Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: unbezwingbarer Trojaner ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.02.2010, 01:13   #1
frehsman
Gast
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



bin absoluter nap in sachen trojaner viren etc
hab mal das programm tralala benutzt und paste mal hier das resultat rein

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2010-02-04 02:02:42
Windows 5.1.2600 Service Pack 2, v.2096


---- User code sections - GMER 1.0.14 ----

.text D:\Programme\Mozilla Firefox\firefox.exe[1488] ntdll.dll!LdrLoadDll 77CB2F3F 5 Bytes JMP 004013F0 D:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTlovhelexta.sys
Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTlovhelexta.sys
Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTxtapmputfq.dll
Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTxbnmdivppp.dat
Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTurntaetnqw.dll
Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTbdviexiypb.dll
Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTvpvivtljnt.dll
Reg HKLM\SOFTWARE\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}@scansk 0xAC 0x7C 0xAF 0xB2 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}@scansk 0x21 0x7C 0xFC 0xEE ...
Reg HKLM\SOFTWARE\Classes\CLSID\{a6c44b92-8d91-419e-93e7-0a7c8268badf}@Model 93
Reg HKLM\SOFTWARE\Classes\CLSID\{a6c44b92-8d91-419e-93e7-0a7c8268badf}@Therad 30
Reg HKLM\SOFTWARE\Classes\CLSID\{a6c44b92-8d91-419e-93e7-0a7c8268badf}@MData 0x2B 0x8F 0x78 0x29 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{eeea1f24-634d-4847-94e0-c2630fe6527d}@Model 122
Reg HKLM\SOFTWARE\Classes\CLSID\{eeea1f24-634d-4847-94e0-c2630fe6527d}@Therad 2

---- EOF - GMER 1.0.14 ----


was ist mein problem ?

es taucht oft so ein xp internet security fenster auf und ich kann das setup von Malwarebytes Anti-Malware nicht starten. ist da iwie ein zusammenhang !!

hatte vorher schon Malwarebytes Anti-Malware aufm pc aber konnte es nicht starten, habe es dann deinstalliert und wollts neu installieren, und es klappte iwie nach etlichen versuchen es zu installieren, habe dann nen scan durchgefuehrt und nach dem ich meinen pc nach mehreren stunden wieder angemacht habe gabs dasselbe problem, der xp internet scheiss tauchte wieder auf und Malwarebytes Anti-Malware funzte schon wieder nicht.
jedes mal beim oeffnen des setups taucht beim task manager -> prozesse das av.exe auf und nach einigen versuchen das setup zu oeffnen erscheint dann wieder dieses internet security 2010.

also kann mir jemand bitte helfen ^^

Alt 04.02.2010, 06:23   #2
Chris4You
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



Hi,

poste noch ein RSIT-Log....
RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris
__________________

__________________

Alt 04.02.2010, 10:42   #3
frehsman
Gast
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



wie du wuenscht

hier ist die info



info.txt logfile of random's system information tool 1.06 2010-02-04 11:32:00

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.42-->"D:\Programme\7-Zip\Uninstall.exe"
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.7 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003}
CCleaner (remove only)-->"D:\Programme\CCleaner\uninst.exe"
DivX Web Player-->D:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Free Audio CD Burner version 1.2-->"C:\Programme\DVDVideoSoft\Free Audio CD Burner\unins000.exe"
Free YouTube to MP3 Converter version 3.2-->"D:\Programme\DVDVideoSoft\Free YouTube to MP3 Converter\unins000.exe"
Google Chrome-->"C:\Programme\Google\Chrome\Application\4.0.249.78\Installer\setup.exe" --uninstall --system-level
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe
ICQ7-->"C:\Programme\InstallShield Installation Information\{88EB38EF-4D2C-436D-ABD3-56B232674062}\ICQ7.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Search Enhancement Pack-->MsiExec.exe /I{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.6)-->D:\Programme\Mozilla Firefox\uninstall\helper.exe
NVIDIA Windows 2000/XP Display Drivers-->rundll32.exe C:\WINDOWS\system32\nvinstnt.dll,NvUninstallNT4 nv4_disp.inf
OpenOffice.org 3.1-->MsiExec.exe /I{99E862CC-6F69-4D39-99AA-DBF71BF3B585}
SiS 900 PCI Fast Ethernet Adapter Driver-->C:\Progra~1\SiSLan\Uninst.exe
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
WinRAR archiver-->D:\Programme\WinRAR\uninstall.exe

