browser stuerzt ab bei login Hallo, Ich sehe newdotnet in den Details, aber der Scanner von Symantec meldet, dass nichts gefunden wurde. Sobald ich im Browser auf einer Seite anmelden klicke, stürzt der Browser ab. Browser ist ff HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4 |
Hallo und :hallo: Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Malwarebytes-Log: (OTL folgt) Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4450 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 20.08.2010 05:48:15 mbam-log-2010-08-20 (05-48-15).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|) Durchsuchte Objekte: 245648 Laufzeit: 49 Minute(n), 55 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{B2DC5DFA-9486-4AB5-A579-D7FB9302C752}\RP363\A0104363.exe (Trojan.Zbot) -> No action taken. C:\System Volume Information\_restore{B2DC5DFA-9486-4AB5-A579-D7FB9302C752}\RP363\A0104364.exe (Trojan.Zbot) -> No action taken. C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9B6NEZLB\rehd[1].exe (Heuristics.Shuriken) -> No action taken. C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9B6NEZLB\rehf[1].exe (Heuristics.Shuriken) -> No action taken. C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9B6NEZLB\rehh[1].exe (Heuristics.Shuriken) -> No action taken. |
Sry, aber was ist mit dem format da passiert? Poste die Logsfiles bitte ohne sinnfreie Zeilenumbrüche. Am besten Du packst die Logs in eine ZIP Datei und hängst diese hier an. |
Hallo, weiß nicht, wie die Zeilenumbrüche reingekommen sind. Anbei ein gezipptes File mit OTL.txt und Extras.txt |
Ist rel. unauffällig. Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Combofix Logfile: Code: ComboFix 10-08-27.03 - xxxxx 28.08.2010 14:50:06.1.1 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
GMER Logfile: Code: GMER 1.0.15.15281 - hxxp://www.gmer.net |
OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.1.0.0 OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 99ed1954602173ef14b43a708afaa354 Size Device Name MBR Status -------------------------------------------- 93 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; |
Würdest Du bitte mal ZoneAlarm deinstallieren? Das Teil ist sinnfrei und kontraproduktiv. Nutze lieber die Windows-Firewall. Downloade Dir danach MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Zonealarm deinstalliert. Windows Firewall aktiviert. Welche Tools sollte man denn unbedingt installiert haben? Reichen die Windows-Tools denn? MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x000001fc Kernel Drivers (total 137): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x806EF000 \WINDOWS\system32\hal.dll 0xF7987000 \WINDOWS\system32\KDCOM.DLL 0xF7897000 \WINDOWS\system32\BOOTVID.dll 0xF75A7000 ACPI.sys 0xF7989000 \WINDOWS\System32\DRIVERS\WMILIB.SYS 0xF7596000 pci.sys 0xF75F7000 isapnp.sys 0xF7607000 ohci1394.sys 0xF7617000 \WINDOWS\System32\DRIVERS\1394BUS.SYS 0xF789B000 compbatt.sys 0xF789F000 \WINDOWS\System32\DRIVERS\BATTC.SYS 0xF7A4F000 pciide.sys 0xF7707000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS 0xF798B000 intelide.sys 0xF74D8000 pcmcia.sys 0xF7627000 MountMgr.sys 0xF74B9000 ftdisk.sys 0xF770F000 PartMgr.sys 0xF7717000 pavboot.sys 0xF7637000 VolSnap.sys 0xF74A1000 atapi.sys 0xF7647000 disk.sys 0xF7657000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS 0xF7481000 fltmgr.sys 0xF746F000 sr.sys 0xF7667000 Lbd.sys 0xF7677000 avgntmgr.sys 0xF771F000 PxHelp20.sys 0xF7860000 KSecDD.sys 0xF7B52000 Ntfs.sys 0xF7833000 NDIS.sys 0xF7AF3000 timntr.sys 0xF798D000 TVALG.SYS 0xF798F000 TVALD.SYS 0xF796C000 snapman.sys 0xF7952000 Mup.sys 0xF7687000 agp440.sys 0xB98C7000 \SystemRoot\System32\DRIVERS\nv4_mini.sys 0xB98B3000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS 0xF778F000 \SystemRoot\System32\DRIVERS\usbuhci.sys 