|
TR/Dropper.Gen Rootkit Hallo, Ich habe den scheinbar recht verbreiteten Trojaner TR/Dropper.Gen, und zwar in Form eines Rootkits. So zeigt mir Antivir folgendes an (ich kann das komplette Log nicht kopieren, da ich meinen PC vorsichtshalber vom Internet getrennt habe, aber hier mal das wichtigste): Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C: Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+PCK Beginn des Suchlaufs: Freitag, 8. Mai 2009 00:15 Der Suchlauf nach versteckten Objekten wird begonnen. Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\Antivir Desktop\PROFILES\AVSCAN-20090508-0018559699AAE0.avp' geschrieben. c:\windows\system32\drivers\ovfsthldwrsovsokfktprqmjdvjmwkyoeiqejb.sys [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. c:\windows\system32\ovfsthdmfnxvuhbdanabpuwcuvggrpmbeugbpx.dat [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\ovfsthetchwtpyxohyyidyqcnqgflctufnhayq.dll [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! c:\windows\system32\ovfsthfbdgsthqaidkpndjjkxgoftklhqvrrcj.dat [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\ovfsthiuhnjdrseeaoxxsxdowryyytbftmnkem.dll [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! c:\windows\system32\ovfsthmnopiayjjtytdaxardvvylaoffqstrtu.dll [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! Ende des Suchlaufs:Frreitag, 8. Mai 2009 00:18 Benötigte Zeit: 3:27 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 6 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 1 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 2 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise 90002 Objekte wurden beim Rootkitscan durchsucht 14 Versteckte Objekte wurden Antivir zeigt mir während der Suche nach den versteckten Dateien nach etwa 60% TR\Dropper.Gen an mit dem Hinweis, dass ich den PC neustarten muss, um den Infekt vollständig zu reparieren. Tue ich dies nicht und waehle statt 'OK' 'Abbrechen" hört Antivir nach der Suche nach versteckten Dateien mit der Suche auf, wodurch sich die geringe Suchdauer von 3 Minuten erklärt. Wähle ich dagegen 'OK' startet der PC neu, TR\Dropper.Gen findet Antivir dann aber immernoch und fordert mich wiederrum zum Neustart auf. Mein Betriebssystem ist Win XP SP3. Eine Suche mit Malwarebytes Anti-Malware sowie AdAware findet nichts, genauso wie Antivir im abgesicherten Modus, also ohne Rootkitsuche. Meine Frage ist nun, ob es noch irgendwelche Programme ausser den 3 genannten gibt, die den Schädling evtl. beseitigen können. Oder kann ich vielleicht von einer anderen, sauberen Festplatte booten und das Rootkit auf meiner aktuellen Festplatte so beseitigen? Ich würde mir nämlich wirklich gerne eine Neuinstallation von Windows ersparen. Ich hoffe, ihr könnt mir helfen, und schonmal Danke im Vorraus. |
Hi, zuerst Combofix, dann bitte Gmer: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Es ist also okay, den PC zwecks Download der Programme und Kopieren der Berichte kurz ans Internet anzuschliessen? |
Hi, die zweit Schritte aber bitte dann direkt hintereinander ohne Online durchführen... und die Onlinezeiten möglichst kurz halten... chris |
Ok, ich werd das machen sobald meine Datensicherung fertig ist. Ich hab im Moment keine externe Festplatte hier, hoffe aber, es morgen Abend zu schaffen. Danke für die Geduld. |
