Trojaner-Board - Windows aus Sicherheitsgründen blockiert mit schwarzem Bildschirm

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows aus Sicherheitsgründen blockiert mit schwarzem Bildschirm (https://www.trojaner-board.de/111846-windows-sicherheitsgruenden-blockiert-schwarzem-bildschirm.html)

Sorry für den Doppel-Post, aber mein Rechner hat träge reagiert und vom Board kam eine Anzeige beim ersten Post "sie können nur alle 40 Sekunden einen Beitrag schreiben und müssen noch 32 Sekunden warten".

Habe dann meinen Text in einer anderen Textbox mit vielen Smiley Variationen und Vorschau gesehen. Habe dann an der Stelle nochmals auf "Antworten" geclickt und prombt waren 2 Beiträge erstellt.

Gruß meelee

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

So, nach einer Stunde war ComboFix endlich fertig.

Hier nun der Bericht von ComboFix:

Code:

ComboFix 12-03-20.01 - Michael 20.03.2012  20:18:48.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1420 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Iris\Anwendungsdaten\Security Solution 2011

c:\dokumente und einstellungen\Iris\Anwendungsdaten\Security Solution

c:\dokumente und einstellungen\Kai\WINDOWS

c:\dokumente und einstellungen\Michael\WINDOWS

c:\dokumente und einstellungen\Vanessa\WINDOWS

c:\windows\isRS-000.tmp

c:\windows\IsUn0407.exe

c:\windows\unin0407.exe

d:\dokumente und einstellungen\Iris\Eigene Dateien\~WRL0561.tmp

d:\dokumente und einstellungen\Iris\Eigene Dateien\~WRL1039.tmp

d:\dokumente und einstellungen\Iris\Eigene Dateien\~WRL1783.tmp

d:\dokumente und einstellungen\Iris\Eigene Dateien\~WRL2562.tmp

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-20 bis 2012-03-20  ))))))))))))))))))))))))))))))

.

.

2012-03-19 20:51 . 2012-03-19 20:51        --------        d-----w-        c:\dokumente und einstellungen\Michael\Anwendungsdaten\Malwarebytes

2012-03-19 20:51 . 2012-03-19 20:51        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2012-03-19 20:51 . 2012-03-19 21:41        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2012-03-19 20:51 . 2011-12-10 14:24        20464        ----a-w-        c:\windows\system32\drivers\mbam.sys

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]

"nwiz"="nwiz.exe" [2006-08-11 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]

"Acrobat Assistant 7.0"="d:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]

"DAEMON Tools-1033"="d:\programme\D-Tools\daemon.exe" [2004-08-22 81920]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]

"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]

"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]

"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]

"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-23 663552]

"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-20 149280]

"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\Vanessa\Startmenü\Programme\Autostart\

OpenOffice.org 3.0.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

.

c:\dokumente und einstellungen\Iris\Startmenü\Programme\Autostart\

OpenOffice.org 3.0.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

.

c:\dokumente und einstellungen\Kai\Startmenü\Programme\Autostart\

OpenOffice.org 3.0.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

.

c:\dokumente und einstellungen\Michael\Startmenü\Programme\Autostart\

OpenOffice.org 3.0.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

Sonic CinePlayer Quick Launch.lnk - c:\programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe [2002-9-18 98304]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

Cornelsen Kalender.lnk - c:\programme\Cornelsen\Kalender\CsKalender.exe [2007-7-2 2748928]

p6_19_erinnerung.lnk - d:\programme\phase6\phase6_19\WinStart\p6erinnerung.exe [2007-2-11 49152]

Server4PC.lnk - d:\programme\TechniSat DVB\bin\Server4PC.exe [2008-1-23 344064]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\Programme\\uTorrent\\utorrent.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [16.11.2006 23:03 155136]

R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [16.11.2006 23:03 5248]

R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [08.11.2007 16:31 81408]

R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [19.03.2012 21:51 652360]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [19.03.2012 21:51 20464]

R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\drivers\SkyNet.sys [16.11.2007 16:52 349184]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - IPFILTERDRIVER

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.t-online.de/

IE: Convert link target to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.2.1

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-Alone in the Dark - The New Nightmare - c:\windows\IsUn0407.exe

AddRemove-HVTNGN3 - c:\windows\IsUn0407.exe

AddRemove-HVTNGN4 - c:\windows\IsUn0407.exe

AddRemove-LEGOLANDDeInstKey - c:\windows\unin0407.exe

AddRemove-Pharao - c:\windows\IsUn0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-03-20 21:18

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-220523388-1606980848-854245398-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:53,d6,63,d2,ee,f7,1e,93,c0,fa,6c,34,55,41,75,9c,80,be,b8,01,1e,70,32,

   82,4e,6c,90,94,b1,ee,c4,ce,61,d4,d3,15,73,87,dc,ee,f5,24,47,35,77,5f,d7,3c,\

"??"=hex:b9,ca,6a,c2,fd,b2,d3,61,d6,4a,e6,d6,ac,66,f6,b8

.

