Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.04.2010, 21:30   #1
lucki007
 
Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE - Standard

Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE



HEy Leute ;D,

ich habe da ein Problem,

Vor ein paar Tagen habe ich mir wohl einen Virus eingefangen.

Als ich meinen PC startete, kam nach der Anmeldung nur ein Grauer Bildschirm und der "Wartezeiger". Im Taskmanager öffnete sich und schloss sich die ganze zeit ein Prozess, der nach jedem start anders hiess. Doch er find immer mit "d" an ;D. Im Abgesicherten Modus habe ich dann die Datei (Datei hat "änderungsdatum" von 19.7.2009, doch habe im Januar erst PC KOMPLETT neuinstalliert ;D) gelöscht. Darauf liess ich Avira mit "Agressiven Einstellungen" laufen und einige Viren wurden darauf gelöscht. Ich dachte das Problem sei gelöst, doch von nun an öffnete sich dauernd Werbung im Firefox und Internet Explorer. Nach ein Bisschen googlen kam ich auf diese Seite und befolgte einige Tutorials. Mit SuperAntySpyware und Malewarebytes Anti-Malware habe ich, so wie es schien, alle Viren im KomplettScan gefunden und gelöscht. Auch nach neustart und erneutem Scan wurden keine Viren mehr gefunden. Doch als ich dann wieder fleissig am surfen war, öffnete sich wieder Werbung in Firefox, aber nicht mehr selbstständig, sondern nur wenn ich bei Google was gesucht habe und dann auf eine der Ergebnisse drückte. So ca jedes 10mal öffnet sich dadurch irgendeine Suchmaschine die mich dann auf verschiedene andere Seiten schickt .

Edit:
Den CCleaner habe ich auch öfters mal benutzt, da Avira mehrere Viren in dem Temp Ordner fand. Diesen Prüfe ich jetzt öfters nach, und schaue ob er leer ist oder ob wieder ein Virus drinne ist ;D

Code:
ATTFilter
Hier mal HijackThis Log:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 22:29:49, on 10.04.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Minefield\firefox.exe
C:\Program Files\Minefield\plugin-container.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Microsoft Web Test Recorder 10.0 Helper - {DDA57003-0068-4ed2-9D32-4D1EC707D94D} - C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\LManager.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
O23 - Service: WD SmartWare Drive Manager (WDDMService) - WDC - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
O23 - Service: WD SmartWare Background Service (WDSmartWareBackgroundService) - Memeo - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe

--
End of file - 7884 bytes
         
GMER LOG:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-10 22:35:15
Windows 6.1.7600 
Running: 4em51k65.exe; Driver: C:\Users\Lukas\AppData\Local\Temp\kglcapow.sys


---- System - GMER 1.0.15 ----

INT 0x1F        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                               83229AF8
INT 0x37        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                               83229104
INT 0xC1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                               832293F4
INT 0xD1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                               83211634
INT 0xD2        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                               83211898
INT 0xDF        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                               832291DC
INT 0xE1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                               83229958
INT 0xE3        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                               832296F8
INT 0xFD        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                               83229F2C
INT 0xFE        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                               8322A1A8

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                                        832895C9 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                 832AE052 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
?               System32\Drivers\spae.sys                                                                                              Das System kann den angegebenen Pfad nicht finden. !
.text           C:\Windows\system32\DRIVERS\atipmdag.sys                                                                               section is writeable [0x90C19000, 0x2ECEB2, 0xE8000020]
.text           USBPORT.SYS!DllUnload                                                                                                  91778CA0 5 Bytes  JMP 86CA31D8 
.text           aurljiuu.SYS                                                                                                           8F39F000 12 Bytes  [44, 48, 21, 83, EE, 46, 21, ...]
.text           aurljiuu.SYS                                                                                                           8F39F00D 9 Bytes  [27, 21, 83, 48, 4B, 21, 83, ...] {DAA ; AND [EBX-0x7cdeb4b8], EAX; ADD [EAX], AL}
.text           aurljiuu.SYS                                                                                                           8F39F017 170 Bytes  [00, DE, A7, F3, 83, E6, A5, ...]
.text           aurljiuu.SYS                                                                                                           8F39F0C3 8 Bytes  [00, 00, 00, 00, 00, 00, 00, ...] {ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL}
.text           aurljiuu.SYS                                                                                                           8F39F0CE 4 Bytes  [00, 00, 00, 00] {ADD [EAX], AL; ADD [EAX], AL}
.text           ...                                                                                                                    
.text           peauth.sys                                                                                                             9C126C9D 28 Bytes  [55, FC, CD, 93, 66, CE, 39, ...]
.text           peauth.sys                                                                                                             9C126CC1 28 Bytes  [55, FC, CD, 93, 66, CE, 39, ...]

