Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows Security Alerts - Virus

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.01.2010, 22:36   #1
Nightdream
 
Windows Security Alerts - Virus - Standard

Windows Security Alerts - Virus



Guten Abend und Hallo alle zusammen,

dummerweise habe ich mir heute einen Virus eingefangen - einen, der mir das Programm "Windows Security Alerts" auf den Rechner gepackt hat und mich jetzt mit aufgehenden Fenstern zum Kauf dieses vermeintlich tollen Programmes überreden möchte und mir angebliche Viren meldet.
Ich habe mir schon einige Anti-Maleware-Programme heruntergeladen, jedoch funktioniert keines von ihnen, ebensowenig wie mein Antivirus-Programm.
Nach einigem Suchen und Lesen bin ich schließlich hier gelandet und habe mir einen HijackThis Log erstellen lassen, den ich jetzt hier Posten werde, in der Hoffnung, dass mir jemand helfen kann - ich kenne mich nämlich kaum mit Computern und speziell mit Viren aus.
Wäre echt klasse, wenn mir jemand helfen könnte

Viele Grüße,

Nightdream

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:09, on 05.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
D:\apdproxy.exe
D:\bin\jusched.exe
D:\pdf24\PDFBackend.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
D:\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe
C:\Programme\Malware Defense\mdefense.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\McAfee Security Scan\1.0.150\SSScheduler.exe
C:\Programme\ZyXEL\ZyAIR G-200\WLUSBCfg.exe
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\wscsvc32.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\PhotoshopElementsFileAgent.exe
D:\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
D:\Programme\Adobe\Reader\AcroRd32.exe
D:\bin\jucheck.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XWMKBXJY\mbam-setup[1].exe
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\is-4GTP3.tmp\mbam-setup[1].tmp
D:\Malwarebytes' Anti-Malware\mbam.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neopets.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {CD292324-974F-4224-D074-CACA427AA030} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {CD292324-974F-4224-D074-CACA427AA030} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\bin\jusched.exe"
O4 - HKLM\..\Run: [PDFPrint] "D:\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: McAfee Security Scan.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office10\OSA.EXE
O4 - Global Startup: ZyAIR G-200 Wireless LAN Utility.lnk = C:\Programme\ZyXEL\ZyAIR G-200\WLUSBCfg.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.schuelervz.net/phot...che=1220283434
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/phot...che=1215377312
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O19 - User stylesheet: (file missing)
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - D:\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

--
End of file - 10053 bytes

Alt 05.01.2010, 22:41   #2
Chris4You
 
Windows Security Alerts - Virus - Standard

Windows Security Alerts - Virus



Hi,

poste noch ein Gmer-Log...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris
Für mich:
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe
C:\Programme\Malware Defense\mdefense.exe
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\wscsvc32.exe
+ TDSS?
__________________

__________________

Geändert von Chris4You (05.01.2010 um 23:18 Uhr)

Alt 06.01.2010, 00:33   #3
Nightdream
 
Windows Security Alerts - Virus - Standard

Windows Security Alerts - Virus



Okay, hat etwas gedauert, aber das ist dabei rausgekommen - hoffe, das stimmt so. Und danke schonmal für die schnelle Hilfe!

Nightdream

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-06 01:22:44
Windows 5.1.2600 Service Pack 3
Running: pg02nu1p.exe; Driver: C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\uwrdapow.sys