Zeit der Fertigstellung: 2012-03-20  21:20:42

ComboFix-quarantined-files.txt  2012-03-20 20:20

.

Vor Suchlauf: 1.078.321.152 Bytes frei

Nach Suchlauf: 2.537.644.032 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

- - End Of File - - 36033A080B051CAB3811C50153CD47A9

Malwarebytes hat beim ComboFix-Scann 3 mal reagiert auf Dateibefall im infizierten Konto. Habe alle 3 Meldungen "ignoriert" und danach den Malwarebytes-Schutz deaktiviert.

Nach Erstellen des Log-Files habe ich den Schutz wieder aktiviert. Wusste vorher nicht, dass auch Malwarebytes eine Schutzfunktion hat.

Gruß meelee

Wie läuft ds System mittlerweilen?

Habe gestern Abend das infizierte Konto gestartet und es lief nur mit dem Desktop ca. 10 Minuten stabil und habe dann den Rechner runtergefahren. Das ist ein Meilenstein, denn zuvor kam ca. 2 Minuten nach der Anmeldung dieser schwarze Bildschirm mit der angeblichen Sicherheitsmeldung.

Was mich beim ComboFix-Lauf etwas irritiert hat, war die Meldung von Malwarebytes. Ich dachte, daß Malwarebytes bei seinem Lauf schon die infizierten Dateien gelöscht hat aber scheinbar waren die nur in Quarantäne gestellt.

Soll ich nochmals Malwarebyte scannen lassen?

Und nochmals tausend Dank für deine super gute Unterstützung.

Gruß meelee

Ja genau. Update Malwarebytes und mache im Normalmodus eine Fullscan. Poste das Log.

Hallo Swiss,

habe nochmals das ehemals infizierte Konto gestartet und dann den IE aufgerufen. Hat einwandfrei funktioniert. Dabei hat sich Malwarebytes schon aktualisiert.

Wieder ausgeloggt und mit dem Admin-Konto im Normalmodus einen Malware-Scan durchgeführt.

Das Ergebnis des LOG steht nun hier:

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.21.03
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 7.0.5730.13

Michael :: HAL9000 [Administrator]
 

Schutz: Aktiviert
 

21.03.2012 16:49:23

mbam-log-2012-03-21 (16-49-23).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 316390

Laufzeit: 4 Minute(n), 40 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Es wurde keine Infektion mehr festgestellt. Super gute Arbeit, vielen, vielen Dank.

Nun meldet Windows noch Updates, auch Java und Adobe Flash.

Soll ich diese Updates starten oder muss noch etwas anderes zuvor getan werden?

Gruß meelee

und nun das Log des Full-Scan von Malwarebytes. Habe erst später bemerkt, dass ich einen Full-Scan durchführen soll.

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.21.03
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 7.0.5730.13

Michael :: HAL9000 [Administrator]
 

Schutz: Aktiviert
 

21.03.2012 20:05:10

mbam-log-2012-03-21 (20-05-10).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 625427

Laufzeit: 2 Stunde(n), 36 Minute(n), 51 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 19

C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Anwendungsdaten\drnie.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Anwendungsdaten\dttnt.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Anwendungsdaten\lxsya.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Anwendungsdaten\ojubvtqkwl.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Anwendungsdaten\tpcydrv.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093625.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093599.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093600.exe (Trojan.CryptMar.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093601.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093602.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093603.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093604.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093608.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093610.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093611.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093612.exe (Trojan.Mscj) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093613.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093614.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093615.exe (Trojan.SpyEyes.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Der Full-Scan hat nun wieder infizierte Objekte ans Tageslicht befördert.

Geht es jetzt wieder von Vorne los: OTL und ComboFix oder anderes Szenario?

Gruß meelee

Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
nichts am Rechner arbeiten,
nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Hallo Swiss,

habe GMER laufen lassen und hier ist das Logfile:

Code:

GMER 1.0.15.15641 - hxxp://www.gmer.net

Rootkit scan 2012-03-23 06:17:27

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Maxtor_4D040H2 rev.DAK019K0

Running: ne78kduj.exe; Driver: C:\DOKUME~1\Michael\LOKALE~1\Temp\fxldipoc.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT     d347bus.sys (PnP BIOS Extension/ )                          ZwClose [0xF75BD818]

SSDT     d347bus.sys (PnP BIOS Extension/ )                          ZwCreateKey [0xF75BD7D0]

SSDT     d347bus.sys (PnP BIOS Extension/ )                          ZwCreatePagingFile [0xF75B1A20]

SSDT     d347bus.sys (PnP BIOS Extension/ )                          ZwEnumerateKey [0xF75B22A8]

SSDT     d347bus.sys (PnP BIOS Extension/ )                          ZwEnumerateValueKey [0xF75BD910]