---- User code sections - GMER 1.0.15 ----

.text           C:\Windows\system32\svchost.exe[1088] ntdll.dll!NtProtectVirtualMemory                                                 778F5360 5 Bytes  JMP 0027000A 
.text           C:\Windows\system32\svchost.exe[1088] ntdll.dll!NtWriteVirtualMemory                                                   778F5EE0 5 Bytes  JMP 0028000A 
.text           C:\Windows\system32\svchost.exe[1088] ntdll.dll!KiUserExceptionDispatcher                                              778F6448 5 Bytes  JMP 0026000A 
.text           C:\Windows\Explorer.EXE[2516] ntdll.dll!NtProtectVirtualMemory                                                         778F5360 5 Bytes  JMP 0060000A 
.text           C:\Windows\Explorer.EXE[2516] ntdll.dll!NtWriteVirtualMemory                                                           778F5EE0 5 Bytes  JMP 0061000A 
.text           C:\Windows\Explorer.EXE[2516] ntdll.dll!KiUserExceptionDispatcher                                                      778F6448 5 Bytes  JMP 005F000A 
.text           C:\Program Files\Minefield\firefox.exe[3284] ntdll.dll!NtProtectVirtualMemory                                          778F5360 5 Bytes  JMP 0049000A 
.text           C:\Program Files\Minefield\firefox.exe[3284] ntdll.dll!NtWriteVirtualMemory                                            778F5EE0 5 Bytes  JMP 004A000A 
.text           C:\Program Files\Minefield\firefox.exe[3284] ntdll.dll!KiUserExceptionDispatcher                                       778F6448 5 Bytes  JMP 0047000A 
.text           C:\Program Files\Minefield\plugin-container.exe[5484] USER32.dll!TrackPopupMenu                                        77564B3B 5 Bytes  JMP 62EC8D5D C:\Program Files\Minefield\xul.dll (Mozilla Foundation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortUchar]                                               [83E3E042] \SystemRoot\System32\Drivers\spae.sys
IAT             \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortUchar]                                              [83E3E6D6] \SystemRoot\System32\Drivers\spae.sys
IAT             \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort]                                       [83E3E800] \SystemRoot\System32\Drivers\spae.sys
IAT             \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort]                                        [83E3E13E] \SystemRoot\System32\Drivers\spae.sys
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortNotification]                                             00147880
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortQuerySystemTime]                                          78800C75
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortReadPortUchar]                                            06750015
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortStallExecution]                                           C25DC033
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortWritePortUchar]                                           458B0008
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortWritePortUlong]                                           6A006A08
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortGetPhysicalAddress]                                       50056A24
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong]                            005AB7E8
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortGetScatterGatherList]                                     0001B800
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortGetParentBusType]                                         C25D0000
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortRequestCallback]                                          CCCC0008
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortWritePortBufferUshort]                                    CCCCCCCC
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortGetUnCachedExtension]                                     CCCCCCCC
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortCompleteRequest]                                          CCCCCCCC
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortCopyMemory]                                               53EC8B55
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortEtwTraceLog]                                              800C5D8B
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests]                                7500117B
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb]                                   127B806A
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb]                                     80647500
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortReadPortBufferUshort]                                     7500137B
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortInitialize]                                               157B805E
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortGetDeviceBase]                                            56587500
IAT             \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortDeviceStateChange]                                        8008758B

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                 864891F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{B4958845-4A56-4E6F-9471-27C052E3158C}                                               869D01F8

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                                VMkbd.sys
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                                VMkbd.sys

Device          \Driver\volmgr \Device\VolMgrControl                                                                                   857DE1F8
Device          \Driver\usbohci \Device\USBPDO-0                                                                                       86CA61F8
Device          \Driver\usbohci \Device\USBPDO-1                                                                                       86CA61F8
Device          \Driver\usbehci \Device\USBPDO-2                                                                                       86CA71F8
Device          \Driver\usbohci \Device\USBPDO-3                                                                                       86CA61F8
Device          \Driver\usbohci \Device\USBPDO-4                                                                                       86CA61F8
Device          \Driver\usbehci \Device\USBPDO-5                                                                                       86CA71F8
Device          \Driver\volmgr \Device\HarddiskVolume1                                                                                 857DE1F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\volmgr \Device\HarddiskVolume2                                                                                 857DE1F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\cdrom \Device\CdRom0                                                                                           86AEA500
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                     857E01F8
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                     857E01F8
Device          \Driver\atapi \Device\Ide\IdePort2                                                                                     857E01F8
Device          \Driver\atapi \Device\Ide\IdePort3                                                                                     857E01F8
Device          \Driver\atapi \Device\Ide\IdePort4                                                                                     857E01F8
Device          \Driver\atapi \Device\Ide\IdePort5                                                                                     857E01F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP4T0L0-4                                                                            857E01F8
Device          \Driver\msahci \Device\Ide\PciIde0Channel0                                                                             857E11F8
Device          \Driver\msahci \Device\Ide\PciIde0Channel1                                                                             857E11F8
Device          \Driver\msahci \Device\Ide\PciIde0Channel2                                                                             857E11F8
Device          \Driver\msahci \Device\Ide\PciIde0Channel3                                                                             857E11F8
Device          \Driver\volmgr \Device\HarddiskVolume3                                                                                 857DE1F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\cdrom \Device\CdRom1                                                                                           86AEA500
Device          \Driver\PCI_PNP4064 \Device\00000073                                                                                   spae.sys
Device          \Driver\ACPI_HAL \Device\00000066                                                                                      halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
Device          \Driver\volmgr \Device\HarddiskVolume4                                                                                 857DE1F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                                 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\volmgr \Device\HarddiskVolume5                                                                                 857DE1F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                                                 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                                869D01F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{30DAD6DC-1BA3-4025-ADB0-6065B65F2FB9}                                               869D01F8
Device          \Driver\sptd \Device\155316069                                                                                         spae.sys
Device          \Driver\USBSTOR \Device\00000098                                                                                       874BE500
Device          \Driver\usbohci \Device\USBFDO-0                                                                                       86CA61F8
Device          \Driver\USBSTOR \Device\00000099                                                                                       874BE500
Device          \Driver\usbohci \Device\USBFDO-1                                                                                       86CA61F8
Device          \Driver\usbehci \Device\USBFDO-2                                                                                       86CA71F8
Device          \Driver\usbohci \Device\USBFDO-3                                                                                       86CA61F8
Device          \Driver\usbohci \Device\USBFDO-4                                                                                       86CA61F8
Device          \Driver\usbehci \Device\USBFDO-5                                                                                       86CA71F8
Device          \Driver\aurljiuu \Device\Scsi\aurljiuu1                                                                                86D05360
Device          \Driver\aurljiuu \Device\Scsi\aurljiuu1Port6Path0Target0Lun0                                                           86D05360
Device           -> \Driver\atapi \Device\Harddisk0\DR0                                                                                8655FD6B

