| |
| |||||||
Log-Analyse und Auswertung: Nach "Security Tools" mega verseucht, tausend PROZESSE und PHISHINGWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.09.2010, 23:43
| #16 | |
 |  Nach "Security Tools" mega verseucht, tausend PROZESSE und PHISHING Okay - Den Scan versuche ich die ganze Zeit zu machen - bisher sind 4 Versuche fehlgeschlagen, jedesmal is was schiefgegangen (selbstverschuldet, also nicht durch bösartige Software oder so). Der Scan dauert bei mir gute 3 Stunden und ich darf ja in der Zeit am PC nix machen, weshalb ich gucken muss wo und wann ich den Scan mal laufen lassen kann. Immerhin kann ich vom heutigen Scan-Versuch mal eine Logdateiposte, das dürfte so 50% des Scans gewesen sein, dann kams zu nem versehentlichen Stop: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-30 21:09:40
Windows 5.1.2600 Service Pack 3
Running: 3s8y47u4.exe; Driver: E:\DOKUME~1\XxX\LOKALE~1\Temp\kwldyaog.sys
---- System - GMER 1.0.15 ----
SSDT BA6DFEEE ZwCreateKey
SSDT BA6DFEE4 ZwCreateThread
SSDT BA6DFEF3 ZwDeleteKey
SSDT BA6DFEFD ZwDeleteValueKey
SSDT BA6DFF02 ZwLoadKey
SSDT BA6DFED0 ZwOpenProcess
SSDT BA6DFED5 ZwOpenThread
SSDT BA6DFF0C ZwReplaceKey
SSDT BA6DFF07 ZwRestoreKey
SSDT BA6DFEF8 ZwSetValueKey
---- Kernel code sections - GMER 1.0.15 ----
.text E:\WINDOWS\system32\drivers\ACEDRV07.sys section is writeable [0xA7990000, 0x328BA, 0xE8000020]
.pklstb E:\WINDOWS\system32\drivers\ACEDRV07.sys entry point in ".pklstb" section [0xA79D4000]
.relo2 E:\WINDOWS\system32\drivers\ACEDRV07.sys unknown last section [0xA79F0000, 0x8E, 0x42000040]
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6bd56222
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6bd56222 (not active ControlSet)
---- EOF - GMER 1.0.15 ----
Werde morgen versuchen den Scan endlich mal ganz hinzubekommen. Und noch unabhängig vom Scan: Zitat:
Das mag ja sein, dass die Prozesse an sich "normal" sind, nur bin ich mir 100% sicher, dass, wei gesagt, vis zur Infektion gut die Hälfte der Prozesse nicht da war - und, ich will ja nich fachsimpeln, aber das scheint mir schon äußerst verdächtig zu sein. avshadow gabs vorher nich, 100%, und die ganzen svchosts - wie gesagt, auch wenn die "eigentlich" nicht schlimm sind, ich will mich nicht damit abfinden, dass die PLÖTZLICH da sind, wo sie vorher nicht waren. Da stimmt doch dann einfach was nich... Ich weiß das alles genau, weil ich den Rechner immer "sauber" gehalten hab, im Sinne: Ich hab immer via msconfig dafür gesorgt, dass ich alles, was sich im Autostart einnistet, ich aber nich unbedingt brauche, rausgenommen hab. Und ich hatte regelmäßig ein Auge auf die ganzen laufenden Prozesse (nach Installationen von neuer Software, oder wenn ich den Eindruck hatte er läuft lahmer als sonst, usw.). Insofern weiß ich einfach, wieviele Prozesse das vorher ungefähr waren, und zumindest welche Prozesse mir völlig unbekannt sind. Und noch was  :Was eben grade passiert ist (als ich übrigens hierher wollte um den reply zu schreiben  )Ich wollte firefox starten. Klicke. Fängt an ewig zu laden. PC ausgelastet. Ich starte den Taskmanager, will firefox (den prozess, fenster hatte sich noch nicht geöffnet) abschießen. Dabei hängt sich der Task-Manager auf. Nun kann ich nichts von der windows GUI mehr benutzen (START-button / STRG+ESC, shortcuts auf taskleiste usw). PC immernoch voll ausgelastet. Ich starte noch einen taskmanager, versuche den ersten abzuschießen und beobachte mal was so die lastigen prozesse sind: der oberste Prozess (also der mit höchster CPU-Auslastung) ist lsass.exe. Der war nonstop am rattern. abwechselnd traten dann noch in die obersten drei immer wieder wmiapsrv.exe, ein svchost.exe und winlogon.exe und mit geringer Auslastung auch noch ein paar andere. Alles sehr chaotisch, und PC wie gesagt voll ausgelastet. Firefox konnte ich übrigens dann mit dme zweiten Taskmanager problemlos abschießen. Windows fing dann irgendwann an sich herunterzufahren, musste aber "hardcore-reset" letztendlich machen da beim herunterfahren-bildschirm nichts mehr passiert ist. Normalerweise sind diese "neuen Prozesse" die ich da habe die meiste Zeit still (solange ich kein Internet starte tut da glaub ich keiner was). |
| Themen zu Nach "Security Tools" mega verseucht, tausend PROZESSE und PHISHING |
| adobe, antivir, antivir guard, avira, bho, browser guard, cpu-last, defender, desktop, dll, e-banking, einstellungen, exe, firefox.exe, hijack, hkus\s-1-5-18, internet, internet explorer, mozilla, neustart, nlssrv32.exe, phishing, plug-in, prozesse, rkill.com, rundll, security, security tools, server, software, system, taskmanager, viele prozesse, viele prozessse phishing bank security tool, windows |
Baum-Darstellung