Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Malware Spyware.passwords.xgen durch Malwarebyte Anti-Malware erkannt. (https://www.trojaner-board.de/92438-malware-spyware-passwords-xgen-malwarebyte-anti-malware-erkannt.html)

daba12 02.11.2010 16:20
Malware Spyware.passwords.xgen durch Malwarebyte Anti-Malware erkannt.
 
Guten Tag,

gestern hat Malwarebytes Anti-Malware folgenden Befall festgestellt:
"Spyware.passwords.xgen"

siehe Logfile:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4986

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.11.2010 21:20:16
mbam-log-2010-11-01 (21-20-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 384706
Laufzeit: 1 Stunde(n), 40 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Vorlagen\memory.tmp (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.


Zur Vorgeschichte:
Ich hatte vor ca. zwei Monaten erstmaligen Befall von Schädlingen. Hier der damalige Bericht:
Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3458
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.09.2010 12:30:16
mbam-log-2010-09-04 (12-30-16).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 158536
Laufzeit: 15 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 3
Infizierte Dateien: 31

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data (Adware.PriceGong) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\1.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\a.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\b.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\c.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\d.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\e.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\f.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\g.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\h.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\i.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\J.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\k.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\l.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\m.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\mru.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\n.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\o.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\p.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\q.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\r.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\s.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\t.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\u.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\v.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\w.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\x.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\y.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\z.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
C:\WINDOWS\Jimmy Neutron 2.dat (Trojan.Agent) -> Quarantined and deleted successfully.

Das Problem danach war, das mein TCP/IP überhaupt nicht mehr funktionierte (ich kam also nicht mehr ins Internet). Nach diversen Reparaturversuchen die leider alle keinen sichtbaren Erfolg hatten, habe ich Ende letzer Woche die Datei "tcpip.sys" im Verzeichnis "C:\WINDOWS\system32\drivers" mit der gleichen Datei eines funktionierenden Systems ausgetauscht.
Und nach einem Neustart hat das Internet auch tatsächlich wieder funktioniert.
Das war deshalb für mich sehr überraschend, weil ich das zwei Wochen vorher schon mal probiert hatte und es damals nicht geklappt hatte.
Na wie auch immer.
Das Internet funktioniert, allerdings hatte sich Firefox in seltenen Fällen etwas merkwürdig verhalten.

1. Bei einer bestimmten Seite kam es verstärkt zu Abstürzen
2. Bei Klick auf eine in Google gefundene Seite wurde mir eine andere Seite aufgerufen.


Malwarebytes brachte oben aufgeführtes Ergebnis.
Als Virenscanner setze ich ausserdem "AVG" ein, Betriebssystem ist XP SP3.

Bitte schreibt mir, wie ich nun genau vorzugehen habe um den Rechner möglichst sauber zu bekommen.
Vielen Dank.

cosinus 02.11.2010 17:51
Zitat:
Datenbank Version: 4986
Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

daba12 02.11.2010 18:29
ich habe heute erneut einen vollscan mit vorheriger aktualisierung.
da ich den schädling gestern behoben habe, ist heute kein fehler mehr aufgetreten.

hier das logfile:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5021

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02.11.2010 16:00:40
mbam-log-2010-11-02 (16-00-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 385984
Laufzeit: 1 Stunde(n), 43 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 02.11.2010 20:01
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

daba12 02.11.2010 20:21
test
test
ich kann nicht posten

daba12 02.11.2010 20:23
verstehe ich nicht, immer wenn ich versuche die beiden logfiles zu posten kommt eine meldung, dass die seite gerade nicht verfügbar ist.

