Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bluescreen trotz (hoffentlich) erfolgreicher VIrenbeseitigung (https://www.trojaner-board.de/60480-bluescreen-trotz-hoffentlich-erfolgreicher-virenbeseitigung.html)

DonHulio 22.09.2008 22:55
Bluescreen trotz (hoffentlich) erfolgreicher VIrenbeseitigung
 
Hallo,
ich habe folgendes Problem: Vor ein paar Tagen, hatte ich mir einen Virus (wahrscheinlich Trojaner) und ein Rootkit gefangen, der Trojaner konnte mit Hilfe von Antivir XP entfernt werden und das Rootkit hab ich heut mit Combofix weg gekriegt. Jetzt hat mein Rechner heute im Laufe des Tages allerdings mehrmals mit Bluescreen aufgehängt und neu gestartet und ist direkt wieder in den Bluescreen gegangen. Ich wollte darum bitten, dass jemand mal über das Highjackthis und das Combofix Log guckt, da ich genre wissen würde ob ich die Viren komplett los bin.

Hier Highjackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:50:19, on 22.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
E:\Programme\DAEMON Tools\daemon.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\iTunes\iTunesHelper.exe
E:\Programme\ICQLite\ICQLite.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 1584 bytes


Und hier Combofix:

ComboFix 08-09-20.05 - user 2008-09-22 23:40:03.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.238 [GMT 2:00]
ausgeführt von:: D:\Anti-Rootkit Stuff\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Mozilla Firefox\plugins\npclntax.dll
C:\WINDOWS\system32\blphc3npj0eg8l.scr
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssservers.dat

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-22 bis 2008-09-22 ))))))))))))))))))))))))))))))
.