So, erstmal bitte ich um Verzeihung für die lange Wartezeit, es hat doch länger gedauert, an die externe Platte zu kommen, als gedacht. Ich bin nun jedenfalls mit meiner Datensicherung fertig, habe Combofix auf den Desktop kopiert und ausgeführt. Erst wurde die Wiederherstellungskonsole installiert und danach ging der Scanvorgang los. Bis dahin ging auch alles gut und er zeigte mir die selben Rootkits wie Antivir an, welche ich auf einen Zettel schreiben sollte. Anschliessend wurde Windows neugestartet, doch danach ging plötzlich meine Tastatur nicht mehr. Ich hänge nun in der Benutzeranmeldung, kann aber mein Passwort nicht eingeben, da nichts passiert, egal welche Taste ich drücke. Die "Num Lock" Anzeige leuchtet übrigens, die Tastatur scheint also aktiv zu sein. Wie komm ich nun wieder in Windows und was soll ich dann machen? |
Hi, Stecker etc. kontrolliert? Wenn Du die Taste "Num Lock" drückst, reagiert der Rechner darauf (LED ein/aus)? Wenn ja läuft er dann ist ev. der Tastaturtreiber zerschossen (Keylogger?), wenn keine Reaktion erfolgt dann ist er abgestürzt ... Versuche in den abgesicherten Modus zu kommen (F8 beim Booten)... Hast Du eine Windows-CD von der Du booten kannst und eine Reparaturinstallation versuchen kannst? (http://www.supportnet.de/faqsthread/878) Einsatz der Rettungskonsole: (http://support.microsoft.com/kb/314058/de) Der Rootkit hat sich wohl nicht so einfach entfernen lassen, obwohl ComboFix das Teil normalerweise eleminieren kann... chris |
Das Tastaturproblem hatte sich nach einem erneuten Neustart zum Glück gelegt, ohne dass ich ausser Stecker aus- und einstecken währenddessen irgendetwas getan hätte, daher hier nun die beiden Logs. Zuerst das von Combofix: ComboFix 09-05-13.02 - Shakka 15.05.2009 5:39.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1657 [GMT 2:00] ausgef¸hrt von:: c:\dokumente und einstellungen\Shakka\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Lˆschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\drivers\ovfsthldwrsovsokfktprqmjdvjmwkyoeiqejb.sys c:\windows\system32\ovfsthdmfnxvuhbdanabpuwcuvggrpmbeugbpx.dat c:\windows\system32\ovfsthetchwtpyxohyyidyqcnqgflctufnhayq.dll c:\windows\system32\ovfsthfbdgsthqaidkpndjjkxgoftklhqvrrcj.dat c:\windows\system32\ovfsthiuhnjdrseeaoxxsxdowryyytbftmnkem.dll c:\windows\system32\ovfsthmnopiayjjtytdaxardvvylaoffqstrtu.dll c:\windows\system32\test.ttt c:\windows\system32\uniq.tll C:\xcrashdump.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_ovfsthwtjlkawykvopufveefqmoayptoppjcln ((((((((((((((((((((((( Dateien erstellt von 2009-04-15 bis 2009-05-15 )))))))))))))))))))))))))))))) . 2009-04-27 23:19 . 2009-04-27 23:19 -------- d-----w C:\ERDNT 2009-04-16 14:41 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe 2009-04-16 14:41 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll 2009-04-16 14:41 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe 2009-04-16 14:41 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll 2009-04-16 14:41 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll 2009-04-16 14:41 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll 2009-04-16 14:41 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll 2009-04-16 14:41 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll 2009-04-16 14:41 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll 2009-04-16 14:40 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-14 19:27 . 2007-03-01 16:24 -------- d-----w c:\programme\Steam 2009-05-05 00:10 . 2007-03-06 19:49 -------- d-----w c:\programme\PeerGuardian2 2009-04-28 19:41 . 