004 (9)

Zum Thema Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an - Hallo, ich habe heute mir einen/oder mehrere böse Trojaner eingefangen! Mein Kaspersky Internet Security 2010 zeigt mir immer eine Warnung über einen Trojaner, wenn ich: IE,Paint,MSN,Malwarebytes usw. öffne, eigentlich bei - Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an...
Archiv
Du betrachtest: Trojaner:KIS2010 zeigt fast ÜBERALL Trojaner an auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.