| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Keine Systemwiederherstellung/Internet durch VirusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.10.2010, 19:41
| #1 |
| |  Keine Systemwiederherstellung/Internet durch Virus Hallo, bin am verzweifeln,hab mir einen Virus eingefangen,der mir die Systemwiederherstellung,Internet,etc. verweigert. Wenn ich das IE Symbol ankliche kommt immer ein Fenster"Microsoft Security Essential Alert" und bei der Systemwiederherstellung kommt "Die Systemwiederherstellung wurde aufgrund einer Gruppenrichtlinie deaktiviert.Wenden sie sich an den Domänadministrator." Hab GMER drüber laufen lassen und er hat folgendes gefunden: GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit quick scan 2010-10-09 20:19:29 Windows 5.1.2600 Service Pack 3 Running: nv5zyprf.exe; Driver: C:\DOKUME~1\Chris\LOKALE~1\Temp\ufwyraow.sys ---- System - GMER 1.0.15 ---- SSDT spfc.sys ZwEnumerateKey [0xF7734DA4] <-- ROOTKIT !!! SSDT spfc.sys ZwEnumerateValueKey [0xF7735132] <-- ROOTKIT !!! ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8660AC10 Device \FileSystem\Ntfs \Ntfs 867DA1F8 Device \FileSystem\Fastfat \Fat 86335500 AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \Driver\Tcpip \Device\Ip 86498260 Device \Driver\Tcpip \Device\Tcp 86498260 Device \Driver\Tcpip \Device\Udp 86498260 Device \Driver\Tcpip \Device\RawIp 86498260 Device -> \Driver\atapi \Device\Harddisk0\DR0 8667FEC5 ---- Services - GMER 1.0.15 ---- Service (*** hidden *** ) [BOOT]lqhsfd <-- ROOTKIT !!! ---- Files - GMER 1.0.15 ---- File C:\WINXP\system32\drivers\atapi.sys suspicious modification ---- EOF - GMER 1.0.15 ---- Wie bekomme ich den Virus jetzt von meinem PC ? |
|
09.10.2010, 19:49
| #2 |
| /// Malware-holic   | Keine Systemwiederherstellung/Internet durch Virus schreibst du von nem andern pc aus? wenn ja, nen usb stick oder ähnliches zur hand?
__________________ |
|
09.10.2010, 19:53
| #3 |
| | Keine Systemwiederherstellung/Internet durch Virus Schreib vom Notebook aus mit meinem Desktop PC komm ich ja nicht mehr online :-(
__________________USB Stick hab ich zur Hand |
|
09.10.2010, 19:55
| #4 |
| /// Malware-holic | Keine Systemwiederherstellung/Internet durch Virus ok dann folgendes bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix bitte combofix wie folgt speichern. rechtsklick auf den download link, ziehl speichern unter, lösche den namen combofix.exe und schreibe 2345.com dann die datei speichern, auf den andern pc rüber ziehen und combofix ausführen, danach sollte das internet wieder funktionieren und du kannst das log posten. eventuell musst du combofix im abgesicherten modus ohne netzwerk laufen lassen, dazu den pc neu starten und dann ein paar mal f8 drücken, so sollte er zu erreichen sein. |
|
09.10.2010, 20:23
| #5 |
| | Keine Systemwiederherstellung/Internet durch Virus Hab combofix ganz normal heruntergeladen,auf den USB Stick gezogen und auf meinem Desktop PC gelegt(alles ohne umbenennen).Gestartet und nach kurzer Zeit hat der PC einen Neustart gemacht. Danach ist combofix automatisch gestartet und hat sich die Wiederherstellungskonsole von Microsoft heruntergeladen....nun führt er einen Scan durch...geb Bescheid wenn er durchgelaufen ist. |
|
09.10.2010, 20:28
| #6 |
| /// Malware-holic | Keine Systemwiederherstellung/Internet durch Virus na ist auch gut. manchmal muss mans umbenennen |
|
09.10.2010, 20:47
| #7 |
| | Keine Systemwiederherstellung/Internet durch Virus So fertig...Internet und Systemwiederherstellung funktionieren wieder...im Log steht aber noch etwas von Treiber infiziert. Hier das Log File: Combofix Logfile: Code:
ATTFilter ComboFix 10-10-09.01 - Chris 09.10.2010 21:20:49.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.762 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Chris\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\hotfix.exe
c:\dokumente und einstellungen\Chris\Anwendungsdaten\hotfix.exe
c:\winxp\Fonts\8tbCh8g.com
c:\winxp\system32\drivers\lqhsfd.sys
c:\winxp\system32\m14qjbek.dll
c:\winxp\system32\sshnas21.dll
c:\winxp\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
c:\winxp\system32\DRIVERS\uagp35.sys . . . ist infiziert!! . . . Failed to find a valid replacement.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
-------\Service_SSHNAS
-------\Legacy_lqhsfd
-------\Service_lqhsfd
((((((((((((((((((((((( Dateien erstellt von 2010-09-09 bis 2010-10-09 ))))))))))))))))))))))))))))))
.
