Trojaner-Board - AntiMalware kan nicht geöffnet werden, System stürzt ab und nfach geöffnet

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - AntiMalware kan nicht geöffnet werden, System stürzt ab und nfach geöffnet (https://www.trojaner-board.de/68100-antimalware-kan-geoeffnet-system-stuerzt-ab-nfach-geoeffnet.html)

Zitat:

Zitat von undoreal (Beitrag 404125)

Hm, so lustig finde ich das garnicht.

Lösche den Ordner bitte.

Dann die online Überprüfunge und dann weiter mit SASW und MBA .

Wie kann ich sie löschen? Wenn ich diese Datei aud der Suche-Balken schriebe und betätige. Komme ich direkt zu der Textdatei.

Lösche einfach den ganzen Ordner

Zitat:

C:\1151026209

Ordner markieren und #Entf# drücken. Mit "Ja" bestätigen. Papierkorb leeren.

Zitat:

Zitat von undoreal (Beitrag 404131)

Lösche einfach den ganzen Ordner Ordner markieren und #Entf# drücken. Mit "Ja" bestätigen. Papierkorb leeren.

Danke habe ihn gelöscht!

Binjetzt gerade dabei die Dateien auf VL aufzuladen!

Da sind die VL Logs!

c:\windows\system32\drivers\396540b3.sys

Code:

0 bytes size received / Se ha recibido un archivo vacio

c:\windows\system32\spmsgXP_2k3.dll

[code]Datei spmsgXP_2k3.dll empfangen 2009.01.07 19:23:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.07 -
AhnLab-V3 2009.1.8.0 2009.01.07 -
AntiVir 7.9.0.45 2009.01.07 -
Authentium 5.1.0.4 2009.01.07 -
Avast 4.8.1281.0 2009.01.07 -
AVG 8.0.0.199 2009.01.07 -
BitDefender 7.2 2009.01.07 -
CAT-QuickHeal 10.00 2009.01.06 -
ClamAV 0.94.1 2009.01.07 -
Comodo 891 2009.01.07 -
DrWeb 4.44.0.09170 2009.01.07 -
eSafe 7.0.17.0 2009.01.06 -
eTrust-Vet 31.6.6296 2009.01.07 -
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.07 -
F-Secure 8.0.14470.0 2009.01.07 -
Fortinet 3.117.0.0 2009.01.07 -
GData 19 2009.01.07 -
Ikarus T3.1.1.45.0 2009.01.07 -
K7AntiVirus 7.10.581 2009.01.07 -
Kaspersky 7.0.0.125 2009.01.07 -
McAfee 5487 2009.01.07 -
McAfee+Artemis 5487 2009.01.06 -
Microsoft 1.4205 2009.01.07 -
NOD32 3747 2009.01.07 -
Norman 5.99.02 2009.01.07 -
Panda 9.0.0.4 2009.01.07 -
PCTools 4.4.2.0 2009.01.07 -
Prevx1 V2 2009.01.07 -
Rising 21.11.22.00 2009.01.07 -
SecureWeb-Gateway 6.7.6 2009.01.07 -
Sophos 4.37.0 2009.01.07 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.07 -
TheHacker 6.3.1.4.210 2009.01.07 -
TrendMicro 8.700.0.1004 2009.01.07 -
VBA32 3.12.8.10 2009.01.07 -
ViRobot 2009.1.7.1548 2009.01.07 -
VirusBuster 4.5.11.0 2009.01.07 -
weitere Informationen
File size: 14640 bytes
MD5...: 066f7fcca265d01a5b7eaf41ade789b1
SHA1..: dcfd5d499c71f83d4a3b7026728ad79eeab13f89
SHA256: 93bb82eb2786708add9f1538283658ee949aa79e658196f0386ad88fb61320b1
SHA512: 7fa09d093df7bb95f52badc463123cef848dbc26e8da2a3e014289a41ecf273b
546182210e70f42c408f84d673f8811c74e142f9c60978a20f89f6b1d6d9acaf
ssdeep: 192:4W0boplW7QdvzVL/CldolMGoVOu39DKmHj78iCYsB:4W087W7QdvzVLCcM4a
eWHCbB
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10000000
timedatestamp.....: 0x45775589 (Wed Dec 06 23:43:05 2006)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.rsrc 0x1000 0x1668 0x1800 3.38 58279958ae1f81ee5ecac45d4eb4be47
.reloc 0x3000 0x8 0x200 0.02 2c38765194d27b75f56d0565088a53ee