2008-11-14 20:56 -------- d-----w c:\programme\Hotspot Shield 2009-04-27 23:27 . 2009-01-15 23:27 -------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-04-27 21:07 . 2009-03-19 14:27 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys 2009-04-23 16:57 . 2007-02-21 21:56 -------- d-----w c:\programme\GetRight 2009-04-16 19:55 . 2006-02-28 12:00 84678 ----a-w c:\windows\system32\perfc007.dat 2009-04-16 19:55 . 2006-02-28 12:00 458924 ----a-w c:\windows\system32\perfh007.dat 2009-04-12 01:30 . 2007-02-19 12:49 -------- d--h--w c:\programme\InstallShield Installation Information 2009-04-10 16:58 . 2007-02-22 16:51 -------- d-----w c:\programme\Java 2009-04-07 18:56 . 2007-02-21 23:36 -------- d-----w c:\programme\iTunes 2009-04-07 18:56 . 2009-04-07 18:56 -------- d-----w c:\programme\iPod 2009-04-07 18:56 . 2007-09-12 14:27 -------- d-----w c:\programme\Gemeinsame Dateien\Apple 2009-04-06 13:32 . 2009-01-15 23:27 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-06 13:32 . 2009-01-15 23:27 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-03-23 21:30 . 2009-03-28 01:39 33256 ----a-w c:\windows\system32\drivers\hssdrv.sys 2009-03-20 15:36 . 2008-04-10 15:30 -------- d-----w c:\programme\Microsoft Silverlight 2009-03-20 05:26 . 2007-03-10 23:55 -------- d-----w c:\programme\Google 2009-03-19 14:32 . 2008-01-29 10:01 23400 ----a-w c:\windows\system32\drivers\GEARAspiWDM.sys 2009-03-19 14:27 . 2009-03-19 14:27 -------- d-----w c:\programme\Avira 2009-03-09 03:19 . 2008-11-25 22:24 410984 ----a-w c:\windows\system32\deploytk.dll 2009-03-06 14:19 . 2006-02-28 12:00 286720 ----a-w c:\windows\system32\pdh.dll 2009-03-05 22:59 . 2009-03-15 23:13 1900544 ----a-w c:\windows\system32\usbaaplrc.dll 2009-03-05 22:59 . 2007-11-27 16:49 36864 ----a-w c:\windows\system32\drivers\usbaapl.sys 2009-03-03 00:03 . 2006-02-28 12:00 826368 ----a-w c:\windows\system32\wininet.dll 2009-02-20 16:49 . 2006-02-28 12:00 78336 ----a-w c:\windows\system32\ieencode.dll 2008-03-30 16:25 . 2008-03-26 17:04 72 --sh--w c:\windows\SF240BC02.tmp . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Steam"="c:\programme\steam\steam.exe" [2008-10-08 1410296] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "igndlm.exe"="c:\programme\Download Manager\dlm.exe" [2008-08-01 1103216] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TalkAndWrite"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe" [2008-01-14 3042816] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936] "SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2007-10-09 1036288] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-12 86016] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-04-02 342312] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2007-04-11 56080] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-11-12 1630208] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\StartmenÅ\Programme\Autostart\ ICQ6.5 (2).lnk - c:\programme\ICQ6.5\ICQ.exe [2009-3-1 172792] Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-10-4 692224] Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSetActiveDesktop"= 1 (0x1) "NoActiveDesktopChanges"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0autocheck lsdelete [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^HP Photosmart Premier ñ Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\HP Photosmart Premier ñ Schnellstart.lnk backup=c:\windows\pss\HP Photosmart Premier ñ Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^hp psc 1000 series.