SSDT     d347bus.sys (PnP BIOS Extension/ )                          ZwOpenKey [0xF75BD794]

SSDT     d347bus.sys (PnP BIOS Extension/ )                          ZwQueryKey [0xF75B22C8]

SSDT     d347bus.sys (PnP BIOS Extension/ )                          ZwQueryValueKey [0xF75BD866]

SSDT     d347bus.sys (PnP BIOS Extension/ )                          ZwSetSystemPowerState [0xF75BD0B0]
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text    ntoskrnl.exe!_abnormal_termination + 100                    804E275C 2 Bytes  [20, 1A] {AND [EDX], BL}

.text    ntoskrnl.exe!_abnormal_termination + 103                    804E275F 1 Byte  [F7]

.text    C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                    section is writeable [0xBA33F360, 0x24526E, 0xE8000020]

.text    C:\WINDOWS\system32\drivers\SSHDRV86.sys                    section is writeable [0xB8F41000, 0x26354, 0xE8000020]

.pklstb  C:\WINDOWS\system32\drivers\SSHDRV86.sys                    entry point in ".pklstb" section [0xB8F76000]

.relo2   C:\WINDOWS\system32\drivers\SSHDRV86.sys                    unknown last section [0xB8F8D000, 0x8E, 0x42000040]
 

---- Devices - GMER 1.0.15 ----
 

Device   \FileSystem\Ntfs \Ntfs                                      89BADD40

Device   \Driver\Cdrom \Device\CdRom0                                8992D4E0

Device   \FileSystem\Rdbss \Device\FsWrap                            896D7710

Device   \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17                8992DF00

Device   \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                 8992DF00

Device   \Driver\atapi \Device\Ide\IdePort0                          8992DF00

Device   \Driver\atapi \Device\Ide\IdePort1                          8992DF00

Device   \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f                 8992DF00

Device   \Driver\Cdrom \Device\CdRom1                                8992D4E0

Device   \Driver\Cdrom \Device\CdRom2                                8992D4E0

Device   \Driver\Cdrom \Device\CdRom3                                8992D4E0

Device   \FileSystem\Srv \Device\LanmanServer                        894C2C80

Device   \FileSystem\MRxSmb \Device\LanmanDatagramReceiver           8988F968

Device   \FileSystem\MRxSmb \Device\LanmanRedirector                 8988F968

Device   \FileSystem\Npfs \Device\NamedPipe                          8987CB00

Device   \FileSystem\Msfs \Device\Mailslot                           89708218

Device   \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0  898A2400

Device   \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target1Lun0  898A2400

Device   \Driver\d347prt \Device\Scsi\d347prt1                       898A2400

Device   \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer          897F4498

Device   \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer           897F4498

Device   \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer               897F4498

Device   \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer            897F4498

Device   \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer           897F4498

Device   \FileSystem\Cdfs \Cdfs                                      896408D8
 

---- Modules - GMER 1.0.15 ----
 

Module   _________                                                   F7499000-F74B1000 (98304 bytes)
 

---- Registry - GMER 1.0.15 ----
 

Reg      HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40    

Reg      HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41    
 

---- EOF - GMER 1.0.15 ----

Kann da ein Rootkit versteckt sein? Und wie geht es weiter?

Gruß meelee

Nein sieht nicht nach Rootkit aus.

Mach einmal einen Zwischenbericht was Dir alles noch auffällt.

Hallo Swiss,

ich habe nochmals Malwarebytes Full Scan durchgeführt und der hat nicht mehr gefunden.

Hier das Log-File:

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.23.02
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 7.0.5730.13

Michael :: HAL9000 [Administrator]
 

Schutz: Aktiviert
 

23.03.2012 17:56:38

mbam-log-2012-03-23 (17-56-38).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 627123

Laufzeit: 2 Stunde(n), 34 Minute(n), 59 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Sonst hatte ich noch keine Zeit, das kompromittierte Konto durchzuchecken. Werde ich morgen einmal gründlich tun.

Soll ich nun die ganzen Updates einspielen die mir mein Tray mitteilt?

Gruß meelee

Ja mach das :) Und melde Dich wieder.

Hallo Swiss,

ich habe das kompromittierte Konto gestartet und konnte problemlos mit Outlook Express und IE ca. 2h arbeiten.
Danach habe ich die Updates ausgeführt.

Es sieht so aus, dass der Trojaner oder Virus entfernt wurde und dieser sich durch die eingeschränkten Rechte nicht ins System verankern konnte.

Werde nun den Rechner noch etwas aufräumen, damit mehr Plattenplatz zur Verfügung steht und die Performance (Pentium 4 1800 MHZ, 2 GB RDRAM) unter XP wieder vernünftig wird.

Vielen, vielen herzlichen Dank für deine Unterstützung.

Gibt es aus deiner Sicht noch etwas zu tun?

Gruß meelee

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset