Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Anti viren programme können keine Verbindung mehr zum Updaten herstellen! (https://www.trojaner-board.de/68676-anti-viren-programme-keine-verbindung-mehr-updaten-herstellen.html)

kassiererin 15.01.2009 21:16
Anti viren programme können keine Verbindung mehr zum Updaten herstellen!
 
ich habe bereits meine Fire-Wall gecheckt, auch shcon ausgemacht un dann versucht daran liegt es also nicht, verdacht ist eher auf nen unerwünschten eindringling! es kann bei keinen der folgenden anti viren programmen eine verbindung hergestellt werden ( AntiVir, Ad-Aware und weitere)
hier mein HJT-LOG ich hoffe jemand kann mir behilflich sein:
PS: Bitte keine e-mail schicken sondern hier antworten vielen dank !


Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:57:04, on 15.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Autorun Eater\oldmcdonald.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Autorun Eater\billy.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Autorun Eater.lnk = C:\Programme\Autorun Eater\oldmcdonald.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4371 bytes

john.doe 15.01.2009 21:20
Hallo und :hallo:

GMER - Rootkit Detection
  • Lade Gmer von hier
  • entpacke es auf den Dektop
  • Doppelklick auf gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

kassiererin 15.01.2009 21:35
Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-15 21:34:50
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT            F7AF0B04                                                                  ZwCreateThread
SSDT            F7AF0AF0                                                                  ZwOpenProcess
SSDT            F7AF0AF5                                                                  ZwOpenThread
SSDT            F7AF0AFF                                                                  ZwTerminateProcess
SSDT            F7AF0AFA                                                                  ZwWriteVirtualMemory

Code            85E8F628                                                                  ZwEnumerateKey
Code            85E8E628                                                                  ZwFlushInstructionCache
Code            85E8D628                                                                  ZwQueryValueKey
Code            F4501E99                                                                  pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                      805ABE38 5 Bytes  JMP 85E8E62C
PAGE            ntkrnlpa.exe!ZwQueryValueKey                                              806184BE 5 Bytes  JMP 85E8D62C
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                              8061AAC6 5 Bytes  JMP 85E8F62C

---- Devices - GMER 1.0.14 ----

Device          \Driver\Cdrom \Device\CdRom0                                              862D2F10
Device          \Driver\atapi \Device\Ide\IdePort0                                        862D1430
Device          \Driver\atapi \Device\Ide\IdePort1                                        862D1430
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                              862D1430
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                              862D1430
Device          \Driver\Cdrom \Device\CdRom1                                              862D2F10
Device          \Driver\Cdrom \Device\CdRom2                                              862D2F10
Device          \Driver\Cdrom \Device\CdRom3                                              862D2F10
Device          \Driver\Stlth317 \Device\Scsi\Stlth3171Port0Path0Target1Lun0              86343868
Device          \Driver\Stlth317 \Device\Scsi\Stlth3171Port0Path0Target2Lun0              86343868
Device          \Driver\Stlth317 \Device\Scsi\Stlth3171Port0Path0Target0Lun0              86343868
Device          \Driver\Stlth317 \Device\Scsi\Stlth3171                                  86343868

AttachedDevice  \FileSystem\Fastfat \Fat                                                  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.14 ----

Module          \systemroot\system32\drivers\msqpdxbrfvxvkj.sys (*** hidden *** )        F4500000-F452B000 (176128 bytes)                                       

---- Services - GMER 1.0.14 ----

Service        C:\WINDOWS\system32\drivers\msqpdxbrfvxvkj.sys (*** hidden *** )          [SYSTEM] msqpdxserv.sys                                                  <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@start              1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@type                1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@imagepath          \systemroot\system32\drivers\msqpdxbrfvxvkj.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@group              file system
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules@msqpdxserv  \\?\globalroot\systemroot\system32\drivers\msqpdxbrfvxvkj.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules@msqpdxl    \\?\globalroot\systemroot\system32\msqpdxtiteoewb.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys                       
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys@start                  1
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys@type                    1
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys@imagepath              \systemroot\system32\drivers\msqpdxbrfvxvkj.sys
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys@group                  file system
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys\modules               
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys\modules@msqpdxserv      \\?\globalroot\systemroot\system32\drivers\msqpdxbrfvxvkj.sys
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys\modules@msqpdxl        \\?\globalroot\systemroot\system32\msqpdxtiteoewb.dll
Reg            HKLM\SOFTWARE\Classes\msqpdxvx                                           
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxrun                                  70
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxpff                                  8303
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxaff                                  3293
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxinfo                                ?}gx~yc?~f?ceannbvkonrlomNPPQ
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxid                                  rfx??t??~?g?gmca?k?o
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxsrv                                  1745024793
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxpos                                  "xsx{xu~o"deicadchy?kflooUXPC

