Trojaner-Board
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   tr/sirefef.bv.2 Befall (https://www.trojaner-board.de/111814-tr-sirefef-bv-2-befall.html)

Juker 10.04.2012 13:41
Ein (32) Windows Vista Home System

Psychotic 10.04.2012 13:52
Schritt 1: defogger


Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
  • Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.


Schritt 2: DDS


Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
  • Schließe alle laufenden Programme.
  • Starte DDS mit Doppelklick.
  • Es wird 2 Logfiles erstellen.
    • dds.txt
    • attach.txt
  • Speichere beide Logfiles auf deinem Desktop
  • Poste beide Logfiles hier.



Schritt 3: GMER


Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Juker 10.04.2012 15:42
Vorweg kurz, kann ich mit dem anderen Computer nun wieder Online-Banking und Online-Einkäufe tätigen?

defogger:

Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:32 on 10/04/2012 (Allgemein)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

DDS:
[CODE].DDS Logfile:DDS Logfile:
Code:
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421
Run by Allgemein at 15:32:59 on 2012-04-10
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.49.1031.18.3197.2048 [GMT 2:00]
.
AV: Avira Desktop *Enabled/Outdated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Outdated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
D:\Software\Avira\AntiVir Desktop\avguard.exe
D:\Software\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
D:\Software\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\PLFSetI.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
D:\Software\Avira\AntiVir Desktop\avgnt.exe
C:\Users\ALLGEM~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Acer\Empowering Technology\NotificationCenter\Framework.NotificationCenter.exe
C:\Windows\System32\wsqmcons.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0412&m=aspire_6530g
uDefault_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0412&m=aspire_6530g
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0412&m=aspire_6530g
mDefault_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0412&m=aspire_6530g
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: ShowBarObj Class: {83a2f9b1-01a2-4aa5-87d1-45b6b8505e96} - c:\program files\acer\empowering technology\edatasecurity\x86\ActiveToolBand.dll
BHO: Partner BHO Class: {83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} - c:\programdata\partner\partner.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\google toolbar\GoogleToolbar_32.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program files\google\googletoolbarnotifier\5.2.4204.1700\swg.dll
BHO: Google Dictionary Compression sdch: {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - c:\program files\google\google toolbar\component\fastsearch_B7C5AC242193BB3E.dll
TB: Acer eDataSecurity Management: {5cbe3b7c-1e47-477e-a7dd-396db0476e29} - c:\program files\acer\empowering technology\edatasecurity\x86\eDStoolbar.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\google toolbar\GoogleToolbar_32.dll
uRun: [ProductReg] "c:\program files\acer\wr_popup\ProductReg.exe"
mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
mRun: [RtHDVCpl] RtHDVCpl.exe
mRun: [Google Desktop Search] "c:\program files\google\google desktop search\GoogleDesktop.exe" /startup
mRun: [ePower_DMC] c:\program files\acer\empowering technology\epower\ePower_DMC.exe
mRun: [eDataSecurity Loader] c:\program files\acer\empowering technology\edatasecurity\x86\eDSloader.exe
mRun: [eAudio] "c:\program files\acer\empowering technology\eaudio\eAudio.exe"
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [Skytel] Skytel.exe
mRun: [SynTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe
mRun: [PLFSetI] c:\windows\PLFSetI.exe
mRun: [LManager] c:\progra~1\launch~1\QtZgAcer.EXE
mRun: [eRecoveryService]
mRun: [avgnt] "d:\software\avira\antivir desktop\avgnt.exe" /min
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{393756DE-4BB7-4A1B-B8A1-526F8B4239EB} : DhcpNameServer = 192.168.178.1
AppInit_DLLs: c:\progra~1\google\google~1\GOEC62~1.DLL
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\allgemein\appdata\roaming\mozilla\firefox\profiles\wb4ni2t9.default\
FF - prefs.js: network.proxy.type - 0
