![]() |
|
Plagegeister aller Art und deren Bekämpfung: Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #16 |
![]() ![]() ![]() | ![]() GMER-log Hallo, nachdem ich alle Daten auf 13 DVDs gesichert habe (externe Festplatten sind hier in Russland wahnsinnig teuer), konnte ich nun endlich GMER durchlaufen lassen. Beim ersten Versuch wollte ich die Laufwerke C und D durchsuchen lassen, doch nach 40 Min. hat sich Windows nach einem schwerwiegenden Systemfehler neugestartet. Daraufhin habe ich dann GMER nur C durchsuchen lassen, was relativ schnell ging und mir folgenden Log ausgespuckt hat (leider mit Rootkit-Fund ![]() Code:
ATTFilter GMER 1.0.15.15077 [wqew7rip.exe] - h**p://www.gmer.net Rootkit scan 2009-09-03 14:17:16 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- SSDT F8C57EAE ZwCreateKey SSDT F8C57EA4 ZwCreateThread SSDT F8C57EB3 ZwDeleteKey SSDT F8C57EBD ZwDeleteValueKey SSDT F8C57EC2 ZwLoadKey SSDT F8C57E90 ZwOpenProcess SSDT F8C57E95 ZwOpenThread SSDT F8C57ECC ZwReplaceKey SSDT F8C57EC7 ZwRestoreKey SSDT F8C57EB8 ZwSetValueKey SSDT F8C57E9F ZwTerminateProcess ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wfccfw <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2? Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@DisplayName System Helper Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@Type 32 Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@ObjectName LocalSystem Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@Description ????????????? ????????? ???????, ????? ??? ??????????? ? Windows, ? ???? ? ????????? ? ?????? ??????????????. ?????????? ??????????? ?? ??????? ''COM+ ????????? ???????'', ???????? ??????????. Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw\Parameters@ServiceDll C:\WINDOWS\system32\sqccyf.dll Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2? Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@DisplayName System Helper Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@Type 32 Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@Start 2 Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@Description ????????????? ????????? ???????, ????? ??? ??????????? ? Windows, ? ???? ? ????????? ? ?????? ??????????????. ?????????? ??????????? ?? ??????? ''COM+ ????????? ???????'', ???????? ??????????. Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw\Parameters@ServiceDll C:\WINDOWS\system32\sqccyf.dll ---- EOF - GMER 1.0.15 ---- Danke fuer die Hilfe! Sonja |
Themen zu Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? |
.dll, 0 bytes, abgesicherten modus, adware, antiviren-programm, avira, check, csrss.exe, desktop, entfernen, explorer.exe, file, frage, free, keine funde, logon.exe, lsass.exe, moved, neustart, nicht sicher, nt.dll, prozesse, realplayer, services.exe, spyware, svchost.exe, taskmanager, trojaner, virus, warning, windows system, windows-update, winlogon.exe, zu lang |