---- EOF - GMER 1.0.14 ----

kassiererin 15.01.2009 21:38
Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-15 21:34:50
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT            F7AF0B04                                                                  ZwCreateThread
SSDT            F7AF0AF0                                                                  ZwOpenProcess
SSDT            F7AF0AF5                                                                  ZwOpenThread
SSDT            F7AF0AFF                                                                  ZwTerminateProcess
SSDT            F7AF0AFA                                                                  ZwWriteVirtualMemory

Code            85E8F628                                                                  ZwEnumerateKey
Code            85E8E628                                                                  ZwFlushInstructionCache
Code            85E8D628                                                                  ZwQueryValueKey
Code            F4501E99                                                                  pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                      805ABE38 5 Bytes  JMP 85E8E62C
PAGE            ntkrnlpa.exe!ZwQueryValueKey                                              806184BE 5 Bytes  JMP 85E8D62C
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                              8061AAC6 5 Bytes  JMP 85E8F62C

---- Devices - GMER 1.0.14 ----

Device          \Driver\Cdrom \Device\CdRom0                                              862D2F10
Device          \Driver\atapi \Device\Ide\IdePort0                                        862D1430
Device          \Driver\atapi \Device\Ide\IdePort1                                        862D1430
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                              862D1430
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                              862D1430
Device          \Driver\Cdrom \Device\CdRom1                                              862D2F10
Device          \Driver\Cdrom \Device\CdRom2                                              862D2F10
Device          \Driver\Cdrom \Device\CdRom3                                              862D2F10
Device          \Driver\Stlth317 \Device\Scsi\Stlth3171Port0Path0Target1Lun0              86343868
Device          \Driver\Stlth317 \Device\Scsi\Stlth3171Port0Path0Target2Lun0              86343868
Device          \Driver\Stlth317 \Device\Scsi\Stlth3171Port0Path0Target0Lun0              86343868
Device          \Driver\Stlth317 \Device\Scsi\Stlth3171                                  86343868

AttachedDevice  \FileSystem\Fastfat \Fat                                                  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.14 ----

Module          \systemroot\system32\drivers\msqpdxbrfvxvkj.sys (*** hidden *** )        F4500000-F452B000 (176128 bytes)                                       

---- Services - GMER 1.0.14 ----

Service        C:\WINDOWS\system32\drivers\msqpdxbrfvxvkj.sys (*** hidden *** )          [SYSTEM] msqpdxserv.sys                                                  <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@start              1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@type                1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@imagepath          \systemroot\system32\drivers\msqpdxbrfvxvkj.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@group              file system
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules@msqpdxserv  \\?\globalroot\systemroot\system32\drivers\msqpdxbrfvxvkj.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules@msqpdxl    \\?\globalroot\systemroot\system32\msqpdxtiteoewb.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys                       
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys@start                  1
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys@type                    1
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys@imagepath              \systemroot\system32\drivers\msqpdxbrfvxvkj.sys
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys@group                  file system
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys\modules               
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys\modules@msqpdxserv      \\?\globalroot\systemroot\system32\drivers\msqpdxbrfvxvkj.sys
Reg            HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys\modules@msqpdxl        \\?\globalroot\systemroot\system32\msqpdxtiteoewb.dll
Reg            HKLM\SOFTWARE\Classes\msqpdxvx                                           
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxrun                                  70
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxpff                                  8303
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxaff                                  3293
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxinfo                                ?}gx~yc?~f?ceannbvkonrlomNPPQ
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxid                                  rfx??t??~?g?gmca?k?o
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxsrv                                  1745024793
Reg            HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxpos                                  "xsx{xu~o"deicadchy?kflooUXPC

---- EOF - GMER 1.0.14 ----

john.doe 15.01.2009 21:42
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\WINDOWS\system32\msqpdxtiteoewb.dll
C:\WINDOWS\system32\drivers\msqpdxbrfvxvkj.sys
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

kassiererin 15.01.2009 21:54
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "msqpdxserv.sys" found!
ImagePath:  \systemroot\system32\drivers\msqpdxbrfvxvkj.sys
Start Type:  1 (System)

Rootkit scan completed.

