Trojaner-Board - Windows Verschlüsselungstrojaner u defektes CD Laufwerk

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows Verschlüsselungstrojaner u defektes CD Laufwerk (https://www.trojaner-board.de/114501-windows-verschluesselungstrojaner-u-defektes-cd-laufwerk.html)

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hallo,

hier der GMER log:

Code:

GMER 1.0.15.14966 - hxxp://www.gmer.net

Rootkit scan 2012-05-07 22:55:25

Windows 6.0.6002 Service Pack 2
 
 

---- System - GMER 1.0.15 ----
 

SSDT            8DD78236                                                                     ZwCreateSection

SSDT            8DD78240                                                                     ZwRequestWaitReplyPort

SSDT            8DD7823B                                                                     ZwSetContextThread

SSDT            8DD78245                                                                     ZwSetSecurityObject

SSDT            8DD7824A                                                                     ZwSystemDebugControl

SSDT            8DD781D7                                                                     ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntoskrnl.exe!KeInsertQueue + 405                                             82CA99FC 4 Bytes  [36, 82, D7, 8D]

.text           ntoskrnl.exe!KeInsertQueue + 729                                             82CA9D20 4 Bytes  [40, 82, D7, 8D] {INC EAX; ADC BH, -0x73}

.text           ntoskrnl.exe!KeInsertQueue + 75D                                             82CA9D54 4 Bytes  [3B, 82, D7, 8D]

.text           ntoskrnl.exe!KeInsertQueue + 7C1                                             82CA9DB8 4 Bytes  JMP D7824582 

.text           ntoskrnl.exe!KeInsertQueue + 809                                             82CA9E00 4 Bytes  [4A, 82, D7, 8D] {DEC EDX; ADC BH, -0x73}

.text           ...                                                                          
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                      Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                      Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

AttachedDevice  \FileSystem\fastfat \Fat                                                     fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002269ea6bb2  

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002269ea9200  

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002269ea93e9  

Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\002269ea6bb2      

Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\002269ea9200      

Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\002269ea93e9      
 

---- Files - GMER 1.0.15 ----
 

File            C:\Windows\System32\LogFiles\Scm\SCM.EVM                                     (size mismatch) 425984/262144 bytes

File            C:\Windows\System32\LogFiles\WUDF\WUDFTrace.etl                              (size mismatch) 20480/4096 bytes

File            C:\Windows\System32\spool\SpoolerETW.etl                                     (size mismatch) 4096/0 bytes

File            C:\Windows\System32\WDI\LogFiles\WdiContextLog.etl.003                       (size mismatch) 917504/868352 bytes

File            C:\Windows\System32\wfp\wfpdiag.etl                                          (size mismatch) 131072/0 bytes
 

---- EOF - GMER 1.0.15 ----

Werde morgen früh den anderen Scan mit OSAM durchführen.

Schönen Gruß
gaia48

Guten Morgen,

hier der OSAM log file:

Code:

OSAM Logfile:
 

        Code:


        
Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 08:40:34 on 08.05.2012
 

OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit

Default Browser: Mozilla Corporation Firefox 12.0
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[AppInit DLLs]

-----( HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows )-----

"AppInit_DLLs" - "Google" - C:\PROGRA~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\Windows\system32\FlashPlayerCPLApp.cpl

"QuickTime.cpl" - "Apple Computer, Inc." - C:\Windows\system32\QuickTime.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\MLCFG32.CPL

"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"acedrv01" (acedrv01) - "ACE GmbH" - C:\Windows\system32\drivers\acedrv01.sys

"acedrv02" (acedrv02) - "ACE GmbH" - C:\Windows\system32\drivers\acedrv02.sys

"acedrv03" (acedrv03) - "ACE GmbH" - C:\Windows\system32\drivers\acedrv03.sys

"acedrv04" (acedrv04) - "Protect Software GmbH" - C:\Windows\system32\drivers\acedrv04.sys

"acedrv05" (acedrv05) - "Protect Software GmbH" - C:\Windows\system32\drivers\acedrv05.sys

"acedrv06" (acedrv06) - "Protect Software GmbH" - C:\Windows\system32\drivers\acedrv06.sys

"acedrv07" (acedrv07) - "Protect Software GmbH" - C:\Windows\system32\drivers\acedrv07.sys

"acedrv11" (acedrv11) - "Protect Software GmbH" - C:\Windows\system32\drivers\acedrv11.sys

"Apple Mobile USB Driver" (USBAAPL) - "Apple, Inc." - C:\Windows\System32\Drivers\usbaapl.sys

"atksgt" (atksgt) - ? - C:\Windows\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)

"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys

"avkmgr" (avkmgr) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avkmgr.sys

"catchme" (catchme) - ? - C:\ComboFix\catchme.sys  (File not found)