( 0 imports )

( 0 exports )
[\code]

c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 07.Wdf

Code:

0 bytes size received / Se ha recibido un archivo vacio

c:\windows\system32\drivers\MsftWdf_Kernel_01007_C

Code:

0 bytes size received / Se ha recibido un archivo vacio

c:\windows\system32\wdfcoinstaller01007.dll

Code:

 Datei wdfcoinstaller01007.dll empfangen 2009.01.07 19:30:42 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/35 (0%)

Laden der Serverinformationen...

Ihre Datei wartet momentan auf Position: 3.

Geschätzte Startzeit ist zwischen 54 und 77 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen.

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt.

Filter Filter

Drucken der Ergebnisse Drucken der Ergebnisse

Datei existiert nicht oder dessen Lebensdauer wurde überschritten

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

Email:         

        

Antivirus         Version         letzte aktualisierung         Ergebnis

a-squared        4.0.0.73        2009.01.07        -

AhnLab-V3        2009.1.8.0        2009.01.07        -

AntiVir        7.9.0.45        2009.01.07        -

Authentium        5.1.0.4        2009.01.07        -

Avast        4.8.1281.0        2009.01.07        -

CAT-QuickHeal        10.00        2009.01.06        -

ClamAV        0.94.1        2009.01.07        -

Comodo        891        2009.01.07        -

DrWeb        4.44.0.09170        2009.01.07        -

eSafe        7.0.17.0        2009.01.06        -

eTrust-Vet        31.6.6296        2009.01.07        -

Ewido        4.0        2008.12.31        -

F-Prot        4.4.4.56        2009.01.07        -

Fortinet        3.117.0.0        2009.01.07        -

GData        19        2009.01.07        -

Ikarus        T3.1.1.45.0        2009.01.07        -

K7AntiVirus        7.10.581        2009.01.07        -

Kaspersky        7.0.0.125        2009.01.07        -

McAfee        5487        2009.01.07        -

McAfee+Artemis        5487        2009.01.06        -

Microsoft        1.4205        2009.01.07        -

NOD32        3747        2009.01.07        -

Norman        5.99.02        2009.01.07        -

Panda        9.0.0.4        2009.01.07        -

PCTools        4.4.2.0        2009.01.07        -

Rising        21.11.22.00        2009.01.07        -

SecureWeb-Gateway        6.7.6        2009.01.07        -

Sophos        4.37.0        2009.01.07        -

Sunbelt        3.2.1809.2        2008.12.22        -

Symantec        10        2009.01.07        -

TheHacker        6.3.1.4.210        2009.01.07        -

TrendMicro        8.700.0.1004        2009.01.07        -

VBA32        3.12.8.10        2009.01.07        -

ViRobot        2009.1.7.1548        2009.01.07        -

VirusBuster        4.5.11.0        2009.01.07        -

weitere Informationen

File size: 1112288 bytes

MD5...: 81d9bcceb78795cd0315b24960f2d130

SHA1..: a697a3d09e3f9d0ee69df229d14e7e9ae671829b

SHA256: bcf6fbbdf1ad402dc761f87d79688c9b81aa70d63b835fc6618fc8e0686f39f4

SHA512: 0107bab9c18d5227dfc8734f27b7f9ce4ada9e9c79f85ef85bcb80ebfae593b7

d65a834ec3c3b50ef89a5f466eef98eb4ffddece907cb50f7261272b9482631c

ssdeep: 24576:lqP9bArz7F+ET/IbCLvipNz0hOERdNhpjdESl/T:yArvbaN9E7Nz+4

PEiD..: -

TrID..: File type identification

Win64 Executable Generic (80.9%)

Win32 Executable Generic (8.0%)

Win32 Dynamic Link Library (generic) (7.1%)

Generic Win/DOS Executable (1.8%)