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\hp psc 1000 series.lnk backup=c:\windows\pss\hp psc 1000 series.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^hpoddt01.exe.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\hpoddt01.exe.lnk backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^LUMIX Simple Viewer.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\LUMIX Simple Viewer.lnk backup=c:\windows\pss\LUMIX Simple Viewer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Registrierungsprogramm ausf¸hren.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Registrierungsprogramm ausf¸hren.lnk backup=c:\windows\pss\Registrierungsprogramm ausf¸hren.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Shakka^Startmen¸^Programme^Autostart^ChkDisk.dll] path=c:\dokumente und einstellungen\Shakka\Startmen¸\Programme\Autostart\ChkDisk.dll backup=c:\windows\pss\ChkDisk.dllStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Shakka^Startmen¸^Programme^Autostart^ChkDisk.lnk] path=c:\dokumente und einstellungen\Shakka\Startmen¸\Programme\Autostart\ChkDisk.lnk backup=c:\windows\pss\ChkDisk.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Shakka^Startmen¸^Programme^Autostart^Logitech-Produktregistrierung.lnk] path=c:\dokumente und einstellungen\Shakka\Startmen¸\Programme\Autostart\Logitech-Produktregistrierung.lnk backup=c:\windows\pss\Logitech-Produktregistrierung.lnkStartup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\mIRC\\mirc.exe"= "c:\\Programme\\Anno 1701\\Anno1701.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Azureus\\Azureus.exe"= "c:\\Programme\\TVUPlayer\\TVUPlayer.exe"= "c:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe"= "c:\\Programme\\TVersity\\Media Server\\MediaServer.exe"= "c:\\Programme\\TVersity\\Media Server\\TVersity.exe"= "c:\\Programme\\WiFiConnector\\NintendoWFCReg.exe"= "c:\\Programme\\Sierra Online\\FreeStyle Street Basketball(TM)\\FreeStyle.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme\\Steam\\Steam.exe"= "c:\\Dokumente und Einstellungen\\Shakka\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"= "c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"= "c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"= "c:\\Programme\\QuickTime\\QuickTimePlayer.exe"= "c:\\Programme\\N Schach 3\\WinSchach.exe"= "c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"= "c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"= "c:\\Programme\\Winamp\\winamp.exe"= "c:\\Programme\\Electronic Arts\\EADM\\Core.exe"= "c:\\Programme\\RayV\\RayV\\RayV.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpfccopy.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpofxm08.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposfx08.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqCopy.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqDIA.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqnrs08.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpzwiz01.exe"= "c:\\Programme\\Bethesda Softworks\\Fallout 3\\Fallout3.exe"= "c:\\Programme\\WBGames\\Monolith Productions\\F.E.A.R. 2 SP Demo\\FEAR2SPDemo.exe"= "c:\\Programme\\RayV\\RayV\\RayV.dll"= "c:\\Programme\\Steam\\SteamApps\\common\\peggle deluxe\\Peggle.exe"= "c:\\Dokumente und Einstellungen\\Shakka\\Lokale Einstellungen\\Anwendungsdaten\\RayV\\RayV.dll"= "c:\\Programme\\Steam\\SteamApps\\common\\world of goo\\WorldOfGoo.