| |
| |||||||
Log-Analyse und Auswertung: Internetzugang Missbruacht durch Virus, spam und FehlermeldungenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
18.12.2009, 15:25
| #1 |
 |  Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Ich habe eine Xp boot Cd. Leider geht combofix zurzeit nicht und ist nicht verfüg bar. Soll ich warten bis es wieder verfügbar ist oder schon die anderen schritte druchgehen? |
|
18.12.2009, 21:14
| #2 |
  | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi,
__________________lasse Combofix erstmal weg und verfahre wie vorgeschlagen (mbr /f) und Dr. Web (der kann auch mit dem rootkit umgehen)... CF ist wegen Problemen mit diesem netten Teil offline... Die XP-CD brauchen wir, um gff. von der zu booten und die notwendigen Dateien von der CD auf den Rechner kopieren zu können (atapi.sys und svchost.exe)... Wenn Dr. Web nicht weiterkommt... Poste auf jeden Fall den Log von Dr. Web... chris
__________________ |
|
21.12.2009, 22:25
| #3 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Combofix log:
__________________Code:
ATTFilter ComboFix 09-12-20.08 - Simon 21.12.2009 21:46:13.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1701 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Simon\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\system32\dllcache\atapi.sys wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\drivers\ndis.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\ndis.sys wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2009-11-21 bis 2009-12-21 ))))))))))))))))))))))))))))))
.
2009-12-11 14:59 . 2009-12-11 14:59 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Yahoo!
2009-12-09 14:16 . 2009-12-09 14:16 77312 ----a-w- c:\dokumente und einstellungen\Simon\mbr.exe
2009-12-07 20:44 . 2009-12-07 20:44 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-07 20:44 . 2009-12-07 20:44 -------- d-----w- c:\programme\DVDVideoSoft
2009-12-04 18:13 . 2009-12-04 18:13 -------- d-----w- C:\rsit
2009-12-04 14:47 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-04 14:47 . 2009-12-04 14:47 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-04 14:47 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-02 13:12 . 2009-12-02 13:12 212224 -c--a-w- c:\windows\system32\dllcache\ndis.sys
2009-12-02 13:09 . 2009-12-02 13:09 -------- d-----w- c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\TouchStoneSoftware
2009-11-30 00:02 . 2008-10-21 18:22 276443 ----a-w- c:\windows\Scheduler.exe
2009-11-29 14:42 . 2009-11-29 14:42 -------- d-----w- c:\programme\Phoenix Technologies
2009-11-29 14:20 . 2009-11-29 14:20 -------- d-----w- c:\windows\system32\wbem\Repository
2009-11-27 15:48 . 2009-11-29 14:19 -------- d-----w- c:\programme\Ontrack
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-21 21:09 . 2001-08-23 12:00 84326 ----a-w- c:\windows\system32\perfc007.dat
2009-12-21 21:09 . 2001-08-23 12:00 458822 ----a-w- c:\windows\system32\perfh007.dat
2009-12-21 20:39 . 2004-08-03 21:59 148768 ----a-w- c:\windows\system32\drivers\atapi.sys
2009-12-21 20:33 . 2009-03-08 14:35 -------- d-----w- c:\programme\Trillian
2009-12-21 17:58 . 2009-03-08 14:43 -------- d-----w- c:\programme\Steam
2009-12-19 15:39 . 2009-08-25 19:57 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Free Download Manager
2009-12-18 16:56 . 2009-03-08 15:42 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Skype
2009-12-18 16:29 . 2009-03-08 15:44 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\skypePM
2009-12-07 12:25 . 2009-12-01 17:26 79488 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-05 12:15 . 2009-10-25 18:43 -------- d-----w- c:\programme\Trellian
2009-12-04 18:58 . 2009-03-08 11:45 -------- d-----w- c:\programme\Opera
2009-12-03 20:42 . 2009-05-27 17:36 -------- d-----w- c:\programme\Acoustica Mixcraft 4
2009-12-02 13:12 . 2004-08-03 22:14 212224 ----a-w- c:\windows\system32\drivers\ndis.sys
2009-12-02 13:12 . 2009-12-02 13:12 12 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\hlusyf.dat
2009-12-02 13:11 . 2009-12-02 13:11 4 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\avdrn.dat
2009-12-01 22:05 . 2009-09-27 21:35 -------- d-----w- c:\programme\VstPlugins
2009-11-27 15:48 . 2009-03-08 11:01 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-15 19:30 . 2009-11-13 18:36 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\PACE Anti-Piracy
2009-11-15 19:30 . 2009-11-13 18:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2009-11-13 18:36 . 2009-11-13 18:36 -------- d-----w- c:\programme\Gemeinsame Dateien\PACE Anti-Piracy
2009-11-12 15:30 . 2009-11-12 14:58 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\LimeWire
2009-11-12 15:30 . 2009-11-12 14:58 -------- d-----w- c:\programme\LimeWire