2010-10-09 17:05 . 2010-10-09 17:05 -------- d-----w- c:\programme\Trend Micro
2010-10-09 16:39 . 2010-10-09 16:39 2256 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\444.bat
2010-10-09 16:39 . 2010-10-09 16:39 191 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\asdsada.bat
2010-10-09 16:17 . 2010-10-09 16:17 -------- d--h--w- c:\winxp\PIF
2010-10-09 16:01 . 2010-10-09 16:01 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\PrivacIE
2010-10-09 16:01 . 2010-10-09 16:01 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-10-09 15:59 . 2010-10-09 15:59 2256 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\444.bat
2010-10-09 15:59 . 2010-10-09 15:59 129 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\asdsada.bat
2010-10-09 15:59 . 2010-10-09 16:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Webroot Shared
2010-10-09 15:45 . 2010-10-09 15:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-09 15:45 . 2010-10-09 15:45 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-10-09 14:50 . 2010-10-09 19:03 -------- d-----w- c:\programme\nbpro
2010-10-08 16:29 . 2010-10-08 16:29 -------- d-----w- c:\programme\Seagate
2010-10-08 16:28 . 2010-10-08 16:28 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-10-04 18:34 . 2010-10-04 18:53 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\mIRC
2010-10-04 14:51 . 2010-10-04 14:51 -------- d-----w- c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Identities
2010-10-03 18:21 . 2010-10-03 18:23 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\GrabIt
2010-09-25 22:45 . 2010-09-30 21:40 193072 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-09-25 10:41 . 2010-09-25 10:41 -------- d-----w- c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\WBFSManager
2010-09-25 10:40 . 2010-09-25 10:40 -------- d-----w- c:\programme\WBFS
2010-09-21 18:37 . 2010-09-21 18:37 932288 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\9882\AdobeARM.exe
2010-09-21 18:37 . 2010-09-21 18:37 70584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\9882\AdobeExtractFiles.dll
2010-09-21 18:37 . 2010-09-21 18:37 338856 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\9882\ReaderUpdater.exe
2010-09-21 18:37 . 2010-09-21 18:37 338856 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\9882\AcrobatUpdater.exe
2010-09-18 13:53 . 2010-09-18 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-09-18 13:53 . 2010-09-18 13:53 -------- d-----w- c:\winxp\system32\TVUAx
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-09 13:34 . 2010-08-13 17:33 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Vso
2010-10-07 06:03 . 2008-04-14 09:00 80104 ----a-w- c:\winxp\system32\perfc007.dat
2010-10-07 06:03 . 2008-04-14 09:00 448470 ----a-w- c:\winxp\system32\perfh007.dat
2010-10-01 20:37 . 2010-08-07 10:19 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Skype
2010-10-01 17:42 . 2010-08-07 10:20 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\skypePM
2010-09-25 17:43 . 2010-08-07 10:19 -------- d-----r- c:\programme\Skype
2010-09-04 21:26 . 2010-09-04 21:25 -------- d-----w- c:\programme\RegCleaner
2010-09-01 14:33 . 2010-08-16 16:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-08-31 20:54 . 2010-08-31 20:54 0 ----a-w- c:\winxp\nsreg.dat
2010-08-29 19:03 . 2010-08-29 17:29 -------- d-----w- c:\programme\Nokia
2010-08-29 17:49 . 2010-08-29 17:38 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Nokia
2010-08-29 17:41 . 2010-08-29 17:38 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\PC Suite
2010-08-29 17:41 . 2010-08-29 17:41 0 ---ha-w- c:\winxp\system32\drivers\Msft_Kernel_ccdcmb_01009.Wdf
2010-08-29 17:41 . 2010-08-29 17:41 0 ---ha-w- c:\winxp\system32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
2010-08-29 17:38 . 2010-08-29 17:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2010-08-29 17:30 . 2010-08-29 17:30 -------- d-----w- c:\programme\Gemeinsame Dateien\PCSuite