"FsUsbExDisk" (FsUsbExDisk) - ? - C:\Windows\system32\FsUsbExDisk.SYS  (File found, but it contains no detailed information)

"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys  (File not found)

"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys  (File not found)

"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys  (File not found)

"lirsgt" (lirsgt) - ? - C:\Windows\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)

"MTOnlPktAlyX NDIS Protocol Driver" (MTOnlPktAlyX) - "Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH" - C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys
 

[Explorer]

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{807573E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -   (File not found | COM-object registry key not found)

{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll

{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)

{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)

{D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office14\VISSHE.DLL

{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -   (File not found | COM-object registry key not found)

{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -   (File not found | COM-object registry key not found)

{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)

{506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office14\VISSHE.DLL

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office14\msohevi.dll

{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\msoshext.dll

{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\msoshext.dll

{0875DCB6-C686-4243-9432-ADCCF0B9F2D7} "Microsoft OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office14\ONFILTER.DLL

{00020D75-0000-0000-C000-000000000046} "Microsoft Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\MLSHEXT.DLL

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office14\OLKFSTUB.DLL

{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)

{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)

{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll

{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "Lexmark Symbolleiste" - ? - C:\Program Files\Lexmark Toolbar\toolband.dll

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_30" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab

{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} "Java Plug-in 1.6.0_30" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_30" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_30.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

{FFFDC614-B694-4AE6-AB38-5D6374584B52} "Verknüpfte &OneNote-Notizen" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

<binary data> "Lexmark Symbolleiste" - ? - C:\Program Files\Lexmark Toolbar\toolband.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\ssv.dll

{D2C5E510-BE6D-42CC-9F61-E4F939078474} "Lexmark " - ? - C:\Program Files\Lexmark Printable Web\bho.dll

{1017A80C-6F09-4548-A84D-EDD6AC9525F0} "Lexmark Symbolleiste" - ? - C:\Program Files\Lexmark Toolbar\toolband.dll

{B4F3A835-0E21-4959-BA22-42B3008E02FF} "Office Document Cache Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL

{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
 

[Logon]

-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

"Netzmanager.lnk" - "Deutsche Telekom AG" - C:\Program Files\Netzmanager\netzmanager.exe  (Shortcut exists | File exists)

-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----

"StartupPrograms" - ? - rdpclip  (File not found)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

"avgnt" - "Avira Operations GmbH & Co. KG" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

"EzPrint" - ? - "C:\Program Files\Lexmark Pro200-S500 Series\ezprint.exe"

"Google Desktop Search" - "Google" - "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

"lxebmon.exe" - ? - "C:\Program Files\Lexmark Pro200-S500 Series\lxebmon.exe"

"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime

"StartCCC" - "Advanced Micro Devices, Inc." - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

"UCam_Menu" - "CyberLink Corp." - "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Fax Lexmark Pro200-S500 Series Port" - ? - C:\Windows\system32\LXEBPMON.DLL

"PDFCreator" - ? - C:\Windows\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

"Adobe Acrobat Update Service" (AdobeARMservice) - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe

"Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

"Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - C:\Program Files\Avira\AntiVir Desktop\sched.exe

"Google Desktop Manager 5.9.1005.12335" (GoogleDesktopManager-051210-111108) - "Google" - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe

"Mozilla Maintenance Service" (MozillaMaintenance) - "Mozilla Foundation" - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

"Netzmanager Infrastruktur Informationssystem Dienst" (Netzmanager Service) - "Deutsche Telekom AG" - C:\Program Files\Netzmanager\NMInfraIS2\Netzmanager_Service.exe

"Office  Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE

"Office Software Protection Platform" (osppsvc) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE

"ServiceLayer" (ServiceLayer) - "Nokia." - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

"SQL Server (MSSMLBIZ)" (MSSQL$MSSMLBIZ) - "Microsoft Corporation" - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

"SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe

"SQL Server-Browser" (SQLBrowser) - "Microsoft Corporation" - C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe

"SQL Server-Startdienst für Business Contact Manager" (BcmSqlStartupSvc) - "Microsoft Corporation" - C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe

"VNC Server Version 4" (WinVNC4) - "RealVNC Ltd." - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
 

===[ Logfile end ]=========================================[ Logfile end ]===

 
--- --- ---
 

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

gleich folgt die aswMBR Abfrage.