---- System - GMER 1.0.15 ----

Code 86388AD8 ZwEnumerateKey
Code 8651AD90 ZwFlushInstructionCache
Code 8637B25E IofCallDriver
Code 866AB96E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EE130 5 Bytes JMP 8637B263
.text ntkrnlpa.exe!IofCompleteRequest 804EE1C0 5 Bytes JMP 866AB973
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805ABEC6 5 Bytes JMP 8651AD94
PAGE ntkrnlpa.exe!ZwEnumerateKey 8061AB72 5 Bytes JMP 86388ADC
.text C:\WINDOWS\System32\DRIVERS\nv4_mini.sys section is writeable [0xF6F83380, 0x21F24D, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!??2@YAPAXI@Z 77BF9CC5 5 Bytes JMP 0A93B250 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!??3@YAXPAX@Z 77BF9CDD 5 Bytes JMP 0A93B2A0 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!?set_new_handler@@YAP6AXXZP6AXXZ@Z 77BF9D9F 5 Bytes JMP 0A93B2C0 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_expand 77BF9FE5 5 Bytes JMP 0A93B230 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapadd 77BFBC9F 5 Bytes JMP 0A93B310 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapchk 77BFBCB3 5 Bytes JMP 0A93B320 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapset + 1 77BFBD83 4 Bytes JMP 0A93B351 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapmin 77BFBD8C 5 Bytes JMP 0A93B420 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapused 77BFBE3A 5 Bytes JMP 0A93B3F0 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapwalk 77BFBE4D 5 Bytes JMP 0A93B360 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_msize 77BFBF6C 5 Bytes JMP 0A93B180 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!calloc 77BFC0C3 5 Bytes JMP 0A93B110 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!free 77BFC21B 5 Bytes JMP 0A93B170 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!malloc 77BFC407 5 Bytes JMP 0A93B0D0 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!realloc 77BFC437 5 Bytes JMP 0A93B150 C:\WINDOWS\system32\SH33W32.dll
.text D:\a-squared Anti-Malware\a2service.exe[2476] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0045495D D:\a-squared Anti-Malware\a2service.exe (a-squared Service/Emsi Software GmbH)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRTmomyjjagvy.sys (*** hidden *** ) F582D000-F584A000 (118784 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [696] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1220] 0x00C10000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1364] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1404] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1460] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1536] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [2444] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [2860] 0x10000000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTmomyjjagvy.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys
<-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTmomyjjagvy.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTmomyjjagvy.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTumphrudvyo.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTuwgftjdxsf.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTebycbkypoc.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTmomyjjagvy.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTmomyjjagvy.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTumphrudvyo.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTuwgftjdxsf.dat
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTebycbkypoc.dll

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Jana Henck\Lokale Einstellungen\Temp\H8SRTbd32.tmp 343040 bytes executable
File C:\Dokumente und Einstellungen\Jana Henck\Lokale Einstellungen\Temp\h8srtmainqt.dll 16474 bytes
File C:\WINDOWS\Temp\H8SRTd5aa.tmp 175 bytes
File C:\WINDOWS\system32\H8SRTebycbkypoc.dll 40960 bytes executable
File C:\WINDOWS\system32\H8SRTmudnhmtqul.dll 36864 bytes executable
File C:\WINDOWS\system32\H8SRTumphrudvyo.dll 23552 bytes executable
File C:\WINDOWS\system32\H8SRTuwgftjdxsf.dat 246 bytes
File C:\WINDOWS\system32\drivers\H8SRTmomyjjagvy.sys 40448 bytes executable <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----
__________________

Alt 06.01.2010, 06:54   #4
Chris4You
 
Windows Security Alerts - Virus - Standard

Windows Security Alerts - Virus



Hi,

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Drivers to delete:
H8SRTd.sys
 
Files to delete:
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe
C:\Programme\Malware Defense\mdefense.exe
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\wscsvc32.exe

Folders to delete:
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp
C:\Programme\Malware Defense
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe 
O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan
         
Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 06.01.2010, 12:57   #5
Nightdream
 
Windows Security Alerts - Virus - Standard

Windows Security Alerts - Virus



Hey, wow, der Virus scheint weg zu sein - vielen, vielen Dank!
Ist wirklich klasse, dass es hier Leute gibt, die sich einfach so die Zeit nehmen, Personen wie mir zu helfen
Habe jetzt den Log vom Avenger und werde gleich auch noch den anderen Editieren, nachdem mein PC dann neugestartet ist.

Nightdream

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRTmomyjjagvy.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "H8SRTd.sys" deleted successfully.
File "C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe" deleted successfully.
File "C:\Programme\Malware Defense\mdefense.exe" deleted successfully.
File "C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\wscsvc32.exe" deleted successfully.
Folder "C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp" deleted successfully.
Folder "C:\Programme\Malware Defense" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Alt 06.01.2010, 14:45   #6
Nightdream
 
Windows Security Alerts - Virus - Standard

Windows Security Alerts - Virus



So, habe jetzt auch nochmal MAM durchlaufen lassen und damit alles gelöscht, was noch gefunden wurde. Von dem Virus scheint alles weg zu sein.
Mein Virenprogramm läuft auch wieder - ich war noch nie so froh, es zu sehen.
Danke nochmal

Nightdream



Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3499
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

06.01.2010 15:35:52
mbam-log-2010-01-06 (15-35-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 235445
Laufzeit: 1 hour(s), 22 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{deceaaa2-370a-49bb-9362-68c3a58ddc62} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\***\Startmenü\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Avenger\mdefense.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\H8SRTmomyjjagvy.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Desktop\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Desktop\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTebycbkypoc.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTmudnhmtqul.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTumphrudvyo.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTuwgftjdxsf.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.