cosinus 02.11.2010 20:30
Pack die beiden Logs in eine ZIP-Datei und hänge diese hier an

daba12 02.11.2010 20:33
hier ist logfile eins als dateianhang

daba12 02.11.2010 20:35
hier das zweite logfile

cosinus 03.11.2010 13:07
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
DRV - (pnicml) -- C:\DOKUME~1\***\LOKALE~1\Temp\pnicml.sys File not found
O4 - HKLM..\Run: []  File not found
O33 - MountPoints2\{8dc68405-af58-11dd-8d52-00137217a22c}\Shell\AutoRun\command - "" = J:\Pigloo.exe -- File not found
@Alternate Data Stream - 145 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:740C3731
@Alternate Data Stream - 127 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E4EA859B
@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

daba12 03.11.2010 13:57
Liste der Anhänge anzeigen (Anzahl: 1)
hallo,

werde ich gleich machen.
als ich den rechner gerade gestartet hat, hat mir der virenscanner avg eine neue bedrohung gemeldet. ich füge sie dir als datei bei.

daba12 03.11.2010 14:24
hier das log:
All processes killed
Error: Unable to interpret <OTL> in the current context!
Error: Unable to interpret <DRV - (pnicml) -- C:\DOKUME~1\***\LOKALE~1\Temp\pnicml.sys File not found> in the current context!
Error: Unable to interpret <O4 - HKLM..\Run: [] File not found> in the current context!
Error: Unable to interpret <O33 - MountPoints2\{8dc68405-af58-11dd-8d52-00137217a22c}\Shell\AutoRun\command - "" = J:\Pigloo.exe -- File not found> in the current context!
Error: Unable to interpret <@Alternate Data Stream - 145 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:740C3731> in the current context!
Error: Unable to interpret <@Alternate Data Stream - 127 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E4EA859B> in the current context!
Error: Unable to interpret <@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2> in the current context!
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Adel
->Temp folder emptied: 242118595 bytes
->Temporary Internet Files folder emptied: 24389550 bytes
->Java cache emptied: 472050 bytes
->FireFox cache emptied: 144514289 bytes
->Flash cache emptied: 143145 bytes

User: Admin
->Temp folder emptied: 152300404 bytes
->Temporary Internet Files folder emptied: 67341528 bytes
->Java cache emptied: 255968 bytes
->FireFox cache emptied: 3092188 bytes
->Flash cache emptied: 14367 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: Alan
->Temp folder emptied: 8409416 bytes
->Temporary Internet Files folder emptied: 37528768 bytes
->FireFox cache emptied: 37707803 bytes
->Flash cache emptied: 6941 bytes

User: All Users

User: ***
->Temp folder emptied: 50490683 bytes
->Temporary Internet Files folder emptied: 12729828 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 137962179 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 5239 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 83 bytes

User: Kinga
->Temp folder emptied: 8183362 bytes
->Temporary Internet Files folder emptied: 196090410 bytes
->Java cache emptied: 1504873 bytes
->FireFox cache emptied: 17354112 bytes
->Flash cache emptied: 14318 bytes

User: LocalService
->Temp folder emptied: 2199356 bytes
->Temporary Internet Files folder emptied: 186786 bytes
->Flash cache emptied: 1612 bytes

User: NetworkService
->Temp folder emptied: 2132536 bytes
->Temporary Internet Files folder emptied: 3877990 bytes
->Flash cache emptied: 4258 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 5098731 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 66548117 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.166,00 mb


OTL by OldTimer - Version 3.2.17.2 log created on 11032010_141014

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF14A5.tmp moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S8W77Y2R\imp-772050200[1].txt moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S8W77Y2R\setCookie[1].txt moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S3MJ3ILC\97444194[1].txt moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S3MJ3ILC\contact[1].txt moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S3MJ3ILC\cookie-setting-page[1].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4E8E6PY8\htb[1].htm moved successfully.
File\Folder C:\WINDOWS\temp\ZLT02721.TMP not found!

Registry entries deleted on Reboot...

cosinus 03.11.2010 15:27
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

daba12 03.11.2010 16:36
leider habe ich jetzt ein neues problem.
der cofi.exe gefällt mein avg scanner nicht.

leider kann ich die anwendung nicht deinstallieren. anbei die fehlermeldung.