.
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-4-4 36000]
R2 AntiVirSchedulerService;Avira Planer;d:\software\avira\antivir desktop\sched.exe [2012-4-4 86224]
R2 AntiVirService;Avira Echtzeit Scanner;d:\software\avira\antivir desktop\avguard.exe [2012-4-4 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2012-4-4 74640]
R2 ETService;Empowering Technology Service;c:\program files\acer\empowering technology\service\ETService.exe [2009-1-15 24576]
R2 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504]
R2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\newtech infosystems\nti backup now 5\SchedulerSvc.exe [2008-9-23 144632]
R3 usbfilter;AMD USB Filter Driver;c:\windows\system32\drivers\usbfilter.sys [2009-1-15 22072]
R3 winbondcir;Winbond IR Transceiver;c:\windows\system32\drivers\winbondcir.sys [2007-3-28 43008]
S3 GoogleDesktopManager-092308-165331;Google Desktop Manager 5.8.809.23506;c:\program files\google\google desktop search\GoogleDesktop.exe [2009-1-15 30192]
S3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\newtech infosystems\nti backup now 5\BackupSvc.exe [2008-9-23 50424]
S3 Partner Service;Partner Service;c:\programdata\partner\partner.exe [2012-4-4 110576]
.
=============== Created Last 30 ================
.
2012-04-10 09:15:02        --------        d-----w-        c:\program files\Windows Portable Devices
2012-04-08 21:34:19        --------        d-----w-        c:\program files\ESET
2012-04-08 21:30:59        876032        ----a-w-        c:\windows\system32\XpsPrint.dll
2012-04-08 21:30:58        1068544        ----a-w-        c:\windows\system32\DWrite.dll
2012-04-08 21:30:57        683008        ----a-w-        c:\windows\system32\d2d1.dll
2012-04-08 21:30:57        219648        ----a-w-        c:\windows\system32\d3d10_1core.dll
2012-04-08 21:30:57        160768        ----a-w-        c:\windows\system32\d3d10_1.dll
2012-04-08 21:30:57        1172480        ----a-w-        c:\windows\system32\d3d10warp.dll
2012-04-08 21:17:59        1181696        ----a-w-        c:\windows\system32\WsmSvc.dll
2012-04-07 14:06:46        98816        ----a-w-        c:\windows\system32\mfps.dll
2012-04-07 14:02:30        99176        ----a-w-        c:\windows\system32\PresentationHostProxy.dll
2012-04-07 14:02:30        49472        ----a-w-        c:\windows\system32\netfxperf.dll
2012-04-07 14:02:30        297808        ----a-w-        c:\windows\system32\mscoree.dll
2012-04-07 14:02:30        295264        ----a-w-        c:\windows\system32\PresentationHost.exe
2012-04-07 14:02:30        1130824        ----a-w-        c:\windows\system32\dfshim.dll
2012-04-07 14:00:25        293376        ----a-w-        c:\windows\system32\browserchoice.exe
2012-04-07 13:56:26        24064        ----a-w-        c:\windows\system32\nshhttp.dll
2012-04-07 13:56:24        411648        ----a-w-        c:\windows\system32\drivers\http.sys
2012-04-07 13:56:24        30720        ----a-w-        c:\windows\system32\httpapi.dll
2012-04-06 19:39:50        105984        ----a-w-        c:\windows\system32\netiohlp.dll
2012-04-06 19:37:57        160256        ----a-w-        c:\windows\system32\wkssvc.dll
2012-04-06 19:36:49        36864        ----a-w-        c:\windows\system32\rtutils.dll
2012-04-06 19:35:56        30720        ----a-w-        c:\windows\system32\drivers\tcpipreg.sys
2012-04-06 19:34:57        2048        ----a-w-        c:\windows\system32\tzres.dll
2012-04-06 19:33:54        531968        ----a-w-        c:\windows\system32\comctl32.dll
2012-04-06 19:09:08        172032        ----a-w-        c:\windows\system32\wintrust.dll
2012-04-04 19:51:53        --------        d-----w-        c:\users\allgemein\appdata\roaming\Avira
2012-04-04 19:50:29        98304        ----a-w-        c:\windows\system32\cabview.dll
2012-04-04 19:50:17        613376        ----a-w-        c:\windows\system32\rdpencom.dll
2012-04-04 19:50:17        180736        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
2012-04-04 19:46:17        74640        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2012-04-04 19:46:17        36000        ----a-w-        c:\windows\system32\drivers\avkmgr.sys
2012-04-04 19:46:16        --------        d-----w-        c:\programdata\Avira
