![]() |
Probleme mit Videos nach entfernen von trojanern durch MWB Hallo zusammen Für dieses spezielle problem habe ich nichts in der boardsuche und bei google gefunden. Also erstmal die OTL scans :OTL Logfile: Code: OTL logfile created on: 03.11.2010 16:17:00 - Run 1 OTL Logfile: Code: OTL Extras logfile created on: 03.11.2010 16:17:00 - Run 1 Jetzt das problem : Nach einem MWB scan gab es folgende ergebnisse : Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4902 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 21.10.2010 18:50:50 mbam-log-2010-10-21 (18-50-50).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 169375 Laufzeit: 1 Stunde(n), 20 Minute(n), 37 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 8 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Trojan.Riern) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Trojan.Riern) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Trojan.Riern) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Trojan.Riern) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Trojan.Riern) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Trojan.Riern) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Trojan.Riern) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Trojan.Riern) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Die 8 reg änderungen habe ich entfernt. Jetzt laufen ALLE videoformate nur noch ruckelig und mit kratzendem ton - als ob z.b. codecs fehlen oder nicht mehr richtig funktionieren -. Ich habe festgestellt das MWB auch mehrer dutzend dateien gelöscht hat. Sind jetzt im papierkorb. Da ich die videofunktion des rechners dringend brauche und es vor dem scan keine fehlfunktionen gab würde ich am liebesten die änderungen und/oder löschungen rückgängig machen, finde aber keine möglichkeit bei MWB. Der vorhanden SWP ( ich bin SICHER dass ich den einige tage vor dem scan gesetzt hatte ) ist leider weg. Also kennt jemand eine möglichkeit die MWB änderungen/löschungen rückgängig zu machen oder hat jemand eine idee wie das problem zu beseitigen ist ? Vielen Dank Andy |
Zitat:
|
@ cosinus Danke für deine antwort. Habe die gelöschten dateien aus dem papierkorb wiederherstellt. Dabei stellte sich heraus dass die dateien noch vom letzten malwarebefall vor einem jahr in der quarantänestation waren. Die wurden natürlich wieder gelöscht und entgültig entfernt. Die registryänderungen des aktuellen mwb logs habe ich über den quarantänebutton rückgängig gemacht. Das Problem ( ruckelnde videos und kratziger ton ) besteht allerdings weiterhin, zusammentreffen mit der registryänderung also wahrscheinlich zufällig. Könnte es sich bei dem angezeigten malwareproblem um FP handeln ?. gruss andy |
Zitat:
|
Hallo Arne Hab ich schon gemacht, das ergebnis ist das gleiche wie beim ersten scan. Malwaresymptome gibts nicht, also wieder in die quarantäne und abwarten ? gruss andy |
Mach mal ein Log mit CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo Arne 1.) CC reinigung durchgeführt 2.) COFI scan wie folgt : Combofix Logfile: Code: ComboFix 10-11-07.A2 - beamer_02 09.11.2010 13:18:14.1.1 - x86 gruss andy |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo Arne 1.) GMER im normalmodus 2 x gelaufen 2 x abgestürzt GMER im geschützten modus 1 x gelaufen 1 x abgestürzt = geht nicht 2.) OSAM log : OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru 3.) MBRCHECK log : MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000002c Kernel Drivers (total 123): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x806EF000 \WINDOWS\system32\hal.dll 0xF7B23000 \WINDOWS\system32\KDCOM.DLL 0xF7A33000 \WINDOWS\system32\BOOTVID.dll 0xF75D3000 ACPI.sys 0xF7B25000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF75C2000 pci.sys 0xF7623000 isapnp.sys 0xF7BEB000 pciide.sys 0xF78A3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7633000 MountMgr.sys 0xF75A3000 ftdisk.sys 0xF78AB000 PartMgr.sys 0xF7643000 VolSnap.sys 0xF758B000 atapi.sys 0xF7653000 disk.sys 0xF7663000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF756B000 fltmgr.sys 0xF7559000 sr.sys 0xF7542000 KSecDD.sys 0xF74B5000 Ntfs.sys 0xF7488000 NDIS.sys 0xF746E000 Mup.sys 