---- Threads - GMER 1.0.15 ----

Thread          System [4:2092]                                                                                                        9E630F2E

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\00158315a310                                            
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1                                                                     771343423
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2                                                                     285507792
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0                                                                     1
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                       
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                    C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                    0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                    0
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                 0x7D 0x86 0x7F 0x7A ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                              
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                           0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                        0xA8 0x06 0xFD 0x8D ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                         
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                   0x55 0xE7 0x74 0x32 ...
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\00158315a310 (not active ControlSet)                        
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                   
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                        C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                        0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                        0
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                     0x7D 0x86 0x7F 0x7A ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)          
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                               0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                            0xA8 0x06 0xFD 0x8D ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)     
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                       0x55 0xE7 0x74 0x32 ...
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-2891103275-4188202589-3294146356-1000@RefCount  5

---- Files - GMER 1.0.15 ----

File            C:\Windows\system32\drivers\atapi.sys                                                                                  suspicious modification

---- EOF - GMER 1.0.15 ----
         
bei Malwarebyte's wurde bis jetzt nichts mehr gefunden...

Geändert von lucki007 (10.04.2010 um 21:36 Uhr)

Alt 10.04.2010, 21:39   #2
Highway2010
 
Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE - Standard

Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE



Hallo und

Hm..Also offensichtliche Viren sind nicht zu sehen. Probiere mal nochmal einen vollständigen scan mit Avira & danach einen vollständigen Scan mit Malwarebytes. Und poste das Malwarebytes Logfile bitte.

MfG
Thomas
__________________

__________________

Alt 10.04.2010, 21:44   #3
lucki007
 
Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE - Standard

Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE



Hier einige Viren die Avira in den letzten Tagen Gefunden hat, ich bin gerade nochmal einen Vollständigen Malwarebytes Scan am machen, und dannach nochmal einen Avira scan ;D

Code:
ATTFilter

Typ:	Datei
Quelle:	C:\Windows\Temp\vaqa.tmp\svchost.exe
Status:	Infiziert
Quarantäne-Objekt:	508bdfa4.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.210
Virendefinitionsdatei:	7.10.06.51
Meldung:	Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit:	10.04.2010, 13:02


Typ:	Datei
Quelle:	C:\Windows\Temp\vaqa.tmp\svchost.exe
Status:	Infiziert
Quarantäne-Objekt:	481cfa6f.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.210
Virendefinitionsdatei:	7.10.06.51
Meldung:	Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit:	10.04.2010, 13:02


Typ:	Datei
Quelle:	C:\Windows\Temp\vaqa.tmp\svchost.exe
Status:	Infiziert
Quarantäne-Objekt:	482ae3ee.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.210
Virendefinitionsdatei:	7.10.06.51
Meldung:	Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit:	10.04.2010, 11:18


Typ:	Datei
Quelle:	C:\Windows\Temp\vaqa.tmp\svchost.exe
Status:	Infiziert
Quarantäne-Objekt:	50bdc625.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.210
Virendefinitionsdatei:	7.10.06.51
Meldung:	Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit:	10.04.2010, 11:18


Typ:	Datei
Quelle:	C:\Windows\Temp\hki838.exe
Status:	Infiziert
Quarantäne-Objekt:	4899e30c.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.210
Virendefinitionsdatei:	7.10.06.51
Meldung:	Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit:	10.04.2010, 11:15


Typ:	Datei
Quelle:	C:\Windows\Temp\vaqa.tmp\svchost.exe
Status:	Infiziert
Quarantäne-Objekt:	481c9f51.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.210
Virendefinitionsdatei:	7.10.06.51
Meldung:	Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit:	10.04.2010, 10:59


Typ:	Datei
Quelle:	C:\Windows\Temp\vaqa.tmp\svchost.exe
Status:	Infiziert
Quarantäne-Objekt:	508bba9a.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.210
Virendefinitionsdatei:	7.10.06.51
Meldung:	Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit:	10.04.2010, 10:59


Typ:	Datei
Quelle:	C:\Windows\Temp\cbsFF6A.tmp
Status:	Infiziert
Quarantäne-Objekt:	48e09a87.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.210
Virendefinitionsdatei:	7.10.06.51
Meldung:	Ist das Trojanische Pferd TR/ATRAPS.Gen2
Datum/Uhrzeit:	09.04.2010, 16:36


