Einstellungen lassen sich nciht mehr ändern, div. webseiten lassen sich nicht öffnen Falls diese Problem schon mal hier gelöst wurde möchte ich mich schon mal im voraus dafür entschuldigen das ich es nicht gefunden habe. Ich kann die Internetoptionen und Ordneroptionen nicht verändern. Desweiteren kann ich auf diverse Antiviren Webseiten sowie die Microsoft Seite nicht zugreifen. Zu erst dachte ich das es sich um dieses TDSSSERV handelt aber ich konnte in der Registry nichts finden. Systeminformationen lassen sich nicht über msinfo32 zusammenstellen. Zitat:
|
Halli hallo Drakath :hallo: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Überprüfe den Rechner danach mit SuperAntiSpyware und Anti-Malware und poste die logs. Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
|
Windows Updates so wie die meisten Antivirenprogramme lassen sich nicht upgraden, da sie keine Verbindung zum jeweiligen Sever bekommen. Internet und Ordneroptionen lassen sich nicht dauer haft verändern, nach dem eine Änderung vorgenommen und diese bestätige wurde (egal ob OK oder Übernehmen) setzt sich die Einstellung weider zurück. Nach dem ComboFix durch gelaufen ist bekomme ich die Meldung(schlisst sich schnell weider) das ComboFix mit meinem Betriebssystem inkompatibel ist. |
Da ich das selbe Problem auch auf meinem anderen Rechner habe poste ich jetzt die Ergebnisse von diesem auf dem Laptop läuft ComboFix ja nicht. Zitat:
|
Poste bitte pro Thread immer nur die logs von einem PC. Eröffne also für deinen PC einen eigenen Thread. PS: Die beiden sollte übrigens während der Bereinigung keinen Kontakt zueinander haben! Hier geht es nun also wieter um deinen Lappi: GMER - Rootkit Detection
|
Ok die beiden Rechner sind eh nicht zusamen im Netz da ich nur ein Kabel habe. Zitat:
|
Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus. Poste das log! Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop. Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig. Dann führe die mbr.bat. durch einen Doppelklick aus. Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden! Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log! Lade dir den Avenger herunter. Wechsel danach in den abgesicherten Modus. So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop
Code: Files to delete:
Danach: Start -> ausführen -> cmd (reinschreiben) -> OK Es öffnet sich ein DOS-Fenster -> sc queryex > C:\services.txt (reinschreiben) Inhalt von C:\services.txt hier posten. |
Ich habe das noch nen 2tes mal durch laufen lassen aber da waren dann immer noch 3 Fehler dabei ist das jetzt schlimm, das ich das noch nen 2tes mal gemacht habe? Zitat:
|
Hier der Rest noch. Zitat:
|
Du hast was bei Avenger falsch gemacht. Und wo ist das MBR log? Poste bitte zu erst das MBR log. Danach geht's so weiter: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop
Code: Files to delete:
|
Was hat bei MBR die Letzte Zeile zu bedeuten? Zitat:
Zitat:
|
hatte bis vor kurzem ein ähnliches (das gleiche?) problem. was passiert bei dir, wenn du versuchst auf windowsupdate.microsoft.com zu gehen? wenn er das blockt oder du ganz woanders landest, hast du höchstwahrscheinlich nen zlob dns changer auf deinem system. bzw. zumindest hat er deine dns server adressen im bs und/oder deinem router manipuliert. |
Da stand,Adresse nicht Gefunden. Der Server unter "www.microsoft.com" konnte nicht gefunden werden. Aber im Moment scheint das wieder zu gehen. |
biste mit nem router im netz? |
Ja, D-Link DI-624+. |
dann tippe in den browser die ip: 192.168.1.1 gib dein pass und code für den router ein. evtl. immer noch admin / admin ? damit kommst du in dein router setup. ändere zuallererst das passwort!!! dann such nach den dns-server adressen. ist hier eine ip 82.255.x.x am start??? dann war das das problem. ändere sie auf einen dir genehmen dns server: http://provider-stoerung.de/blog/ubersicht-dns-server dan lass Malwarebytes' Anti-Malware drüberlaufen. neustarten... |
Da stand bei beiden 0.0.0.0 drin, aber das PW habe ich trotzdem geändert. |
okay, trag jetzt dns-server deiner wahl anstelle von 0.0.0.0 ein: http://provider-stoerung.de/blog/ubersicht-dns-server mache dann folgendes: Start -> Ausführen -> cmd ipconfig /all welche ip spuckt er aus für: standardgateway, dhcp- und dns-server? |
Standardgateway 192.168.0.1 DNS-Server 192.168.0.1 DHCP ist nicht an, bzw ich habe meinem PC ne feste IP im LAN gegeben. |
cool! kriegste denn jetzt die div. seiten geöffnet? vor allem: windowsupdate.microsoft.com ? wenn ja, dann lass nochmal div. scanner drüberflitzen: Malwarebytes' Anti-Malware, CCleaner etc.. |
Ja geht, aber das ging vorhin auch schon nach dem ich die mznsjciv.dll gelöscht hatte. Trotzdem Danke für die Hilfe. |
Hallöle. Start -> ausführen -> cmd Dort eingeben: Zitat:
Danach lasse Combofix und Anti-Malware laufen und poste die logs. |
Ich habe den Norman Conficker Cleaner durchlaufen lassen nach dem mir Malwarebytes' Anti-Malware gesagt hat das ich auf einem USB Stick Conficker habe. Ich denke das Problem sollte jetzt gelöst sein. Hier noch mal nen aktueller Log. ComboFix läuft immer noch nicht auf dem Laptop. Zitat:
Zitat:
|
Lösche bitte über regedit folgende Einträge: Zitat:
|
HKLM\SYSTEM\ControlSet002\Services\iriye -> Geht nicht zulöschen HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\ -> lässt sich nicht öffnen HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4 -> kann den Wert nicht finden da stehen andere drin. Alle drei Logs sind vom Selben USB Stick. Zitat:
Zitat:
Zitat:
|
So jetzt gehe ich aber dochmal dazwischen. Wie kann man ein Rootkit mit regedit behandeln wollen? Und Key und Value sind auch zwei verschiedene Sachen. Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code: Drivers to delete:
Poste anschliessend ein aktuelles Gmer- und ComboFix-Log. ciao, andreas |
Hier die Logs, den Log von Norman Malware Cleaner packe ich auch mal dazu. Zitat:
Zitat:
Zitat:
|
Und noch ein Log von ComboFix bitte. ciao, andreas |
Das läuft nicht auf meinem Laptop. Da steht immer was von falsches Betriebssystem und Only 32Bit. |
Na jetzt ist das Chaos perfekt. Das Gmer-Log ist vom Laptop und das alte ComboFix-Log vom PC? Dann nehmen wir erstmal den PC. Schicke nichts mehr vom Laptop. Poste ein neues ComboFix-Log von deinem PC. Ebenso ein Gmer-Log vom PC. ciao, andreas |
Hier dann die aktuellen Logs vom PC. Zitat:
|
Hier noch der andere Log Zitat:
|
Ich habe gerade nach einer automatischen Möglichkeit gesucht aber keine gefunden. Jetzt kommt sehr viel Handarbeit auf dich zu. Du musst jeden einzelen der Einträge von Hand entsperren. 1. Starte gmer 2. Scan 3. Karte: > > > 4. Karte: Registry 5. Pfad entlanghangeln: HKey_Local_Machine\SYSTEM\ControlSet002\Services\kwdyf 6. Screenshot machen, beim imagehoster hochladen und Link posten. ciao, andreas |
|
:daumenhoc Klick noch auf das Plus vor kwdyf und poste ein neuen Screenshot. Jetzt machst du auf jeden der roten Einträge einen Doppelklick und löscht den Wert oder setzt ihn auf 0. Jede Warnmeldung, die von gmer kommt, mit Enter übergehen. Deinstalliere vorübergehend die Daemon-Tools (kannst du zum Schluss wieder installieren). Deinstalliere AdAware und Spybot. Die versauen jedes Log. Wenn du alle Einträge geändert hast, dann einen Neustart machen. Folgendes Avengerskript ausführen: Code: Drivers to delete: ciao, andreas |
AdAware und Spybot habe ich gar nicht mehr auf meinem Rechner die sind seid Donnerstag weg. http://img6.imageshack.us/img6/6186/kwdyf.jpg http://img6.imageshack.us/img6/kwdyf.jpg/1/w728.png |
Logfile of The Avenger Version 2.0, (c) by Swandog46 h**p://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\kwdyf" not found! Deletion of driver "kwdyf" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry key "HKLM\SYSTEM\ControlSet002\Services\kwdyf" deleted successfully. Completed script processing. ******************* Finished! Terminate. Zitat:
|
Folgendes Avengerskript ausführen: Code: Drivers to delete: Bin in einer Stunde wieder da. ciao, andreas |
Ich habe Spybot vorhin noch mal installiert und dann den Schutz aus gemacht da der anscheinend auch noch nach dem löschen da bleibt, ist jetzt aber weider gelöscht. Keine Ahnung ob as jetzt was gebracht hat. Zitat:
Zitat:
|
Hier bin ich wieder: Deinstalliere SuperAntiSpyware Folgendes Avengerskript ausführen: Code: registry keys to delete: ciao, andreas |
Den Avenger Log kann ich dies mal nicht posten weil der Editor irgendeinen Error hatte. Zitat:
|
Zitat:
Gleicher Weg wie vorhin. Mit Gmer in einen Registrierungsschlüssel (einer reicht zum Testen) irgendwas Rotes ändern, so dass die Warnmeldung von Gmer kommt. Das ganze dann insgesamt dreimal für
ciao, andreas |
Da stand irgentwas von das Programm wird von einer anderen Datei benutzt oder so. |
OK. Ich glaub ich habe eine Lösung: My system won't boot after installation of v4, or problems with SPTD.SYS - THE DAEMONS HOME Du musst im abgesicherten Modus starten, an der richtigen Stelle ESC drücken und einen Registryeintrag ändern. ciao, andreas p.s.: Lade in der Zwischenzeit mal den Unhooker, wir müssen noch den spvu.sys rausbekommen. |
Sieht ein bisschen weniger aus Zitat:
|
Hast du das Skript mit dem Avenger ausgeführt? Poste auch das Log vom Avenger. Lade in der Zwischenzeit mal den Unhooker, wir müssen noch den spvu.sys rausbekommen. ciao, andreas |
Hatte ich eben vergessen vor gmer laufen zu lassen. Was muss ich den jetzt genau mit dem anderen Programm machen? Zitat:
|
Noch ein neues Gmer-Log, aber ich glaube, wir haben es geschafft. Schieb noch gleich ein neues ComboFix-Log hinterher. ciao, andreas |
Ok, hier sind die Logs. Zitat:
Zitat:
|
Gmer hat nur noch einen Schönheitsfehler, das ist mdeafvub.sys. Starte den Unhooker und suche nach diesem Eintrag. Mache ein Screenshot, wenn du ihn gefunden hast. Ich bastele in der Zwischenzeit an einem Script für ComboFix. ciao, andreas |
|
:daumenhoc Welche Möglichkeiten bietet er dir an, wenn du Mausklick rechts darauf machst? ciao, andreas |
Properties, Dump Selected, Wipe File, Copy File, Do immediately BSOD |
Da muss ich mich erstmal schlau machen, eilt nicht. Aus einem Eintrag in dem ComboFix-Log werde ich nicht schlau. Ich brauche noch ein Screen von Regedit. Hangele dich bis zu diesem Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost Ist der Eintrag NetSvcs auf der rechten Seite zu sehen oder kommt er erst, wenn du auf das Plus von Svchost klickst. Ich suche den Eintrag kwdyf. Versuche ihn zu finden und Screenshot davon zu machen. ciao, andreas |
|
Gut, jetzt wird mir auch die Darstellung klar. Lösche den Eintrag von Hand. Mit Script bekomme ich das nicht hin. Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Ich habe das 2 mal durch laufen lassen beim ersten mal habe ich keinen neuen Log bekommen bzw. der Alte war noch da. Zitat:
|
Wie geht es dem Rechner? Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
ComboFix 09-02-19.01 - Kai 2009-02-21 22:21:21.6 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2047.1568 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Kai\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Kai\Desktop\cfscript.txt.txt AV: BitDefender Antivirus *On-access scanning disabled* (Updated) FW: BitDefender Firewall *disabled* * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_RKHDRV40 -------\Service_rkhdrv40 ((((((((((((((((((((((( Dateien erstellt von 2009-01-21 bis 2009-02-21 )))))))))))))))))))))))))))))) . 2009-02-21 10:55 . 2009-02-21 10:55 4,352 --a------ c:\windows\system32\drivers\cleanhelper.sys 2009-02-21 09:23 . 2009-02-21 12:23 81,984 --a------ c:\windows\system32\bdod.bin 2009-02-21 09:18 . 2009-02-21 09:18 850 --a------ c:\windows\system32\ProductTweaks.xml 2009-02-21 09:18 . 2009-02-21 09:18 385 --a------ c:\windows\system32\user_gensett.xml 2009-02-20 23:16 . 2009-02-20 23:16 <DIR> d-------- c:\programme\BitDefender 2009-02-20 23:16 . 2009-02-20 23:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BitDefender 2009-02-20 23:15 . 2009-02-21 12:23 <DIR> d-------- c:\programme\Gemeinsame Dateien\BitDefender 2009-02-20 22:23 . 2009-02-20 22:23 216 --a------ c:\windows\system32\spupdsvc.inf 2009-02-20 22:14 . 2009-02-20 22:14 <DIR> d-------- c:\programme\MSXML 4.0 2009-02-20 22:11 . 2009-02-20 22:11 <DIR> d-------- c:\dokumente und einstellungen\Kai\Anwendungsdaten\Safer Networking 2009-02-20 20:44 . 2009-02-20 20:44 <DIR> d-------- c:\windows\system32\de 2009-02-20 20:44 . 2009-02-20 20:44 <DIR> d-------- c:\windows\system32\bits 2009-02-20 20:44 . 2009-02-20 20:44 <DIR> d-------- c:\windows\l2schemas 2009-02-20 20:43 . 2009-02-20 20:43 <DIR> d-------- c:\windows\ServicePackFiles 2009-02-20 20:40 . 2009-02-20 20:40 <DIR> d-------- c:\windows\EHome 2009-02-20 20:37 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys 2009-02-20 20:36 . 2008-12-12 18:01 3,088,896 -----c--- c:\windows\system32\dllcache\mshtml.dll 2009-02-20 20:36 . 2008-10-16 02:00 1,499,136 -----c--- c:\windows\system32\dllcache\shdocvw.dll 2009-02-20 20:36 . 2008-10-16 02:00 671,744 -----c--- c:\windows\system32\dllcache\wininet.dll 2009-02-20 20:36 . 2008-10-16 02:00 620,544 -----c--- c:\windows\system32\dllcache\urlmon.dll 2009-02-20 20:36 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys 2009-02-20 20:35 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe 2009-02-20 20:35 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe 2009-02-20 20:35 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe 2009-02-20 20:35 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe 2009-02-20 20:35 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys 2009-02-20 20:33 . 2004-08-03 22:41 1,041,536 --------- c:\windows\system32\drivers\hsfdpsp2.sys 2009-02-20 20:29 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys 2009-02-20 20:28 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll 2009-02-20 20:28 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll 2009-02-20 20:28 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2009-02-20 20:28 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll 2009-02-20 20:28 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll 2009-02-20 20:23 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui 2009-02-19 22:53 . 2009-02-19 22:53 <DIR> d-------- c:\programme\CCleaner 2009-02-19 22:50 . 2009-02-19 22:50 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-02-19 22:50 . 2009-02-21 18:56 <DIR> d-------- c:\dokumente und einstellungen\Kai\Anwendungsdaten\SUPERAntiSpyware.com 2009-02-19 22:50 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-19 22:50 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-02-19 19:54 . 2009-02-21 22:07 250 --a------ c:\windows\gmer.ini 2009-02-19 08:16 . 2009-02-19 08:16 <DIR> d-------- c:\dokumente und einstellungen\Kai\Anwendungsdaten\Malwarebytes 2009-02-19 08:12 . 2009-02-19 08:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-02-18 21:32 . 2009-02-18 21:32 <DIR> d-------- c:\programme\Trend Micro 2009-02-18 20:14 . 2009-02-18 20:14 <DIR> d-------- c:\dokumente und einstellungen\Kai\Anwendungsdaten\Ashampoo 2009-02-18 20:08 . 2009-02-18 20:08 <DIR> d-------- c:\programme\Ashampoo 2009-02-18 20:08 . 2009-02-18 20:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ashampoo 2009-02-18 17:44 . 2009-02-18 17:44 <DIR> d-------- c:\programme\Real 2009-02-18 17:44 . 2009-02-18 17:44 <DIR> d-------- c:\programme\Gemeinsame Dateien\Real 2009-02-18 17:44 . 2009-02-18 17:44 <DIR> d-------- C:\Program Files 2009-02-17 18:08 . 2009-02-17 18:08 <DIR> d-------- c:\programme\Alex Feinman 2009-02-17 17:54 . 2009-02-17 17:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrueCrypt 2009-02-17 17:15 . 2009-02-19 15:15 <DIR> d-------- c:\programme\TrueCrypt 2009-02-16 16:15 . 2009-02-16 16:16 <DIR> d-------- c:\programme\ICQ6.5 2009-02-16 13:36 . 2009-02-19 22:19 <DIR> d-------- c:\programme\Lavasoft 2009-02-16 13:36 . 2009-02-16 13:36 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-02-16 11:07 . 2009-02-16 11:07 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information 2009-02-16 11:07 . 2009-02-16 11:07 <DIR> d--h----- c:\programme\CanonBJ 2009-02-16 11:07 . 2009-02-16 11:07 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ 2009-02-16 11:07 . 2006-06-22 21:00 163,840 --a------ c:\windows\system32\CNMLM89.DLL 2009-02-16 11:00 . 2008-04-13 19:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys 2009-02-14 18:43 . 2009-02-14 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus 2009-02-14 18:42 . 2009-02-14 19:16 <DIR> d-------- c:\dokumente und einstellungen\Kai\Anwendungsdaten\Azureus 2009-02-10 15:35 . 2009-02-10 15:35 <DIR> d-------- c:\dokumente und einstellungen\Kai\Anwendungsdaten\DivX 2009-02-06 17:48 . 2009-02-06 17:53 <DIR> d-------- c:\programme\DivX 2009-02-05 14:14 . 2009-02-19 22:23 <DIR> d-------- C:\Downloads 2009-02-04 19:36 . 2009-02-10 15:26 <DIR> d-------- c:\programme\Free Download Manager 2009-01-23 23:31 . 2009-01-23 23:31 <DIR> d-------- c:\dokumente und einstellungen\Kai\Anwendungsdaten\Stardock 2009-01-23 23:30 . 2009-01-23 23:30 <DIR> d-------- c:\programme\Stardock 2009-01-23 23:30 . 2009-01-23 23:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Stardock 2009-01-23 23:30 . 2009-01-23 23:30 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{1EB63B4B-5639-4477-8E24-05C31B5F8019} . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-21 21:08 --------- d-----w c:\programme\PeerGuardian2 2009-02-21 20:39 --------- d-----w c:\programme\Mozilla Thunderbird 2009-02-21 17:56 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-02-21 17:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-02-21 16:10 --------- d-----w c:\programme\DAEMON Tools Toolbar 2009-02-21 09:55 --------- d-----w c:\programme\MultiRes 2009-02-19 14:17 --------- d-----w c:\programme\TV-Browser 2009-02-18 15:12 --------- d--h--w c:\programme\InstallShield Installation Information 2009-02-16 15:16 --------- d-----w c:\programme\ICQ6Toolbar 2009-02-13 14:35 --------- d-----w c:\dokumente und einstellungen\Kai\Anwendungsdaten\teamspeak2 2009-02-03 22:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-01-12 19:11 --------- d-----w c:\programme\Realtek AC97 2009-01-12 19:10 --------- d-----w c:\programme\AMD 2009-01-10 18:52 --------- d-----w c:\programme\eRightSoft 2009-01-06 18:37 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SweetIM 2009-01-06 11:01 --------- d-----w c:\dokumente und einstellungen\Kai\Anwendungsdaten\Samsung 2009-01-06 10:57 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys 2009-01-06 10:44 --------- d-----w c:\programme\Samsung 2009-01-06 10:43 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-01-05 20:54 --------- d-----w c:\programme\JoWooD 2009-01-01 16:58 171,520 ----a-w c:\windows\patchw32.dll 2008-12-29 19:19 --------- d-----w c:\dokumente und einstellungen\Kai\Anwendungsdaten\gtk-2.0 2008-12-27 18:00 --------- d-----w c:\programme\Oblivion Improved 2008-12-26 16:15 --------- d-----w c:\dokumente und einstellungen\Kai\Anwendungsdaten\Magic Set Editor 2008-12-26 16:14 --------- d-----w c:\programme\Magic Set Editor 2 2008-12-21 16:26 --------- d-----w c:\dokumente und einstellungen\Kai\Anwendungsdaten\dvdcss 2008-12-21 15:34 --------- d-----w c:\programme\PSP Pandora Deluxe 2008-11-30 22:43 73,216 ----a-w c:\windows\cadkasdeinst01.exe 2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll 2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll 2008-03-16 13:30 216,064 --sh--r c:\windows\system32\nbDX.dll . ((((((((((((((((((((((((((((( SnapShot_2009-02-21_12.27.28,95 ))))))))))))))))))))))))))))))))))))))))) . + 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE - 2009-02-20 21:30:50 85,534 ----a-w c:\windows\system32\perfc007.dat + 2009-02-21 20:59:52 85,534 ----a-w c:\windows\system32\perfc007.dat - 2009-02-20 21:30:50 72,040 ----a-w c:\windows\system32\perfc009.dat + 2009-02-21 20:59:52 72,040 ----a-w c:\windows\system32\perfc009.dat - 2009-02-20 21:30:50 462,662 ----a-w c:\windows\system32\perfh007.dat + 2009-02-21 20:59:52 462,662 ----a-w c:\windows\system32\perfh007.dat - 2009-02-20 21:30:50 444,164 ----a-w c:\windows\system32\perfh009.dat + 2009-02-21 20:59:52 444,164 ----a-w c:\windows\system32\perfh009.dat + 2009-02-21 21:23:07 16,384 ----atw c:\windows\temp\Perflib_Perfdata_728.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MobMapUpdater"="e:\world of warcraft\MobMapUpdater\MobMapUpdater.exe" [2008-11-05 1770624] "BLASC"="c:\programme\buffed\BLASC.exe" [2009-02-20 2246656] "PeerGuardian"="c:\programme\PeerGuardian2\pg2.exe" [2005-09-18 1421824] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2008-12-17 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "AtiPTA"="atiptaxx.exe" [2006-02-22 c:\windows\system32\atiptaxx.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "e:\\World of Warcraft\\BackgroundDownloader.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "e:\\SpellForce 2 - Shadow Wars\\spellforce2.exe"= "e:\\Neverwinter Nights 2\\nwn2main.exe"= "e:\\Neverwinter Nights 2\\nwn2main_amdxp.exe"= "e:\\Neverwinter Nights 2\\nwupdate.exe"= "e:\\Neverwinter Nights 2\\nwn2server.exe"= "e:\\World of Warcraft\\Launcher.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 "1846:TCP"= 1846:TCP:vsnzuwu [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-10-10 33752] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: {325DA82C-A080-47FD-9DFD-9070D80C9EF2} = 192.168.0.1 FF - ProfilePath - c:\dokumente und einstellungen\Kai\Anwendungsdaten\Mozilla\Firefox\Profiles\k80wh876.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT498395&SearchSource=3&q= FF - prefs.js: browser.search.selectedEngine - Wikipedia (de) FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/webhp?rls=org.mozilla:de:official&hl=de&sa=N&tab=fw FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - component: c:\dokumente und einstellungen\Kai\Anwendungsdaten\Mozilla\Firefox\Profiles\k80wh876.default\extensions\{fb7d98cb-b228-4ecb-acac-e7101156338e}\components\FFAlert.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npgcplug.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-21 22:23:16 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1078081533-2145122553-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:07,3b,24,bf,92,a5,92,f8,f1,a1,2b,7e,76,5d,bb,ee,8c,ab,44,e6,a8,96,2e, 2c,d5,64,38,ef,ac,81,55,f5,a0,74,15,bf,e3,29,3b,b4,07,e3,e5,86,38,88,79,20,\ "??"=hex:41,e0,42,8c,cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b [HKEY_USERS\S-1-5-21-1078081533-2145122553-839522115-1004\Software\SecuROM\License information*] "datasecu"=hex:4c,24,a4,a4,55,c0,73,f4,e6,eb,e1,b4,0c,0d,9b,87,03,16,fc,73,52, 9c,a9,9f,b5,8c,4f,39,93,17,cf,87,81,aa,af,4c,63,5b,4f,81,31,ec,e0,2e,c4,7e,\ "rkeysecu"=hex:f5,0e,23,b5,bc,e0,7d,78,45,12,bc,7a,3d,73,04,a4 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(780) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-02-21 22:25:13 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-02-21 21:25:02 ComboFix2.txt 2009-02-21 21:03:54 ComboFix3.txt 2009-02-21 19:36:21 ComboFix4.txt 2009-02-21 14:55:27 ComboFix5.txt 2009-02-21 21:20:11 Vor Suchlauf: 18 Verzeichnis(se), 46.623.256.576 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 46,610,624,512 Bytes frei 234 |
Wie geht es dem Rechner? 1.) CureIT Dr.Web
2.) Panda Active Scan by undoreal Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation3.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI. ciao, andreas |
Der Rest kommt irgend wann nach her. Zitat:
|
1.) Start => Ausführen => combofix /u => OK 2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. ciao, andreas |
Hier noch der ActiveScan Log, die anderen beiden haben nichts gefunden. Warum steht da eigentlich drin, das ich BitDefender habe ob wohl das schon längst nicht mehr auf meinem Rechner ist? Zitat:
|
Deinstalliere Gmer und Doctor Web. Sollte Doctor Web schon deinstalliert sein, dann lösche den Ordner: Code: C:\Dokumente und Einstellungen\Kai\DoctorWeb |
Ok habe ich gemacht. |
:daumenhoc |
Was kann ich den jetzt noch am Laptop machen da läuft ComboFix ja nicht. |
Auch wenn die anderen Scans auf dem Rechner noch nicht fertig sind, poste vorab ein HJT-Log von dem Laptop. ciao, andreas |
Der Log vom Laptop. Was für Scans soll ich denn noch machen? Zitat:
|
http://www.trojaner-board.de/70183-e...tml#post415243 Es fehlt noch AVP-Tool und Prevx. Es ist jetzt das dritte Mal, dass ich frage: Wie geht es dem Rechner? ciao, andreas |
Dem gehst gut, die beiden Programme haben nichts gefunden. |
Na dann würde ich sagen, wir sind mit dem durch. 100% sicher kannst du natürlich nicht sein. Ob wir wirklich alles erwischt haben, wird nur die Zeit zeigen. Deswegen überlege dir gut, ob du die gleiche Zeit in das Laptop steckst, wobei als zusätzliches Problem noch dazukommt, das ComboFix nicht läuft. D.h. wir müssen etwa 3 zusätzliche Tools (mit entsprechend mehr Analyseaufwand und damit Zeit) nutzen, um den gleichen Effekt zu bekommen. Möchtest du das wirklich? Die MbAM-Logs mit der Confickermeldung, waren die vom Rechner oder Laptop? ciao, andreas |
Die Logs mit dem Conficker waren vom Laptop aus. Der Laptop wäre schon wichtig den brauch ich für die Schule. Danke für die Hilfe bis jetzt schon mal. |
Zitat:
ciao, andreas |
Die wichtigen Daten kann ich aber ohne Bedenken auf meinen anderen PC packen oder? |
Ja. Ungefährlich ist alles, das nicht ausführbar ist, wie z.B. Musik, Videos, Bilder, Worddokumente, .... Gefährlich sein können ausführbare Dateien wie z.B. Programme. Das Risiko lässt sich minimieren, wenn sie vor dem Zurückspielen mit mehreren aktuellen Scannern (du weißt ja, welche wir benutzt haben) testet. ciao, andreas |
Auf dem Laptop ist eine EISA-Konfiguration, kann diese auch infiziert sein/werden? |
Theoretisch ja, wie ist die genaue Bezeichnung des Laptops Hersteller/Typ? ciao, andreas |
BenQ Joybook R22E und die Festplatte ist eine Fujitsu MHV2080AT PL. |
Beim Systemstart wenn die Meldung kommt, musst du F10 drücken. Damit wird Partition C: in den Auslieferungszustand versetzt. Direkt im Anschluß mit MBAM und Gmer scannen und Log posten. ciao, andreas |
Sieht ganz gut aus denke ich mal. Zitat:
Zitat:
|
Hi, ja, kann man so sagen... Rechner soweit OK? chris |
Ja alles in Ordnung. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:21 Uhr. |
Copyright ©2000-2024, Trojaner-Board