Trojaner-Board - Pc versagt / Virenverseucht?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Pc versagt / Virenverseucht? (https://www.trojaner-board.de/78813-pc-versagt-virenverseucht.html)

Zitat:

Zitat von Angel21 (Beitrag 476841)

was hast du denn so runtergeladen bei uTorrent?
Wenn du damit doch nichts machst, wieso ist es dann auf dem Rechner? :)

Weil mein Bruder das installiert hatte, warum weiss ich nicht. Es wurde aber Kein programm runtergeladen.. Und es wäre echt gut, wenn du mich nicht über sowas ausfragst.. Wenn ich sage ich lad nichts runter dann amch ich es auch nicht. Es wäre Nützlicher wenn du mir bezüglich des GMER Log helfen würdest!
Ich möchte wissen, ob GMER sagt mein pc ist sauber oder nicht!

PS: Blizzard hat mir neues Accountpassword zugeschickt und ich würde gerne wieder Spielen. Daher würde ich das mit gmer gern wissen

__
Spywareopfer

Gmer Log ist sauber.

Bezgl. WOW Account......spiele erstmal noch nicht......sondern warten wir noch nen Rootkit Scan ab.....will lieber zwei als eine Meinung.

Rootkitsuche mit SysProt

Lade dir SysProt auf den Desktop und starte das Tool
Gehe dort auf den Reiter "Log"
Setze nun einen Haken bei:
- Kernel Modules
- Kernel Hooks
- Hidden Files
- Und unten bei "Hidden Objects Only"
Drücke nun auf "Create Log"
Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
Wenn der Scan abgeschlossen ist, beende SysProt.
Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

Error: PAGE NOT FOUND

Unfortunately we cannot find the page that you are looking for. If you are trying to browse to your own homepage, the address should read like this :

http://homepages.slingshot.co.nz/~username

Make sure that the name of your default document is: index.html and that it exists in the /public_html directory.

FTP Details:

FTP Address: homepages.slingshot.co.nz
FTP Username: your slingshot username
FTP Password: your slingshot password

For further support with your user homepages, please call our helpdesk on 0800 89 2000

Ok, von woanders runtergeladen.. Ich krieg den Fehler wenn ich auf "Create Log" Klicke:

"Das Laufwerk ist nicht bereit. Die verriegelung könnte geöffnet sein. Stellen sie sicher, dass ein Datenträger in Laufwerk A: eingelegt ist und die Laufwerkverriegelung geschlossen ist" , wass soll ich tun?

Ich kenne Laufwerk A nicht!

sry wegen den Doppleposts..

Die meldung

Zitat:

"Das Laufwerk ist nicht bereit. Die verriegelung könnte geöffnet sein. Stellen sie sicher, dass ein Datenträger in Laufwerk A: eingelegt ist und die Laufwerkverriegelung geschlossen ist"

Aber trotzdem der Log. Das sind die Hidden Files:

Zitat:

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: sprk.sys
Service Name: ---
Module Base: F770D000
Module End: F780E000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\ag4qq3dx.SYS
Service Name: ---
Module Base: F6B30000
Module End: F6B68000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: F40D2000
Module End: F40EA000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS
Service Name: ---
Module Base: F7DC3000
Module End: F7DC5000
Hidden: Yes

Module Name: \??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys
Service Name: ---
Module Base: F7F79000
Module End: F7F7A000
Hidden: Yes

Module Name: \??\e:\MLL~1\vqaabafw.sys
Service Name: vqaabafw
Module Base: B6F6E000
Module End: B6F82000
Hidden: Yes

******************************************************************************************
******************************************************************************************

Hallo,

bitte nochmal ein RSIT Log, da ist noch etwas ich brauche Überblick über dein System.

Scan kommt, ist da noch ein keylogger laut SysProt?

hier die Info.txt:

http://www.fileuploadx.de/906999

hier die Log.txt:

http://www.fileuploadx.de/149457

Hallo,

überprüfe mal folgendes bei VirusTotal - Free Online Virus and Malware Scan

Zitat:

C:\WINDOWS\system32\drivers\a6w9oue6.sys
C:\WINDOWS\system32\drivers\ash63is6.sys
C:\WINDOWS\system32\drivers\TBPANEL.SYS
C:\WINDOWS\system32\drivers\Mkd2kfNt.sys
C:\WINDOWS\system32\drivers\Mkd2Nadr.sys
e:\MLL~1\CBQNCLTJXUS.exe
e:\MLL~1\VJZBYAGKSSWFCIKVG.exe

und stelle bitte alle Resultate hier herein in den Code Boxes.