Arbeitsplatz: Installation fehlgeschlagen
Installation:
Fehler: Aktion Registryschlüssel HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Erstellen eines Registry-Schlüssels... fehlgeschlagen.
Der Zugriff wird verweigert.

cosinus 03.11.2010 19:11
AVG bitte vorher deinstallieren, CF mag das nicht ;)

daba12 03.11.2010 19:18
verstehe,
aber wie schon geschrieben lässt sich AVG bei mir nicht deinstallieren.
kannst du mir einen tip geben, wie ich um den fehler (siehe oben) rumkomme?
oder hast du ein anderes programm ausser cofi.exe?

cosinus 03.11.2010 19:26
Ok hab das überlesen :wtf:
Versuch mal den AVG-Remover => AVG - Tools-Download

daba12 04.11.2010 16:04
hallo,

das ganze gestaltet sich kompliziert.
die deinstallation von avg hat mit dem tool geklappt. gut.
im prüfverlauf hat cofi.exe einen rootkit befall festgestellt und neu gebootet.
danach hat das programm automatisch weitergemacht (mit den stufen).
ich habe das dann nicht mehr verfolgt und auf einmal hatte ich einen blauen bildschirm mit der meldung:
Bad Pool header

ich habe dann neu gestartet (also den pc) und windows meldete mir einige fehler (siehe beigefügtes dokument)


danach habe ich cofi.exe auch nochmal gestartet.
es kam erneut zu einem blue screen, diesmal mit der meldung:
Irql_not_less_or_equal

(dieses mal hatte ich aber auch vergessen zone alarm zu beenden).

nach erneutem pc reboot und cofi start habe ich genauer geachtet was passiert bevor erneut der blue screen mit Bad Pool header kam.
der fehler kam als alle stufen beendet waren (so glaube ich). die letzte meldung jedoch war "lösche Dateien".

Was können wir jetzt machen?

cosinus 04.11.2010 19:16
Zitat:
(dieses mal hatte ich aber auch vergessen zone alarm zu beenden).
ZoneAlarm bitte deinstalliert, das Teil ist eh kontraproduktiv und unnötig.
Versuch dann CF bitte nochmal.

daba12 04.11.2010 20:01
habe zone alarm deinstalliert.

das combofix bricht mit dem gleichen fehler wieder ab (blue screen).

cosinus 04.11.2010 21:04
Ok, wenn CF nicht will :balla:

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

daba12 04.11.2010 21:39
wie du schon angekündigt hast, ist auch GMER zwei mal abgestürtzt. die beiden anderen programme sind durchgelaufen. ich habe dir die zwei logs beigefügt.
danke schön.

ps. dateien mit endung .log kann man nicht hochladen. evtl. sollte man das in deiner beschreibung anpassen.

cosinus 04.11.2010 22:00
Zitat:
"mchInjDrv" (mchInjDrv) - ? - C:\WINDOWS\TEMP\mc23.tmp (File not found)
"pnicml" (pnicml) - ? - C:\DOKUME~1\Boris\LOKALE~1\Temp\pnicml.sys (File not found)
Bitte mit osam deaktivieren und löschen

daba12 04.11.2010 22:18
sorry, was soll ich da genau machen?

cosinus 04.11.2010 22:24
Lies doch einfach mal die Anleitung von osam

daba12 04.11.2010 22:25
ah ok, ich habs gerade gelesen.

daba12 04.11.2010 22:56
ok.

ich hoffe ich habe das jetzt richtig gemacht. hier die logs,

cosinus 05.11.2010 01:01
Dieses mchInjDrv (mad code hook injection driver) ist da immer noch drin, es kann für böse Zwecke verwendet werden, muss aber nicht. Nur wenn wir das Fixen sollte es auch dauerhaft weg sein und nicht wieder auftauchen :balla:

Deaktivier und lösch es bitte nochmal mit OSAM, überprüf dann ob es auch wirklich weg ist.

daba12 05.11.2010 01:48
ja, ich habe auch gesehen das es (wieder) drin war.
kann es sein, das der eintrag ursprünglich mehrfach drin war und ich aber nur einmal demarkiert habe?
ich werde es nochmal probieren.

danke und bis später.

daba12 05.11.2010 10:26
hallo.
der eintrag wird wohl automatisch erzeugt. ich habe ihn deaktiviert und nach dem neustart war er wieder da, mit einer neuen temp-datei (siehe beigefügte datei osam051110b.doc).