Hallo Arne,

schon beeindruckend wie du immer schon vorhersiehst was sein KÖNNTE und die Varianten angibst... :-)
Das Programm hat tatsächlich nicht mehr funktioniert und ich habe es dann mit dem "none" Button bei "AV Scan" gestartet. Daraufhin kam ein blue screen (ich konnte aber nicht mehr lesen was der Rechner bemängelte, ich kam zu spät) und habe ihn dann wieder in normalen Modus gestartet und nochmals den Scan versucht, wieder mit der "none" Auswahl und dann hat es geklappt. Hier nun der Log:

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-05-08 10:43:50

-----------------------------

10:43:50.730    OS Version: Windows 6.0.6002 Service Pack 2

10:43:50.730    Number of processors: 2 586 0xF0D

10:43:50.730    ComputerName: NOTEBOOK  UserName: Admin

10:43:51.791    Initialize success

10:43:56.518    AVAST engine defs: 12050800

10:44:02.570    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

10:44:02.586    Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3

10:44:02.602    Disk 0 MBR read successfully

10:44:02.617    Disk 0 MBR scan

10:44:02.664    Disk 0 unknown MBR code

10:44:02.695    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        13312 MB offset 2048

10:44:02.711    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       145497 MB offset 27265024

10:44:02.758    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       146434 MB offset 325242880

10:44:02.758    Disk 0 scanning sectors +625139712

10:44:02.898    Disk 0 scanning C:\Windows\system32\drivers

10:44:22.726    Service scanning

10:44:48.247    Modules scanning

10:45:02.428    Disk 0 trace - called modules:

10:45:02.474    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 

10:45:02.490    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8675cac8]

10:45:02.506    3 CLASSPNP.SYS[8b2b18b3] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x85c14028]

10:45:02.506    Scan finished successfully

10:45:44.236    Disk 0 MBR has been saved successfully to "C:\Users\Admin\Desktop\MBR.dat"

10:45:44.251    The log file has been saved successfully to "C:\Users\Admin\Desktop\aswMBR.txt"

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

OK, hier der log file des Fixes:

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-05-08 11:57:31

-----------------------------

11:57:31.905    OS Version: Windows 6.0.6002 Service Pack 2

11:57:31.905    Number of processors: 2 586 0xF0D

11:57:31.905    ComputerName: NOTEBOOK  UserName: Admin

11:57:32.685    Initialize success

11:57:37.443    AVAST engine defs: 12050800

11:57:51.064    Verifying

11:58:01.126    Disk 0 Windows 600 MBR fixed successfully

11:58:41.359    Disk 0 MBR has been saved successfully to "C:\Users\Admin\Desktop\MBR.dat"

11:58:41.359    The log file has been saved successfully to "C:\Users\Admin\Desktop\aswMBR.txt"

Und hier der Log file nach dem Neustart:

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-05-08 12:11:57

-----------------------------

12:11:57.672    OS Version: Windows 6.0.6002 Service Pack 2

12:11:57.672    Number of processors: 2 586 0xF0D

12:11:57.672    ComputerName: NOTEBOOK  UserName: Admin

12:12:02.024    Initialize success

12:12:20.743    AVAST engine defs: 12050800

12:12:32.162    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

12:12:32.178    Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3

12:12:32.193    Disk 0 MBR read successfully

12:12:32.209    Disk 0 MBR scan

12:12:32.209    Disk 0 Windows VISTA default MBR code

12:12:32.287    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        13312 MB offset 2048

12:12:32.349    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       145497 MB offset 27265024

12:12:32.443    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       146434 MB offset 325242880

12:12:32.474    Disk 0 scanning sectors +625139712

12:12:32.614    Disk 0 scanning C:\Windows\system32\drivers

12:12:48.105    Service scanning

12:13:17.116    Modules scanning

12:13:24.714    Disk 0 trace - called modules:

12:13:25.260    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 

12:13:25.260    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86d40ac8]

12:13:25.275    3 CLASSPNP.SYS[8b2a88b3] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x85c14028]

12:13:25.275    Scan finished successfully

12:13:35.228    Disk 0 MBR has been saved successfully to "C:\Users\Admin\Desktop\MBR.dat"

12:13:35.244    The log file has been saved successfully to "C:\Users\Admin\Desktop\aswMBR3.txt"

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

OK, Malwarebytes Anti-Malware aktualisiert, gescannt, 4 Dateien gefunden, aber die von TDSS Killer, siehe log:

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.05.08.04
 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 8.0.6001.19222

Admin :: NOTEBOOK [Administrator]
 

08.05.2012 13:16:36

mbam-log-2012-05-08 (15-42-02).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 420050

Laufzeit: 1 Stunde(n), 5 Minute(n), 17 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 4

C:\TDSSKiller_Quarantine\05.05.2012_11.51.23\tdlfs0000\tsk0003.dta (Rootkit.Agent) -> Keine Aktion durchgeführt.

C:\TDSSKiller_Quarantine\05.05.2012_11.51.23\tdlfs0000\tsk0008.dta (Rootkit.TDSS) -> Keine Aktion durchgeführt.