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

files to delete: 

C:\WINDOWS\system32\drivers\EagleNT.sys
 

drivers to delete: 

EagleNT

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

also ersteinmal wurde die Datei C:\WINDOWS\system32\drivers\a6w9oue6.sys
nicht gefunden.

2. Fund bei C:\WINDOWS\system32\drivers\ash63is6.sys:

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.30 -
AhnLab-V3 5.0.0.2 2009.10.30 -
AntiVir 7.9.1.50 2009.10.30 -
Antiy-AVL 2.0.3.7 2009.10.30 -
Authentium 5.1.2.4 2009.10.30 -
Avast 4.8.1351.0 2009.10.29 -
AVG 8.5.0.423 2009.10.30 -
BitDefender 7.2 2009.10.30 -
CAT-QuickHeal 10.00 2009.10.30 -
ClamAV 0.94.1 2009.10.30 -
Comodo 2780 2009.10.30 -
DrWeb 5.0.0.12182 2009.10.30 -
eSafe 7.0.17.0 2009.10.29 Win32.Rootkit
eTrust-Vet 35.1.7093 2009.10.30 -
F-Prot 4.5.1.85 2009.10.30 -
F-Secure 9.0.15370.0 2009.10.30 -
Fortinet 3.120.0.0 2009.10.30 -
GData 19 2009.10.30 -
Ikarus T3.1.1.72.0 2009.10.30 -
Jiangmin 11.0.800 2009.10.30 -
K7AntiVirus 7.10.884 2009.10.30 -
Kaspersky 7.0.0.125 2009.10.30 -
McAfee 5786 2009.10.29 -
McAfee+Artemis 5786 2009.10.29 -
McAfee-GW-Edition 6.8.5 2009.10.30 -
Microsoft 1.5202 2009.10.30 -
NOD32 4558 2009.10.30 -
Norman 6.03.02 2009.10.30 -
nProtect 2009.1.8.0 2009.10.30 -
Panda 10.0.2.2 2009.10.30 -
PCTools 7.0.3.5 2009.10.30 -
Prevx 3.0 2009.10.30 -
Rising 21.53.43.00 2009.10.30 -
Sophos 4.47.0 2009.10.30 -
Sunbelt 3.2.1858.2 2009.10.30 -
Symantec 1.4.4.12 2009.10.30 -
TheHacker 6.5.0.2.056 2009.10.28 -
TrendMicro 8.950.0.1094 2009.10.30 -
VBA32 3.12.10.11 2009.10.29 -
ViRobot 2009.10.30.2013 2009.10.30 -
VirusBuster 4.6.5.0 2009.10.30 -

3. Datei C:\WINDOWS\system32\drivers\TBPANEL.SYS (Kein Fund:)

Zitat:

a-squared 4.5.0.24 2009.08.21 -
AhnLab-V3 5.0.0.2 2009.08.20 -
AntiVir 7.9.1.3 2009.08.21 -
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.20 -
Avast 4.8.1335.0 2009.08.20 -
AVG 8.5.0.406 2009.08.21 -
BitDefender 7.2 2009.08.21 -
CAT-QuickHeal 10.00 2009.08.21 -
ClamAV 0.94.1 2009.08.21 -
Comodo 2045 2009.08.21 -
DrWeb 5.0.0.12182 2009.08.21 -
eSafe 7.0.17.0 2009.08.20 -
eTrust-Vet 31.6.6693 2009.08.21 -
F-Prot 4.4.4.56 2009.08.20 -
F-Secure 8.0.14470.0 2009.08.21 -
Fortinet 3.120.0.0 2009.08.21 -
GData 19 2009.08.21 -
Ikarus T3.1.1.68.0 2009.08.21 -
Jiangmin 11.0.800 2009.08.21 -
K7AntiVirus 7.10.824 2009.08.21 -
Kaspersky 7.0.0.125 2009.08.21 -
McAfee 5715 2009.08.20 -
McAfee+Artemis 5715 2009.08.20 -
McAfee-GW-Edition 6.8.5 2009.08.21 -
Microsoft 1.4903 2009.08.21 -
NOD32 4355 2009.08.21 -
Norman 6.01.09 2009.08.20 -
nProtect 2009.1.8.0 2009.08.21 -
Panda 10.0.0.14 2009.08.21 -
PCTools 4.4.2.0 2009.08.21 -
Prevx 3.0 2009.08.21 -
Rising 21.43.44.00 2009.08.21 -
Sophos 4.44.0 2009.08.21 -
Sunbelt 3.2.1858.2 2009.08.21 -
Symantec 1.4.4.12 2009.08.21 -
TheHacker 6.3.4.3.384 2009.08.21 -
TrendMicro 8.950.0.1094 2009.08.21 -
VBA32 3.12.10.9 2009.08.20 -
ViRobot 2009.8.21.1895 2009.08.21 -
VirusBuster 4.6.5.0 2009.08.20 -