2008-09-20 12:02 . 2008-09-20 12:02 <DIR> d----c--- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Malwarebytes
2008-09-20 12:02 . 2008-09-20 12:02 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-09-19 11:14 . 2008-09-19 11:14 <DIR> dr---c--- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-09-19 10:51 . 2005-12-02 05:13 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-09-19 10:51 . 2005-12-02 05:04 <DIR> dr---c--- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-09-19 10:51 . 2005-12-02 05:04 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-09-19 10:51 . 2008-09-22 23:41 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-09-19 10:51 . 2005-12-02 05:04 <DIR> d----c--- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-09-19 10:51 . 2005-12-02 05:04 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-09-19 10:51 . 2005-12-02 05:04 <DIR> dr-h-c--- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-09-19 10:51 . 2008-09-19 11:14 <DIR> d----c--- C:\Dokumente und Einstellungen\Administrator
2008-09-18 22:06 . 2008-09-19 21:22 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-09-18 21:48 . 2008-09-18 21:48 164 --a--c--- C:\WINDOWS\wininit.ini
2008-09-18 16:41 . 2008-09-18 16:41 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\nView_Profiles
2008-09-12 16:31 . 2001-08-18 04:53 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll
2008-09-12 16:31 . 2001-08-18 04:53 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll
2008-09-12 16:31 . 2001-08-17 14:55 6,144 --a------ C:\WINDOWS\system32\kbd106.dll
2008-09-12 16:31 . 2001-08-17 14:55 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll
2008-09-12 16:31 . 2001-08-17 14:55 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll
2008-09-12 16:31 . 2001-08-17 14:55 5,632 --a------ C:\WINDOWS\system32\kbd103.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 21:22 --------- dc----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-13 21:45 --------- dc----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\OpenOffice.org2
2008-08-06 09:47 --------- dc-h--w C:\Programme\InstallShield Installation Information
2008-08-01 17:55 --------- dc----w C:\Programme\iPod
2008-07-24 13:23 --------- dc----w C:\Programme\Apple Software Update
2008-07-22 18:32 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-07-22 02:29 --------- dc----w C:\Programme\Java
2006-08-18 21:59 774,144 -c--a-w C:\Programme\RngInterstitial.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-11 7311360]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-11-11 86016]
"PRISMSVR.EXE"="C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" [2004-04-26 295001]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"DAEMON Tools"="E:\Programme\DAEMON Tools\daemon.exe" [2005-11-09 128920]
"avgnt"="E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-05-20 185896]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"QuickTime Task"="E:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="E:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"ICQ Lite"="E:\Programme\ICQLite\ICQLite.exe" [2006-07-11 3144800]
"nwiz"="nwiz.exe" [2005-11-11 C:\WINDOWS\system32\nwiz.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"SystemManager"="C:\WINDOWS\system32\win32k2.exe" [2005-10-31 827392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"msacm.l3acm"= L3codecp.acm
"msacm.divxa32"= DivXa32.acm
"vidc.xvid"= xvid.dll
"vidc.yv12"= yv12vfw.dll
"vidc.3IV2"= 3ivxVfWCodec.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 21:24 32768 E:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"E:\\Programme\\Steam\\SteamApps\\don_hulio552\\counter-strike source\\hl2.exe"=
"E:\\Programme\\Steam\\SteamApps\\don_hulio552\\half-life 2 deathmatch\\hl2.exe"=
"D:\\Spiele\\Warcraft III\\War3.exe"=
"D:\\Spiele\\Warcraft III\\Warcraft III.exe"=
"E:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"E:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"D:\\Spiele\\The Creative Assembly\\Rome - Total War\\RomeTW.exe"=
"D:\\Spiele\\LucasArts\\SWKotOR2\\swupdate.exe"=
"D:\\Spiele\\Sierra\\Empire Earth\\Empire Earth.exe"=
"D:\\Spiele\\EA SPORTS\\Madden NFL 07\\mainapp.exe"=
"E:\\Programme\\Mozilla Firefox\\firefox.exe"=
"D:\\Spiele\\THQ\\Dawn of War\\W40k.exe"=
"E:\\Programme\\ICQLite\\ICQLite.exe"=
"E:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-22 22336]
R0 xmasbus;xmasbus;C:\WINDOWS\system32\DRIVERS\xmasbus.sys [2003-12-21 140800]
R0 xmasscsi;xmasscsi;C:\WINDOWS\system32\Drivers\xmasscsi.sys [2003-12-23 5248]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-22 45376]
R3 DT154_A02;Sinus 154 data II Driver;C:\WINDOWS\system32\DRIVERS\TS154USB.sys [2004-06-02 379264]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-02-23 13352]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [ ]
S3 pfsvgae;pfsvgae;C:\DOKUME~1\user\LOKALE~1\Temp\pfsvgae.sys [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fd78907-62e7-11da-a0e1-806d6172696f}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5632fe89-63ff-11da-9611-0009dd10149a}]
\Shell\AutoRun\command - I:\Madden06.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe Photo Downloader - C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
MSConfigStartUp-EA Core - C:\Programme\Electronic Arts\EA Link\Core.exe
MSConfigStartUp-QuickTime Task - C:\Programme\QuickTime\QTTask.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\rsei2t9w.default\
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF -: plugin - E:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - E:\Programme\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - E:\Programme\QuickTime\Plugins\npqtplugin.dll
FF -: plugin - E:\Programme\QuickTime\Plugins\npqtplugin2.dll
FF -: plugin - E:\Programme\QuickTime\Plugins\npqtplugin3.dll
FF -: plugin - E:\Programme\QuickTime\Plugins\npqtplugin4.dll
FF -: plugin - E:\Programme\QuickTime\Plugins\npqtplugin5.dll
FF -: plugin - E:\Programme\QuickTime\Plugins\npqtplugin6.dll
FF -: plugin - E:\Programme\QuickTime\Plugins\npqtplugin7.dll
FF -: plugin - E:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - E:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - E:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-22 23:41:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\TDSSserv]
"imagepath"="\systemroot\system32\drivers\TDSSserv.sys"
.
Zeit der Fertigstellung: 2008-09-22 23:44:00
ComboFix-quarantined-files.txt 2008-09-22 21:43:49

Vor Suchlauf: 944.824.320 Bytes frei
Nach Suchlauf: 1,066,086,400 Bytes frei

163


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131