File "C:\WINDOWS\system32\msqpdxtiteoewb.dll" deleted successfully.
File "C:\WINDOWS\system32\drivers\msqpdxbrfvxvkj.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

john.doe 15.01.2009 22:00
Updates sollten wieder funktionieren.

Arbeite diese Liste ab:

1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme):
Code:
AdAware (Schrott)
Acrobat Reader (Asbach uralt)
Autorun Eater
2.) Starte HJT => Do a system scan only => Markiere:
Code:
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
=> Fix checked

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

6.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

kassiererin 16.01.2009 12:57
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:59, on 16.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3507 bytes

kassiererin 16.01.2009 13:29
Code:
01/16/09 13:02:13 [Info]: BlackLight Engine 2.2.1092 initialized
01/16/09 13:02:13 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/16/09 13:02:13 [Note]: 7019 4
01/16/09 13:02:13 [Note]: 7005 0
01/16/09 13:02:15 [Note]: 7006 0
01/16/09 13:02:15 [Note]: 7011 1600
01/16/09 13:02:15 [Note]: 7035 0
01/16/09 13:02:15 [Note]: 7026 0
01/16/09 13:02:15 [Note]: 7026 0
01/16/09 13:02:16 [Note]: FSRAW library version 1.7.1024
01/16/09 13:04:40 [Note]: 7006 0
01/16/09 13:04:40 [Note]: 7011 1600
01/16/09 13:04:40 [Note]: 7035 0
01/16/09 13:04:40 [Note]: 7026 0
01/16/09 13:04:40 [Note]: 7026 0
01/16/09 13:04:41 [Note]: FSRAW library version 1.7.1024
01/16/09 13:06:25 [Note]: 7007 0

kassiererin 16.01.2009 15:58
Code:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1658
Windows 5.1.2600 Service Pack 3

16.01.2009 15:57:38
mbam-log-2009-01-16 (15-57-38).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Durchsuchte Objekte: 239779
Laufzeit: 2 hour(s), 49 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxjmvjkpsv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\tempo-327.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-633.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-C6F.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-EC1.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

john.doe 16.01.2009 17:39
Benutzt du Memorysticks, Speicherkarten, Kameras, Handy oder sonstige Datenträger an deinem Rechner?

ciao, andreas

kassiererin 17.01.2009 21:13
Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/16/2009 at 07:14 PM

Application Version : 4.24.1004

Core Rules Database Version : 3712
Trace Rules Database Version: 1687

Scan type      : Complete Scan
Total Scan Time : 02:59:29

Memory items scanned      : 406
Memory threats detected  : 0
Registry items scanned    : 4294
Registry threats detected : 8
File items scanned        : 196593
File threats detected    : 4

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\mrk\Cookies\mrk@adserver.71i[2].txt
        C:\Dokumente und Einstellungen\mrk\Cookies\mrk@zbox.zanox[2].txt
        C:\Dokumente und Einstellungen\mrk\Cookies\mrk@atwola[1].txt
        C:\Dokumente und Einstellungen\mrk\Cookies\mrk@ad.71i[1].txt

Rogue.Component/Trace
        HKLM\Software\Classes\MSQPDXVX
        HKLM\Software\Classes\MSQPDXVX#msqpdxrun
        HKLM\Software\Classes\MSQPDXVX#msqpdxpff
        HKLM\Software\Classes\MSQPDXVX#msqpdxaff
        HKLM\Software\Classes\MSQPDXVX#msqpdxinfo
        HKLM\Software\Classes\MSQPDXVX#msqpdxid
        HKLM\Software\Classes\MSQPDXVX#msqpdxsrv
        HKLM\Software\Classes\MSQPDXVX#msqpdxpos

kassiererin 17.01.2009 21:14
ja benutze ich

john.doe 17.01.2009 21:21
Dann schalte sicherheitshalber die Autoplayfunktion ab, sonst passiert dir dasgleiche, wie ihm hier:
http://www.trojaner-board.de/68318-r...-erhalten.html
Eine der Funde deutet daraufhin, dass die auch betroffen sein könnten. Falls du die ohne Schutz ansteckst, dann bist du sofort wieder infiziert.

ciao, andreas

kassiererin 17.01.2009 21:28
gilt das auch für meine externen festplatten?

kassiererin 17.01.2009 21:31
ok ist deaktiviert.

john.doe 17.01.2009 21:31
Das gilt für alles, das du an den Computer angeschlossen hast.