0xF7693000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF72D0000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xF7294000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF795B000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xF7270000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF798B000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF76A3000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF76B3000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF76C3000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF724D000 \SystemRoot\system32\DRIVERS\ks.sys 0xF79E3000 \SystemRoot\system32\DRIVERS\RTL8139.SYS 0xF7117000 \SystemRoot\system32\DRIVERS\AGRSM.sys 0xF79CB000 \SystemRoot\System32\Drivers\Modem.SYS 0xF7080000 \SystemRoot\system32\drivers\ALCXWDM.SYS 0xF705C000 \SystemRoot\system32\drivers\portcls.sys 0xF76D3000 \SystemRoot\system32\drivers\drmk.sys 0xF6FFA000 \SystemRoot\system32\drivers\ALCXSENS.SYS 0xF78E3000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF76E3000 \SystemRoot\system32\DRIVERS\serial.sys 0xF7B0B000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF6FE6000 \SystemRoot\system32\DRIVERS\parport.sys 0xF76F3000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7923000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7933000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7703000 \SystemRoot\system32\DRIVERS\AVMCOWAN.sys 0xF7B33000 \SystemRoot\System32\Drivers\RootMdm.sys 0xF6F98000 \SystemRoot\system32\DRIVERS\NETPPPOI.SYS 0xF7CB6000 \SystemRoot\system32\DRIVERS\UltraMonMirror.sys 0xF7CB9000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7713000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7B1B000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF6F81000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF7723000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF7733000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF79FB000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF6F70000 \SystemRoot\system32\DRIVERS\psched.sys 0xF7743000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7A23000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF78C3000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF7753000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7B39000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF6F12000 \SystemRoot\system32\DRIVERS\update.sys 0xF72BC000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF7773000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF77A3000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7B3F000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7ACB000 \SystemRoot\system32\drivers\MODEMCSA.sys 0xF7B43000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7CEC000 \SystemRoot\System32\Drivers\Null.SYS 0xF7B47000 \SystemRoot\System32\Drivers\Beep.SYS 0xF799B000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF79AB000 \SystemRoot\System32\drivers\vga.sys 0xF7B4B000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7B4F000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF79BB000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF79D3000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF7AEF000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xEEDCF000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xEED76000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xEED4E000 \SystemRoot\system32\DRIVERS\netbt.sys 0xEED28000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF77C3000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF7B17000 \SystemRoot\System32\drivers\ws2ifsl.sys 0xF7973000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xEED06000 \SystemRoot\System32\drivers\afd.sys 0xF79C3000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xF77D3000 \SystemRoot\system32\DRIVERS\netbios.sys 0xEECDB000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xEEC6B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF77E3000 \SystemRoot\System32\Drivers\Fips.SYS 0xEEBE5000 \SystemRoot\system32\DRIVERS\fxusbase.sys 0xF7AC7000 \SystemRoot\system32\DRIVERS\usbscan.sys 0xF79A3000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xF79EB000 \SystemRoot\system32\DRIVERS\HPZius12.sys 0xF7803000 \SystemRoot\system32\DRIVERS\HPZid412.sys 0xF7AE3000 \SystemRoot\system32\DRIVERS\HPZipr12.sys 0xF7813000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xEEB99000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xEEB81000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7B63000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF7AF7000 \SystemRoot\System32\drivers\Dxapi.sys 0xF7963000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7C9F000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF054000 \SystemRoot\System32\ati2cqag.dll 0xBF093000 \SystemRoot\System32\atikvmag.dll 0xBF0C9000 \SystemRoot\System32\ati3duag.dll 0xBF34D000 \SystemRoot\System32\ativvaxx.