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "10243:TCP"= 10243:TCP:Xbox 360 1 "10284:UDP"= 10284:UDP:Xbox 360 2 "10283:UDP"= 10283:UDP:Xbox 360 3 "10282:UDP"= 10282:UDP:Xbox 360 4 "10281:UDP"= 10281:UDP:Xbox 360 5 "10280:UDP"= 10280:UDP:Xbox 360 6 "41952:TCP"= 41952:TCP:tversity "41952:UDP"= 41952:UDP:tversity2 "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 16:27 108289] R2 HssSrv;Hotspot Shield Helper Service;c:\programme\Hotspot Shield\HssWPR\hsssrv.exe [23.03.2009 23:31 216552] R3 HssDrv;Hotspot Shield Helper Miniport;c:\windows\system32\drivers\hssdrv.sys [28.03.2009 03:39 33256] S2 gupdate1c9a91c6c86c0de;Google Update Service (gupdate1c9a91c6c86c0de);c:\programme\Google\Update\GoogleUpdate.exe [20.03.2009 07:26 133104] S3 hamachi_oem;PlayLinc Adapter;c:\windows\system32\drivers\gan_adapter.sys [29.08.2006 00:54 10664] S3 pohci13F;pohci13F;\??\c:\dokume~1\Shakka\LOKALE~1\Temp\pohci13F.sys --> c:\dokume~1\Shakka\LOKALE~1\Temp\pohci13F.sys [?] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] \Shell\AutoRun\command - E:\Autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b2d8b32-3f76-11de-a093-001a922b79bd}] \Shell\AutoRun\command - F:\WDSetup.exe . Inhalt des "geplante Tasks" Ordners 2009-05-05 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] 2007-06-10 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1100 series5E771253C1676EBED677BF361FDFC537825E15B8173544742.job - c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52] 2009-05-15 c:\windows\Tasks\GoogleUpdateTaskMachine.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-03-20 05:26] 2009-04-07 c:\windows\Tasks\record.job - c:\program files\record.bat [2007-11-06 23:02] . - - - - Entfernte verwaiste Registrierungseintr‰ge - - - - HKCU-Run-ICQ - c:\programme\ICQ6\ICQ.exe HKU-Default-Run-Diagnostic Manager - c:\windows\TEMP\3176919104.exe HKU-Default-Run-uidenhiufgsduiazghs - c:\windows\TEMP\gx5pk2n2.exe . ------- Zus‰tzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe" uInternet Settings,ProxyServer = 131.247.2.241:3127 uInternet Settings,ProxyOverride = *.local IE: Download with GetRight - c:\programme\GetRight\GRdownload.htm IE: Open with GetRight Browser - c:\programme\GetRight\GRbrowse.htm DPF: {3B1E1AB9-98C2-4B7E-AE01-59C84302BBDB} - hxxp://update.rayv.com/viewer/webinstall/ActiveXInstall1.1/rayvactivex.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-15 05:44 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteintr‰ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1078081533-776561741-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:42,81,20,39,5f,e9,0c,d2,1a,19,98,ab,eb,f1,16,47,2f,3f,c4,d0,10,83,2b, db,4d,15,cb,ad,1f,90,1c,02,7d,0e,aa,6c,ed,92,4d,b2,25,83,37,cc,b8,e4,df,5f,\ "??"=hex:35,c2,6c,72,86,43,ca,ed,91,f1,98,3a,c1,56,c8,d2 [HKEY_USERS\S-1-5-21-1078081533-776561741-725345543-1004\Software\SecuROM\License information*] "datasecu"=hex:17,be,95,83,f9,91,ce,b9,29,89,8a,17,e4,ca,a5,f4,1f,7f,6b,5e,98, 36,2b,17,e9,04,f2,37,e6,9b,59,45,3b,a1,fd,86,b0,f7,3d,2d,9d,3e,67,9d,49,9a,\ "rkeysecu"=hex:b0,b6,41,3b,2a,b6,37,b5,e7,3f,9f,b4,8c,b0,6f,22 . Zeit der Fertigstellung: 2009-05-15 5:47 ComboFix-quarantined-files.txt 2009-05-15 03:46 Vor Suchlauf: 20 Verzeichnis(se), 39.518.752.768 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 40.096.837.632 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 264 --- E O F --- 2009-05-14 23:08 |