Es fehlt noch das HJT-Log. Zeigt der Rechner noch Auffälligkeiten?

ciao, andreas

kassiererin 17.01.2009 21:36
bis jetzt keine auffälligkeit.
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:48, on 17.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3569 bytes

kassiererin 17.01.2009 21:42
wie bekomme ich die meldung der "computer ist evtl gefährdet" weg?

john.doe 17.01.2009 21:45
Log ist sauber. Solltest du auf deinen externen Datenträgern ein Ordner resycled entdecken, so ist er befallen. Den automatischen Start kannst du durch Festhalten der [Umschalt]-Taste beim Anstecken verhindern.

Eine erneuter Befall lässt sich auf folgendem Weg vermeiden:

Desinfizierung/Absicherung externer Medien:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:
  1. Trenne den Rechner physikalisch vom Netz.
  2. Deaktiviere den Hintergrundwächter deines AVP.
  3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
  4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
  5. Wenn der Scan zuende ist, kannst du das Programm schließen.
  6. Starte Deinen Rechner neu.
Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Statt des Acrobat Reader empfehle ich Foxit: Foxit Software

ciao, andreas

Edit:
Zitat:
wie bekomme ich die meldung der "computer ist evtl gefährdet" weg?
Doppelklick aufs Sicherheitscentersymbol unten rechts. Was quengelt er denn an?

kassiererin 17.01.2009 21:57
ok nach dem neustart ist die meldung nicht mehr da. welche programme benötige ich jetzt allg. um meinen pc für die zukunft sicher zu halten? ist es jetzt sinnvoll antivir durchlaufen zu lassen?

john.doe 17.01.2009 22:07
Zitat:
welche programme benötige ich jetzt allg. um meinen pc für die zukunft sicher zu halten?
Hier wird üblicherweise die Empfehlung Avira/Malwarebytes ausgesprochen.
Ich persönlich rate dazu: Homepage von Malte J. Wetz
Zitat:
ist es jetzt sinnvoll antivir durchlaufen zu lassen?
Ja, jetzt sollten die Updates wieder funktionieren. Lass ihn doch mal mit diesen Einstellungen laufen: http://www.trojaner-board.de/54192-a...tellungen.html

Falls er etwas findet, dann poste das Log.

Alle Programme, die wir benutzt haben, können deinstalliert/gelöscht werden.

ciao, andreas

kassiererin 18.01.2009 11:45
Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 17. Januar 2009  22:19

Es wird nach 1223257 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 3)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    ANDY

Versionsinformationen:
BUILD.DAT    : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 08:21:23
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5      164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL  : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.1.113    2817536 Bytes  14.01.2009 11:51:19
ANTIVIR2.VDF  : 7.1.1.114      2048 Bytes  14.01.2009 11:51:19
ANTIVIR3.VDF  : 7.1.1.135    286208 Bytes  17.01.2009 19:58:16
Engineversion : 8.2.0.57 
AEVDF.DLL    : 8.1.0.6      102772 Bytes  14.10.2008 10:05:56
AESCRIPT.DLL  : 8.1.1.26      340347 Bytes  17.01.2009 19:58:21
AESCN.DLL    : 8.1.1.5      123251 Bytes  07.11.2008 15:06:41
AERDL.DLL    : 8.1.1.3      438645 Bytes  04.11.2008 13:58:38
AEPACK.DLL    : 8.1.3.5      393588 Bytes  16.01.2009 11:51:27
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  16.01.2009 11:51:26
AEHEUR.DLL    : 8.1.0.84    1540471 Bytes  17.01.2009 19:58:20
AEHELP.DLL    : 8.1.2.0      119159 Bytes  16.01.2009 11:51:22
AEGEN.DLL    : 8.1.1.10      323957 Bytes  17.01.2009 19:58:17
AEEMU.DLL    : 8.1.0.9      393588 Bytes  14.10.2008 10:05:56
AECORE.DLL    : 8.1.5.2      172405 Bytes  16.01.2009 11:51:21
AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL    : 8.0.0.2        98344 Bytes  31.07.2008 12:02:15
AVREG.DLL    : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  12.06.2008 12:49:36
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, H:, K:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 17. Januar 2009  22:19