======Security center information======

AV: Malware Defense (outdated)

======System event log======

Computer Name: CAO-D7CC7538F51
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Beendet".

Record Number: 14536
Source Name: Service Control Manager
Time Written: 20100103111927.000000+060
Event Type: Informationen
User:

Computer Name: CAO-D7CC7538F51
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Ausgeführt".

Record Number: 14535
Source Name: Service Control Manager
Time Written: 20100103111927.000000+060
Event Type: Informationen
User:

Computer Name: CAO-D7CC7538F51
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "WMI-Leistungsadapter" gesendet.

Record Number: 14534
Source Name: Service Control Manager
Time Written: 20100103111927.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: CAO-D7CC7538F51
Event Code: 7036
Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt".

Record Number: 14533
Source Name: Service Control Manager
Time Written: 20100103111927.000000+060
Event Type: Informationen
User:

Computer Name: CAO-D7CC7538F51
Event Code: 7036
Message: Dienst "Intelligenter Hintergrundübertragungsdienst" befindet sich jetzt im Status "Ausgeführt".

Record Number: 14532
Source Name: Service Control Manager
Time Written: 20100103111927.000000+060
Event Type: Informationen
User:

=====Application event log=====

Computer Name: CAO-D7CC7538F51
Event Code: 102
Message: wuaueng.dll (372) SUS20ClientDataStore: Das Datenbankmodul hat eine neue Instanz gestartet (0).

Record Number: 1826
Source Name: ESENT
Time Written: 20090816114745.000000+120
Event Type: Informationen
User:

Computer Name: CAO-D7CC7538F51
Event Code: 100
Message: wuauclt (372) Das Datenbankmodul 5.01.2600.2096 ist gestartet.

Record Number: 1825
Source Name: ESENT
Time Written: 20090816114745.000000+120
Event Type: Informationen
User:

Computer Name: CAO-D7CC7538F51
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 1824
Source Name: SecurityCenter
Time Written: 20090816114744.000000+120
Event Type:
User:

Computer Name: CAO-D7CC7538F51
Event Code: 0
Message:
Record Number: 1823
Source Name: ICQ Service
Time Written: 20090816114740.000000+120
Event Type: Informationen
User:

Computer Name: CAO-D7CC7538F51
Event Code: 1108
Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Service work was interrupted due to the following reason(s): USER_INTERRUPT (Mask: 0x04)


Record Number: 1822
Source Name: .NET Runtime Optimization Service
Time Written: 20090816000634.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 6 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=0602
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------



und hier noch das log



Logfile of random's system information tool 1.06 (written by random/random)
Run by Nan at 2010-02-04 11:31:50
Microsoft Windows XP Professional Service Pack 2, v.2096
System drive C: has 481 MB (12%) free of 4 GB
Total RAM: 511 MB (26% free)


