Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   System komplett im Eimer? (https://www.trojaner-board.de/87654-system-komplett-eimer.html)

Larusso 01.07.2010 11:39
Schritt 1

FixPolicies

Lade das selbstentpackendes Archiv FixPolicies auf Deinen Desktop herunter:
  • Doppelklicke die FixPolicies.exe.
  • Klicke unten auf den "Install" Button.
  • Auf dem Desktop wird ein Ordner namens FixPolicies erstellt.
  • Öffne den Ordner durch Doppelklick und doppelklicke die Datei: Fix_Policies.cmd.
  • Es öffnet sich ein DOS-Fenster und die Richtlinien werden repariert. Das DOS-Fenster schließt sich automatisch.
  • Wenn die Richtlinien durch Malware erneut geändert werden sollte, kann das Tool auch mehrmals laufen, bis die Malware entfernt wurde.


Schritt 2
Code:
:OTL
O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - No CLSID value found.
O4 - HKLM..\Run: [HKLM] D:\WINDOWS\system32\svchost\svchost.exe ()
O4 - HKCU..\Run: [HKCU] D:\WINDOWS\system32\svchost\svchost.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = D:\WINDOWS\system32\svchost\svchost.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = D:\WINDOWS\system32\svchost\svchost.exe ()
:services
:files
D:\WINDOWS\system32\svchost
:reg
:Commands
[purity]
[emptytemp]
[reboot]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


Schritt 3

Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Entferne rechts den Haken bei
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird Gmer beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Schritt 4

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs /s


Bitte poste in Deiner nächsten Antwort
OTLfix Log
Gmer.txt
OTL.txt

bugbugbug 01.07.2010 15:02
Liste der Anhänge anzeigen (Anzahl: 1)
1.OTL
Code:
All processes killed
Error: Unable to interpret <:PTL> in the current context!
Error: Unable to interpret <O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - No CLSID value found> in the current context!
Error: Unable to interpret <O4 - HKLM..\Run: [HKLM] D:\Windows\system32\svchost\svchost.exe ()> in the current context!
Error: Unable to interpret <O4 - HKCU..\Run: [HKCU] D:\Windows\system32\svchost\svchost.exe ()> in the current context!
Error: Unable to interpret <O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = D:\WINDOWS\System32\svchost\svchost.exe ()> in the current context!
Error: Unable to interpret <O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = D:\WINDOWS\system32\svchost\svchost.exe ()> in the current context!
========== SERVICES/DRIVERS ==========
========== FILES ==========
D:\WINDOWS\system32\svchost folder moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes
 
User: Domi
->Temp folder emptied: 25313724 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 85431409 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 4894 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1311939 bytes
%systemroot%\System32 .tmp files removed: 132815 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 19145521 bytes
 