DOS Executable Generic (1.8%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x200cb82

timedatestamp.....: 0x47ec326b (Thu Mar 27 23:48:59 2008)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xd03c 0xd200 5.57 a0691ea9b701a6bc0b38dc9a1ac82be7

.data 0xf000 0x4784 0x400 5.83 9b856d09c84494d658edac3951989117

.rsrc 0x14000 0xfed04 0xfee00 8.00 96bbdc949105883318aca8f7c35ebb39

.reloc 0x113000 0xbac 0xc00 4.64 5b563e319cf9de10c5defac4ca646039
 

( 9 imports )

> msvcrt.dll: _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, _wcsnicmp, malloc, free, _wtoi, _wcsicmp, _ultow, _stricmp, memset, memcpy, _vsnwprintf

> SETUPAPI.dll: SetupCloseInfFile, SetupOpenInfFileW, SetupDiGetDriverInfoDetailW, SetupOpenLog, SetupLogErrorW, SetupCloseLog, CM_Set_DevNode_Problem_Ex, SetupDiGetDeviceInstallParamsW, SetupDiSetDeviceInstallParamsW, SetupPromptReboot, SetupDiGetActualSectionToInstallW, SetupGetLineCountW, SetupFindFirstLineW, SetupGetStringFieldW, SetupFindNextMatchLineW, SetupDiGetSelectedDriverW

> KERNEL32.dll: GetWindowsDirectoryW, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, RtlUnwind, InterlockedCompareExchange, Sleep, InterlockedExchange, LoadLibraryExW, ExpandEnvironmentStringsW, CreateProcessW, WaitForSingleObject, TerminateProcess, GetExitCodeProcess, SetLastError, FindResourceW, LoadResource, LockResource, SizeofResource, WriteFile, RemoveDirectoryW, CreateDirectoryW, FindFirstFileW, DeleteFileW, FindNextFileW, FindClose, CreateFileW, GetFileInformationByHandle, FileTimeToSystemTime, CloseHandle, FormatMessageW, GetLocalTime, OutputDebugStringW, LoadLibraryW, FreeLibrary, lstrlenA, WideCharToMultiByte, GetModuleFileNameW, LocalAlloc, LocalFree, GetLastError, GetProcAddress, GetModuleHandleW, GlobalFree, VerifyVersionInfoW, VerSetConditionMask

> ADVAPI32.dll: RegQueryValueExW, LockServiceDatabase, QueryServiceLockStatusW, ChangeServiceConfigW, UnlockServiceDatabase, QueryServiceConfigW, RegSetValueExW, RegFlushKey, RegCreateKeyExW, DeleteService, OpenSCManagerW, OpenServiceW, QueryServiceStatusEx, CloseServiceHandle, RegOpenKeyExW, RegCloseKey

> CRYPT32.dll: CertGetCertificateContextProperty

> WINTRUST.dll: WTHelperProvDataFromStateData, WTHelperGetProvSignerFromChain, WTHelperGetProvCertFromChain, WinVerifyTrust

> SHELL32.dll: CommandLineToArgvW

> USER32.dll: IsCharAlphaW, IsCharAlphaNumericW, LoadStringW

> ole32.dll: CoTaskMemFree
 

( 5 exports )

WdfCoInstaller, WdfPostDeviceInstall, WdfPostDeviceRemove, WdfPreDeviceInstall, WdfPreDeviceRemove

packers (Kaspersky): PE_Patch

Da verarscht uns einer am laufenden Band.

Ich kann dir hier nur wieder die dringende Empfehlung geben den Rechner platt zu machen!

Der Schädling wehrt sich heftig und hat mit Sicherheit Backdoor Fuktionen. Wenn der Autor bemerkt, dass wir ihm grade auf die Schliche kommen wird er Hintertüren in dein System einbauen die nur extrem schwer zu finden sind; teilweise sogar einfach unmöglich.

Das bedeutet, dass du dein System ab dem heutigen Tag an als nicht vertrauenswürdig einstufen musst. Da will man doch nicht jeden Tag vor sitzen oder?