======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4FE6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2010-01-03 1019128]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe ARM"=C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288]
"Adobe Reader Speed Launcher"=D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2009-10-03 39792]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ICQ"=D:\Programme\ICQ7.0\ICQ.exe [2010-01-12 133368]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ip6fw]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ipnat]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\xmlprov]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"D:\Programme\ICQ6.0\ICQ.exe"="D:\Programme\ICQ6.0\ICQ.exe:*:Enabled:ICQ Library"
"D:\proGramMs\utorrent.exe"="D:\proGramMs\utorrent.exe:*:Enabled:µTorrent"
"C:\Programme\messenger\msmsgs.exe"="C:\Programme\messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"D:\Programme\Mozilla Firefox\firefox.exe"="D:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"D:\Programme\ICQ6.5\ICQ.exe"="D:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe"="C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe:*:Enabled:Crawler Spyware Terminator"
"D:\Programme\ICQ7.0\ICQ.exe"="D:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7"
"D:\Programme\ICQ7.0\aolload.exe"="D:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"D:\Programme\Vogel Verlag\Fahren Lernen\Vogel.FahrenLernenMax.exe"="D:\Programme\Vogel Verlag\Fahren Lernen\Vogel.FahrenLernenMax.exe:*:Enabled:Fahren Lernen"
"D:\Programme\ICQ7.0\ICQ.exe"="D:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7"
"D:\Programme\ICQ7.0\aolload.exe"="D:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe"

======File associations======

.exe - open - "C:\Dokumente und Einstellungen\Nan\Lokale Einstellungen\Anwendungsdaten\av.exe" /START "%1" %*

======List of files/folders created in the last 3 months======

2010-02-04 11:31:51 ----DC---- C:\Programme\trend micro
2010-02-04 11:31:50 ----DC---- C:\rsit
2010-02-04 01:45:09 ----AC---- C:\WINDOWS\gmer_uninstall.cmd
2010-02-04 01:45:09 ----AC---- C:\WINDOWS\gmer.exe
2010-02-04 01:45:09 ----AC---- C:\WINDOWS\gmer.dll
2010-01-26 22:23:01 ----AC---- C:\WINDOWS\system32\stu2.exe
2010-01-25 23:14:15 ----AC---- C:\debug.txt
2010-01-13 16:41:48 ----AC---- C:\mbam-error.txt
2010-01-11 10:13:03 ----DC---- C:\Dokumente und Einstellungen\Nan\Anwendungsdaten\Malwarebytes
2010-01-11 10:11:21 ----DC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-11 09:50:13 ----SHDC---- C:\Config.Msi
2009-11-06 20:52:33 ----DC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-11-06 20:51:07 ----DC---- C:\WINDOWS\system32\TVUAx

======List of files/folders modified in the last 3 months======

2010-02-04 11:31:51 ----RDC---- C:\Programme
2010-02-04 11:30:29 ----DC---- C:\WINDOWS\Prefetch
2010-02-04 11:30:10 ----DC---- C:\WINDOWS\system32\CatRoot2
2010-02-04 03:11:23 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-02-04 01:45:09 ----DC---- C:\WINDOWS\system32\drivers
2010-02-04 01:45:09 ----DC---- C:\WINDOWS
2010-02-04 01:27:10 ----DC---- C:\WINDOWS\Temp
2010-02-04 01:23:46 ----DC---- C:\WINDOWS\system32
2010-02-04 01:23:46 ----AC---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-02-03 23:19:06 ----DC---- C:\WINDOWS\security
2010-02-03 22:57:10 ----DC---- C:\Dokumente und Einstellungen\Nan\Anwendungsdaten\foobar2000
2010-02-03 11:48:50 ----DC---- C:\Programme\ICQ6Toolbar
2010-02-03 01:02:30 ----DC---- C:\Dokumente und Einstellungen\Nan\Anwendungsdaten\ICQ
2010-02-03 00:55:52 ----DC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2010-02-02 20:12:50 ----HDC---- C:\Programme\InstallShield Installation Information
2010-01-29 12:46:25 ----DC---- C:\WINDOWS\system32\Macromed
2010-01-29 12:42:29 ----SHDC---- C:\WINDOWS\Installer
2010-01-26 22:23:01 ----AC---- C:\WINDOWS\system32\userinit.exe
2010-01-11 18:22:43 ----DC---- C:\Programme\Gemeinsame Dateien
2010-01-11 12:28:18 ----ADC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2010-01-11 12:20:31 ----DC---- C:\WINDOWS\srchasst
2010-01-11 09:50:26 ----DC---- C:\WINDOWS\WinSxS
2010-01-11 09:50:15 ----DC---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-12-10 16:29:39 ----RSDC---- C:\WINDOWS\assembly
2009-12-10 16:27:35 ----RSDC---- C:\WINDOWS\Fonts
2009-11-21 06:57:53 ----DC---- C:\WINDOWS\SxsCaPendDel