Total Files Cleaned = 125,00 mb
 
 
OTL by OldTimer - Version 3.2.7.0 log created on 07012010_130725

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
GMER:
GMER Logfile:
Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-07-01 15:51:06
Windows 5.1.2600 Service Pack 3
Running: 72cbdyoe.exe; Driver: D:\DOKUME~1\Domi\LOKALE~1\Temp\awtdypog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwAdjustPrivilegesToken [0xF352D58C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwClose [0xF352DE0C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwConnectPort [0xF352E922]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwCreateEvent [0xF352EE94]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwCreateFile [0xF352E0EE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwCreateKey [0xF352C436]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwCreateMutant [0xF352ED6C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwCreateNamedPipeFile [0xF352D192]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwCreatePort [0xF352EC28]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwCreateSection [0xF352D34E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwCreateSemaphore [0xF352EFC6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwCreateSymbolicLinkObject [0xF3530C08]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwCreateThread [0xF352DAAA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwCreateWaitablePort [0xF352ECCA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwDebugActiveProcess [0xF35305FA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwDeleteKey [0xF352C9FA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwDeleteValueKey [0xF352CD88]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwDeviceIoControlFile [0xF352E576]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwDuplicateObject [0xF35315CA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwEnumerateKey [0xF352CECA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwEnumerateValueKey [0xF352CF74]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwFsControlFile [0xF352E382]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwLoadDriver [0xF353068C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwLoadKey [0xF352C412]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwLoadKey2 [0xF352C424]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwMapViewOfSection [0xF3530CBC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwNotifyChangeKey [0xF352D0C0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwOpenEvent [0xF352EF36]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwOpenFile [0xF352DE8E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwOpenKey [0xF352C5DC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwOpenMutant [0xF352EE04]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwOpenProcess [0xF352D792]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwOpenSection [0xF3530C32]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwOpenSemaphore [0xF352F068]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwOpenThread [0xF352D6B6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwQueryKey [0xF352D01E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwQueryMultipleValueKey [0xF352CC46]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwQuerySection [0xF3530FD4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwQueryValueKey [0xF352C896]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwQueueApcThread [0xF3530922]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwRenameKey [0xF352CB0E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwReplaceKey [0xF352C2B0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwReplyPort [0xF352F3F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwReplyWaitReceivePort [0xF352F2B8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwRequestWaitReplyPort [0xF353039A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwRestoreKey [0xF3533E2C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwResumeThread [0xF35314AC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwSaveKey [0xF352C248]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwSecureConnectPort [0xF352E65C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwSetContextThread [0xF352DCC8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwSetInformationToken [0xF352FC4A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwSetSecurityObject [0xF3530786]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwSetSystemInformation [0xF3531114]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwSetValueKey [0xF352C71E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwSuspendProcess [0xF35311F8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwSuspendThread [0xF3531320]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwSystemDebugControl [0xF3530526]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwTerminateProcess [0xF352D90A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwTerminateThread [0xF352D860]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwUnmapViewOfSection [0xF3530E8A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          ZwWriteVirtualMemory [0xF352D9EA]

INT 0x62        ?                                                                                                                                              86DDAC88
INT 0x63        ?                                                                                                                                              86DDAC88
INT 0x73        ?                                                                                                                                              86DDAC88
INT 0x82        ?                                                                                                                                              86DDAC88
INT 0xA4        ?                                                                                                                                              86AA9C88
INT 0xB4        ?                                                                                                                                              86AA9C88

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                                                          IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!FsRtlCheckLockForReadAccess                                                                                                        804E9FA0 5 Bytes  JMP F35224DC \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text          ntkrnlpa.exe!IoIsOperationSynchronous                                                                                                          804EE87E 5 Bytes  JMP F35228B6 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text          ntkrnlpa.exe!ZwCallbackReturn + 23E8                                                                                                            80501C20 4 Bytes  JMP 8E890F77
.text          ntkrnlpa.exe!ZwCallbackReturn + 2434                                                                                                            80501C6C 16 Bytes  [4E, D3, 52, F3, C6, EF, 52, ...]
.text          ntkrnlpa.exe!ZwCallbackReturn + 24F0                                                                                                            80501D28 12 Bytes  [8C, 06, 53, F3, 12, C4, 52, ...]
.text          ntkrnlpa.exe!ZwCallbackReturn + 266C                                                                                                            80501EA4 16 Bytes  [0E, CB, 52, F3, B0, C2, 52, ...]
.text          ntkrnlpa.exe!ZwCallbackReturn + 2760                                                                                                            80501F98 12 Bytes  [F8, 11, 53, F3, 20, 13, 53, ...]
.text          ...                                                                                                                                           
?              spyo.sys                                                                                                                                        Das System kann die angegebene Datei nicht finden. !
.text          USBPORT.SYS!DllUnload                                                                                                                          F66C58AC 5 Bytes  JMP 86AA91D8
init            D:\WINDOWS\system32\drivers\nvax.sys                                                                                                            entry point in "init" section [0xF6915A0C]
.text          D:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                                        section is writeable [0xF5AD8380, 0x550AF5, 0xE8000020]
.text          D:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                                                          section is writeable [0xB83D6300, 0x3ACC8, 0xE8000020]
.text          D:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                                                          section is writeable [0xF784F300, 0x1B7E, 0xE8000020]
.text          i:\Programme\CyberLink\PowerDVD9\PowerDVD9\000.fcl                                                                                              section is writeable [0xB814C000, 0x2892, 0xE8000020]
.vmp2          i:\Programme\CyberLink\PowerDVD9\PowerDVD9\000.fcl                                                                                              entry point in ".vmp2" section [0xB816F050]