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Files to delete:

c:\windows\system32\drivers\396540b3.sys

c:\windows\system32\spmsgXP_2k3.dll

c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 07.Wdf

c:\windows\system32\drivers\MsftWdf_Kernel_01007_C oinstaller_Critical.Wdf
 
 

Folders to delete:

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Den Avenger lasse ich nur nochmal laufen um evtl. zu verhindern, dass dir grade munter Daten gestohlen werden. Du solltest den Rechner physikalisch vom Internet trennen. Das bedeutet LAN-Stecker ziehen!

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\drivers\396540b3.sys" deleted successfully.
File "c:\windows\system32\spmsgXP_2k3.dll" deleted successfully.

Error: file "c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 07.Wdf" not found!
Deletion of file "c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 07.Wdf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\drivers\MsftWdf_Kernel_01007_C oinstaller_Critical.Wdf" not found!
Deletion of file "c:\windows\system32\drivers\MsftWdf_Kernel_01007_C oinstaller_Critical.Wdf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:09 2009

20:21:09: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:16 2009

20:21:16: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:36 2009

20:21:36: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:44 2009

20:21:44: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:46 2009

20:21:46: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:22:00 2009

20:22:00: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:22:05 2009

20:22:05: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:22:11 2009

20:22:11: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Completed script processing.

*******************

Finished! Terminate.

Bei mir kommt kein Log nach der mbr.bat Datei.

Müsste auf dem Desktop bzw. dort liegen wo du die mbr.exe ausgeführt hast.

Da ist bei mir nur das:

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

http://img3.imagebanana.com/img/qqyi...6789__.bmp.png

Auf meinem Rechner finde Datei-Symbole die heller als andere sind, was bedeutet das?

Malwarebyets Log-File

Code:

Malwarebytes' Anti-Malware 1.24

Datenbank Version: 1043

Windows 5.1.2600 Service Pack 3
 

19:01:14 08.01.2009

mbam-log-1-8-2009 (19-01-14).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 112006

Laufzeit: 35 minute(s), 20 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\cleanup.bat (Trojan.Agent) -> Quarantined and deleted successfully.

Das sind versteckte Dateien.

Warum hast du immer noch nicht neuaufgesetzt? :confused:

Zitat:

Zitat von undoreal (Beitrag 404379)

Das sind versteckte Dateien.

Warum hast du immer noch nicht neuaufgesetzt? :confused:

Ich habe keine Windows CD :S

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Header 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

find.bat Version 2008.03.07 
 

Microsoft Windows XP [Version 5.1.2600]

Bootmodus: Normal 

  

eScan Version: 10.0.60 

Sprache: German 

C:\DOKUME~1\***~1\LOKALE~1\Temp\MWAV.LOG

 

 

 

~~~~~~~~~~~ 

Dateien 

~~~~~~~~~~~ 

~~~~ Infected files 

~~~~~~~~~~~ 

Datei C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip/TDSSrfdc.sys infiziert durch den Virus "Backdoor.Win32.TDSS.bkw"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 

Datei C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSStnyq.dll.vir infiziert durch den Virus "Rootkit.Win32.TDSS.dbg"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 

~~~~~~~~~~~ 

~~~~ Tagged files 

~~~~~~~~~~~ 

Datei C:\Qoobox\Quarantine\C\WINDOWS\system32\frcqsw.dll.vir markiert als "not-a-virus:AdWare.Win32.SuperJuan.fsp". Maßnahme ergriffen: Keine Maßnahme ergriffen. 

Datei C:\Qoobox\Quarantine\C\WINDOWS\system32\pytywnvs.dll.vir markiert als "not-a-virus:AdWare.Win32.SuperJuan.fsp". Maßnahme ergriffen: Keine Maßnahme ergriffen. 