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2004-03-12 37760]
R3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2002-03-06 389135]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2002-08-31 992618]
R3 SISNIC;SiS PCI Fast Ethernet Adapter Driver; C:\WINDOWS\system32\DRIVERS\sisnic.sys [2002-04-16 32256]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-03-11 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-03-11 17024]
S3 gmer;gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [2010-02-04 85969]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-03-12 31616]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-03-12 26624]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2010-01-03 246520]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-02 153376]
R2 NVSvc;NVIDIA Driver Helper Service; C:\WINDOWS\system32\nvsvc32.exe [2002-08-31 61440]
R2 SeaPort;SeaPort; C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
S2 gupdate1ca48c62a0fb250;Google Update Service (gupdate1ca48c62a0fb250); C:\Programme\Google\Update\GoogleUpdate.exe [2009-10-09 133104]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]

-----------------EOF-----------------


danke fuer die hilfe ne !!11!1!1!!
__________________

Alt 04.02.2010, 12:33   #4
Chris4You
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



Hi,

sieht nicht ganz so gut aus, kann sein das neben TDDS noch die userinit befallen ist...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\stu2.exe
C:\WINDOWS\system32\userinit.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:
(Alternativ umbennant von hier:http://www.file-upload.net/download-2170195/av_en_ger_le.exe.html)



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Drivers to delete:
H8SRTd.sys
         
3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 04.02.2010, 13:09   #5
frehsman
Gast
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



kurze bemerkung kann Malwarebytes immer noch nich installieren es taucht immer dieses xp internet security teil auf


Alt 04.02.2010, 13:14   #6
Chris4You
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



Hi,

okay, habe ich übersehen. Das Problem wenn die av.exe entfernt wird, dann ist keine Exe mehr ausführbar, das müssen wir wie folgt lösen.

Gehe ins Windowsverzeichnis und kopiere die regedit.exe auf regedit.com um und versuche sie zu starten... geht das?

Das Problem liegt hier:

Zitat:
.exe - open - "C:\Dokumente und Einstellungen\Nan\Lokale Einstellungen\Anwendungsdaten\av.exe" /START "%1" %*
Ich möchte gern ausprobieren, ob der RegKey von av.exe überwacht wird...

chris
__________________
--> unbezwingbarer Trojaner ?

Alt 04.02.2010, 13:16   #7
frehsman
Gast
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