Typ:	Datei
Quelle:	C:\Users\Lukas\AppData\Local\Temp\..Hackhoundserver.exe
Status:	Infiziert
Quarantäne-Objekt:	481685e6.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.210
Virendefinitionsdatei:	7.10.06.51
Meldung:	Ist das Trojanische Pferd TR/Agent.318976
Datum/Uhrzeit:	09.04.2010, 14:44



Typ:	Datei
Quelle:	C:\Users\Lukas\AppData\Local\Mozilla\Firefox\Profiles\qkzwdvwi.default\Cache\_CACHE_001_
Status:	Infiziert
Quarantäne-Objekt:	4f23e6d4.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.204
Virendefinitionsdatei:	7.10.06.10
Meldung:	Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
Datum/Uhrzeit:	08.04.2010, 23:16


Typ:	Datei
Quelle:	C:\Users\Lukas\AppData\Local\Temp\nstA7B5.tmp\out2.exe
Status:	Infiziert
Quarantäne-Objekt:	48bce3f8.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.204
Virendefinitionsdatei:	7.10.06.10
Meldung:	Ist das Trojanische Pferd TR/Dldr.Genome.aldh
Datum/Uhrzeit:	08.04.2010, 22:53


Typ:	Datei
Quelle:	C:\Users\Lukas\Desktop\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Exe v.1\nc.exe
Status:	Infiziert
Quarantäne-Objekt:	025000a8.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit:	26.03.2010, 12:57


Typ:	Datei
Quelle:	C:\Users\Lukas\Desktop\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Exe v.2\reconnecter.exe
Status:	Infiziert
Quarantäne-Objekt:	0c8e040d.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Hupigon.153170
Datum/Uhrzeit:	26.03.2010, 12:57


Typ:	Datei
Quelle:	C:\Users\Lukas\Desktop\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Batch v.1\nc.exe
Status:	Infiziert
Quarantäne-Objekt:	76e5600d.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit:	26.03.2010, 12:57


Typ:	Datei
Quelle:	C:\Users\Lukas\Desktop\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Batch v.2\nc.exe
Status:	Infiziert
Quarantäne-Objekt:	5a1119c1.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit:	26.03.2010, 12:57


Typ:	Datei
Quelle:	J:\Backup1\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Exe v.2\reconnecter.exe
Status:	Infiziert
Quarantäne-Objekt:	5eca20e1.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Hupigon.153170
Datum/Uhrzeit:	26.03.2010, 12:57




Typ:	Datei
Quelle:	J:\Backup1\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Batch v.1\nc.exe
Status:	Infiziert
Quarantäne-Objekt:	44e563b8.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit:	26.03.2010, 12:57


Typ:	Datei
Quelle:	C:\Users\Lukas\Desktop\Alle Ordner\Fritz!Box Reconnect\Zusatz\Cmdow\cmdow.exe
Status:	Infiziert
Quarantäne-Objekt:	47a24db1.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232.1
Datum/Uhrzeit:	26.03.2010, 12:57


Typ:	Datei
Quelle:	J:\Backup1\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Batch v.2\nc.exe
Status:	Infiziert
Quarantäne-Objekt:	69bf4cf5.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit:	26.03.2010, 12:57


Typ:	Datei
Quelle:	J:\Backup1\Alle Ordner\Fritz!Box Reconnect\Zusatz\Cmdow\cmdow.exe
Status:	Infiziert
Quarantäne-Objekt:	644a3f86.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232.1
Datum/Uhrzeit:	26.03.2010, 12:57


Typ:	Datei
Quelle:	J:\Backup1\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Exe v.1\nc.exe
Status:	Infiziert
Quarantäne-Objekt:	15a70ca5.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit:	26.03.2010, 12:57


Typ:	Datei
Quelle:	J:\Backup1\Alle Ordner\Fritz!Box Reconnect\(C)Final Reconnect incl. VOIP-Check\Version 2 by pueblobo\EasyUPnP\TCPclient.dll
Status:	Infiziert
Quarantäne-Objekt:	2622126e.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Ist das Trojanische Pferd TR/Swisyn.xyu
Datum/Uhrzeit:	26.03.2010, 12:57


Typ:	Datei
Quelle:	C:\Users\Lukas\Desktop\Alle Ordner\Fritz!Box Reconnect\(C)Final Reconnect incl. VOIP-Check\Version 2 by pueblobo\EasyUPnP\TCPclient.dll
Status:	Infiziert
Quarantäne-Objekt:	4e547da0.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Ist das Trojanische Pferd TR/Swisyn.xyu
Datum/Uhrzeit:	26.03.2010, 12:57


Typ:	Datei
Quelle:	C:\Users\Lukas\Desktop\Alle Ordner\WarRock Hacker\6014CPG\keygen\keygen.exe
Status:	Infiziert
Quarantäne-Objekt:	362e741c.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Ist das Trojanische Pferd TR/Bumat!rts.A.159
Datum/Uhrzeit:	26.03.2010, 12:57


Typ:	Datei
Quelle:	J:\Backup1\Alle Ordner\Reconnecter\nc.exe
Status:	Infiziert
Quarantäne-Objekt:	05b77072.qua
Wiederhergestellt:	JA
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit:	26.03.2010, 12:57








Typ:	Datei
Quelle:	C:\Users\Lukas\AppData\Roaming\Microsoft\winlogs32.exe
Status:	Infiziert
Quarantäne-Objekt:	4c1731f3.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.01.196
Virendefinitionsdatei:	7.10.05.225
Meldung:	Ist das Trojanische Pferd TR/ATRAPS.Gen
Datum/Uhrzeit:	26.03.2010, 10:08
         
__________________

Alt 10.04.2010, 21:44   #4
Chris4You
 
Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE - Standard

Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE



Hi,

das sieht eher nach einem Rootkit (TDSS) aus:
File C:\Windows\system32\drivers\atapi.sys suspicious modification...

TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-t...tml#post640150
Entpacke alle Dateien!

Start.bat erstellen:
Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein:
Code:
ATTFilter
@ECHO OFF
TDSSKiller.exe -l report.txt -v
DEL %0
         
  • Speichern als: start.bat
  • abspeichern unter : Dateityp: alle Dateien
  • speichere die Datei im Ordner wo auch TDSSKiller.exe steht
  • Doppelklick start.bat
TDSSKiller.exe wird gestartet und ein Log erzeugen(report.txt).
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 10.04.2010, 21:59   #5
lucki007
 
Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE - Standard

Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE



Danke schonmal für die Antworten.
Also, ich habe das mit dem TDSS Killer gemacht ;D

Hier der Log:

Code:
ATTFilter
22:51:30:392 5048	TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
22:51:30:392 5048	================================================================================
22:51:30:392 5048	SystemInfo:

22:51:30:392 5048	OS Version: 6.1.7600 ServicePack: 0.0
22:51:30:392 5048	Product type: Workstation
22:51:30:392 5048	ComputerName: LUKAS-PC
22:51:30:396 5048	UserName: Lukas
22:51:30:397 5048	Windows directory: C:\Windows
22:51:30:397 5048	Processor architecture: Intel x86
22:51:30:397 5048	Number of processors: 2
22:51:30:397 5048	Page size: 0x1000
22:51:30:507 5048	Boot type: Normal boot
22:51:30:508 5048	================================================================================
22:51:30:551 5048	UnloadDriverW: NtUnloadDriver error 2
22:51:30:551 5048	ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
22:51:31:349 5048	wfopen_ex: Trying to open file C:\Windows\system32\config\system
22:51:31:349 5048	wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:51:31:349 5048	wfopen_ex: Trying to KLMD file open
22:51:31:349 5048	wfopen_ex: File opened ok (Flags 2)
22:51:31:359 5048	wfopen_ex: Trying to open file C:\Windows\system32\config\software
22:51:31:359 5048	wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:51:31:359 5048	wfopen_ex: Trying to KLMD file open
22:51:31:359 5048	wfopen_ex: File opened ok (Flags 2)
22:51:31:377 5048	Initialize success
22:51:31:377 5048	
22:51:31:378 5048	Scanning	Services ...
22:51:34:445 5048	Raw services enum returned 532 services
22:51:34:461 5048	
22:51:34:464 5048	Scanning	Kernel memory ...
22:51:34:464 5048	Devices to scan: 2
22:51:34:464 5048	
22:51:34:464 5048	Driver Name: USBSTOR
22:51:34:464 5048	IRP_MJ_CREATE                      : 874BE500
22:51:34:464 5048	IRP_MJ_CREATE_NAMED_PIPE           : 832F7537
22:51:34:464 5048	IRP_MJ_CLOSE                       : 874BE500
22:51:34:464 5048	IRP_MJ_READ                        : 874BE500
22:51:34:464 5048	IRP_MJ_WRITE                       : 874BE500
22:51:34:464 5048	IRP_MJ_QUERY_INFORMATION           : 832F7537
22:51:34:465 5048	IRP_MJ_SET_INFORMATION             : 832F7537
22:51:34:465 5048	IRP_MJ_QUERY_EA                    : 832F7537
22:51:34:465 5048	IRP_MJ_SET_EA                      : 832F7537
22:51:34:465 5048	IRP_MJ_FLUSH_BUFFERS               : 832F7537
22:51:34:465 5048	IRP_MJ_QUERY_VOLUME_INFORMATION    : 832F7537
22:51:34:465 5048	IRP_MJ_SET_VOLUME_INFORMATION      : 832F7537
22:51:34:465 5048	IRP_MJ_DIRECTORY_CONTROL           : 832F7537
22:51:34:465 5048	IRP_MJ_FILE_SYSTEM_CONTROL         : 832F7537
22:51:34:465 5048	IRP_MJ_DEVICE_CONTROL              : 874BE500
22:51:34:465 5048	IRP_MJ_INTERNAL_DEVICE_CONTROL     : 874BE500
22:51:34:465 5048	IRP_MJ_SHUTDOWN                    : 832F7537
22:51:34:465 5048	IRP_MJ_LOCK_CONTROL                : 832F7537
22:51:34:465 5048	IRP_MJ_CLEANUP                     : 832F7537
22:51:34:465 5048	IRP_MJ_CREATE_MAILSLOT             : 832F7537
22:51:34:465 5048	IRP_MJ_QUERY_SECURITY              : 832F7537