2010-08-29 17:30 . 2010-08-29 17:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Nokia
2010-08-29 17:30 . 2010-08-29 17:30 -------- d-----w- c:\programme\DIFX
2010-08-29 17:29 . 2010-08-29 17:29 -------- d-----w- c:\programme\PC Connectivity Solution
2010-08-29 17:28 . 2010-08-29 17:28 95232 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\pcswpcsi.exe
2010-08-29 17:28 . 2010-08-29 17:28 8192 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstCCD.exe
2010-08-29 17:28 . 2010-08-29 17:28 61440 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2010-08-29 17:28 . 2010-08-29 17:28 10240 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCS.exe
2010-08-29 17:28 . 2010-08-29 17:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2010-08-29 17:25 . 2010-08-29 17:25 -------- d-----w- c:\programme\ODEON
2010-08-29 17:23 . 2010-08-29 17:28 36426336 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Nokia_PC_Suite_ger_web.exe
2010-08-18 05:58 . 2010-08-18 05:58 499712 ----a-w- c:\winxp\system32\msvcp71.dll
2010-08-18 05:58 . 2010-08-18 05:58 348160 ----a-w- c:\winxp\system32\msvcr71.dll
2010-08-17 13:17 . 2008-04-14 09:00 58880 ----a-w- c:\winxp\system32\spoolsv.exe
2010-08-16 18:27 . 2010-08-16 16:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2010-08-16 16:36 . 2010-08-16 16:36 -------- d-----w- c:\programme\Windows Sidebar
2010-08-16 16:29 . 2010-08-16 15:45 -------- d-----w- c:\programme\Sandboxie
2010-08-15 12:12 . 2010-08-03 21:05 12112 ----a-w- c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-14 19:44 . 2010-08-03 21:13 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\dvdcss
2010-08-13 17:32 . 2010-08-13 17:32 47360 ----a-w- c:\winxp\system32\drivers\Pcouffin.sys
2010-08-13 17:32 . 2010-08-13 17:32 -------- d-----w- c:\programme\vso
2010-08-12 19:03 . 2010-08-11 20:18 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\DAEMON Tools Lite
2010-08-12 18:02 . 2010-08-12 18:02 -------- d-----w- c:\programme\MSBuild
2010-08-12 18:02 . 2010-08-12 18:02 -------- d-----w- c:\programme\Reference Assemblies
2010-08-11 20:19 . 2010-08-11 20:18 -------- d-----w- c:\programme\DAEMON Tools Lite
2010-08-11 20:19 . 2010-08-11 20:19 691696 ----a-w- c:\winxp\system32\drivers\sptd.sys
2010-08-11 20:18 . 2010-08-11 20:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2010-08-10 21:38 . 2010-08-10 21:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-08-07 10:20 . 2010-08-07 10:20 56 ---ha-w- c:\winxp\system32\ezsidmv.dat
2010-08-04 17:16 . 2010-08-03 15:49 86315 ----a-w- c:\winxp\pchealth\helpctr\OfflineCache\index.dat
2010-08-03 16:28 . 2010-08-03 16:28 12499 ----a-w- c:\winxp\system32\Seagate.bin
2010-08-03 15:45 . 2010-08-03 15:45 21740 ----a-w- c:\winxp\system32\emptyregdb.dat
2010-07-23 06:13 . 2009-08-03 19:10 590848 ----a-w- c:\winxp\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\winxp\system32\xpsp4res.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37 932288 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-06-20 02:04 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-06-27 17:03 152872 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 09:00 15360 ----a-w- c:\winxp\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\programme\DAEMON Tools Lite\DTLite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57 153136 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
2010-05-14 08:32 1479680 ----a-w- c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\ODEON\\JAF\\JCOP.EXE"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
S2 wwEngineSvc;Window Washer Engine;c:\programme\Webroot\Washer\WasherSvc.exe --> c:\programme\Webroot\Washer\WasherSvc.exe [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\winxp\system32\drivers\nmwcdnsu.sys [29.08.2010 19:29 137344]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\winxp\system32\drivers\nmwcdnsuc.sys [29.08.2010 19:29 8320]
S4 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [11.08.2010 22:19 691696]
.