los gehts habe virustotal genutzt


ergebnis von C:\WINDOWS\system32\userinit.exe


Datei feedback.php_page_3.519004840.20100202_0800 empfangen 2010.02.02 16:23:28 (UTC)
Status: Beendet
Ergebnis: 10/40 (25.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.02 -
AhnLab-V3 5.0.0.2 2010.02.01 -
AntiVir 7.9.1.156 2010.02.02 -
Antiy-AVL 2.0.3.7 2010.02.02 -
Authentium 5.2.0.5 2010.02.02 -
Avast 4.8.1351.0 2010.02.02 Win32:Rootkit-gen
AVG 9.0.0.730 2010.02.02 -
BitDefender 7.2 2010.02.02 -
CAT-QuickHeal 10.00 2010.02.02 -
ClamAV 0.96.0.0-git 2010.02.02 -
Comodo 3794 2010.02.02 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.1.12222 2010.02.02 -
eSafe 7.0.17.0 2010.02.02 -
eTrust-Vet 35.2.7276 2010.02.02 -
F-Prot 4.5.1.85 2010.02.01 -
F-Secure 9.0.15370.0 2010.02.02 Packed:W32/RoxorCrypt.A
Fortinet 4.0.14.0 2010.02.02 -
GData 19 2010.02.02 Win32:Rootkit-gen
Ikarus T3.1.1.80.0 2010.02.02 -
Jiangmin None 2010.02.02 -
K7AntiVirus 7.10.962 2010.02.01 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2010.02.02 -
McAfee 5879 2010.02.01 -
McAfee+Artemis 5879 2010.02.01 Artemis!BB2D44B7E7E6
McAfee-GW-Edition 6.8.5 2010.02.02 -
Microsoft 1.5406 2010.02.02 -
NOD32 4828 2010.02.02 a variant of Win32/Kryptik.CBE
Norman 6.04.03 2010.02.02 -
nProtect 2009.1.8.0 2010.02.02 -
Panda 10.0.2.2 2010.02.02 -
PCTools 7.0.3.5 2010.02.02 -
Prevx 3.0 2010.02.02 -
Rising 22.33.01.04 2010.02.02 Packer.Win32.Agent.GEN
Sophos 4.50.0 2010.02.02 -
Sunbelt 3.2.1858.2 2010.02.02 Trojan-Downloader.Win32.CodecPack (v)
TheHacker 6.5.1.0.176 2010.02.02 -
TrendMicro 9.120.0.1004 2010.02.02 TROJ_RENOS.BHAM
VBA32 3.12.12.1 2010.02.02 -
ViRobot 2010.2.2.2168 2010.02.02 -
VirusBuster 5.0.21.0 2010.02.02 -
weitere Informationen
File size: 54784 bytes
MD5 : bb2d44b7e7e6fe0662e2bba8ab53270c
SHA1 : 0e6a770f458efe58b5d36fb0edf264d9c728205b
SHA256: bf45bd008bdf4fdc0a134b6b489f2319159093740d5b69deb639be2faa9cb3a1
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1C0D
timedatestamp.....: 0x48196800 (Thu May 1 08:49:36 2008)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.tdat 0x1000 0x665D 0x6800 2.48 a1e7995b3c8a1f540554d843a6d032c8
.idat 0x8000 0x28B5 0x2A00 5.50 2527b28b3a0d3cd7ca4561da6406b6bf
.eddta 0xB000 0xC409 0x2000 0.27 2ce50646d5c3ce2f54fff9057f066c03
.idada 0x18000 0x136E 0x1400 0.00 32ca18808933aa12e979375d07048a11

( 1 imports )

> advapi32.dll: RegEnumKeyA, RegQueryValueExA, RegEnumValueW, RegEnumValueA, RegEnumKeyW, RegCreateKeyW, RegReplaceKeyA, RegOpenKeyExA, RegFlushKey, RegGetKeySecurity, RegDeleteValueA, RegLoadKeyA

( 0 exports )
TrID : File type identification
Win32 Dynamic Link Library (generic) (55.5%)
Clipper DOS Executable (14.7%)
Generic Win/DOS Executable (14.6%)
DOS Executable Generic (14.6%)
VXD Driver (0.2%)
ssdeep: 384:5haZFRfkpuI3jYd+qt53VPQS7/Mq2ApERKTy1VMWEr/I3yDTP:UFyMdNbF57VV0TbMHpDT
PEiD : -
RDS : NSRL Reference Data Set
-