4. C:\WINDOWS\system32\drivers\Mkd2kfNt.sys (Kein Fund:)

Zitat:

a-squared 4.5.0.41 2009.10.16 -
AhnLab-V3 5.0.0.2 2009.10.16 -
AntiVir 7.9.1.35 2009.10.16 -
Antiy-AVL 2.0.3.7 2009.10.16 -
Authentium 5.1.2.4 2009.10.16 -
Avast 4.8.1351.0 2009.10.14 -
AVG 8.5.0.420 2009.10.16 -
BitDefender 7.2 2009.10.16 -
CAT-QuickHeal 10.00 2009.10.16 -
ClamAV 0.94.1 2009.10.16 -
Comodo 2623 2009.10.16 -
DrWeb 5.0.0.12182 2009.10.16 -
eSafe 7.0.17.0 2009.10.15 -
eTrust-Vet 35.1.7071 2009.10.16 -
F-Prot 4.5.1.85 2009.10.16 -
F-Secure 9.0.15300.0 2009.10.16 -
Fortinet 3.120.0.0 2009.10.16 -
GData 19 2009.10.16 -
Ikarus T3.1.1.72.0 2009.10.16 -
Jiangmin 11.0.800 2009.10.16 -
K7AntiVirus 7.10.872 2009.10.16 -
Kaspersky 7.0.0.125 2009.10.16 -
McAfee 5773 2009.10.16 -
McAfee+Artemis 5773 2009.10.16 -
McAfee-GW-Edition 6.8.5 2009.10.16 -
Microsoft 1.5101 2009.10.16 -
NOD32 4515 2009.10.16 -
Norman 6.03.02 2009.10.16 -
nProtect 2009.1.8.0 2009.10.15 -
Panda 10.0.2.2 2009.10.16 -
PCTools 4.4.2.0 2009.10.16 -
Prevx 3.0 2009.10.16 -
Rising 21.51.44.00 2009.10.16 -
Sophos 4.46.0 2009.10.16 -
Sunbelt 3.2.1858.2 2009.10.15 -
Symantec 1.4.4.12 2009.10.16 -
TheHacker 6.5.0.2.043 2009.10.15 -
TrendMicro 8.950.0.1094 2009.10.16 -
VBA32 3.12.10.11 2009.10.15 -
ViRobot 2009.10.16.1988 2009.10.16 -
VirusBuster 4.6.5.0 2009.10.16 -

5. Datei C:\WINDOWS\system32\drivers\Mkd2Nadr.sys(Kein Fund:)

Zitat:

a-squared 4.0.0.101 2009.05.21 -
AhnLab-V3 5.0.0.2 2009.05.21 -
AntiVir 7.9.0.168 2009.05.20 -
Antiy-AVL 2.0.3.1 2009.05.21 -
Authentium 5.1.2.4 2009.05.20 -
Avast 4.8.1335.0 2009.05.20 -
AVG 8.5.0.339 2009.05.21 -
BitDefender 7.2 2009.05.21 -
CAT-QuickHeal 10.00 2009.05.21 -
ClamAV 0.94.1 2009.05.21 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.20 -
eSafe 7.0.17.0 2009.05.19 -
eTrust-Vet 31.6.6514 2009.05.21 -
F-Prot 4.4.4.56 2009.05.20 -
F-Secure 8.0.14470.0 2009.05.20 -
Fortinet 3.117.0.0 2009.05.21 -
GData 19 2009.05.21 -
Ikarus T3.1.1.49.0 2009.05.21 -
K7AntiVirus 7.10.739 2009.05.19 -
Kaspersky 7.0.0.125 2009.05.21 -
McAfee 5621 2009.05.20 -
McAfee+Artemis 5621 2009.05.20 -
McAfee-GW-Edition 6.7.6 2009.05.21 -
Microsoft 1.4701 2009.05.21 -
NOD32 4092 2009.05.20 -
Norman 6.01.05 2009.05.20 -
nProtect 2009.1.8.0 2009.05.21 -
Panda 10.0.0.14 2009.05.20 -
PCTools 4.4.2.0 2009.05.20 -
Prevx 3.0 2009.05.21 -
Rising 21.30.20.00 2009.05.20 -
Sophos 4.41.0 2009.05.21 -
Sunbelt 3.2.1858.2 2009.05.20 -
Symantec 1.4.4.12 2009.05.21 -
TheHacker 6.3.4.1.328 2009.05.20 -
TrendMicro 8.950.0.1092 2009.05.21 -
VBA32 3.12.10.5 2009.05.21 -
ViRobot 2009.5.21.1744 2009.05.21 -
VirusBuster 4.6.5.0 2009.05.20 -