was sollen wir jetzt machen?

cosinus 05.11.2010 15:51
Probier bitte GMER nochmal aus. Notfalls im abgesicherten Modus.

daba12 05.11.2010 16:01
sorry: wie starte ich im abgesicherten modus?

cosinus 05.11.2010 16:18
Bei so einfachen Sachen kann manauch mal auf die Idee kommen, Google zu benutzen :balla:

http://de.wikipedia.org/wiki/Abgesicherter_Modus

daba12 06.11.2010 08:56
hallo,

hier das logfile von gmer.

grüße

cosinus 06.11.2010 16:11
Sieht auch unauffällig aus.
Probier CF bitte nochmal aus, lad zuvor eine neue cofi.exe runter. Die alte vorher natürlich löschen.

daba12 08.11.2010 19:34
hallo,

cofi hat leider wieder bluescreens erzeugt.
habe das programm daher auch mal im abgesicherten modus laufen lassen.
dort war es erfolgreicher.

hier das protokoll:Combofix Logfile:
Code:
ComboFix 10-11-07.A2 - *** 08.11.2010  17:39:59.6.2 - x86 NETWORK
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1631 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\dokumente und einstellungen\***\Anwendungsdaten\PnkBstrB.exe
c:\dokumente und einstellungen\***\Desktop\2 verschiedene Angebotsbeispiele für Alan2.pdf 
c:\windows\system\Vb40032.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2010-10-08 bis 2010-11-08  ))))))))))))))))))))))))))))))
.

2010-11-06 21:04 . 2010-11-06 21:04        --------        d-----w-        c:\dokumente und einstellungen\Adel\Anwendungsdaten\AVG10
2010-11-06 08:34 . 2010-11-06 08:34        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\AVG10
2010-11-06 08:30 . 2010-11-06 08:30        --------        d--h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Common Files
2010-11-06 08:29 . 2010-11-08 15:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG10
2010-11-06 08:27 . 2010-11-06 08:28        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData
2010-11-06 08:02 . 2010-06-28 11:59        69120        ----a-w-        c:\windows\system32\zlcomm.dll
2010-11-06 08:02 . 2010-06-28 11:59        103936        ----a-w-        c:\windows\system32\zlcommdb.dll
2010-11-06 08:02 . 2010-11-06 08:02        --------        d-----w-        c:\windows\system32\ZoneLabs
2010-11-06 08:02 . 2010-06-28 11:59        1238528        ----a-w-        c:\windows\system32\zpeng25.dll
2010-11-06 08:02 . 2010-11-06 08:02        --------        d-----w-        c:\programme\Zone Labs
2010-11-04 21:24 . 2010-11-05 09:04        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Online Solutions
2010-11-04 20:34 . 2010-09-18 06:52        954368        ------w-        c:\windows\system32\dllcache\mfc40.dll
2010-11-04 20:34 . 2010-09-18 06:52        953856        ------w-        c:\windows\system32\dllcache\mfc40u.dll
2010-11-04 20:34 . 2010-09-18 06:52        974848        ------w-        c:\windows\system32\dllcache\mfc42.dll
2010-11-04 20:33 . 2010-08-23 16:11        617472        ------w-        c:\windows\system32\dllcache\comctl32.dll
2010-11-04 18:44 . 2010-11-08 16:42        --------        d-----w-        c:\windows\Internet Logs
2010-11-03 23:18 . 2010-11-03 23:18        --------        d-----w-        c:\dokumente und einstellungen\Adel\Lokale Einstellungen\Anwendungsdaten\Google
2010-11-03 15:14 . 2010-11-03 15:14        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2010-11-03 15:09 . 2010-11-06 13:14        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp
2010-11-03 13:10 . 2010-11-03 13:10        --------        d-----w-        C:\_OTL
2010-11-02 14:48 . 2010-11-02 14:48        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\McAfee
2010-11-01 13:50 . 2010-11-01 13:50        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-11-01 07:36 . 2010-11-01 07:36        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-11-01 07:35 . 2010-11-01 07:36        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-11-01 07:08 . 2010-11-01 07:08        --------        d-----w-        c:\dokumente und einstellungen\Adel\Anwendungsdaten\CheckPoint
2010-10-30 13:48 . 2010-10-30 13:48        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2010-10-30 13:48 . 2010-11-01 13:49        --------        d-----w-        c:\programme\McAfee Security Scan
2010-10-30 13:47 . 2010-10-30 13:51        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2010-10-30 13:47 . 2010-10-30 13:47        --------        d-----w-        c:\programme\NOS
2010-10-29 08:52 . 2010-10-29 08:52        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2010-10-29 08:18 . 2010-10-29 08:18        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\CheckPoint
2010-10-29 08:17 . 2010-10-29 08:17        --------        d-----w-        c:\programme\CheckPoint
2010-10-29 08:17 . 2010-06-28 12:00        46592        ----a-w-        c:\windows\system32\vsutil_loc0407.dll
2010-10-28 17:27 . 2010-10-28 17:31        --------        d-----w-        c:\programme\Support Tools
2010-10-16 14:11 . 2010-10-16 14:11        --------        d-----w-        c:\windows\system32\wbem\Repository
2010-10-16 14:10 . 2010-10-16 14:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\TiVo Shared
2010-10-16 14:09 . 2010-10-16 14:10        --------        d-----w-        c:\windows\system32\DLA
2010-10-16 14:09 . 2010-10-16 14:45        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-10-16 14:09 . 2010-10-16 14:09        --------        d-----w-        c:\programme\VoipStunt.com
2010-10-16 14:09 . 2010-10-16 14:09        --------        d-----w-        c:\programme\toswinst
2010-10-16 14:08 . 2010-10-16 14:08        --------        d-----w-        c:\programme\DEUTSCHLAND SPIELT