2009-11-11 19:20 . 2009-03-10 15:41 1 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-11 10:47 . 2009-10-17 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-11-02 13:34 . 2009-03-15 10:33 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Bioshock
2009-10-27 14:04 . 2009-10-27 14:04 -------- d-----w- c:\programme\UnH Solutions
2009-10-27 13:55 . 2009-10-27 13:55 -------- d-----w- c:\programme\QuickTime Alternative
2009-10-27 13:55 . 2009-09-22 20:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-10-25 18:46 . 2009-10-25 18:44 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Trellian
2009-09-27 21:36 . 2009-09-27 21:35 3828846 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenCandy\maximus_install.exe
2009-05-01 21:02 . 2009-01-27 01:34 1044480 ----a-w- c:\programme\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-01-27 01:34 200704 ----a-w- c:\programme\opera\program\plugins\ssldivx.dll
2009-03-15 23:57 . 2009-03-10 12:24 10289184 --sha-w- c:\windows\system32\drivers\fidbox.dat
.
------- Sigcheck -------
[-] 2009-12-21 . C5A2E3829981F247116AD35359C90274 . 148768 . . [5.1.2600.5512] . . c:\windows\system32\drivers\atapi.sys
[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
[-] 2009-12-02 . 1DF7F42665C94B825322FAE71721130D . 212224 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ndis.sys
[-] 2009-12-02 . 1DF7F42665C94B825322FAE71721130D . 212224 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ndis.sys
[7] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys
[-] 2004-08-03 . 1DF7F42665C94B825322FAE71721130D . 182912 . . [5.1.2600.5512] . . c:\windows\$NtServicePackUninstall$\ndis.sys
.
((((((((((((((((((((((((((((( SnapShot@2009-12-09_13.19.38 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-21 21:02 . 2009-12-21 21:02 16384 c:\windows\Temp\Perflib_Perfdata_680.dat
+ 2004-08-03 23:57 . 2008-04-14 06:52 74752 c:\windows\system32\peyupnb.exe
+ 2001-08-23 12:00 . 2009-12-21 21:09 71060 c:\windows\system32\perfc009.dat
- 2001-08-23 12:00 . 2009-12-09 13:20 71060 c:\windows\system32\perfc009.dat
+ 2004-08-03 23:57 . 2009-02-09 10:51 18432 c:\windows\system32\drivers\zkmfnebp.sys
+ 2009-12-11 14:59 . 2009-12-11 14:59 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009121120091212\index.dat
+ 2009-03-08 10:58 . 2009-12-21 21:01 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2009-03-08 10:58 . 2009-12-09 13:09 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2009-12-11 14:59 . 2009-12-11 14:59 78924 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat
+ 2009-12-15 19:49 . 2009-12-15 19:49 16384 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT
+ 2009-03-08 10:58 . 2009-12-21 21:01 32768 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-12-11 15:19 . 2009-12-20 21:45 32768 c:\windows\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\UserData\index.dat
- 2001-08-23 12:00 . 2009-12-09 13:20 441124 c:\windows\system32\perfh009.dat
+ 2001-08-23 12:00 . 2009-12-21 21:09 441124 c:\windows\system32\perfh009.dat
+ 2009-03-08 10:58 . 2009-12-21 21:01 114688 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Simon\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-11-26 1873280]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
forteManager.lnk - c:\programme\LG Soft India\forteManager\bin\Monitor.exe [2009-8-9 1134592]
PalTalk.lnk - c:\programme\Paltalk Messenger\paltalk.exe [2009-4-25 11057664]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\day of defeat source\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\garrysmod\\hl2.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Paltalk Messenger\\paltalk.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\half-life 2 deathmatch\\hl2.exe"=
"c:\\Programme\\Free Download Manager\\fdm.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [08.03.2009 12:00 13696]
R3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [09.08.2009 01:33 14336]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [09.03.2009 23:16 4352]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [27.09.2009 14:00 1527900]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.03.2009 23:16 265088]
S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [09.08.2009 01:33 17408]
S3 PLCND532;PLCND532 NDIS Protocol Driver;c:\windows\system32\drivers\PLCND532.sys [14.12.2007 16:26 26656]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
FF - prefs.js: network.proxy.type - 2
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-21 22:08
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
c:\dokume~1\Simon\LOKALE~1\Temp\RGI3.tmp 7116 bytes
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe >>UNKNOWN [0x89DBE500]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb80ecf28
\Driver\ACPI -> ACPI.sys @ 0xb7f7ecb8
\Driver\atapi -> atapi.sys @ 0xb7f10852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
user & kernel MBR OK
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c2,c7,d9,45,dc,f2,e5,38,4e,82,e6,88,e4,33,f7,ce,df,16,b0,10,f3,73,39,