6. e:\MLL~1\CBQNCLTJXUS.exe (Kein Fund:)

Zitat:

a-squared 4.5.0.41 2009.10.18 -
AhnLab-V3 5.0.0.2 2009.10.17 -
AntiVir 7.9.1.35 2009.10.16 -
Antiy-AVL 2.0.3.7 2009.10.16 -
Authentium 5.1.2.4 2009.10.17 -
Avast 4.8.1351.0 2009.10.17 -
AVG 8.5.0.420 2009.10.18 -
BitDefender 7.2 2009.10.18 -
CAT-QuickHeal 10.00 2009.10.18 -
ClamAV 0.94.1 2009.10.17 -
Comodo 2646 2009.10.18 -
DrWeb 5.0.0.12182 2009.10.18 -
eSafe 7.0.17.0 2009.10.15 -
eTrust-Vet 35.1.7072 2009.10.16 -
F-Prot 4.5.1.85 2009.10.17 -
F-Secure 9.0.15300.0 2009.10.16 -
Fortinet 3.120.0.0 2009.10.16 -
GData 19 2009.10.18 -
Ikarus T3.1.1.72.0 2009.10.18 -
Jiangmin 11.0.800 2009.10.18 -
K7AntiVirus 7.10.872 2009.10.16 -
Kaspersky 7.0.0.125 2009.10.18 -
McAfee 5775 2009.10.18 -
McAfee+Artemis 5775 2009.10.18 -
McAfee-GW-Edition 6.8.5 2009.10.18 -
Microsoft 1.5101 2009.10.18 -
NOD32 4519 2009.10.18 -
Norman 6.03.02 2009.10.17 -
nProtect 2009.1.8.0 2009.10.18 -
Panda 10.0.2.2 2009.10.18 -
PCTools 4.4.2.0 2009.10.18 -
Prevx 3.0 2009.10.18 -
Rising 21.51.62.00 2009.10.18 -
Sophos 4.46.0 2009.10.18 -
Sunbelt 3.2.1858.2 2009.10.17 -
Symantec 1.4.4.12 2009.10.18 -
TheHacker 6.5.0.2.045 2009.10.17 -
TrendMicro 8.950.0.1094 2009.10.18 -
VBA32 3.12.10.11 2009.10.16 -
ViRobot 2009.10.17.1990 2009.10.17 -
VirusBuster 4.6.5.0 2009.10.18 -

7. Datei e:\MLL~1\VJZBYAGKSSWFCIKVG.exe konnte nicht gefunden werden.

8. Was ist mit der anleitung die du da geschrieben hast??? was soll ich damit machen? jetzt schon runterladen und machen oder warten bis du was gesagt hast xD? Ich warte mal

Zitat:

Was ist mit der anleitung die du da geschrieben hast??? was soll ich damit machen? jetzt schon runterladen und machen oder warten bis du was gesagt hast xD? Ich warte mal

Avenger bitte einmal ausführen xDD

Nimm das Script aus der Box raus und füge es in das Avenger ein.
Direkt ins weiße Feld unter "Input Script here"
Dann auf Execute.
Der PC wird neustarten.
Stelle bei der Prozedur bitte dein Hintergrundwächter deiner Antivirensoftware aus.

ok hab ich, und was hat das gebracht???

ok dein Log:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\drivers\EagleNT.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\EagleNT.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "EagleNT" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ps: Der PC hat neugestartet, ich hab PW eingegeben und der hat nochmal neu gestartet, warum weiss ich nicht, deswegen steht da auch "Not Found" nehme ich an..