|
Virus, den ich nicht finde. Ja.. ich hab heut, seitdem ich den PC anhab, i-wie schon fast im 20Mins.-Tackt einen Virus. Ich hab einfach mal ein Bildchen davon gemacht: http://i46.tinypic.com/m9c1lt.jpg Wie bekomm ich den weg? Ich klick mich dann immer durch den Defender, aber das Ding erscheint immer wieder. Danke im voraus ;) |
aso.. Hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:56:03, on 19.11.2009 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v7.00 (7.00.6002.18005) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Windows\System32\rundll32.exe C:\Program Files\Razer\DeathAdder\razerhid.exe C:\Windows\PixArt\Pac207\Monitor.exe C:\Windows\System32\spool\drivers\w32x86\3\E_FATICAE.EXE C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Users\PingChanGeR\Program Files\DNA\btdna.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Razer\DeathAdder\razerofa.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\ICQ6.5\ICQ.exe C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: SHOUTcast Toolbar Search Class - {14f0d511-36a2-41ca-ae01-ba4f87282c97} - C:\Program Files\SHOUTcast Radio Toolbar\shoutcasttb.dll O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: SHOUTcast Loader - {ccec60fc-2608-4e58-9659-3ffc159e8ea9} - C:\Program Files\SHOUTcast Radio Toolbar\shoutcasttb.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: SHOUTcast Radio Toolbar - {0457331d-8ca6-4f97-9c26-6a9ef2b2dba8} - C:\Program Files\SHOUTcast Radio Toolbar\shoutcasttb.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [recinfo793] c:\RecInfo\RecInfo.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\Windows\TEMP\E_S65EF.tmp" /EF "HKCU" O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\PingChanGeR\Program Files\DNA\btdna.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: &SHOUTcast Search - C:\ProgramData\SHOUTcast Radio Toolbar\ieToolbar\resources\en-US\local\search.html O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {3188FB46-456D-4C07-8A11-F5F3BBBA8AF2} (SeeTooControl Class) - http://www.seetoo.com/downloadAddon.php?platform=Win32&browser=ie&ref=justintv&c=c1fd32f2323559bc3&browserVersion=7.0 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: ProtexisLicensing - Unknown owner - c:\Windows\system32\PSIService.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 7076 bytes |
Hallo, na alles klar? :) Ich nehme mich dir an, da wir ja schonmal die Gesellschaft miteinander hatten ;) So.....letz fetz the trojan :D 1. Starte Malwarebytes, inem du das Setup mit Rechtsklick -> Ziel speichern untr....-> Setup zu blubb.com umbenennst spoeicherst. Danach öffne das Setup, installiere dir Malwarebytes und lass es einen Vollständigen Systemscan durchziehen. 2. Starte die Gmer Rootkit Suche. Folge dem blau unterlegten Link und starte Gmer so, wie es in der Anleitung hierzu steht. 3. Starte einen Vollständigen Systemscan mit Avira in diesen folgenden Einstellungen: http://www.trojaner-board.de/54192-a...tellungen.html und lass es durchscannen. Nundenn: 1. Malwarebytes Log 2. Gmer Log 3. Avira Log Alles gefunde entfernen..... |
ah hey Angel ;) Dann mach ich das mal eben :) |
So.. bei mir is alles klar^^ Wie geht es denn dir? Hier deine Logs: Malware: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2775 Windows 6.0.6002 Service Pack 2 19.11.2009 20:38:56 mbam-log-2009-11-19 (20-38-56).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 244182 Laufzeit: 54 minute(s), 47 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden GMER: GMER 1.0.15.15227 - http://www.gmer.net Rootkit scan 2009-11-19 21:18:57 Windows 6.0.6002 Service Pack 2 Running: d9rj7u4b.exe; Driver: C:\Users\PINGCH~1\AppData\Local\Temp\fxlyiaob.sys ---- System - GMER 1.0.15 ---- SSDT 97A4147C ZwCreateThread SSDT 97A41468 ZwOpenProcess SSDT 97A4146D ZwOpenThread SSDT 97A41477 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!KeSetEvent + 221 81CAC964 4 Bytes [7C, 14, A4, 97] {JL 0x16; MOVSB ; XCHG EDI, EAX} .text ntkrnlpa.exe!KeSetEvent + 3F1 81CACB34 4 Bytes [68, 14, A4, 97] .text ntkrnlpa.exe!KeSetEvent + 40D 81CACB50 4 Bytes [6D, 14, A4, 97] {INSD ; ADC AL, 0xa4; XCHG EDI, EAX} .text ntkrnlpa.exe!KeSetEvent + 621 81CACD64 4 Bytes [77, 14, A4, 97] {JA 0x16; MOVSB ; XCHG EDI, EAX} ---- Devices - GMER 1.0.15 ---- Device \Driver\ViPrt \Device\Ide\ViaIdePort0 [805BC80C] \SystemRoot\system32\DRIVERS\ViPrt.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]} Device \Driver\ViPrt \Device\Ide\ViaIdePort1 [805BC80C] \SystemRoot\system32\DRIVERS\ViPrt.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]} ---- Files - GMER 1.0.15 ---- File C:\Windows\system32\drivers\ViPrt.sys suspicious modification ---- EOF - GMER 1.0.15 ---- AntiVir: Suchlauf beendet [Der Suchlauf wurde vollständig durchgeführt.]. Anzahl Dateien: 309507 Anzahl Verzeichnisse: 20774 Anzahl Malware: 0 Anzahl Fehler: 2 |
CustomScan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