22:51:34:465 5048	IRP_MJ_SET_SECURITY                : 832F7537
22:51:34:465 5048	IRP_MJ_POWER                       : 874BE500
22:51:34:465 5048	IRP_MJ_SYSTEM_CONTROL              : 874BE500
22:51:34:465 5048	IRP_MJ_DEVICE_CHANGE               : 832F7537
22:51:34:465 5048	IRP_MJ_QUERY_QUOTA                 : 832F7537
22:51:34:465 5048	IRP_MJ_SET_QUOTA                   : 832F7537
22:51:34:474 5048	C:\Windows\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:51:34:474 5048	
22:51:34:474 5048	Driver Name: atapi
22:51:34:474 5048	IRP_MJ_CREATE                      : 8655FD6B
22:51:34:475 5048	IRP_MJ_CREATE_NAMED_PIPE           : 8655FD6B
22:51:34:475 5048	IRP_MJ_CLOSE                       : 8655FD6B
22:51:34:475 5048	IRP_MJ_READ                        : 8655FD6B
22:51:34:475 5048	IRP_MJ_WRITE                       : 8655FD6B
22:51:34:475 5048	IRP_MJ_QUERY_INFORMATION           : 8655FD6B
22:51:34:475 5048	IRP_MJ_SET_INFORMATION             : 8655FD6B
22:51:34:475 5048	IRP_MJ_QUERY_EA                    : 8655FD6B
22:51:34:475 5048	IRP_MJ_SET_EA                      : 8655FD6B
22:51:34:475 5048	IRP_MJ_FLUSH_BUFFERS               : 8655FD6B
22:51:34:475 5048	IRP_MJ_QUERY_VOLUME_INFORMATION    : 8655FD6B
22:51:34:475 5048	IRP_MJ_SET_VOLUME_INFORMATION      : 8655FD6B
22:51:34:475 5048	IRP_MJ_DIRECTORY_CONTROL           : 8655FD6B
22:51:34:475 5048	IRP_MJ_FILE_SYSTEM_CONTROL         : 8655FD6B
22:51:34:475 5048	IRP_MJ_DEVICE_CONTROL              : 8655FD6B
22:51:34:475 5048	IRP_MJ_INTERNAL_DEVICE_CONTROL     : 8655FD6B
22:51:34:475 5048	IRP_MJ_SHUTDOWN                    : 8655FD6B
22:51:34:475 5048	IRP_MJ_LOCK_CONTROL                : 8655FD6B
22:51:34:475 5048	IRP_MJ_CLEANUP                     : 8655FD6B
22:51:34:475 5048	IRP_MJ_CREATE_MAILSLOT             : 8655FD6B
22:51:34:475 5048	IRP_MJ_QUERY_SECURITY              : 8655FD6B
22:51:34:475 5048	IRP_MJ_SET_SECURITY                : 8655FD6B
22:51:34:475 5048	IRP_MJ_POWER                       : 8655FD6B
22:51:34:475 5048	IRP_MJ_SYSTEM_CONTROL              : 8655FD6B
22:51:34:475 5048	IRP_MJ_DEVICE_CHANGE               : 8655FD6B
22:51:34:475 5048	IRP_MJ_QUERY_QUOTA                 : 8655FD6B
22:51:34:475 5048	IRP_MJ_SET_QUOTA                   : 8655FD6B
22:51:34:475 5048	Driver "atapi" infected by TDSS rootkit!
22:51:34:480 5048	C:\Windows\system32\DRIVERS\atapi.sys - Verdict: 1
22:51:34:480 5048	File "C:\Windows\system32\DRIVERS\atapi.sys" infected by TDSS rootkit ... 22:51:34:480 5048	Processing driver file: C:\Windows\system32\DRIVERS\atapi.sys
22:51:34:772 5048	vfvi6
22:51:34:835 5048	dsvbh1
22:51:35:234 5048	fdfb1
22:51:35:234 5048	Backup copy found, using it..
22:51:35:302 5048	will be cured on next reboot
22:51:35:302 5048	Reboot required for cure complete..
22:51:35:351 5048	Cure on reboot scheduled successfully
22:51:35:351 5048	
22:51:35:353 5048	Completed
22:51:35:353 5048	
22:51:35:354 5048	Results:
22:51:35:354 5048	Memory objects infected / cured / cured on reboot:	1 / 0 / 0
22:51:35:355 5048	Registry objects infected / cured / cured on reboot:	0 / 0 / 0
22:51:35:355 5048	File objects infected / cured / cured on reboot:	1 / 0 / 1
22:51:35:356 5048	
22:51:35:356 5048	fclose_ex: Trying to close file C:\Windows\system32\config\system
22:51:35:357 5048	fclose_ex: Trying to close file C:\Windows\system32\config\software
22:51:35:357 5048	UnloadDriverW: NtUnloadDriver error 1
22:51:35:361 5048	KLMD(ARK) unloaded successfully
         


Edit:

Nur um Nachzuprüfen habe ich das ganze nochmal wiederholt, es scheint als wäre er weggeputzt worden:

Code:
ATTFilter
23:00:05:384 3144	TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
23:00:05:385 3144	================================================================================
23:00:05:385 3144	SystemInfo:

23:00:05:385 3144	OS Version: 6.1.7600 ServicePack: 0.0
23:00:05:385 3144	Product type: Workstation
23:00:05:385 3144	ComputerName: LUKAS-PC
23:00:05:387 3144	UserName: Lukas
23:00:05:387 3144	Windows directory: C:\Windows
23:00:05:387 3144	Processor architecture: Intel x86
23:00:05:387 3144	Number of processors: 2
23:00:05:387 3144	Page size: 0x1000
23:00:05:389 3144	Boot type: Normal boot
23:00:05:389 3144	================================================================================
23:00:05:393 3144	UnloadDriverW: NtUnloadDriver error 2
23:00:05:393 3144	ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
23:00:12:096 3144	wfopen_ex: Trying to open file C:\Windows\system32\config\system
23:00:12:096 3144	wfopen_ex: MyNtCreateFileW error 32 (C0000043)
23:00:12:096 3144	wfopen_ex: Trying to KLMD file open
23:00:12:096 3144	wfopen_ex: File opened ok (Flags 2)
23:00:12:146 3144	wfopen_ex: Trying to open file C:\Windows\system32\config\software
23:00:12:146 3144	wfopen_ex: MyNtCreateFileW error 32 (C0000043)
23:00:12:146 3144	wfopen_ex: Trying to KLMD file open
23:00:12:146 3144	wfopen_ex: File opened ok (Flags 2)
23:00:12:164 3144	Initialize success
23:00:12:164 3144	
23:00:12:165 3144	Scanning	Services ...
23:00:16:666 3144	Raw services enum returned 531 services
23:00:16:682 3144	
23:00:16:682 3144	Scanning	Kernel memory ...
23:00:16:683 3144	Devices to scan: 2
23:00:16:683 3144	
23:00:16:684 3144	Driver Name: USBSTOR
23:00:16:684 3144	IRP_MJ_CREATE                      : 8698C500
23:00:16:684 3144	IRP_MJ_CREATE_NAMED_PIPE           : 83302537
23:00:16:684 3144	IRP_MJ_CLOSE                       : 8698C500
23:00:16:684 3144	IRP_MJ_READ                        : 8698C500
23:00:16:684 3144	IRP_MJ_WRITE                       : 8698C500
23:00:16:684 3144	IRP_MJ_QUERY_INFORMATION           : 83302537
23:00:16:684 3144	IRP_MJ_SET_INFORMATION             : 83302537
23:00:16:684 3144	IRP_MJ_QUERY_EA                    : 83302537
23:00:16:684 3144	IRP_MJ_SET_EA                      : 83302537
23:00:16:684 3144	IRP_MJ_FLUSH_BUFFERS               : 83302537
23:00:16:684 3144	IRP_MJ_QUERY_VOLUME_INFORMATION    : 83302537
23:00:16:684 3144	IRP_MJ_SET_VOLUME_INFORMATION      : 83302537
23:00:16:684 3144	IRP_MJ_DIRECTORY_CONTROL           : 83302537
23:00:16:684 3144	IRP_MJ_FILE_SYSTEM_CONTROL         : 83302537
23:00:16:684 3144	IRP_MJ_DEVICE_CONTROL              : 8698C500
23:00:16:684 3144	IRP_MJ_INTERNAL_DEVICE_CONTROL     : 8698C500
23:00:16:684 3144	IRP_MJ_SHUTDOWN                    : 83302537
23:00:16:684 3144	IRP_MJ_LOCK_CONTROL                : 83302537
23:00:16:684 3144	IRP_MJ_CLEANUP                     : 83302537
23:00:16:684 3144	IRP_MJ_CREATE_MAILSLOT             : 83302537
23:00:16:684 3144	IRP_MJ_QUERY_SECURITY              : 83302537
23:00:16:684 3144	IRP_MJ_SET_SECURITY                : 83302537
23:00:16:684 3144	IRP_MJ_POWER                       : 8698C500
23:00:16:684 3144	IRP_MJ_SYSTEM_CONTROL              : 8698C500
23:00:16:684 3144	IRP_MJ_DEVICE_CHANGE               : 83302537
23:00:16:684 3144	IRP_MJ_QUERY_QUOTA                 : 83302537
23:00:16:684 3144	IRP_MJ_SET_QUOTA                   : 83302537
23:00:16:729 3144	C:\Windows\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
23:00:16:729 3144	
23:00:16:729 3144	Driver Name: atapi
23:00:16:729 3144	IRP_MJ_CREATE                      : 8A6778C4
23:00:16:729 3144	IRP_MJ_CREATE_NAMED_PIPE           : 83302537
23:00:16:729 3144	IRP_MJ_CLOSE                       : 8A6778C4
23:00:16:729 3144	IRP_MJ_READ                        : 83302537
23:00:16:729 3144	IRP_MJ_WRITE                       : 83302537
23:00:16:729 3144	IRP_MJ_QUERY_INFORMATION           : 83302537
23:00:16:729 3144	IRP_MJ_SET_INFORMATION             : 83302537
23:00:16:729 3144	IRP_MJ_QUERY_EA                    : 83302537
23:00:16:729 3144	IRP_MJ_SET_EA                      : 83302537
23:00:16:729 3144	IRP_MJ_FLUSH_BUFFERS               : 83302537
23:00:16:729 3144	IRP_MJ_QUERY_VOLUME_INFORMATION    : 83302537
23:00:16:729 3144	IRP_MJ_SET_VOLUME_INFORMATION      : 83302537
23:00:16:729 3144	IRP_MJ_DIRECTORY_CONTROL           : 83302537
23:00:16:729 3144	IRP_MJ_FILE_SYSTEM_CONTROL         : 83302537
23:00:16:729 3144	IRP_MJ_DEVICE_CONTROL              : 8A66347C
23:00:16:729 3144	IRP_MJ_INTERNAL_DEVICE_CONTROL     : 8A66344E
23:00:16:729 3144	IRP_MJ_SHUTDOWN                    : 83302537
23:00:16:729 3144	IRP_MJ_LOCK_CONTROL                : 83302537
23:00:16:729 3144	IRP_MJ_CLEANUP                     : 83302537
23:00:16:729 3144	IRP_MJ_CREATE_MAILSLOT             : 83302537
23:00:16:729 3144	IRP_MJ_QUERY_SECURITY              : 83302537
23:00:16:729 3144	IRP_MJ_SET_SECURITY                : 83302537
23:00:16:729 3144	IRP_MJ_POWER                       : 8A6634AA
23:00:16:729 3144	IRP_MJ_SYSTEM_CONTROL              : 8A672DB2
23:00:16:729 3144	IRP_MJ_DEVICE_CHANGE               : 83302537
23:00:16:730 3144	IRP_MJ_QUERY_QUOTA                 : 83302537
23:00:16:730 3144	IRP_MJ_SET_QUOTA                   : 83302537
23:00:16:737 3144	C:\Windows\system32\drivers\atapi.sys - Verdict: 1
23:00:16:737 3144	
23:00:16:738 3144	Completed
23:00:16:739 3144	
23:00:16:739 3144	Results:
23:00:16:740 3144	Memory objects infected / cured / cured on reboot:	0 / 0 / 0
23:00:16:741 3144	Registry objects infected / cured / cured on reboot:	0 / 0 / 0
23:00:16:742 3144	File objects infected / cured / cured on reboot:	0 / 0 / 0
23:00:16:743 3144	
23:00:16:743 3144	fclose_ex: Trying to close file C:\Windows\system32\config\system
23:00:16:745 3144	fclose_ex: Trying to close file C:\Windows\system32\config\software
23:00:16:748 3144	KLMD(ARK) unloaded successfully
         