---- User code sections - GMER 1.0.15 ----

.text          D:\WINDOWS\Explorer.EXE[1436] D:\WINDOWS\Explorer.EXE                                                                                          section is writeable [0x01001000, 0x44E00, 0xE0000060]
.reloc          D:\WINDOWS\Explorer.EXE[1436] D:\WINDOWS\Explorer.EXE                                                                                          section is executable [0x010FB000, 0x8800, 0xE2000060]
.text          D:\WINDOWS\Explorer.EXE[1436] SHELL32.dll!SHFileOperationW                                                                                      7E720924 5 Bytes  JMP 00CB1102 I:\Programme\Unlocker\UnlockerHook.dll

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                                          86D6C1F8
Device          \Driver\usbstor \Device\0000009c                                                                                                                858B41F8

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                                        kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device          \Driver\usbohci \Device\USBPDO-0                                                                                                                86A8A1F8
Device          \Driver\usbehci \Device\USBPDO-1                                                                                                                868881F8
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                                                      86DDB1F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                                                        86DDB1F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                                            86DDB1F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                                                          86DDB1F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{46B4FD13-4407-42E5-848C-48018AA13FD9}                                                                        85A301F8

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                      kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                                                          86D6F1F8
Device          \Driver\usbstor \Device\000000a3                                                                                                                858B41F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                                                          86D6F1F8
Device          \Driver\usbstor \Device\000000a4                                                                                                                858B41F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                                                    86AA81F8
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                                                          86D6F1F8
Device          \Driver\usbstor \Device\000000a5                                                                                                                858B41F8
Device          \Driver\Cdrom \Device\CdRom1                                                                                                                    86AA81F8
Device          \Driver\usbstor \Device\000000a6                                                                                                                858B41F8
Device          \Driver\Cdrom \Device\CdRom2                                                                                                                    86AA81F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                                                        85A301F8
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                                                85A301F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{256C6E2C-2C0B-4CED-9CA5-37F54D316102}                                                                        85A301F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{3945B1E1-4FB6-48B2-B36E-BCF2FD1C2C01}                                                                        85A301F8

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                                      kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                                    kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device          \Driver\PCI_PNP7148 \Device\0000006b                                                                                                            spyo.sys
Device          \Driver\usbohci \Device\USBFDO-0                                                                                                                86A8A1F8
Device          \Driver\usbehci \Device\USBFDO-1                                                                                                                868881F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                                              858C91F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                                                    858C91F8
Device          \Driver\Ftdisk \Device\FtControl                                                                                                                86D6F1F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{33A11381-5C66-4AE5-AEAE-96C679A672C5}                                                                        85A301F8
Device          \Driver\sptd \Device\3179852148                                                                                                                spyo.sys
Device          \Driver\af4samwd \Device\Scsi\af4samwd1                                                                                                        86A12470
Device          \Driver\af4samwd \Device\Scsi\af4samwd1Port4Path0Target0Lun0                                                                                    86A12470
Device          \FileSystem\Cdfs \Cdfs                                                                                                                          85AA31F8

---- Threads - GMER 1.0.15 ----

Thread          System [4:1636]                                                                                                                                F2BFE570
Thread          System [4:1640]                                                                                                                                F2BF2190

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                                           
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                                                0xA4 0x0A 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                                0
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                              0x65 0x78 0x06 0xEE ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                                i:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)                                 
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                                        0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                                    0xAD 0xA9 0xF8 0x82 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)                             
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                                0x64 0xF1 0xFC 0x99 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                                              771343423
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                                              285507792
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                                              1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                                               
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                                            0x00 0x00 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                            0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                          0x3A 0x54 0x66 0xE5 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                            i:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                                0xAD 0xA9 0xF8 0x82 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                                    0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                                                 
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                            0xF4 0x96 0xAB 0xB7 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1                                                 
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                                            0x15 0xE0 0x0E 0x87 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                                           
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                                                0x00 0x00 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                                0
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                              0x3A 0x54 0x66 0xE5 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                                i:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)                                 
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                                    0xAD 0xA9 0xF8 0x82 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                                        0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)                             
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                                0xF4 0x96 0xAB 0xB7 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)                             
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                                                0x15 0xE0 0x0E 0x87 ...
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                                                         
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG12.00.00.01PROFESSIONAL                                                         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
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8763EB9E-CE45-A695-380A-4F0643376F74}                               
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8763EB9E-CE45-A695-380A-4F0643376F74}@oahfhhikldbcbhjmjdihkdkpjhmlek  0x69 0x61 0x63 0x6F ...
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8763EB9E-CE45-A695-380A-4F0643376F74}@nafgjdcgoneamjfchnkpjlbmgpfa    0x69 0x61 0x63 0x6F ...