ergebnis von C:\WINDOWS\system32\stu2.exe

Datei stu2.exe empfangen 2010.02.04 12:55:50 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.04 -
AhnLab-V3 5.0.0.2 2010.02.04 -
AntiVir 7.9.1.158 2010.02.04 -
Antiy-AVL 2.0.3.7 2010.02.04 -
Authentium 5.2.0.5 2010.02.04 -
Avast 4.8.1351.0 2010.02.02 -
AVG 9.0.0.730 2010.02.04 -
BitDefender 7.2 2010.02.04 -
CAT-QuickHeal 10.00 2010.02.04 -
ClamAV 0.96.0.0-git 2010.02.04 -
Comodo 3817 2010.02.04 -
DrWeb 5.0.1.12222 2010.02.04 -
eSafe 7.0.17.0 2010.02.03 -
eTrust-Vet 35.2.7283 2010.02.04 -
F-Prot 4.5.1.85 2010.02.04 -
F-Secure 9.0.15370.0 2010.02.04 -
Fortinet 4.0.14.0 2010.02.04 -
GData 19 2010.02.04 -
Ikarus T3.1.1.80.0 2010.02.04 -
Jiangmin 13.0.900 2010.02.04 -
K7AntiVirus 7.10.966 2010.02.03 -
Kaspersky 7.0.0.125 2010.02.04 -
McAfee 5881 2010.02.03 -
McAfee+Artemis 5881 2010.02.03 -
McAfee-GW-Edition 6.8.5 2010.02.04 -
Microsoft 1.5406 2010.02.04 -
NOD32 4834 2010.02.04 -
Norman 6.04.03 2010.02.04 -
nProtect 2009.1.8.0 2010.02.04 -
Panda 10.0.2.2 2010.02.03 -
PCTools 7.0.3.5 2010.02.04 -
Prevx 3.0 2010.02.04 -
Rising 22.33.03.04 2010.02.04 -
Sophos 4.50.0 2010.02.04 -
Sunbelt 3.2.1858.2 2010.02.04 -
TheHacker 6.5.1.0.180 2010.02.04 -
TrendMicro 9.120.0.1004 2010.02.04 -
VBA32 3.12.12.1 2010.02.03 -
ViRobot 2010.2.4.2172 2010.02.04 -
VirusBuster 5.0.21.0 2010.02.03 -
weitere Informationen
File size: 25088 bytes
MD5...: d75069d14e6a7771ea541e6dd17c5dfc
SHA1..: f1851fec24edd6f0f04f94a6643b8bedfac8f43d
SHA256: f2f56286de2e562e8f9c609dbf2271b23416d5edd061aae173bd387b00cec563
ssdeep: 384:87i2vzfJubKja0XfJqE9sDWCCHoX2TQDBwhrEZTdXBbaLaOGknCeFPCwA7cW
jo47:+i2JuOa0dIDDB0rubaLarkRP2u4Ru/I
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4f8b
timedatestamp.....: 0x405179b3 (Fri Mar 12 08:49:55 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4c5c 0x4e00 5.93 193507f3f89f39f5c3101509dbc0745a
.data 0x6000 0x14c 0x200 1.86 1c74406ca4fd544acf528db71ae9a9d6
.rsrc 0x7000 0xce0 0xe00 3.76 4ea9a1a7417d8c971bee62bb5b67dbc1

( 7 imports )
> KERNEL32.dll: Sleep, OpenEventW, SetEvent, GetCurrentProcessId, GetUserDefaultLangID, GetCurrentProcess, GetSystemDirectoryW, GetFileAttributesExW, lstrcmpiW, FormatMessageW, SetCurrentDirectoryW, CreateThread, SetThreadPriority, GetCurrentThread, lstrcmpW, GetLastError, LocalReAlloc, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, WaitForSingleObject, GetStartupInfoA, GetModuleHandleA, DelayLoadFailureHook, ExpandEnvironmentStringsW, SearchPathW, CloseHandle, CreateProcessW, CompareFileTime, LoadLibraryW, GetProcAddress, FreeLibrary, lstrcpyW, lstrcatW, lstrlenW, SetEnvironmentVariableW, GetEnvironmentVariableW, LocalAlloc, LocalFree, GetVersionExW, GetSystemTime
> USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, CharNextW, ExitWindowsEx, MessageBoxW, LoadStringW
> ADVAPI32.dll: RegOpenKeyExA, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegCreateKeyExW, OpenProcessToken, DeregisterEventSource, RegisterEventSourceW, ReportEventW, RegQueryValueExA, RegSetValueExW
> CRYPT32.dll: CryptProtectData
> WINSPOOL.DRV: SpoolerInit
> ntdll.dll: RtlConvertSidToUnicodeString, NtClose, RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, _wcsicmp, memmove, RtlInitUnicodeString, NtOpenKey, NtQueryInformationToken
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _c_exit, _exit, _XcptFilter, _cexit, exit, _acmdln