2c,23,fc,f6,69,14,25,dd,9f,f5,d5,63,25,d4,f0,39,61,a6,2f,06,c0,a6,81,b0,08,\
"??"=hex:aa,d3,ad,10,3e,21,e1,5a,ee,a5,d7,2f,8a,be,03,83
[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:97,1a,27,7a,9b,1c,72,6a,c6,27,e3,ad,42,b1,5a,95,df,65,d0,87,55,
0e,4f,80,b2,9a,76,4e,56,e7,ec,ef,ab,af,94,54,29,2f,cb,95,71,1f,42,94,48,9f,\
"rkeysecu"=hex:3c,2e,31,50,70,cb,f4,7c,cd,47,02,0b,35,13,db,0c
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
c:\windows\system32\wscntfy.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-21 22:17:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-12-21 21:17
ComboFix2.txt 2009-12-09 13:29
Vor Suchlauf: 14 Verzeichnis(se), 21.767.196.672 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 24.585.228.288 Bytes frei
- - End Of File - - D646E8B6609C0B8E047725ED35C44483
mbam log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3292
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
04.12.2009 18:53:41
mbam-log-2009-12-04 (18-53-36).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 349429
Laufzeit: 2 hour(s), 29 minute(s), 54 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 50
Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\updxsp32.exe (Trojan.Dropper) -> No action taken.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\GodLib (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> No action taken.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vdettcq (Trojan.Agent.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run (Trojan.Agent) -> Data: c:\dokumente und einstellungen\simon\anwendungsdaten\adobe\manager.exe -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\dokumente und einstellungen\Simon\lokale einstellungen\anwendungsdaten\vdettcq.exe (Trojan.Agent.H) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\updxsp32.exe (Trojan.Dropper) -> No action taken.
C:\rnkvgt.exe (Trojan.Dropper) -> No action taken.
C:\thgnclsp.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\ntuser.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Adobe\Manager.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\rundll32.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\u5el7.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\j72a986.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\~TMB4D.tmp (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\~TMB61.tmp (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\xum97.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\005.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\171.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\p6i8ot.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9VUQ4JYQ\mspcmnaao[1].htm (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9VUQ4JYQ\tmcerfsg[1].htm (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\tmcerfsg[1].htm (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\wpzzanosop[1].htm (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\eghqa[1].htm (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\mspcmnaao[1].htm (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\eghqa[1].htm (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\loaderadv563[1].exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\wpzzanosop[1].htm (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\rkuresft[1].htm (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\rkuresft[2].htm (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\Xms[1].exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\ihaupd32.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Agent) -> No action taken.
C:\Programme\Super Fast Shutdown\shutdown.exe (HackTool.Shutdown) -> No action taken.
C:\RECYCLER\S-1-5-21-9408339212-7261285265-491933822-1687\wnzip32.exe (Worm.Autorun.B) -> No action taken.
C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP22\A0011771.exe (Adware.NaviPromo) -> No action taken.
C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP22\A0011774.exe (Adware.Casino) -> No action taken.
C:\WINDOWS\ccdrive32.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\ir6d8bwwy.dll (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\av_md.exe (Trojan.Inject) -> No action taken.
C:\WINDOWS\system32\i9q4v3n.dll (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\calc.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\av_md.exe (Trojan.Inject) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\ntuser.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\~TMB5C.tmp (Trojan.Inject) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\scandisk.lnk (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\reader_s.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\habnf88jkefh87ifiks.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\pskfo83wijf89uwuhal8.tmp (Trojan.Agent) -> No action taken.