Und hier noch das GMER-Log: GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-05-15 09:45:52 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT BAF05686 ZwCreateKey SSDT BAF0567C ZwCreateThread SSDT BAF0568B ZwDeleteKey SSDT BAF05695 ZwDeleteValueKey SSDT BAF0569A ZwLoadKey SSDT BAF05668 ZwOpenProcess SSDT BAF0566D ZwOpenThread SSDT BAF056A4 ZwReplaceKey SSDT BAF0569F ZwRestoreKey SSDT BAF05690 ZwSetValueKey SSDT BAF05677 ZwTerminateProcess Code \??\C:\DOKUME~1\Shakka\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- ? C:\DOKUME~1\Shakka\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. ! ---- EOF - GMER 1.0.15 ---- Gefragt wurde ich beim Start von GMER übrigens nichts, weshalb ich direkt zum Reiter Rootkit/Malware gegangen bin und den Scan gestartet habe. |
Hi, zumindest die Starteinträge von einigen nette Tierchen sind noch da, Combofix hat wie erwartet mit dem Rootkit kurzen Prozeß gemacht ;o)... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: c:\dokume~1\Shakka\LOKALE~1\Temp\pohci13F.sys
Achtung: Falls die c:\windows\system32\drivers\GEARAspiWDM.sys erkannt wird, unten reinnehmen (unter Files to delete) (Avenger-Script)... Es gibt einen validen CD-Treiber und leider auch eine gleichnamige Mailware! Also aufpassen! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Folgende Autostarteinträge müssen ebenfalls noch eleminiert werden: Zitat:
http://www.dirks-computerecke.de/pc-..._autostart.htm So, jetzt bitte MAM anwerfen und einen Fullscan machen und alles bereinigen lassen! Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp chris |
Bzgl. Entfernen aus dem Autostart: Reicht es denn, das Häckchen einfach in msconfig zu entfernen, um die Einträge zu entfernen? Ich hatte das nämlich eigentlich schon gemacht, aber die Einträge bleiben ja erhalten, nur halt ohne Häckchen. |
Von den von dir genannten Dateien habe ich leider nur die vierte gefunden (versteckte und geschützte Systemdateien werden angezeigt), deren Scan bei Virustotal keinen Fund ergab: Datei GEARAspiWDM.sys empfangen 2009.05.16 03:53:31 (CET) Status: Beendet Ergebnis: 0/40 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.16 - AhnLab-V3 5.0.0.2 2009.05.15 - AntiVir 7.9.0.168 2009.05.15 - Antiy-AVL 2.0.3.1 2009.05.15 - Authentium 5.1.2.4 2009.05.15 - Avast 4.8.1335.0 2009.05.15 - AVG 8.5.0.336 2009.05.15 - BitDefender 7.2 2009.05.16 - CAT-QuickHeal 10.00 2009.05.15 - ClamAV 0.94.1 2009.05.15 - Comodo 1157 2009.05.08 - DrWeb 5.0.0.12182 2009.05.16 - eSafe 7.0.17.0 2009.05.14 - eTrust-Vet 31.6.6508 2009.05.16 - F-Prot 4.4.4.56 2009.05.15 - F-Secure 8.0.14470.0 2009.05.15 - Fortinet 3.117.0.0 2009.05.15 - GData 19 2009.05.16 - Ikarus T3.1.1.49.0 2009.05.16 - K7AntiVirus 7.10.735 2009.05.14 - Kaspersky 7.0.0.125 2009.05.16 - McAfee 5616 2009.05.15 - McAfee+Artemis 5616 2009.05.15 - McAfee-GW-Edition 6.7.6 2009.05.15 - Microsoft 1.4602 2009.05.15 - NOD32 4080 2009.05.15 - Norman 6.01.05 2009.05.16 - nProtect 2009.1.8.0 2009.05.16 - Panda 10.0.0.14 2009.05.15 - PCTools 4.4.2.0 2009.05.15 - Prevx 3.0 2009.05.16 - Rising 21.29.44.00 2009.05.15 - Sophos 4.41.0 2009.05.16 - Sunbelt 3.2.1858.2 2009.05.15 - Symantec 1.4.4.12 2009.05.16 - TheHacker 6.3.4.1.326 2009.05.15 - TrendMicro 8.950.0.1092 2009.05.15 - VBA32 3.12.10.5 2009.05.16 - ViRobot 2009.5.15.1737 2009.05.15 - VirusBuster 4.6.5.0 2009.05.15 - weitere Informationen File size: 23400 bytes MD5...: f2f431d1573ee632975c524418655b84 SHA1..: d1e43b384cb1bee1791d15d9558e873e78da3090 SHA256: 4ae27d0ae3a35ff18df7e341698df62c51698fb964395ddb69c45c778cccc27e SHA512: 15ee67360675511080f13298dfdf2088aceadbbbc9b3f8f19110cc622af3bbb3 4bf83af174fe540a70b5d609dd687b0cdc0571fd96054bc08fad574dca9e364d ssdeep: 384:8i4SCGWHWIvKkgTB7tIp2FFyFdg4ytSwPA69xERYJLW0jbK:75FIykgTB72s F0+x9xJLtbK PEiD..: - TrID..: File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x7089 timedatestamp.....: 0x49c26595 (Thu Mar 19 15:32:37 2009) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x111a 0x1200 6.14 a05e947fa2abb8bbb92c37e8cdfa0bbb .rdata 0x3000 0x3f3 0x400 4.01 9b8289cf496b03995002458dd2725198 .data 0x4000 0x32c 0x200 1.91 7cb7252c231ec2b1339268b79771215e PAGE 0x5000 0x1866 0x1a00 6.08 68f565b66313e21816a93149ea690722 INIT 0x7000 0x6f2 0x800 5.10 ceb952cc1f573710fb19913075103f53 .rsrc 0x8000 0x380 0x400 3.00 ec147183706db11394b3ac7b4b2b01e3 .reloc 0x9000 0x28a 0x400 3.91 47a3e3cc56bd548f8cb9e9965e20a8a7 ( 1 imports ) > ntoskrnl.exe: KeInitializeEvent, IoCreateSymbolicLink, RtlInitUnicodeString, IoAttachDeviceToDeviceStack, IoCreateDevice, RtlCompareUnicodeString, IoGetDeviceProperty, KeSetEvent, InterlockedIncrement, InterlockedDecrement, IofCompleteRequest, IoGetCurrentProcess, IofCallDriver, KeWaitForSingleObject, IoReportTargetDeviceChange, IoBuildDeviceIoControlRequest, ExFreePool, ExAllocatePoolWithTag, memcpy, RtlQueryRegistryValues, memset, IoDeleteDevice, IoAttachDevice, ZwClose, _wcsnicmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, swprintf, IoFreeIrp, IoAllocateIrp, IoDetachDevice, PoStartNextPowerIrp, PoCallDriver, KeTickCount, KeBugCheckEx, MmGetSystemRoutineAddress, ZwSetSecurityObject, ObOpenObjectByPointer, IoDeviceObjectType, RtlGetDaclSecurityDescriptor, RtlGetSaclSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, _snwprintf, RtlLengthSecurityDescriptor, ExFreePoolWithTag, SeCaptureSecurityDescriptor, SeExports, IoIsWdmVersionAvailable, RtlAddAccessAllowedAce, RtlLengthSid, wcschr, RtlAbsoluteToSelfRelativeSD, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, ZwOpenKey, ZwCreateKey, ZwQueryValueKey, ZwSetValueKey, RtlFreeUnicodeString ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set Ich habe allerdings im pss-Ordner eine Datei namens ChkDisk.lnkStartup gefunden, deren Virustotal-Scan aber ebenfalls nichts ergab: Datei ChkDisk.lnkStartup empfangen 2009.05.16 04:03:36 (CET) Status: Beendet Ergebnis: 0/40 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.16 - AhnLab-V3 5.0.0.2 2009.05.15 - AntiVir 7.9.0.168 2009.05.15 - Antiy-AVL 2.0.3.1 2009.05.15 - Authentium 5.1.2.4 2009.05.15 - Avast 4.8.1335.0 2009.05.15 - AVG 8.5.0.336 2009.05.15 - BitDefender 7.2 2009.05.16 - CAT-QuickHeal 10.00 2009.05.15 - ClamAV 0.94.1 2009.05.15 - Comodo 1157 2009.05.08 - DrWeb 5.0.0.12182 2009.05.16 - eSafe 7.0.17.0 2009.05.14 - eTrust-Vet 31.6.6508 2009.05.16 - F-Prot 4.4.4.56 2009.05.15 - F-Secure 8.0.14470.0 2009.05.15 - Fortinet 3.117.0.0 2009.05.16 - GData 19 2009.05.16 - Ikarus T3.1.1.49.0 2009.05.16 - K7AntiVirus 7.10.735 2009.05.14 - Kaspersky 7.0.0.125 2009.05.16 - McAfee 5616 2009.05.15 - McAfee+Artemis 5616 2009.05.15 - McAfee-GW-Edition 6.7.6 2009.05.15 - Microsoft 1.4602 2009.05.15 - NOD32 4080 2009.05.15 - Norman 6.01.05 2009.05.16 - nProtect 2009.1.8.0 2009.05.16 - Panda 10.0.0.14 2009.05.15 - PCTools 4.4.2.0 2009.05.15 - Prevx 3.0 2009.05.16 - Rising 