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xEE784000 \SystemRoot\system32\drivers\wdmaud.sys 0xEEB31000 \SystemRoot\system32\drivers\sysaudio.sys 0xEE641000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xEE8B1000 \SystemRoot\System32\drivers\avmport.sys 0xF7B7D000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xF7BDB000 \??\C:\WINDOWS\system32\UltraMonUtility.sys 0xEE189000 \SystemRoot\system32\DRIVERS\srv.sys 0xEDEC8000 \SystemRoot\System32\Drivers\HTTP.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 37): 0 System Idle Process 4 System 552 C:\WINDOWS\system32\smss.exe 612 csrss.exe 640 C:\WINDOWS\system32\winlogon.exe 692 C:\WINDOWS\system32\services.exe 704 C:\WINDOWS\system32\lsass.exe 848 C:\WINDOWS\system32\ati2evxx.exe 880 C:\WINDOWS\system32\svchost.exe 968 svchost.exe 1056 C:\WINDOWS\system32\svchost.exe 1100 svchost.exe 1200 svchost.exe 1248 C:\WINDOWS\system32\spoolsv.exe 1492 C:\WINDOWS\system32\ati2evxx.exe 1656 C:\WINDOWS\explorer.exe 1880 svchost.exe 1968 C:\Programme\FRITZ!DSL\IGDCTRL.EXE 1996 C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe 2028 C:\WINDOWS\AGRSMMSG.exe 160 C:\WINDOWS\system32\svchost.exe 284 C:\Programme\JAVA\jre6\bin\jqs.exe 396 C:\WINDOWS\system32\svchost.exe 412 C:\WINDOWS\system32\svchost.exe 444 C:\WINDOWS\system32\svchost.exe 464 C:\WINDOWS\SOUNDMAN.EXE 1016 C:\WINDOWS\system32\ctfmon.exe 1048 C:\Programme\CodeMeter\Runtime\bin\CodeMeterCC.exe 1080 C:\Programme\ComCenter\IWatch.exe 1132 C:\Programme\FRITZ!DSL\FwebProt.exe 1140 C:\Programme\FRITZ!DSL\StCenter.exe 1168 C:\Programme\Microsoft Office\Office\FINDFAST.EXE 2180 C:\WINDOWS\system32\wbem\wmiapsrv.exe 2224 C:\WINDOWS\system32\wscntfy.exe 2348 alg.exe 3668 C:\Programme\Outlook Express\msimn.exe 1560 C:\Dokumente und Einstellungen\beamer_02\Desktop\MBRCHECK.EXE \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\F: --> \\.\PhysicalDrive1 at offset 0x00000000`00000200 (FAT) PhysicalDrive0 Model Number: ST340015A, Rev: 3.01 PhysicalDrive1 Model Number: <error opening> Size Device Name MBR Status -------------------------------------------- 37 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 ERROR Opening: \\.\PhysicalDrive1 (32) Done! Hoffe es hilft und bedanke mich schonmal für deine geduld ! gruss andy |
Sieht ok aus, aber was ist denn Laufwerk F mit mit mickrigen 2 MB? :wtf: Zitat:
|
Hallo Arne LW F: ist ein USB stick den ich als key für eine bestimmte anwendung brauche. 2 MB ist korrekt und das ding ist auch schon jahre drin und hat bis jetzt nie ärger gemacht. Heisst "sieht okay aus" dass es ein FP war ? Falls ja solte ich das MWB mitteilen oder ? Gruss Andy |
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo Arne Ich schaff das heute nicht mehr und bin dann bis einschl. montag weg. Ich mach die scans am dienstag und versuch mich per PM zu melden sobald ich die scans gepostet habe. Schönes wochenende andy |
Hallo Arne 1.) MWB scan : Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5127 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 16.11.2010 18:33:49 mbam-log-2010-11-16 (18-33-49).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|) Durchsuchte Objekte: 172222 Laufzeit: 2 Stunde(n), 20 Minute(n), 48 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) 2.) SAS scan : SUPERAntiSpyware Scann-Protokoll hxxp://www.superantispyware.com Generiert 11/17/2010 bei 06:01 PM Version der Applikation : 4.45.1000 Version der Kern-Datenbank : 5874 Version der Spur-Datenbank : 3686 Scan Art : kompletter Scann Totale Scann-Zeit : 01:26:54 Gescannte Speicherelemente : 464 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 5912 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 18828 Erfasste Datei-Elemente : 0 Scheint nix zu sein. Prima ! Falls noch etwas sein sollte kannst du mich auch per PM erreichen, und ich werde in ein paar tagen nochmals diesen thread anschauen Ich möchte mich nochmals für deine geduld bedanken. Alles gute Andy |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board