Dr web cure it log folgt morgen, tut mir leid wegen der Verspätung. Lg Simon |
|
22.12.2009, 19:31
| #4 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Drweb Cure it log: Code:
ATTFilter Google Cash Sniper. Full Crack Aug 09 .exe;C:\Dokumente und Einstellungen\Simon\Desktop;Trojan.DownLoad1.12826;Nicht desinfizierbar.Verschoben.;
restart.exe;C:\Programme\Super Fast Shutdown;Tool.ShutDown.14;;
atapi.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
atapi.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
ndis.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;BackDoor.Bulknet.417;Desinfiziert.;
A0042376.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP48;Tool.ShutDown.14;;
A0042785.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP50;Win32.HLLW.Lime.18;Gelöscht.;
A0042858.dll;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP50;Trojan.Proxy.10443;Gelöscht.;
A0042859.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP50;Win32.HLLW.Lime.18;Gelöscht.;
A0043378.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;
A0043379.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;
A0044527.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;
A0044746.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;
A0044755.bat;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Wahrscheinlich BATCH.Virus;;
A0046716.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;
A0046717.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;
A0047716.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;
A0047717.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;
A0047747.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;
A0047748.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;
A0047806.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;
A0047807.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;
A0047819.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.DownLoad.47257;Gelöscht.;
A0047850.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.DownLoad.47257;Gelöscht.;
A0047903.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.DownLoad.47257;Gelöscht.;
A0047909.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;BackDoor.Tdss.1365;Desinfiziert.;
A0047929.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;Trojan.DownLoad.47257;Gelöscht.;
A0049098.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;Trojan.DownLoad.47257;Gelöscht.;
A0049106.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;BackDoor.Tdss.1365;Desinfiziert.;
A0049114.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;BackDoor.Tdss.1365;Desinfiziert.;
A0049114.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;Trojan.DownLoad.47257;Gelöscht.;
A0049131.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049348.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049377.bat;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Wahrscheinlich BATCH.Virus;;
A0049474.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049605.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad1.16169;Nicht desinfizierbar.Verschoben.;
A0049606.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.Inject.6289;Gelöscht.;
A0049607.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049617.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;BackDoor.Tdss.1365;Desinfiziert.;
A0049617.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049618.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad1.12826;Nicht desinfizierbar.Verschoben.;
A0049639.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;BackDoor.Tdss.1365;Desinfiziert.;
A0049639.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
atapi.sys;C:\WINDOWS\LastGood\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
atapi.sys;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
OLD5.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLD5.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
OLD8.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLD8.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
OLDB.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLDB.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
OLDE.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLDE.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
lg Simon |
|
23.12.2009, 01:39
| #5 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hey, Also DrWeb cure it hat nun einige wichtige Boot dateien verschoben denke ich. Ich habe meinen Pc auf Anweisung von DrWeb heruntergefahren und wenn er nun hochfäht kommt er nur bis um Windows XP Zeichen, dann kommt ein blauer Bildschrim ein paar Zeilen laufen ab und er startet von neuem. Im abgesichtertem Modus kann ich auch nciht booten. Wie ersetze ich diese dateien?Soll ich nun von der Cd booten? Schreibe nun vom Laptop aus. Lg, Simon |
|
23.12.2009, 15:50
| #6 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Ich habe nun von der Xp Cd gebootet und bin in die Wiederherstellungskonsole gegangen. Dort habe ich Bootfix fixmbr durchgeführt und nun läuft der computer wieder. Wie geht es nun weiter? Lg, Simon |
|
23.12.2009, 18:13
| #7 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi, die atapi.sys wurde von Dr. Web gelöscht und konnte nicht ersetzt werden... D.h. es waren nur verseuchte Versionen auf dem Rechner... Wir müssen prüfen ob das jetzt Okay ist, daher nochmal combofix (der sollte wieder online sein. TDSS ist nicht so einfach tot zu kriegen... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. chris Ps. Denkste, er ist wieder down... Lass noch mal Dr. Web laufen, ob er noch was in der atapi.sys findet, oder ob die durch Booten von der XP-CD automatisch ersetzt wurde. Sonst müssen wir sie von der CD runterkopiern, expandieren und in das richtige Verzeichnis kopieren...
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
| Themen zu Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen |
| ask toolbar, ask.com, ausspioniert, bho, cdburnerxp, computer, e-mail, email, entfernen, firefox, frage, free download, helper, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet explorer, kunde, locker, logfile, magix, mozilla, nicht gefunden, object, personen, plug-in, problem, security, server, stick, system, thomas, trojaner, virus, web.de, wichtige daten, windows, windows xp, ändern |
Hybrid-Darstellung
