| irie1210 | 06.12.2009 14:25 |
TR/Downloader Gen + Bluescreen im abges. Modus
Hallo zusammen,
ich habe seit kurzer Zeit Probleme mit meinem Rechner. Anscheinend habe ich mir einen Virus eigefangen. Ich habe bereits den Thread "Trojaner entfernen (TR/Downloader.Gen, TR/Agent.job)" gelesen. Die dort beschriebene Lösung kann ich nicht durchführen, weil ich nicht in den abgesicherten Modus komme.
Hier was ich beobachte:
- Im normale Betrieb meldet der Antivir Guard etwa alle 10 Minute eine Fund: C:\Widows\Temp\****.tmp\svchost.exe
ist das trojanische Pferd TR/Downloader.Gen
(**** sind vier beliebige Buchstaben z.B. 'wkoi')
- wenn ich eine vollständige Systemprüfung mit Antivi mache schaltet sich der Computer nach etwa 10 min von alleine aus. Ein Scan der auf die Windows Systemverzeichnisse beschränkt ist läuft ohne Fund durch.
- Malwarebytes Anti Malware läuft ebenfalls ohne Fund durch
- wenn ich versuche im abgesicherten Modus zu starten kommt ein Bluesscreen. Im normalen Modus gab es noch keinen Bluescreen.
Zu meinem System:
- Sony Vaio VGN-CR 21s Laptop mit Windows XP SP3
- Hardware wurde noch nie geändert. System lief bis vor kurzem immer völlig normal
- Als Virenschutz habe ich nur den AntiVir Guard
Logs:
- HijackThis: Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:22:10, on 06.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Dropbox\bin\Dropbox.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe
C:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\M-Audio\Transit\Install\TUSBInst.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
c:\programme\avira\antivir desktop\avcenter.exe
c:\programme\avira\antivir desktop\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Matrox PowerDesk SE] "C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - Startup: Dropbox.lnk = C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Dropbox\bin\Dropbox.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - D:\Projekte\CAD\SolidWorks\SolidWorks\swScheduler\DTSCoordinatorService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Matrox Centering Service - Unknown owner - C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe
O23 - Service: NIHardwareService - Native Instruments GmbH - C:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: M-Audio Transit Installer (TransitInstallerService) - M-Audio - C:\Programme\M-Audio\Transit\Install\TUSBInst.exe
--
End of file - 3216 bytes
- Malwarebytes Anti-Malware Code:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3168
Windows 5.1.2600 Service Pack 3
06.12.2009 14:17:09
mbam-log-2009-12-06 (14-17-09).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 106426
Laufzeit: 3 minute(s), 14 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
-Antivir "Windows Systemverzeichnisse durchsuchen" Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 6. Dezember 2009 14:20
Es wird nach 1417505 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Admin
Computername : IRIEMOBIL
Versionsinformationen:
BUILD.DAT : 9.0.0.415 21609 Bytes 08.11.2009 09:55:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 21:56:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 21:56:22
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 21:56:22
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 21:56:22
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 21:56:22
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 21:56:22
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 21:56:22
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 21:56:22
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 21:56:22
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 21:56:22
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 21:56:22
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 21:56:22
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 21:56:22
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 21:56:22
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 21:55:45
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 15:41:53
VBASE015.VDF : 7.10.1.129 2048 Bytes 30.11.2009 15:41:53
VBASE016.VDF : 7.10.1.130 2048 Bytes 30.11.2009 15:41:54
VBASE017.VDF : 7.10.1.131 2048 Bytes 30.11.2009 15:41:54
VBASE018.VDF : 7.10.1.132 2048 Bytes 30.11.2009 15:41:54
VBASE019.VDF : 7.10.1.133 2048 Bytes 30.11.2009 15:41:54
VBASE020.VDF : 7.10.1.134 2048 Bytes 30.11.2009 15:41:54
VBASE021.VDF : 7.10.1.135 2048 Bytes 30.11.2009 15:41:54
VBASE022.VDF : 7.10.1.136 2048 Bytes 30.11.2009 15:41:54
VBASE023.VDF : 7.10.1.137 2048 Bytes 30.11.2009 15:41:54
VBASE024.VDF : 7.10.1.138 2048 Bytes 30.11.2009 15:41:54
VBASE025.VDF : 7.10.1.139 2048 Bytes 30.11.2009 15:41:54
VBASE026.VDF : 7.10.1.140 2048 Bytes 30.11.2009 15:41:54
VBASE027.VDF : 7.10.1.141 2048 Bytes 30.11.2009 15:41:54
VBASE028.VDF : 7.10.1.142 2048 Bytes 30.11.2009 15:41:54
VBASE029.VDF : 7.10.1.143 2048 Bytes 30.11.2009 15:41:54
VBASE030.VDF : 7.10.1.144 2048 Bytes 30.11.2009 15:41:54
VBASE031.VDF : 7.10.1.169 148992 Bytes 04.12.2009 17:56:43
Engineversion : 8.2.1.92
AEVDF.DLL : 8.1.1.2 106867 Bytes 01.10.2009 08:26:20
AESCRIPT.DLL : 8.1.2.45 586108 Bytes 17.11.2009 20:33:50
AESCN.DLL : 8.1.2.5 127346 Bytes 01.10.2009 08:26:11
AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 21:56:22
AERDL.DLL : 8.1.3.4 479605 Bytes 01.12.2009 15:41:57
AEPACK.DLL : 8.2.0.3 422261 Bytes 08.11.2009 03:50:01
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39
AEHEUR.DLL : 8.1.0.184 2146681 Bytes 01.12.2009 15:41:57
AEHELP.DLL : 8.1.7.5 237942 Bytes 25.11.2009 21:55:46
AEGEN.DLL : 8.1.1.78 364917 Bytes 25.11.2009 21:55:46
AEEMU.DLL : 8.1.1.0 393587 Bytes 05.10.2009 21:15:52
AECORE.DLL : 8.1.8.5 180598 Bytes 02.12.2009 15:41:57
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 02.10.2009 13:33:38
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 21:56:22
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Windows Systemverzeichnis
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysdir.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Sonntag, 6. Dezember 2009 14:20
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUSBInst.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NIHardwareService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Matrox.PowerDesk.Services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '42' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\WINDOWS\system32'
Ende des Suchlaufs: Sonntag, 6. Dezember 2009 14:21
Benötigte Zeit: 01:05 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
371 Verzeichnisse wurden überprüft
21513 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
21513 Dateien ohne Befall
30 Archive wurden durchsucht
0 Warnungen
0 Hinweise
Normalerweise würde ich einfach mein Backup eispielen. Leider muss ich bis Ende nächster Woche eine Studienarbeit fertig machen und bin zu sehr im Zeitdruck. Die Programme die ich dafür brauche sind natürlich dummerweise noch nicht im Image enthalten...
Vielen Dank schomal für eure Hilfe!
Gruß, Pascal | 