---- EOF - GMER 1.0.15 ----
--- --- ---

bugbugbug 01.07.2010 15:07
Wenn ich den 2.OTL log poste kommt ein Fehler in der functions.php auf Linie 1838
2.OTL: http://www.mediafire.com/?h2xlyzmtjih

Sieht schon wieder besser aus :D
einfügen geht wieder, drag and drop auch, fenster sind zwar in der taskleiste,aber rechts bei der Uhr statt links bei den Schnellstarticons

Hier ein Bild: http://www.trojaner-board.de/attachm...1&d=1277992885

Larusso 01.07.2010 15:17
Toll wenn einfügen wieder geht, warum nutzt du es dann nicht ? :rolleyes:

Wo ist die OTL logfile ?

bugbugbug 01.07.2010 15:22
Zitat:
Zitat von Larusso (Beitrag 538020)
Toll wenn einfügen wieder geht, warum nutzt du es dann nicht ? :rolleyes:

Wo ist die OTL logfile ?
Wenn ich die OTL vom 4.Schritt einfüge kommt "Fatal error: Maximum execution time of 30 seconds exceeded in /www/htdocs/tbcom/includes/functions.php on line 1838" :heilig:

Larusso 01.07.2010 15:24
start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
@echo off
cd \
rd /s /q D:\Windows\system32\svchost
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs" > "%temp%\look.txt"
notepad "%temp%\look.txt"
del %0
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat, poste mir den Inhalt des Textdokuments.
Vista- User: Mit Rechtsklick "als Administrator starten"

bugbugbug 01.07.2010 15:28
Zitat:
Zitat von Larusso (Beitrag 538025)
start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
@echo off
cd \
rd /s /q D:\Windows\system32\svchost
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs" > "%temp%\look.txt"
notepad "%temp%\look.txt"
del %0
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat, poste mir den Inhalt des Textdokuments.
Vista- User: Mit Rechtsklick "als Administrator starten"

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs
Description REG_SZ Endpunktzuordnung und andere verschiedene RPC-Dienste.
DisplayName REG_SZ Remoteprozeduraufruf (RPC)
ErrorControl REG_DWORD 0x1
Group REG_SZ COM Infrastructure
ImagePath REG_EXPAND_SZ %SystemRoot%\system32\svchost -k rpcss
ObjectName REG_SZ NT Authority\NetworkService
Start REG_DWORD 0x2
Type REG_DWORD 0x10
FailureActions REG_BINARY 00000000000000000000000001000000000000000200000060EA0000
ServiceSidType REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Enum

Larusso 01.07.2010 15:30
Du brauchst mich nicht zitieren. Ich weiß was ich schreibe.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
    • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
    • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

bugbugbug 01.07.2010 15:55
Bei mir hat es den PC neugestartet und danach noch irgendwas gemacht
Jetzt ist weder in C: noch in D: ein Log...
Aber dort ist eine Datei Namens ComboFix, wenn ich sie öffne komme ich in sowas wie den Arbeitsplatz.
Wenn ich das packe, sehe ich ein paar Dateien und 1 Ordner, aber keine .txt

Larusso 01.07.2010 16:01
lass es erneut laufen

bugbugbug 01.07.2010 16:38
Beendet sich das von selbst oder warte ich gerade um sonst? xD

Larusso 01.07.2010 16:52
Wenn Du dir einmal angewöhnen würdest, genau fragen zum Problem zu stellen kann ich dir auch helfen. Wobei ich dir nicht sagen kann ob ich dein versautes System überhaupt wieder gerade bekomme :kloppen:

bugbugbug 01.07.2010 17:00
Ich wollte nur wissen ob sich combofix automatisch beendet oder ob ich es zumachen soll
Läuft nämlich schon ewig

Larusso 01.07.2010 17:01
Mit welchem Rechner bist du hier online ?

bugbugbug 01.07.2010 17:21
Jetzt bin ich mit iPhone da


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:25 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131