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-22 12:00 . 2005-08-19 23:34        163644        ----a-w-        c:\windows\system32\drivers\secdrv.sys
2010-09-18 11:22 . 2005-08-19 23:33        974848        ----a-w-        c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2005-08-19 23:33        974848        ----a-w-        c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2005-08-19 23:33        954368        ----a-w-        c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2005-08-19 23:33        953856        ----a-w-        c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2005-08-19 23:34        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2005-08-19 23:33        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2005-08-19 23:33        1469440        ------w-        c:\windows\system32\inetcpl.cpl
2010-09-01 11:50 . 2005-08-19 23:33        285824        ----a-w-        c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2005-08-19 23:34        1852928        ----a-w-        c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2005-08-19 23:34        119808        ----a-w-        c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2005-08-19 23:34        99840        ----a-w-        c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2006-04-26 17:51        357248        ----a-w-        c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2005-08-19 23:33        617472        ----a-w-        c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2005-08-19 23:34        58880        ----a-w-        c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2005-08-19 23:34        590848        ----a-w-        c:\windows\system32\rpcrt4.dll
2008-08-13 21:46 . 2008-08-13 21:46        8289720        ----a-w-        c:\programme\FLV PlayerRCATSetup.exe
2008-08-13 21:43 . 2008-08-13 21:43        411248        ----a-w-        c:\programme\FLV PlayerRCSetup.exe
1996-08-23 11:05 . 2007-06-04 10:54        499712        ----a-w-        c:\programme\demorash.exe
1995-05-31 23:41 . 2007-06-04 10:54        28672        ----a-w-        c:\programme\aweman32.dll
2007-03-09 07:12        27648        --sha-w-        c:\windows\system32\AVSredirect.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-04-27 08:08        2393184        ----a-w-        c:\programme\DVDVideoSoftTB\tbDVDV.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-08 7110656]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2010-06-29 139264]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-06-10 249856]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2010-06-28 1043968]
"ISW"="c:\programme\CheckPoint\ZAForceField\ForceField.exe" [2010-06-15 738808]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Mozilla Firefox.lnk - c:\programme\Mozilla Firefox\firefox.exe [2006-5-26 912344]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
avgrsstx.dll [BU]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04        39792        ----a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
2005-05-17 15:42        933888        ------w-        c:\programme\Brother\ControlCenter2\brctrcen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher]
2005-10-05 02:12        94208        ----a-w-        c:\programme\Dell\Media Experience\DMXLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DNS7reminder]
2007-03-01 07:21        259624        ----a-w-        c:\programme\Nuance\NaturallySpeaking9\Ereg\Ereg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
2005-09-29 13:01        67584        ----a-w-        c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FinePrint Dispatcher v5]
2008-03-05 08:12        516096        ----a-w-        c:\windows\system32\spool\drivers\w32x86\3\fpdisp5a.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
2005-03-17 12:45        40960        ----a-w-        c:\programme\ScanSoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2005-06-10 09:44        249856        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2005-06-10 09:44        81920        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2008-10-01 17:57        289576        ----a-w-        c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKDetectorExe]
2005-08-12 14:16        1121792        ----a-w-        c:\programme\McAfee\SpamKiller\MSKDetct.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
c:\programme\Ahead\Nero BackItUp\NBJ.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2005-03-17 12:25        57393        ----a-w-        c:\programme\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-09-06 14:09        413696        ----a-w-        c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE]
2002-02-04 20:32        53248        ------w-        c:\programme\REGSHAVE\REGSHAVE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-01-29 13:01        23975720        ----a-r-        c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 07:03        210472        ----a-w-        c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-11 02:17        149280        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [BU]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SigmatelSysTrayApp"=stsystra.exe
"DLA"=c:\windows\System32\DLA\DLACTRLW.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=