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '32929' Objekte überprüft, '10' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD6
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'H:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'K:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '49' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\mrk\Desktop\Flash_Disinfector.exe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d34f51.qua' verschoben!
Beginne mit der Suche in 'D:\' <Damien`s Stuff>
D:\Hab nix\Bilda\Mara\TVTOTAL.EXE
    [FUND]      Enthält Erkennungsmuster des Scherzprogrammes JOKE/MDP
    [HINWEIS]  Die Datei wurde gelöscht.
D:\Hab nix\MP3`s\solala\System Of A Down - Discography - 2005 - 9 Albums Videos.rar
    [WARNUNG]  Eine Exception wurde abgefangen!
    [WARNUNG]  Im Modul aecore.dll ist eine Exception aufgetreten.
Aufruf der Funktion AVEPROC_TestFile in file: \\?\D:\Hab nix\MP3`s\solala\System Of A Down - Discography - 2005 - 9 Albums Videos.rar
Fehlerbeschreibung:ACCESS_VIOLATION
  EAX = 06429CC8  EBX = 02463A80
  ECX = 06429CA4  EDX = 000001CC
  ESI = 05B4D43D  EDI = 02463a7c
  EIP = 01351273  EBP = 0641007C
  ESP = 018DED68  Flg = 00010283
  CS = 00000023  SS = 0000001B
D:\System Volume Information\_restore{7C2B4257-9691-4DDC-A3EE-69B04F28663C}\RP28\A0007182.exe
    [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn
    [HINWEIS]  Die Datei wurde gelöscht.
Beginne mit der Suche in 'H:\' <666>
Beginne mit der Suche in 'K:\' <Beast>


Ende des Suchlaufs: Sonntag, 18. Januar 2009  11:38
Benötigte Zeit: 13:18:50 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  10445 Verzeichnisse wurden überprüft
 385770 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      2 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 385766 Dateien ohne Befall
  2828 Archive wurden durchsucht
      6 Warnungen
      3 Hinweise
  32929 Objekte wurden beim Rootkitscan durchsucht
    10 Versteckte Objekte wurden gefunden

john.doe 18.01.2009 11:55
Zitat:
C:\Dokumente und Einstellungen\mrk\Desktop\Flash_Disinfector.exe
Du solltest doch die Programme deinstallieren. Ist ein Fehlalarm.
Zitat:
D:\Hab nix\Bilda\Mara\TVTOTAL.EXE
Kein Kommentar. :)
Zitat:
D:\Hab nix\MP3`s\solala\System Of A Down - Discography - 2005 - 9 Albums Videos.rar
Vermutlich defektes Archiv. Im Zweifelsfall löschen.
Zitat:
D:\System Volume Information\_restore{7C2B4257-9691-4DDC-A3EE-69B04F28663C}\RP28\A0007182.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn/
Systemwiederherstellung abschalten => Alle Wiederherstellungspunkte löschen => Neustart => Systemwiederherstellung einschalten und neuen Wiederherstellungspunkt setzen.

Wenn der Rechner nicht mehr zickt, dann bist du entlassen.

ciao, andreas

kassiererin 18.01.2009 13:28
ok wollte gerade deamon tools starten dann kam diese meldung.
Code:
DTPro.exe - Abbild fehlerhaft
Die anwendung oder DLL C:\Programme\DAEMON Tools Pro\DTProHlp.dll ist keine gültige Windows-Datei. Überprüfen Sie dies mit der Installationsdiskette.

john.doe 18.01.2009 13:36
Daemon-Tools deinstallieren, Daemon-Tools installieren.

ciao, andreas

kassiererin 18.01.2009 14:16
nach meinem letzten neustart bekam ich diese meldung was kann ich tun?
Code:
http://www.file-upload.net/download-1388546/Unbenannt.bmp.html

john.doe 18.01.2009 14:21
Der Meldung ist nicht zu entnehmen, von welchem Programm sie verursacht wird, aber ich vermute die Daemon Tools sind die Ursache. Kam die Meldung beim/nach Deinstallieren oder Installieren.

ciao, andreas

kassiererin 18.01.2009 14:36
habs grad deinstalliert dann wieder installiert dann neugestartet und dann bekam ich diese meldung.

john.doe 18.01.2009 14:41
Kann ein Installationsproblem sein. Starte noch einmal neu, sollte die Fehlermeldung erneut kommen, dann deinstalliere Daemon Tools und nimm eine Alternative, wie z.B. SlySoft Virtual CloneDrive

ciao, andreas

trailor 22.01.2009 10:10
Hallo, ich bin neu hier wegen demselben Problem. Wollte Schritt-für-Schritt nachmachen was John.doe hier erklärt, aber ich stecke fest, kenn mich leider nicht sonderlich gut aus.