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten.
product......: Betriebssystem Microsoft_ Windows_
description..: Userinit-Anmeldeanwendung
original name: USERINIT.EXE
internal name: userinit
file version.: 5.1.2600.2096 (xpsp_sp2_rc1.040311-2315)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)



so bin mir nicht sicher aber ist das so richtig ?? das userinit befallen sein soll ist stimmt wohl es tauchte auf einmal im taskmanager -> prozesse auf
und hier ist das avenger teil



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\H8SRTd.sys" not found!
Deletion of driver "H8SRTd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Alt 04.02.2010, 13:19   #8
Chris4You
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



Hi,

die stu2.exe ist die richtige userinit.exe, das andere ist der Trojaner...
Dazu später...
Kein TDSS auch dazu aber später mehr...

Ersteinmal zur av.exe. Lies bitte den vorangegangen Post von mir durch...
Kennst Du Dich mit dem Regeditor aus?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 04.02.2010, 13:20   #9
frehsman
Gast
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



Zitat:
Zitat von Chris4You Beitrag anzeigen
Hi,

okay, habe ich übersehen. Das Problem wenn die av.exe entfernt wird, dann ist keine Exe mehr ausführbar, das müssen wir wie folgt lösen.

Gehe ins Windowsverzeichnis und kopiere die regedit.exe auf regedit.com um und versuche sie zu starten... geht das?

Das Problem liegt hier:



Ich möchte gern ausprobieren, ob der RegKey von av.exe überwacht wird...

chris
habe regedit bzw registrierungs datei ?? geoeffnet was soll ich nu tun

nope kenne mich da ueberhaupt nicht aus tut mir leid

Geändert von frehsman (04.02.2010 um 13:21 Uhr) Grund: besser so

Alt 04.02.2010, 13:22   #10
Chris4You
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



Hi,

gut, nächster Schritt:

Open-command für exe zurücksetzen
Speichere den nachfolgenden Text über den Editor (Start->Ausführen notepad) auf dem Desktop unter dem Namen SetExe.reg (wichtig : nicht unter der Erweiterung "TXT").
Dann mit Doppelklick auf die Datei ausführen, Abfrage abnicken!
Code:
ATTFilter
REGEDIT4

[HKEY_CLASSES_ROOT\exefile]
"EditFlags"=hex:d8,07,00,00
@="Anwendung"

[HKEY_CLASSES_ROOT\exefile\shell]
@=""

[HKEY_CLASSES_ROOT\exefile\shell\open]
@=""
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D}]
@=""

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
         
Wenn av.exe den RegKey nicht überwacht, sollten danach alle EXEn wieder aufrufbar sein...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 04.02.2010, 13:26   #11
frehsman
Gast
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



ok habe beim "speichern unter" bei dateityp von textdateien auf alle dateien umgestellt

Alt 04.02.2010, 13:36   #12
Chris4You
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



Hi,

findest Du die Datei jetzt auf dem Desktop unter ExeReg.reg?
Dann Doppelklick drauf, die regedit.com sollte unsichtbar starten und du wirst gefragt ".. zusammenführen..." -> ja....

Der REg.Key wird wieder richtig gesetzt, jetzt kommt es darauf an, ob das Teil die Registry überwacht und den Key wieder zurücksetzt...