R0 pe3ajfae;Anno 1503 Zlota Edycja Environment Driver (pe3ajfae);c:\windows\system32\drivers\pe3ajfae.sys [13.02.2007 17:26 65432]
R0 ps6ajfae;Anno 1503 Zlota Edycja Synchronization Driver (ps6ajfae);c:\windows\system32\drivers\ps6ajfae.sys [13.02.2007 17:25 52128]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\programme\Symantec\LiveUpdate\AluSchedulerSvc.exe [29.09.2006 21:32 100032]
S2 dpFixupService;dp Fixup Service;c:\windows\system32\dpFixupSvc.exe [05.11.2006 09:46 453632]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [30.01.2010 10:32 233472]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [03.11.2010 16:09 136176]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programme\CheckPoint\ZAForceField\ISWKL.sys [15.06.2010 16:49 26872]
S2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programme\CheckPoint\ZAForceField\ISWSVC.exe [15.06.2010 16:49 493048]
S2 pr2ajfae;Anno 1503 Zlota Edycja Drivers Auto Removal (pr2ajfae);c:\windows\system32\pr2ajfae.exe svc --> c:\windows\system32\pr2ajfae.exe svc [?]
S3 imhidusb;Immersion's HID USB Driver;c:\windows\system32\drivers\imhidusb.sys [28.10.2007 11:06 31740]
S3 KZM;KZM;c:\dokume~1\***\LOKALE~1\Temp\KZM.exe --> c:\dokume~1\***\LOKALE~1\Temp\KZM.exe [?]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [20.08.2005 00:34 14336]
S3 ONPIZ;ONPIZ;c:\dokume~1\***\LOKALE~1\Temp\ONPIZ.exe --> c:\dokume~1\***\LOKALE~1\Temp\ONPIZ.exe [?]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [24.07.2008 18:57 356920]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\drivers\ss_bbus.sys [30.01.2010 10:34 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\drivers\ss_bmdfl.sys [30.01.2010 10:34 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\drivers\ss_bmdm.sys [30.01.2010 10:34 121856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
nosGetPlusHelper        REG_MULTI_SZ          nosGetPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-11-08 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 16:47]

2010-11-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-11-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-03 15:09]

2010-11-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-03 15:09]

2006-05-08 c:\windows\Tasks\ISP-Anmeldungserinnerung 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-08-19 02:22]

2010-11-06 c:\windows\Tasks\MT66 Software Update.job
- c:\programme\Gemeinsame Dateien\MT66 Software Update\UpdateClient.exe [2010-07-19 16:44]