Kurz zur vorgeschichte: hab gestern einen Trojaner resycled\ntldr.com mir eingefangen und konnte diesen sowie alle seine autorun.inf mittels Malwarebytes und AutorunEater entfernen.

Gut, dann hat soweit wieder alles Problemlos funktioniert, nur Internetverbindung nicht und updaten von Antivir und AdAware immer noch nicht, obwohl Skype zB funktionierte. Gut, hab dann PeerGuardian deinstalliert -> Internet geht wieder. Als dann auch noch der Update für Malwarebytes funktionierte dachte ich "uff, geschafft".

ABER: Heute funzt update von Antivir und AdAware immer noch nicht.

Habe nun GMER scannen lassen, und GMER hat ROOTKIT Acivity gefunden. Nur, was mach ich jetzt damit?
Was tu ich jetzt mitm Avenger?... Bitte um Hilfe, DANKE

Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-22 10:02:55
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                ZwCreateKey [0xF768087E]
SSDT            F7D436AC                                                                                          ZwCreateThread
SSDT            F7D43698                                                                                          ZwOpenProcess
SSDT            F7D4369D                                                                                          ZwOpenThread
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                ZwSetValueKey [0xF7680C10]
SSDT            F7D436A7                                                                                          ZwTerminateProcess
SSDT            F7D436A2                                                                                          ZwWriteVirtualMemory

Code            864DFE78                                                                                          ZwEnumerateKey
Code            864E0038                                                                                          ZwFlushInstructionCache
Code            864E0900                                                                                          ZwQueryValueKey
Code            F33FDC80                                                                                          pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                              805B528A 5 Bytes  JMP 864E003C
PAGE            ntkrnlpa.exe!ZwQueryValueKey                                                                      806201CA 5 Bytes  JMP 864E0904
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                                      80622950 5 Bytes  JMP 864DFE7C

---- Devices - GMER 1.0.14 ----

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                        Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                          fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.14 ----

Module          \systemroot\system32\drivers\gaopdxnwnfxixk.sys (*** hidden *** )                                F33FC000-F3424000 (163840 bytes)                                       

---- Services - GMER 1.0.14 ----

Service        C:\WINDOWS\system32\drivers\gaopdxnwnfxixk.sys (*** hidden *** )                                  [SYSTEM] gaopdxserv.sys                                                  <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys                                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start                                      1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type                                        1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath                                  \systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group                                      file system
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv                          \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                            \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys                                               
Reg            HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start                                          1
Reg            HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type                                            1
Reg            HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath                                      \systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg            HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group                                          file system
Reg            HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules                                       
Reg            HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv                              \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg            HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl                                \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@Class          0x6A 0xB1 0x00 0x19 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@Class          0x40 0x85 0x79 0x57 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@Class          0xBA 0x11 0x3A 0xAE ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@Class          0x67 0xA9 0xA5 0x6E ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@Class          0x0A 0x4F 0x73 0x49 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@Class          0x4C 0x7C 0x10 0x74 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@Class          0xFA 0x1B 0xC0 0x7B ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\gaopdxvx                                                                   
Reg            HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxrun                                                          71
Reg            HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpff                                                          8233
Reg            HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxaff                                                          3230
Reg            HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxsrv                                                          -1056770279
Reg            HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpos                                                          "xsrzu?n=efhded`ox<jammhkYWB

---- EOF - GMER 1.0.14 ----

Kann ich die 2 Übeltäter nicht einfach löschen??

Ralle008 23.02.2009 10:52
Sodele,
ich hab genau das selbe Problem wie viele vor mir.
Habe jetzt Gmer durchlaufen lassen und Angehängtes script rausbekommen.

http://rapidshare.com/files/201497414/Neu_Textdokument.txt.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131