Dann müssen wir die av.exe mit Avenger abschießen und danach den RegKey wieder gerade biegen und dann kommt der Rest dran...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 04.02.2010, 13:41   #13
frehsman
Gast
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



Zitat:
Zitat von Chris4You Beitrag anzeigen
Hi,

findest Du die Datei jetzt auf dem Desktop unter ExeReg.reg?
Dann Doppelklick drauf, die regedit.com sollte unsichtbar starten und du wirst gefragt ".. zusammenführen..." -> ja....

Der REg.Key wird wieder richtig gesetzt, jetzt kommt es darauf an, ob das Teil die Registry überwacht und den Key wieder zurücksetzt...

Dann müssen wir die av.exe mit Avenger abschießen und danach den RegKey wieder gerade biegen und dann kommt der Rest dran...

chris
scheisse .. nichts davon ist eingetreten

back to basics wuerd ich sagen wenns dir nichts ausmacht kannst dir auch noch ruhig zeitlassen muss meinen bruder naemlich zum fussball bringen aber bitte nicht zu viel zeit verstreichen lassen

danke fuer die hilfe bis jez ne !!

Geändert von frehsman (04.02.2010 um 13:53 Uhr) Grund: nur so

Alt 04.02.2010, 14:00   #14
Chris4You
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



Hi,

hat die Datei wirklich die Endung "reg"?
Geht gar kein Fenster auf? Keine Meldung etc?
Benenne die regeditor.exe auf regedit.exe um und probiere es noch einmal...

Wenn das nicht geht, dann probieren wir das mal mit einer INF-Datei:
Du kannst auch diese Datei heruterladen (unhookexec.inf)

http://www.mediafire.com/?9zu4hvgey11

Auf den Desktop speichern und dann mit rechte Maustaste/installieren waehlen.

oder

das hier in den Editor (Start->Zubehör->Editor) kopieren und als unhookexec.inf auf dem

Desktop speichern.

Code:
ATTFilter
[Version]
Signature="$Chicago$"
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
         
Danach mit der rechte Maustaste/installieren waehlen.

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\Dokumente und Einstellungen\Nan\Lokale Einstellungen\Anwendungsdaten\av.exe
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Nach dem Booten ggf. noch mal durchführen...

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 04.02.2010, 14:10   #15
frehsman
Gast
 
unbezwingbarer Trojaner ? - Standard

unbezwingbarer Trojaner ?



habe ya diesen komischen text unter durchfuehren notepad in dem editor unter dem namen SetExe.reg auf dem desktop gesaved. klicke ich nun darauf erscheint eine kleine meldung mit " moechten sie die informationen in ... zu der registrierung hinzufuegen "

klicke ich auf ok erscheint ein neues fenster der mir sagt das diese informationen eingetragen wurden.

zur regeditor.exe was ist das? meinste diese exe im windows ordner wobei wenn ich darauf klicke der registrierungs editor erscheint. habe die datei ya vor einigen schritten von regedit zu regedit.com umschreiben sollen

aber eineen regeditor.exe hab ich noch iwie gar nicht

etwas confused du hoffe ich nicht ^^

Antwort

Themen zu unbezwingbarer Trojaner ?
anti-malware, bytes, code, file, firefox, firefox.exe, internet, internet security, malwarebytes, mozilla, neu, ntdll.dll, problem, programm, programme, prozesse, registry, scan, security, services, setup, software, start, starten., system, system32, trojaner, trojaner ?, ups, viren, xp internet security




Zum Thema unbezwingbarer Trojaner ? - bin absoluter nap in sachen trojaner viren etc hab mal das programm tralala benutzt und paste mal hier das resultat rein GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2010-02-04 02:02:42 Windows - unbezwingbarer Trojaner ?...
Archiv
Du betrachtest: unbezwingbarer Trojaner ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.