Alt 06.01.2010, 15:34   #7
Chris4You
 
Windows Security Alerts - Virus - Standard

Windows Security Alerts - Virus



Hi,

lasse bitte noch Avira laufen:
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 06.01.2010, 18:07   #8
Nightdream
 
Windows Security Alerts - Virus - Standard

Windows Security Alerts - Virus



Danke für den Hinweis!
Avira hat noch mal fünf Sachen gefunden, die es dann auch beseitigt hat.
Hoffe, mein PC ist jetzt wieder komplett virenfrei und bleit auch erstmal so =)

Nightdream

[...]
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Computer-System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Programme\VideoLAN\VLC\vlc-0.9.4-win32.exe
[0] Archivtyp: NSIS
--> ProgramFilesDir/liblogger_plugin.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158849.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158850.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158858.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158859.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158860.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
Beginne mit der Suche in 'D:\' <Daten-Programme>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'E:\' <Eigenes>
E:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158849.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b75cc73.qua' verschoben!
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158850.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0c9eb4.qua' verschoben!
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158858.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0bb5dc.qua' verschoben!
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158859.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1868dc.qua' verschoben!
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158860.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a09a66c.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 6. Januar 2010 18:45
Benötigte Zeit: 54:41 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

12097 Verzeichnisse wurden überprüft
377231 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
377223 Dateien ohne Befall
3045 Archive wurden durchsucht
5 Warnungen
8 Hinweise
56955 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Alt 06.01.2010, 18:59   #9
Chris4You
 
Windows Security Alerts - Virus - Standard

Windows Security Alerts - Virus



Hi,

zur Sicherheit:

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Windows Security Alerts - Virus
antivir guard, avg, avgnt, avgnt.exe, avira, bho, computer, computern, content.ie5, desktop, downloader, einstellungen, google, gservice, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, malware, malware virus alerts, malwarebytes' anti-malware, object, outlook express, programm, rundll, security, security scan, server, software, system, viren, virus, virus eingefangen, windows, windows security, windows xp, wireless lan



Ähnliche Themen: Windows Security Alerts - Virus


  1. Windows 7 64bit - Win32.downloader.gen (C:\Program Files (x86)\Conduit\Community Alerts\Alert.dll) durch Spybot gefunden
    Log-Analyse und Auswertung - 29.09.2013 (7)
  2. Malware / Virus / Trojaner - "Windows Security Alert / Security Suite"
    Plagegeister aller Art und deren Bekämpfung - 31.08.2010 (11)
  3. Habe Windows Security Alerts kriege es nicht mehr weg
    Log-Analyse und Auswertung - 04.04.2010 (1)
  4. windows security alerts + malware defense
    Log-Analyse und Auswertung - 17.02.2010 (2)
  5. Windows Security Alerts/ Malware Defense Trojaner
    Log-Analyse und Auswertung - 16.01.2010 (2)
  6. Windows Security Alerts 2
    Log-Analyse und Auswertung - 07.01.2010 (8)
  7. Windows Security Alerts
    Plagegeister aller Art und deren Bekämpfung - 02.01.2010 (5)
  8. Windows security center alerts -- hijackthis --
    Log-Analyse und Auswertung - 28.12.2009 (1)
  9. Engl. Windows Security Alerts Fehlermeldung + deaktivierter AntiVir ?
    Plagegeister aller Art und deren Bekämpfung - 27.12.2009 (1)
  10. Hijackthis Trojaner Windows Security Alerts
    Plagegeister aller Art und deren Bekämpfung - 23.12.2009 (1)
  11. Hijackthis Trojaner Windows Security Alerts
    Log-Analyse und Auswertung - 23.12.2009 (2)
  12. Windows Security Alerts
    Plagegeister aller Art und deren Bekämpfung - 08.12.2009 (2)
  13. Windows Security Alerts=Trojaner?
    Log-Analyse und Auswertung - 05.12.2009 (1)
  14. Windows Security Alerts???
    Plagegeister aller Art und deren Bekämpfung - 25.10.2009 (7)
  15. System security alerts
    Log-Analyse und Auswertung - 19.02.2009 (5)
  16. HiJackThis Logfile (Virus Alerts)
    Log-Analyse und Auswertung - 05.10.2007 (4)
  17. hab mir einen Trojaner mit gefakten windows alerts eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 05.10.2007 (10)

Zum Thema Windows Security Alerts - Virus - Guten Abend und Hallo alle zusammen, dummerweise habe ich mir heute einen Virus eingefangen - einen, der mir das Programm "Windows Security Alerts" auf den Rechner gepackt hat und mich - Windows Security Alerts - Virus...
Archiv
Du betrachtest: Windows Security Alerts - Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.