Alt 10.04.2010, 22:23   #6
Chris4You
 
Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE - Standard

Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE



Hi,

sicherheitshalber noch mal MAM updaten und von der Line lassen (Fullscan),
für den Fall, dass sich unter der Tarnkappe des Rootkits noch was verborgen hat.. (ist aber eher unwahrscheinlich)...

chris
__________________
--> Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE

Antwort

Themen zu Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE
0 bytes, antivir, antivir guard, avira, bho, bildschirm, controlset002, desktop, firefox, gefunden.., google, grauer bildschirm, helper, hijack, hijackthis, hijackthis log, internet, keine viren, launch, local\temp, locker, mozilla, mozilla thunderbird, notification, ntdll.dll, plug-in, problem, prozess, scan, software, studio, suchmaschine, system, taskmanager, temp ordner, usb, usbport.sys, viren, virus, visual studio, werbung, windows




Ähnliche Themen: Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE


  1. Windows 7: Öffnet beim Anklicken in Firefox eine zusätzliche Web-Seite mit Werbung
    Log-Analyse und Auswertung - 20.07.2015 (3)
  2. Firefox öffnet knapp 300 Tabs beim Start - Win 7,64 bit
    Plagegeister aller Art und deren Bekämpfung - 07.08.2014 (1)
  3. Windows 7 32-Bit: Virus? CD-Laufwerk öffnet sich sporadisch / Cmd-Fenster beim Start
    Log-Analyse und Auswertung - 09.03.2014 (4)
  4. Windows 8 Grauer Bildschirm verhindert Windows Start
    Alles rund um Windows - 27.02.2014 (11)
  5. Beim Start von Firefox öffnet sich Nationzoom mit zusätzlichen Werbefenstern
    Log-Analyse und Auswertung - 27.12.2013 (3)
  6. windows start öffnet sich firefox mit werbung
    Plagegeister aller Art und deren Bekämpfung - 19.11.2013 (27)
  7. Grauer Bildschirm bei Windows Start (Win 7)
    Log-Analyse und Auswertung - 14.11.2013 (5)
  8. Windows 8 64-Bit: Grauer Bildschirm verhindert Windows-Start
    Log-Analyse und Auswertung - 06.11.2013 (11)
  9. Windows 7: BKA? Grauer Screen beim Start, abgesicherter Modus nicht möglich.
    Log-Analyse und Auswertung - 01.11.2013 (9)
  10. Grauer Bildschirm mit (beweglicher Maus) beim Hochfahren!
    Plagegeister aller Art und deren Bekämpfung - 27.06.2013 (9)
  11. Grauer Bildschirm nach Windows XP Start
    Plagegeister aller Art und deren Bekämpfung - 22.02.2013 (14)
  12. Nach Laptop start grauer Bildschirm Windows 8
    Plagegeister aller Art und deren Bekämpfung - 30.01.2013 (1)
  13. Grauer Bildschirm nach Start mit Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 10.01.2013 (41)
  14. Werbeseite öffnet sich wiederholt beim Start von Firefox automatisch
    Log-Analyse und Auswertung - 03.02.2012 (16)
  15. Firefox öffnet beim Start heute 40 leere tabs, werden jedes mal mehr !
    Log-Analyse und Auswertung - 10.08.2011 (10)
  16. Firefox öffnet ständig Werbefenster beim Start
    Log-Analyse und Auswertung - 29.08.2010 (8)
  17. Firefox und IE stürzen beim Start ab! Virus/Malware?
    Log-Analyse und Auswertung - 13.12.2009 (1)

Zum Thema Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE - HEy Leute ;D, ich habe da ein Problem, Vor ein paar Tagen habe ich mir wohl einen Virus eingefangen. Als ich meinen PC startete, kam nach der Anmeldung nur ein - Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE...
Archiv
Du betrachtest: Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.