OTL.Txt: Code: OTL logfile created on: 20.11.2009 16:28:55 - Run 1 |
Teil 2 OTL.Txt: Code: ========== Files/Folders - Created Within 14 Days ========== |
Extras.Txt: Code: OTL Extras logfile created on: 20.11.2009 16:28:55 - Run 1 |
Noch eine kleine Frage: Kann es sein, dass ich mit diesem Vorgang i-welche Treiber ausgestellt habe? Merke nämlich, dass die Sondertasten meiner Maus nicht mehr funktionieren. (: |
Hast Du eine Windows CD? start --> ausführen (Vista User: suche starten) --> notepad (reinschreiben) Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: @echo offWähle bei Dateityp alle Dateien aus. Bei Codierung bitte ANSI auswählen. Doppelklick auf die service.bat Vista- User: Mit Rechtsklick "als Administrator starten" ausführen. ...................................................................................................................... Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code: Files to move:
|
Falls du diese RecoveryCDs meinst; Ja, die hab ich (: Hier der Log: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: could not move file "C:\ViPrt.sys" File move operation "C:\ViPrt.sys|C:\Windows\System32\drivers\ViPrt.sys" failed! Status: 0xc0000022 (STATUS_ACCESS_DENIED) Completed script processing. ******************* Finished! Terminate. |
Hast du auch die Batch Datei ausgeführt? Also bevor Du Avenger startest. |
Jap, hab ich. Ist es auch normal, dass die dann nur so 0,2sek. offen bleibt? :) |
Ja. Batches sind nur kleine Datein. |
Jap. Dann hat das so gepasst, hab ich auf jeden Fall vorher ausgeführt |
Hast du in C:\ die sys Datei drinne? |
Die was hab ich in C:\ ? Du weisst doch vllt. noch vom letzten mal, dass ich mich nicht soooo top auskenne :P |
Zitat:
|
Ja genau. gefunden. |
Da du Vista User bist: CCleaner und Combofix per Rechtsklick -> "Ausführen Als Administrator" starten. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken! Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] |
Code: ComboFix 09-11-20.01 - PingChanGeR 20.11.2009 20:24.1.2 - x86 |
Neues Gmer Log bitte erstellen. |
Also.. ich habs 2x probiert. beim 1. Versuch hat sich das Programm aufgehängt und Bluescreen. Beim 2. Mal konnte ich mir merken wo, weil's beim 1. mal das selbe war. Code: C:\harddisk\VolumeShadowCopy1 |
Rootkitscan mit RootRepeal
|
Der Log: Code: ROOTREPEAL (c) AD, 2007-2009 |
Starte nochmal Superantispyware und lass es Durchlaufen, Log hier her. Malwarebytes bitte auch nochmal starten, durchsuchen lassen, Log hier her. Zwischenfrage: wie geht es zur Zeit deinem PC? Bin ab Morgen wieder da. |
Ahm :) Wie es meinem PC geht? Du moment.. ich muss ihn erstmal fragen.. ne.. ähm.. läuft ganz normal wie immer UUUUUUND der Virus poppt nimmer auf :) |
Trotzdem noch einige arbeitsanweisungen durchführen ;) |
Joa :) Weiss ich ja noch vom letzten mal :D |
Ja :) *dir mal nen Kaffee reich* das des auch klappt ;) |
ah ne danke :) Ich trink keinen Kaffee :D Ich mach mir aber jetz was zu essen ;) |
SUPERAntiSpyware Log: Code: SUPERAntiSpyware Scan Log |
Schaut gut aus, alles gefundene löschen. Danach Malwarebytes nochmal ;) |
Bin grad dabei^ Großer Meister oder Meisterin? |
Ich war schon damals, als ich dich schonmal bearbeitet hatte w. xD |
:O Das hast du niemals gesagt^^ Jetz weiss ich's aber :D Guuuuut |
Zitat:
|
hehe....nu mach malwarebytes ;P |
jaha Chefin ;) Ich kann auch net zaubern.. dauert hald. |
Sodala: Code: Malwarebytes' Anti-Malware 1.41 |
Deinstalliere Superantispyware bitte - mache nochmal folgende Scans: 1.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade. 2.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation3.) http://www.trojaner-board.de/59299-a...eb-cureit.html 4.) Rootkitsuche mit SysProt
|
Hier Nr. 1: Code: ;*********************************************************************************************************************************************************************************** |
Lade folgendes bei VirusTotal - Free Online Virus and Malware Scan hoch: Zitat:
|
Code: a-squared 4.5.0.41 2009.11.21 Riskware.Keygen.EAGames-Multi!IK |
Lade die Datei mal folgendermaßen hoch: http://www.trojaner-board.de/54791-a...ner-board.html Mache es wie es in der Anleitung steht. :) |
Du hattest diese fff......exe doch mal heruntergeladen gehabt, so wie es aussieht. Wofür ist sie denn gut? :) |
Frag mich nicht.. ich glaub das war ein KeyGenerator für ein paar Spiele oder so. |
Hallo, seufz..... Auch wenns mir hier schwer fällt, da du mir schon sympathisch bist, werde ich auch hier nicht weiter supporten. Bei Cracks und Keygens werden wir uns andere Foren nicht supporten, da dies illegal ist udn wir uns nicht der Mithilfe von Software-Diebstahl quasi schuldig amchen wollen. Du hast eine Windows CD. Bitte setze dein System neu auf und ändere deine Passwörter ab. |
Jap. oK... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board