2010-11-05 c:\windows\Tasks\Norton Security Scan.job
- c:\programme\Norton Security Scan\Nss.exe [2007-09-18 21:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.hopsurf.com
uInternet Connection Wizard,ShellNext = hxxp://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Download all by YouTube Robot - c:\programme\YouTubeRobot\downall.htm
IE: Download by YouTube Robot - c:\programme\YouTubeRobot\downlink.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
Trusted Zone: gmx.net\www
Trusted Zone: one.com\www
DPF: {19D6A3D5-EA50-4C3B-88F0-79627C325570} - hxxps://www.one.com/static/controls/IlosoftMultipleImageUpload.dll
DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} - hxxps://www.bph.pl/pi/components/SignActivX.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\709avohp.testowski\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - component: c:\programme\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerMozillaPlugin.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\709avohp.testowski\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\709avohp.testowski\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\709avohp.testowski\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll
FF - plugin: c:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPSignPlugin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programme\Picasa2\npPicasa2.dll
FF - plugin: c:\programme\Picasa2\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{A9B9A6EC-E36C-4A97-8793-C338B719E637} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-08 17:46
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1213030578-4053276220-2237851632-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:1e,3b,a4,67,f7,12,61,86,94,34,db,10,dd,6a,2b,5e,04,06,ce,30,b1,9b,04,
  fa,a7,b8,f8,48,69,0d,ee,b5,a2,6d,2a,4d,03,72,d3,0d,fa,ff,7f,0f,c2,b6,ac,d3,\
"??"=hex:05,42,bb,d7,92,a2,bd,6b,4a,6c,1e,c1,c3,f0,b4,3b

[HKEY_USERS\S-1-5-21-1213030578-4053276220-2237851632-1005\Software\SecuROM\License information*]
"datasecu"=hex:f2,aa,36,a2,a3,eb,b2,39,c6,3a,09,db,18,eb,78,41,cb,7f,df,2b,df,
  0b,c7,2d,79,5a,32,df,6c,bc,63,b3,d7,c7,0d,b4,f4,7e,c9,11,91,31,67,e8,8f,8b,\
"rkeysecu"=hex:6c,06,98,ee,38,29,de,54,a4,4f,6a,f4,39,6f,aa,95
.
Zeit der Fertigstellung: 2010-11-08  17:48:13
ComboFix-quarantined-files.txt  2010-11-08 16:48

Vor Suchlauf: 27 Verzeichnis(se), 15.967.854.592 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 15.950.761.984 Bytes frei

- - End Of File - - 05A41AA606A6D8A42CD614A8E9CD16ED
--- --- ---

cosinus 09.11.2010 01:31
Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
drivers to delete:
KZM
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

daba12 09.11.2010 02:23
hallo,

hier ist das logfile von avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "KZM" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

cosinus 09.11.2010 02:36
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

daba12 09.11.2010 20:29
hallo,

hier ist schon mal der malwarebytes scan. das andere programm lasse ich auch gleich laufen.

logfile:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 5083

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.11.2010 20:27:59
mbam-log-2010-11-09 (20-27-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 372275
Laufzeit: 1 Stunde(n), 39 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

daba12 10.11.2010 00:18
hier das logfile von dem anderen programm.
es wurden bedrohungen gefunden.

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 11/09/2010 at 10:53 PM

Application Version : 4.45.1000

Core Rules Database Version : 5834
Trace Rules Database Version: 3646

Scan type : Complete Scan
Total Scan Time : 02:15:24

Memory items scanned : 536
Memory threats detected : 0
Registry items scanned : 9538
Registry threats detected : 0
File items scanned : 179379
File threats detected : 10

Adware.Tracking Cookie
asset2.countrylife.joyeurs.com [ C:\Dokumente und Einstellungen\Adel\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\582VL5SP ]

BearShare File Sharing Client
C:\PROGRAMME\BEARSHARE APPLICATIONS\BEARSHARE\BEARSHARE.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\INTERNET\DOWNLOADPROGRAMME\BEARSHARE\BEARSHARE.LNK

Rootkit.Agent/Gen-TDSS
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\DRIVERS\IPSEC.SYS.VIR