C:\TDSSKiller_Quarantine\05.05.2012_11.51.23\tdlfs0000\tsk0009.dta (Malware.Packer.Gen) -> Keine Aktion durchgeführt.

C:\Users\Admin\Downloads\SoftonicDownloader_fuer_kaspersky-tdsskiller.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
 

(Ende)

Entfernen in Malwarebytes Ergebnissen ?

Zitat:

C:\Users\Admin\Downloads\SoftonicDownloader_fuer_kaspersky-tdsskiller.exe

Warum lädst du das von dieser Toolbarklitsche Softonic runter? :balla:
Wir hatten extra einen Link zum TDSS-Killer angegeben!

Hallo Arne,

ich habe IMMER die von diesem Board farbig unterlegten Links genommen. Aber der TDSS Killer-Download wollte nicht starten so dass ich ihn dann gegoogelt habe und dann von der benannten Seite gedownloaded habe! Alle anderen Downloads hier klappten auch, aber nicht der TDSS Killer. Soll ich es nochmal probieren und dir posten was mir angezeigt wird bzw. wurde?

Ich habe das Malwarebytes Fenster noch offen, soll ich ENTFERNE AUSWAHL drücken? Bei den anderen Scannern soll man ja immer nur explizit dann löschen wenn ihr das sagt, darum habe ich das noch nicht gedrückt.

Viele Grüsse
gaia48

Ja lösche es bitte, und danch mit SASW weitermachen

In Zukunft Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Hallo, guten Morgen,

wir haben die letzten 2 Tage erfolglos versucht, den Log zu posten,
freuen uns dass es wieder klappt! :-) Hier nun der Super AntiSpyware Log:

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 05/09/2012 at 11:02 PM
 

Application Version : 5.0.1148
 

Core Rules Database Version : 8575

Trace Rules Database Version: 6387
 

Scan type       : Complete Scan

Total Scan Time : 01:54:54
 

Operating System Information

Windows Vista Home Premium 32-bit, Service Pack 2 (Build 6.00.6002)

UAC On - Limited User (Administrator User)
 

Memory items scanned      : 885

Memory threats detected   : 0

Registry items scanned    : 35211

Registry threats detected : 0

File items scanned        : 235564

File threats detected     : 6
 

Adware.Tracking Cookie

        .smartadserver.com [ C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\056GUAYM.DEFAULT\COOKIES.SQLITE ]

        .smartadserver.com [ C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\056GUAYM.DEFAULT\COOKIES.SQLITE ]

        .smartadserver.com [ C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\056GUAYM.DEFAULT\COOKIES.SQLITE ]

        .smartadserver.com [ C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\056GUAYM.DEFAULT\COOKIES.SQLITE ]

        .smartadserver.com [ C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\056GUAYM.DEFAULT\COOKIES.SQLITE ]

        .smartadserver.com [ C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\056GUAYM.DEFAULT\COOKIES.SQLITE ]

Schöne Grüsse
gaia48

Sieht ok aus, da wurden nur Cookies gefunden. Kannst du mit SASW löschen.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo Arne,

danke, vielen vielen Dank für die vielen Infos und Hilfen die du mir hast zukommen lassen. Werde mich erkenntlich zeigen.

Nun, da unser Laptop offenbar ja viren- u. trojanerfrei zu sein scheint, kann ich dann die Entschlüsselung der Dateien an sich vornehmen? Es sind ja noch alle Dateien "locked". Das geht dann über eines der von euch angegebenen Programme, die man runterladen kann, nehme ich an? Und dann war es das und alles ist ok?

Viele Grüsse
gaia 48

Ja, du kannst dich nun an die Entschlüsselung ranmachen, Hinweise gibt es dazu genug hier im Board

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

alles erledigt, alle Aktualisierungen vorgenommen, auch fast alle Dateien "gerettet", :party:, sämtliche Updates ebenso vorgenommen und den Adobe Reader durch den PDF Xchange Viewer ersetzt. Lediglich beim Microsoft Update will mir ein Power Point Update nicht gelingen, trotz OSE-Dienst-Aktualisierung.
Vielen, vielen Dank für die unermüdliche, super angeleitete Unterstützung!!!:dankeschoen:
Nun werden alle Passwörter noch geändert; eine Komplettsicherung haben wir schon durchgeführt und dann hoffen wir, dass uns kein Trojaner mehr erwischt. Im Umgang mit Mails und Anhängen werden wir zukünftig jedenfalls sehr sehr vorsichtig sein - egal wie hoch der Betrag ist, den eine völlig unbekannte Adresse ankündigt abbuchen zu wollen...erst muss man mal nachdenken... :headbang:
Also - nochmals: DANKE!! Spende ist auch erfolgt, wie versprochen.
Viele Grüsse,
gaia 48