21.29.44.00 2009.05.15 - Sophos 4.41.0 2009.05.16 - Sunbelt 3.2.1858.2 2009.05.15 - Symantec 1.4.4.12 2009.05.16 - TheHacker 6.3.4.1.326 2009.05.15 - TrendMicro 8.950.0.1092 2009.05.15 - VBA32 3.12.10.5 2009.05.16 - ViRobot 2009.5.15.1737 2009.05.15 - VirusBuster 4.6.5.0 2009.05.15 - weitere Informationen File size: 653 bytes MD5...: 2ba4f239a5028332d95e21a0b90880a6 SHA1..: 1419ccc1a2479c047cf4ae63323f0c7d1130ceaa SHA256: f38d1407d6b91f5257f52566a892e78df90ffa2e4b4aa537e0c32354a6732268 SHA512: 22e3c20d67285ba6f8ff843b4c30c6f15fb8d12ee899a37562461671bd6cdda2 aeff7d0587988c46ef34dbe3106e4ccffe9d1e88abd329e4ae73b216acff1007 ssdeep: 12:8i8oVJCOGrV1WlDG2efTWlwyY+vWOZKujdflDmo0n:8MJWUlD/efClwX+RZ9B 4o0 PEiD..: - TrID..: File type identification Windows Shortcut (100.0%) PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set - |
Im Avenger habe ich, da ich die von dir genannten drei Dateien nicht finden konnte, nur den Temp Ordner löschen lassen. Leider kann ich das Avenger Log nicht mehr finden, kann es sein, dass es durch den MBAM bedingen Neustart gelöscht wurde? Ich kann mich zwar errinern, dass darin stand, dass der Temp Ordner gelöscht wurde und dass keine Rootkits gefunden wurden, aber soll ich zur Sicherheit lieber nochmal mit Avenger scannen? Wie ich die Autostart-Einträge entfernen kann weiss ich wie gesagt nicht. Die Häckchen davor hatte ich im msconfig schon enfternt bevor ich überhaupt zum ersten Mal hier gepostet hatte, aber das reicht ja scheinbar nicht aus. Hier nun noch das MBAM-Log: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2139 Windows 5.1.2600 Service Pack 3 16.05.2009 05:31:00 mbam-log-2009-05-16 (05-31-00).txt Scan-Methode: Vollst‰ndiger Scan (C:\|) Durchsuchte Objekte: 312049 Laufzeit: 1 hour(s), 11 minute(s), 16 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschl¸ssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bˆsartigen Objekte gefunden) Infizierte Speichermodule: (Keine bˆsartigen Objekte gefunden) Infizierte Registrierungsschl¸ssel: (Keine bˆsartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bˆsartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bˆsartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bˆsartigen Objekte gefunden) Infizierte Dateien: C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthetchwtpyxohyyidyqcnqgflctufnhayq.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthmnopiayjjtytdaxardvvylaoffqstrtu.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ovfsthldwrsovsokfktprqmjdvjmwkyoeiqejb.sys.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{B31FE3A2-97D8-4653-8417-75A3A7235F09}\RP0\A0000001.sys (Trojan.TDSS) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{B31FE3A2-97D8-4653-8417-75A3A7235F09}\RP0\A0000003.dll (Trojan.TDSS) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{B31FE3A2-97D8-4653-8417-75A3A7235F09}\RP0\A0000004.dll (Trojan.TDSS) -> Quarantined and deleted successfully. Danke übrigens nochmals für deine Mühe, den Virus doch noch zu entfernen - im Forum von Avira wurde mir daegegen direkt gesagt, dass ich formatieren muss, daher weiss ich deine Bemühungen wirklich zu schätzen. |
Hi, im Avengerscript noch folgende Zeile ergänzen, um den Treibereintrag zu löschen... Code: Drivers to delete: |
Avenger Log: Logfile of The Avenger Version 2.0, (c) by Swandog46 h**tp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "pohci13F" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board