~~~~~~~~~~~ 

~~~~ Offending files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

~~~~ Spyware (Vorsicht: Oft Fehlalarm!) 

~~~~~~~~~~~ 

Scannen Spyware: Deaktiviert 

** {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} = C:\Programme\SUPERAntiSpyware\SASSEH.DLL 

Result: ERROR!!! File C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-08-2009 - 18-02-36.SBU: Scanning Failure!!! 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-08-2009 - 18-02-36.SBU 

~~~~~~~~~~~ 

Ordner 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

Registry 

~~~~~~~~~~~ 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Diverses 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

~~~~~~~~~~~~~~~~~~~~~~ 

laufende Prozesse - commandline 

~~~~~~~~~~~~~~~~~~~~~~ 

System Idle Process - 

System - 

smss.exe - \SystemRoot\System32\smss.exe

csrss.exe - 

winlogon.exe - winlogon.exe

services.exe - C:\WINDOWS\system32\services.exe

lsass.exe - C:\WINDOWS\system32\lsass.exe

svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe - 

svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs

svchost.exe - 

svchost.exe - 

aawservice.exe - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

WgaTray.exe - "C:\WINDOWS\system32\WgaTray.exe"

explorer.exe - C:\WINDOWS\Explorer.EXE

firefox.exe - "C:\Programme\Mozilla Firefox\firefox.exe" 

ctfmon.exe - ctfmon.exe

psi.exe - C:\Programme\Secunia\PSI\psi.exe --first-launch

msnmsgr.exe - "C:\Programme\Windows Live\Messenger\msnmsgr.exe" 

cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\***\Desktop\find.bat" "

cscript.exe - cscript C:\escan\prclst.vbs //nologo 

wmiprvse.exe - 

~~~~~~~~~~~~~~~~~~~~~~ 

Scanfehler 

~~~~~~~~~~~~~~~~~~~~~~ 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Desktop\mwav.exe 

ERROR!!! Invalid Entry \SystemRoot\System32\drivers\396540b3.sys in HKLM\SYSTEM\CurrentControlSet\Services\396540b3. Action Taken: No Action Taken. 

ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\drivers\EagleNT.sys in HKLM\SYSTEM\CurrentControlSet\Services\EagleNT. Action Taken: No Action Taken. 

ERROR!!! Invalid Entry \??\C:\DOKUME~1\***~1\LOKALE~1\Temp\mbr.sys in HKLM\SYSTEM\CurrentControlSet\Services\mbr. Action Taken: No Action Taken. 

ERROR(2)!!! ScanFile Fails for C:\WINDOWS\system32\Drivers\sptd.sys... 

ERROR(3)!!! ScanFile fails for C:\aa8eec9698e480eba23771\i386\apps_sp.ch_ 

ERROR(3)!!! ScanFile fails for C:\aa8eec9698e480eba23771\i386\root\cmpnents\netfx\i386\netfx.cab 

Result: ERROR!!! File C:\Avenger\backup-07.01.2009-18.45.50.98.zip: Scanning Failure!!! 

ERROR(3)!!! ScanFile fails for C:\Avenger\backup-07.01.2009-18.45.50.98.zip 

Result: ERROR!!! File C:\Avenger\backup-07.01.2009-20.16.31.34.zip: Scanning Failure!!! 

ERROR(3)!!! ScanFile fails for C:\Avenger\backup-07.01.2009-20.16.31.34.zip 

Result: ERROR!!! File C:\Avenger\backup-07.01.2009-20.24.12.09.zip: Scanning Failure!!! 

ERROR(3)!!! ScanFile fails for C:\Avenger\backup-07.01.2009-20.24.12.09.zip 

Result: ERROR!!! File C:\Avenger\backup.zip: Scanning Failure!!! 

ERROR(3)!!! ScanFile fails for C:\Avenger\backup.zip 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations\{59367F7E-D7C1-4629-8AEC-71AA24A68F31}\NokiaSoftwareUpdaterSetup_1.4.85DE.exe 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations\{59367F7E-D7C1-4629-8AEC-71AA24A68F31}\Packages\CCD\Setup\Nokia_Connectivity_Cable_Driver.msi 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\german\kis.de.msi 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\BitTorrent\So¨hne Mannheims Xavier Naidoo - Wettsingen in Schwetzingen (MTV Unplugged).torrent 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\o2ekoav0.default\places.sqlite-journal 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_03\jre1.6.0_03.msi 

Result: ERROR!!! File C:\Dokumente und Einstellungen\Phong Le\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-08-2009 - 18-02-36.SBU: Scanning Failure!!! 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-08-2009 - 18-02-36.SBU 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Desktop\mwav.exe 

Result: ERROR!!! File C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\rzr-fcr2\autoplay\autorun.cdd: Scanning Failure!!! 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\rzr-fcr2\autoplay\autorun.cdd 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\rzr-fcr2\Support\DotNetRedist\dotnetfx.exe 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\rzr-fcr2\Support\DotNetRedist\NetFx64.exe 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.com\SharingMetadata\***@hotmail.com\DFSR\Staging\CS{774F8449-18FB-D2A8-9313-449D4494083B}\01\10-{774F8449-18FB-D2A8-9313-449D4494083B}-v1 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\NTUSER.DAT 

ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\NTUSER.DAT.LOG 

ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{90120000-0015-0407-0000-0000000FF1CE}-C\AccLR.cab 

ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{90120000-001B-0407-0000-0000000FF1CE}-C\WordLR.cab 

ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{90120000-0044-0407-0000-0000000FF1CE}-C\InfLR.cab 

ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{90120000-006E-0407-0000-0000000FF1CE}-C\OfficeLR.cab 

ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{91120000-0030-0000-0000-0000000FF1CE}-C\EnterrWW.cab 

ERROR(3)!!! ScanFile fails for C:\pagefile.sys 

ERROR(3)!!! ScanFile fails for C:\Programme\Gemeinsame Dateien\Microsoft Shared\VBA\VBA6\1031\VBLR6.CHM 

ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre1.6.0_03\lib\rt.jar 

ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre1.6.0_07\lib\rt.jar 

ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre6\lib\rt.jar 

ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office12\1031\XMLSDK5.CHM 

ERROR(3)!!! ScanFile fails for C:\Programme\Nokia\Connectivity Cable Driver\WdfCoInstaller01007.dll 

ERROR(3)!!! ScanFile fails for C:\RECYCLER\S-1-5-21-1801674531-308236825-682003330-1003\Dc1.dll 

Result: ERROR!!! File C:\RECYCLER\S-1-5-21-1801674531-308236825-682003330-1003\Dc2.zip: Scanning Failure!!! 

ERROR(3)!!! ScanFile fails for C:\RECYCLER\S-1-5-21-1801674531-308236825-682003330-1003\Dc2.zip 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\$NtServicePackUninstall$\apps_sp.chm 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\Downloaded Installations\{35BF549A-60EB-43E2-8914-F33C0D7689E4}\Nokia Software Launcher.msi 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\Driver Cache\i386\driver.cab 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\Driver Cache\i386\sp3.cab 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\Help\apps_sp.chm 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\netfx.msi 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServicePackFiles\i386\apps_sp.chm 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServicePackFiles\i386\sp3.cab 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\CatRoot2\edb.log 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\CatRoot2\tmp.edb 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\drivers\sptd.sys 

ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\DRVSTORE\ccdcmb_BCC7B353E4C97600259A2CADE869842C38E1062D\wdfcoinstaller01007.dll 