Trojan.Agent/Gen
C:\SYSTEM VOLUME INFORMATION\_RESTORE{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP406\A0087776.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP406\A0088849.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP406\A0089849.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP406\A0090856.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP406\A0091987.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP414\A0097530.EXE

cosinus 10.11.2010 08:44
SASW hat nur ein Cookies, eine potentielle Bedrohung in Bearshare (den Mist am besten deinstallieren) und Überreste gefunden (im CF-Quarantäneordner, da ist es harmlos, und in der Systemwiederherstellung)

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

daba12 10.11.2010 14:13
hallo,

ok, ich habe die option gesetzt.

wann kann ich die option wieder deaktivieren (eventuell könnte die funktion doch in zukunft wieder wichtig sein)?

danke sehr für deine hilfe.

cosinus 10.11.2010 14:47
Du kannst es sofort wieder aktivieren, falls du die swh brauchst.
Noch Probleme oder weitere Funde in der Zwischenzeit?

daba12 11.11.2010 12:54
hallo,

ich habe bisher keine weiteren bedrohungen festgestellt.
mein avg virenscanner liefert seit der neuinstallation eine fehlermeldung (siehe anlage). ich habe das programm nochmal neu installiert. die meldung kommt dennoch.
kannst du dir evtl. vorstellen voran das liegen könnte bzw. wie wichtig das ist?
warum haben die beiden malwaresuchprogramme eigentlich unterschiedliche ergebnisse gebracht?

wie sehr kann ich meinem pc jetzt deiner einschätzung nach vertrauen?
könnte ich wieder onlinebanking und andere eher delikate vorgänge machen?
wie kann ich mich in zukunft noch besser schützen?

danke sehr für deine hilfe

cosinus 11.11.2010 22:14
Das hat aber nichts mehr mit einem Schädling zu tun. Ihm fehlt eine Datei, so wie es da auch steht.
http://www.dll-files.com/msvcp80.zip?0VKlS0dMgP

Runterladen, entpacken und die DLL mal nach c:\windows\system32 kopieren

daba12 12.11.2010 20:24
hallo,

ich danke dir sehr für deine geduldige und produktive hilfe.
entschuldige bitte, dass ich die eine oder andere frage unnötigerweise gestellt habe.

wenn du möchtest, würde ich mich über eine einschätzung bezüglich der sicherheit meines systems noch freuen (siehe mein letzter post).

ansonsten nochmals vielen danke und noch viel erfolg in der zukunft
daba12

cosinus 13.11.2010 00:05
Ja, klappt das denn jetzt mit dieser Datei :confused:

Ich poste nicht zuviele Infos auf einmal, ich breche lieber alles in einfacheren Schritten um, weil ich die Erfahrung gemacht habe, dass bei einem großen Posting viele Infos einfach nicht gelesen werden.

daba12 13.11.2010 20:05
ja, nachdem ich die dll-datei in das verzeichnis kopiert hatte und nachfolgendem neustart kam die meldung nicht mehr.
komisch das die datei nicht mehr da war.
grüße

cosinus 14.11.2010 10:00
Hier noch Tipps zur Absicherung: Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Zitat:
wie sehr kann ich meinem pc jetzt deiner einschätzung nach vertrauen?
könnte ich wieder onlinebanking und andere eher delikate vorgänge machen?
"Richtig" vertrauenswürdig ist ein System erst wieder nach format c: mit frischem OS und entsprechender Absicherung.
Die Schädlinge haben wir aber entfernt, lt. Logs ist wieder alles ok und das System läuft ja nun auch wieder rund oder nicht? Ein kleines Restrisiko wird da sein, aber 100% Sicherheit gab es noch nie und wird es auch nie geben. Musst du wissen ob du lieber formatieren willst oder andersweitig dein Onlinebanking machen willst. Mit Windows ist das immer so ne Sache :rolleyes:

Schau mal hier, ist vllt interessant für dich => Sicheres Online-Banking mit Bankix | c't

daba12 19.12.2010 20:49
ich danke dir nochmals für deine geduldige hilfe.
ich wünsche dir besinnliche feiertage und einen guten rutsch ins neue jahr.

viel erfolg und gesundheit

grüße
daba12


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131