0xB988F000 \SystemRoot\System32\DRIVERS\USBPORT.SYS 0xF7797000 \SystemRoot\System32\DRIVERS\usbehci.sys 0xB97ED000 \SystemRoot\System32\DRIVERS\w70n51.sys 0xF779F000 \SystemRoot\System32\DRIVERS\tsdhd.sys 0xF741F000 \SystemRoot\System32\DRIVERS\i8042prt.sys 0xBA778000 \SystemRoot\System32\DRIVERS\itchfltr.sys 0xF77A7000 \SystemRoot\System32\DRIVERS\kbdclass.sys 0xB97D5000 \SystemRoot\System32\DRIVERS\Apfiltr.sys 0xF77AF000 \SystemRoot\System32\DRIVERS\mouclass.sys 0xF740F000 \SystemRoot\System32\DRIVERS\smcirda.sys 0xBA770000 \SystemRoot\System32\DRIVERS\irenum.sys 0xB97C1000 \SystemRoot\System32\DRIVERS\parport.sys 0xF7887000 \SystemRoot\System32\DRIVERS\serial.sys 0xF77B7000 \SystemRoot\system32\drivers\actser.sys 0xBA768000 \SystemRoot\System32\DRIVERS\serenum.sys 0xF7877000 \SystemRoot\System32\DRIVERS\imapi.sys 0xF76B7000 \SystemRoot\System32\DRIVERS\cdrom.sys 0xBA159000 \SystemRoot\System32\DRIVERS\redbook.sys 0xB9776000 \SystemRoot\System32\DRIVERS\ks.sys 0xB96F7000 \SystemRoot\system32\drivers\smwdm.sys 0xB96D3000 \SystemRoot\system32\drivers\portcls.sys 0xBA149000 \SystemRoot\system32\drivers\drmk.sys 0xB96BB000 \SystemRoot\system32\drivers\aeaudio.sys 0xB95F5000 \SystemRoot\System32\DRIVERS\LTSM.sys 0xF77BF000 \SystemRoot\System32\Drivers\Modem.SYS 0xBA75C000 \SystemRoot\System32\DRIVERS\CmBatt.sys 0xBA139000 \SystemRoot\System32\DRIVERS\intelppm.sys 0xBA129000 \SystemRoot\System32\DRIVERS\vacs2xkd.sys 0xF7A77000 \SystemRoot\System32\DRIVERS\audstub.sys 0xF77C7000 \SystemRoot\System32\DRIVERS\rasirda.sys 0xF77CF000 \SystemRoot\System32\DRIVERS\TDI.SYS 0xBA119000 \SystemRoot\System32\DRIVERS\rasl2tp.sys 0xBA754000 \SystemRoot\System32\DRIVERS\ndistapi.sys 0xB95DE000 \SystemRoot\System32\DRIVERS\ndiswan.sys 0xBA109000 \SystemRoot\System32\DRIVERS\raspppoe.sys 0xBA0F9000 \SystemRoot\System32\DRIVERS\raspptp.sys 0xB95CD000 \SystemRoot\System32\DRIVERS\psched.sys 0xBA0E9000 \SystemRoot\System32\DRIVERS\msgpc.sys 0xF77D7000 \SystemRoot\System32\DRIVERS\ptilink.sys 0xF77DF000 \SystemRoot\System32\DRIVERS\raspti.sys 0xB954D000 \SystemRoot\System32\DRIVERS\rdpdr.sys 0xBA0D9000 \SystemRoot\System32\DRIVERS\termdd.sys 0xF799D000 \SystemRoot\System32\DRIVERS\swenum.sys 0xB9427000 \SystemRoot\System32\DRIVERS\update.sys 0xBA73C000 \SystemRoot\System32\DRIVERS\mssmbios.sys 0xB9413000 \SystemRoot\System32\DRIVERS\WscNetDr.sys 0xBA0C9000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF76C7000 \SystemRoot\System32\DRIVERS\usbhub.sys 0xF79A5000 \SystemRoot\System32\DRIVERS\USBD.SYS 0xF76F7000 \SystemRoot\SYSTEM32\DRIVERS\avgntdd.sys 0xF79A9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7AA2000 \SystemRoot\System32\Drivers\Null.SYS 0xF79AB000 \SystemRoot\System32\Drivers\Beep.SYS 0xF77FF000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS 0xF7807000 \SystemRoot\System32\drivers\vga.sys 0xF79AD000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF79AF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF780F000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF7817000 \SystemRoot\System32\Drivers\Npfs.SYS 0xBA780000 \SystemRoot\System32\DRIVERS\rasacd.sys 0xB83B8000 \SystemRoot\System32\DRIVERS\ipsec.sys 0xB835F000 \SystemRoot\System32\DRIVERS\tcpip.sys 0xB8337000 \SystemRoot\System32\DRIVERS\netbt.sys 0xB8315000 \SystemRoot\System32\drivers\afd.sys 0xF7586000 \SystemRoot\System32\DRIVERS\netbios.sys 0xF781F000 \SystemRoot\System32\Drivers\StarOpen.SYS 0xF79B1000 \SystemRoot\System32\Drivers\TMEI3E.SYS 0xB7856000 \SystemRoot\System32\DRIVERS\ipnat.sys 0xF7526000 \SystemRoot\System32\DRIVERS\wanarp.sys 0xB97A1000 \SystemRoot\System32\DRIVERS\hidusb.sys 0xF7516000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS 0xB782B000 \SystemRoot\System32\DRIVERS\rdbss.sys 0xB77BB000 \SystemRoot\System32\DRIVERS\mrxsmb.sys 0xF7506000 \SystemRoot\System32\Drivers\Fips.SYS 0xB9549000 \SystemRoot\System32\DRIVERS\mouhid.sys 0xB9505000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB3F5B000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF79E1000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xBA71C000 \SystemRoot\System32\drivers\Dxapi.sys 0xB9585000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xB7727000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xF77EF000 \SystemRoot\System32\DRIVERS\tifsfilt.sys 0xB18E4000 \SystemRoot\System32\DRIVERS\irda.sys 0xB1A2E000 \SystemRoot\System32\DRIVERS\ndisuio.sys 0xB174F000 \SystemRoot\System32\DRIVERS\mrxdav.sys 0xF79C7000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xF77F7000 \SystemRoot\System32\Drivers\Aspi32.SYS 0xB15E0000 \SystemRoot\System32\DRIVERS\srv.sys 0xB13EB000 \SystemRoot\system32\drivers\wdmaud.sys 0xB15B0000 \SystemRoot\system32\drivers\sysaudio.sys 0xB0ED4000 \SystemRoot\System32\Drivers\HTTP.sys 0xB0CD0000 \??\C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 42): 0 System Idle Process 4 System 1172 C:\WINDOWS\system32\smss.exe 1780 csrss.exe 1804 C:\WINDOWS\system32\winlogon.exe 1896 C:\WINDOWS\system32\services.exe 1908 C:\WINDOWS\system32\lsass.exe 380 C:\WINDOWS\system32\svchost.exe 504 svchost.exe 540 C:\WINDOWS\system32\svchost.exe 588 svchost.exe 680 svchost.exe 1068 C:\Programme\Lavasoft\Ad-Aware\AAWService.exe 268 C:\WINDOWS\system32\spoolsv.exe 1316 svchost.exe 1348 D:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe 1360 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe 1388 C:\Programme\AntiVir PersonalEdition Classic\sched.exe 1408 C:\Programme\AntiVir PersonalEdition Classic\avguard.exe 1496 C:\WINDOWS\system32\nvsvc32.exe 1568 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe 1612 C:\WINDOWS\system32\svchost.exe 1996 C:\Programme\TOSHIBA\TME3\TMESBS32.EXE 1032 C:\WINDOWS\explorer.exe 1628 C:\Programme\TOSHIBA\TME3\TMESRV31.EXE 2036 D:\Programme\McAfee Wireless Security\WscNetMgrSvc.exe 2192 D:\Programme\Logitech\iTouch\iTouch.exe 2408 D:\Programme\Spybot - Search & Destroy\TeaTimer.exe 2520 D:\Programme\Launchy\Launchy.exe 2552 D:\Programme\Trillian4\trillian.exe 2580 C:\Programme\YCIII\YankClip.exe 3348 C:\WINDOWS\system32\wscntfy.exe 3960 unsecapp.exe 736 alg.exe 956 wmiprvse.exe 3836 C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe 1048 D:\PROGRA~1\MOBILE~1\bin\DESPROXY.exe 696 D:\PROGRA~1\MOBILE~1\bin\SPHONE~1.EXE 3572 D:\Programme\Mozilla Thunderbird\thunderbird.exe 3704 D:\Programme\Mozilla Firefox\firefox.exe 3916 G:\Neu\MBRCheck.exe 2700 <unknown> \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000001`40251800 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000004`64ab6a00 (NTFS) \\.\F: --> \\.\PhysicalDrive0 at offset 0x00000016`49b46a00 (NTFS) \\.\G: --> \\.\PhysicalDrive0 at offset 0x00000014`693ec200 (NTFS) \\.\H: --> \\.\PhysicalDrive0 at offset 0x00000013`6953ae00 (NTFS) PhysicalDrive0 Model Number: SAMSUNGHM100JC, Rev: YN100-08 Size Device Name MBR Status -------------------------------------------- 93 GB \\.\PhysicalDrive0 Windows 98 MBR code detected SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E Done! |
Zitat:
Starte bitte MBRCheck.exe erneut. Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter bei
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop. Poste mir den Inhalt von beiden .txt Dokumenten |
Hallo, am Ende erhalte ich die Frage nicht, ob ich weitere Optionen einstellen möchte: Size Device Name MBR Status -------------------------------------------- 93 GB \\.\PhysicalDrive0 Windows 98 MBR code detected SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E Done! Press ENTER to exit... |
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:49 Uhr. |
Copyright ©2000-2024, Trojaner-Board