~~~~~~~~~~~~~~~~~~~~~~ 

Hosts-Datei 

~~~~~~~~~~~~~~~~~~~~~~ 

DataBasePath: %SystemRoot%\System32\drivers\etc 

Zeilen die nicht dem Standard entsprechen: 

C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1       localhost

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Statistiken: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Zahl der gescannten Objekte: 71403 

Zahl der kritischen Objekte: 4 

Zahl der desinfizierten Objekte: 0 

Zahl der umbenannten Objekte: 0 

Zahl der gelöschten Objekte: 0 

Zeit verstrichen: 01:05:50 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Scan-Optionen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Speicherüberprüfung: Aktiviert 

Überprüfung der Registrierungsdatenbank: Aktiviert 

Überprüfung des Startordners: Aktiviert 

Überprüfung des Systemordners: Aktiviert 

Überprüfung der Dienste: Aktiviert 

Überprüfung der Laufwerke: Deaktiviert 

Überprüfung aller Laufwerke:Aktiviert 

Die Überprüfung der Ordner: Deaktiviert 

 

Batchstart: 20:48:53.53 

Batchende: 20:49:07.26

Zitat:

Ich habe keine Windows CD :S

Dann wirst du dir eine besorgen müssen.

jaa dann kann dieser thread gelöschen werden

danke nochmals für alles