2012-04-04 19:22:28        --------        d-----w-        c:\windows\system32\eu-ES
2012-04-04 19:22:28        --------        d-----w-        c:\windows\system32\ca-ES
2012-04-04 19:22:26        --------        d-----w-        c:\windows\system32\vi-VN
2012-04-04 19:22:02        --------        d-----w-        c:\users\allgemein\appdata\local\Mozilla
2012-04-04 19:17:01        --------        d-----w-        c:\windows\system32\SPReview
2012-04-04 19:04:32        928768        ----a-w-        c:\windows\system32\scavenge.dll
2012-04-04 19:04:17        57856        ----a-w-        c:\windows\system32\compcln.exe
2012-04-04 19:02:57        93696        ----a-w-        c:\windows\system32\eappgnui.dll
2012-04-04 18:59:28        --------        d-----w-        c:\windows\system32\EventProviders
2012-04-04 18:57:41        2421760        ----a-w-        c:\windows\system32\wucltux.dll
2012-04-04 18:57:29        87552        ----a-w-        c:\windows\system32\wudriver.dll
2012-04-04 18:57:20        33792        ----a-w-        c:\windows\system32\wuapp.exe
2012-04-04 18:57:20        171608        ----a-w-        c:\windows\system32\wuwebv.dll
2012-04-04 15:21:15        36909056        ----a-w-        c:\windows\system32\acer.scr
2012-04-04 15:21:15        14033923        ----a-w-        c:\windows\system32\acer.exe
2012-04-04 15:21:12        --------        d-----w-        c:\program files\Acer Incorporated
2012-04-04 15:20:58        --------        d-----w-        c:\windows\ACER
2012-04-04 15:19:08        44544        ----a-w-        c:\windows\system32\msxml4a.dll
2012-04-04 15:11:02        --------        d-----w-        C:\CLSetup
2012-04-04 14:55:14        --------        d-----w-        c:\program files\Acer Inc
2012-04-04 14:53:49        --------        d-----w-        c:\program files\Launch Manager
2012-04-04 14:53:23        626688        ----a-w-        c:\windows\Image.dll
2012-04-04 14:53:23        4838        ----a-w-        c:\windows\Suyin.reg
2012-04-04 14:53:23        262144        ----a-w-        c:\windows\Acer Crystal Eye webcam.EXE
2012-04-04 14:53:23        200704        ----a-w-        c:\windows\PLFSetI.exe
2012-04-04 14:52:41        --------        d-----w-        c:\program files\Synaptics
2012-04-04 14:52:11        --------        d-----w-        c:\users\allgemein\appdata\local\Google
2012-04-04 14:51:44        --------        d-----w-        c:\users\allgemein\appdata\local\ATI
2012-04-04 14:51:02        --------        d-sh--w-        C:\$RECYCLE.BIN
2012-04-04 14:50:12        --------        d-----w-        c:\users\allgemein\appdata\local\VirtualStore
2012-04-04 14:49:16        --------        d-----w-        c:\programdata\Partner
2012-04-04 14:43:23        --------        d-sh--we        C:\Programme
2012-04-04 14:43:23        --------        d-sh--we        c:\programdata\Vorlagen
2012-04-04 14:43:23        --------        d-sh--we        c:\programdata\Startmenü
2012-04-04 14:43:23        --------        d-sh--we        c:\programdata\Favoriten
2012-04-04 14:43:23        --------        d-sh--we        c:\programdata\Dokumente
2012-04-04 14:43:23        --------        d-sh--we        c:\programdata\Anwendungsdaten
2012-04-04 14:43:23        --------        d-sh--we        c:\program files\Gemeinsame Dateien
2012-04-04 14:43:23        --------        d-sh--we        C:\Dokumente und Einstellungen
2012-04-04 14:26:09        965664        ----a-w-        c:\windows\system32\RHDMIExt.dll
2012-04-04 14:26:09        2510368        ----a-w-        c:\windows\system32\RtkHDMI.dll
2012-04-04 14:26:09        155808        ----a-w-        c:\windows\system32\drivers\RtHDMIV.sys
2012-04-04 14:22:54        --------        d-----w-        c:\program files\ATI Technologies
2012-04-04 14:22:41        0        ----a-w-        c:\windows\ativpsrm.bin
2012-04-04 14:22:06        --------        d-----w-        c:\program files\ATI
.
==================== Find3M  ====================
.
2012-04-07 14:06:46        979456        ----a-w-        c:\windows\system32\MFH264Dec.dll
2012-04-04 14:26:10        319456        ----a-w-        c:\windows\DIFxAPI.dll
2012-02-02 15:16:25        2044416        ----a-w-        c:\windows\system32\win32k.sys
.
============= FINISH: 15:33:48,35 ===============
--- --- ---




Attach:
Code:
.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft® Windows Vista™ Home Premium
Boot Device: \Device\HarddiskVolume2
Install Date: 04.04.2012 16:28:58
System Uptime: 10.04.2012 15:16:56 (0 hours ago)
.
Motherboard: Acer, Inc. |  | Mantasta       
Processor: AMD Turion(tm) X2 Dual-Core Mobile RM-72 | Socket S1G2 | 1050/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 63 GiB total, 34,493 GiB free.
D: is FIXED (NTFS) - 219 GiB total, 218,756 GiB free.
E: is CDROM ()
F: is FIXED (FAT32) - 931 GiB total, 856,014 GiB free.
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
RP135: 04.04.2012 20:57:09 - Windows Update
RP134: 04.04.2012 21:00:38 - Windows Vista™ Service Pack 2
RP136: 06.04.2012 21:08:56 - Windows Update
RP137: 07.04.2012 11:21:50 - Windows Update
RP138: 08.04.2012 23:17:31 - Windows Update
RP139: 09.04.2012 22:29:16 - Windows Update
RP140: 10.04.2012 11:22:19 - Windows Update
.
==== Installed Programs ======================
.
2007 Microsoft Office Suite Service Pack 1 (SP1)
Acer Crystal Eye Webcam 2.0.8.3
Acer eAudio Management
Acer eDataSecurity Management
Acer Empowering Technology
Acer ePower Management
Acer eRecovery Management
Acer eSettings Management
Acer GridVista
Acer Mobility Center Plug-In
Acer Product Registration
Acer ScreenSaver
Adobe Flash Player ActiveX
Adobe Reader 9 - Deutsch
Agere Systems HDA Modem
AMD USB Audio Driver Filter
Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver
ATI Catalyst Install Manager
Avira Free Antivirus
Catalyst Control Center - Branding
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Localization Czech
Catalyst Control Center Localization Danish
ccc-core-static
CCC Help Chinese Standard
CCC Help Chinese Traditional
CCC Help Czech
CCC Help Danish
CCC Help Dutch
CCC Help English
CCC Help Finnish
CCC Help French
CCC Help German
CCC Help Greek
CCC Help Hungarian
CCC Help Italian
CCC Help Japanese
CCC Help Korean
CCC Help Norwegian
CCC Help Polish
CCC Help Portuguese
CCC Help Russian
CCC Help Spanish
CCC Help Swedish
CCC Help Thai
CCC Help Turkish
ESET Online Scanner v3
Google Desktop
Google Toolbar for Internet Explorer
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Launch Manager
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Application Error Reporting
Microsoft Office Excel MUI (German) 2007
Microsoft Office Home and Student 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Suite Activation Assistant
Microsoft Office Word MUI (German) 2007
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
Microsoft Works
Mozilla Firefox 11.0 (x86 de)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
NTI Backup Now 5
NTI Backup Now Standard
NTI Media Maker 8
Realtek High Definition Audio Driver
Realtek USB 2.0 Card Reader
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473)
Synaptics Pointing Device Driver
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update for Office 2007 (KB946691)
Winbond CIR Device Drivers
.
==== End Of File ===========================


GMER:

Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-04-10 16:31:55
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\0000005d ST932032 rev.0303
Running: cyssmhql.exe; Driver: C:\Users\ALLGEM~1\AppData\Local\Temp\fgtdapow.sys


---- System - GMER 1.0.15 ----

SSDT            8EC31396                                                                    ZwCreateSection
SSDT            8EC313A0                                                                    ZwRequestWaitReplyPort
SSDT            8EC3139B                                                                    ZwSetContextThread
SSDT            8EC313A5                                                                    ZwSetSecurityObject
SSDT            8EC313AA                                                                    ZwSystemDebugControl
SSDT            8EC31337                                                                    ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!KeSetEvent + 215                                              822AE998 4 Bytes  [96, 13, C3, 8E]
.text          ntkrnlpa.exe!KeSetEvent + 539                                              822AECBC 4 Bytes  [A0, 13, C3, 8E]
.text          ntkrnlpa.exe!KeSetEvent + 56D                                              822AECF0 4 Bytes  [9B, 13, C3, 8E]
.text          ntkrnlpa.exe!KeSetEvent + 5D1                                              822AED54 4 Bytes  [A5, 13, C3, 8E]
.text          ntkrnlpa.exe!KeSetEvent + 619                                              822AED9C 4 Bytes  [AA, 13, C3, 8E]
.text          ...                                                                       
.text          C:\Windows\system32\DRIVERS\atikmdag.sys                                    section is writeable [0x8E204000, 0x23100A, 0xE8000020]
?              C:\Users\ALLGEM~1\AppData\Local\Temp\mbr.sys                                Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text          C:\Windows\Explorer.EXE[3468] SHELL32.dll!SHGetFolderPathAndSubDirW + 81C5  7604B37C 4 Bytes  [00, 26, 00, 10] {ADD [ESI], AH; ADD [EAX], DL}
.text          C:\Windows\Explorer.EXE[3468] SHELL32.dll!ShellExecuteExW + 18B7            7607DA0C 4 Bytes  [10, 1B, 00, 10] {ADC [EBX], BL; ADD [EAX], DL}

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                    Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                    Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                    fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Psychotic 10.04.2012 23:05
Kannst du mit beiden machen - aktualisiere auf dem zweiten Rechner noch den

Adobe Reader


Dein Adobe Reader ist veraltet. Da einige Schädlinge die Schwachstellen in veralteten Versionen nutzen, werden wir sie aktualisieren.

  • Lade dir den aktuellen Adobe Reader von hier herunter. Wichtig: Entferne den Haken für optionale Software (z.B. Google Chrome), der auf der Seite angezeigt wird, bevor du auf "Jetzt herunterladen" klickst.
  • Starte die Installation und folge den Anweisungen auf dem Bildschirm.
  • Drücke die Windows- und die R-Taste, gib im folgenden Fenster appwiz.cpl ein und klicke auf OK.
  • Suche und entferne alle älteren Reader-Versionen.


Ansonsten sind wir durch - logfiles sind clean! :daumenhoc

Meine abschließenden Tips gelten natürlich auch für den jetzigen Rechner!

Danke fürs mitarbeiten! :abklatsch:

Juker 10.04.2012 23:36
Wurde denn auch die externe Festplatte durchsucht, wo die abgesicherten Datein drauf waren?
Soll ich denn den Adobe Reader benutzen? Hatte hier mal gelesen, dass dieser sehr unsicher ist und man lieber auf alternative Programme ausweichen soll.

Ansonst::daumenhoc
Super, vielen Dank an dich, find ich echt klasse, dass du mir so bereitwillig geholfen hast. Gibt es denn eine Möglichkeit das Forum mit ein paar Euronen zu unterstützen, damit weiterhin so großartig geholfen werden kann :)

Psychotic 10.04.2012 23:52
Wenn die externe, wie von mir angewiesen, beim vollständigen Scan des ANDEREN Rechners angeschlossen war, dann ja! ;)

Wenn du dir unsicher bist, können wir das auch gerne noch einmal nachholen!

Spenden sind sehr wichtig - sie erhalten uns am Leben und sorgen dafür, dass auch anderen Usern zuverlässig geholfen werden kann!

Hier findest du einige Möglichkeiten! :daumenhoc

Juker 11.04.2012 12:59
Sie war eigentlich angeschlossen aber bei welchem Scan wurde sie denn überprüft? Die haben doch alle nur die windows partition gecheckt oder?
Welche programm soll ich denn benutzen um die externe zu überprüfen? Wäre ja schade um die ganze arbeit, wenn doch irgendwie nicht geklappt hat:)

Psychotic 11.04.2012 21:47
Bevor wir jetzt noch lange rum tun:

Schließe alle externen Speichermedien an den zu prüfenden Computer an und vergewissere dich, dass sie eingeschaltet sind!


Schritt 1: MBAM


Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen.(Hinweis: Alle Festplatten anhaken!
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.


Schritt 2: ESET




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Juker 12.04.2012 11:20
Beides ergab keine Funde, denke damit ist die Sache geklärt.

Danke nochmals:daumenhoc

Psychotic 12.04.2012 12:19
Zitat:
Zitat von Juker (Beitrag 813038)
Beides ergab keine Funde, denke damit ist die Sache geklärt.

Danke nochmals:daumenhoc
exakt, die hatten wir nämlich schon geprüft, als sie am anderen Rechner angeschlossen war! ;)

Psychotic 12.04.2012 12:20
Schön, dass wir helfen konnten! :abklatsch:


Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:27 Uhr.
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131