Inhalt des "geplante Tasks" Ordners
2010-10-08 c:\winxp\Tasks\User_Feed_Synchronization-{0F438854-21BB-493A-A7AB-77DC92619632}.job
- c:\winxp\system32\msfeedssync.exe [2008-04-14 17:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
FF - ProfilePath - c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\rxf6lqh6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 0
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\winxp\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-HPUhaHXnfQ - c:\dokume~1\Chris\LOKALE~1\Temp\win16.exe
MSConfigStartUp-HPUhaHXnST - c:\dokume~1\Chris\LOKALE~1\Temp\x32muv4.exe
MSConfigStartUp-HPUhaHXnvZ - c:\dokume~1\Chris\LOKALE~1\Temp\install.exe
MSConfigStartUp-IJKUK66HMN - c:\dokume~1\Chris\LOKALE~1\Temp\Gvl.exe
MSConfigStartUp-MPmc - c:\winxp\mdm.exe
MSConfigStartUp-MPqvc - c:\winxp\wininst.exe
MSConfigStartUp-MPrf - c:\winxp\smss.exe
MSConfigStartUp-SandboxieControl - c:\programme\Sandboxie\SbieCtrl.exe
MSConfigStartUp-uPc+RmuNjaGuo - c:\winxp\system32\vns7t.dll
MSConfigStartUp-Window Washer - c:\programme\Webroot\Washer\wwDisp.exe
AddRemove-Window Washer - c:\winxp\Unwash6.exe
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86721EC5]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7873f28
\Driver\ACPI -> ACPI.sys @ 0xf77e5cb8
\Driver\atapi -> atapi.sys @ 0xf76a4852
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0626
ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0626
ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
user & kernel MBR OK
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(656)
c:\winxp\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3144)
c:\winxp\system32\webcheck.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\winxp\system32\Ati2evxx.exe
c:\winxp\system32\Ati2evxx.exe
c:\winxp\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-09 21:40:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-10-09 19:40
Vor Suchlauf: 1.119.064.064 Bytes frei
Nach Suchlauf: 1.132.310.528 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 2CC9750A6226F1CB47F1D91A593AA7AC
|
|
10.10.2010, 11:55
| #8 |
| /// Malware-holic | Keine Systemwiederherstellung/Internet durch Virus Lade http://filepony.de/download-defogger/ herunter und speichere es auf Deinem Desktop. Doppelklicke DeFogger, um das Tool zu starten. • Es öffnet sich das Programm-Fenster des Tools. • Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren. • Klicke Ja, um fortzufahren. • Wenn die Nachricht 'Finished!' erscheint, • klicke OK. • DeFogger wird nun einen Reboot erfragen - klicke OK • Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, start programme zubehör editor, kopiere rein: Killall:: Rootkit:: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\444.bat c:\dokumente und einstellungen\Administrator\Anwendungsdaten\444.bat c:\dokumente und einstellungen\Administrator\Anwendungsdaten\asdsada.bat c:\dokumente und einstellungen\Chris\Anwendungsdaten\444.bat c:\dokumente und einstellungen\Chris\Anwendungsdaten\asdsada.bat Driver:: wwEngineSvc Datei speichern unter, typ alle dateien, speicherort, dort wo sich combofix.exe befindet. name cfscript.txt ziehe cfscript auf combofix, programm startet, log posten. |
|
| Themen zu Keine Systemwiederherstellung/Internet durch Virus |
| alert, boot, driver, eingefangen, fenster, filter, folge, folgendes, gen, gmer, gruppe, harddisk, internet, lokale, microsoft, microsoft security, microsoft security essential, richtlinie, scan, security, service, services, symbol, system32, systemwiederherstellung, temp, udp, virus, virus eingefangen, winxp |
Linear-Darstellung
