TR/Pincav.afyp Trojan Hallo ins Forum, ich komme bei der Trojaner-Beseitigung nicht mehr weiter und bitte um Eure Hilfe. Antivir hatte diese Trojaner gemeldet: TR/Pincav.afyp Trojan, TR/Crypt.XPACK.Gen 3 Trojan. Die Dateien habe ich danach sofort in Quarantäne verschoben. Malware meldet nun, dass keine Dateien mehr infiziert seien. Dennoch taucht die Warnung TR/Crypt.XPACK.Gen 3 Trojan immer wieder auf und mein Rechner fährt langsamer hoch als sonst. Viele Grüße, kiki |
Zitat:
Aus den Regeln: 5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe) Fehlen diese Angaben, kann und wird dir hier niemand helfen. |
Hallo Arne, die Liste an infizierten Dateien ist leider sehr lang und beunruhigt mich sehr. Vor zwei Wochen sowie Ende Juli meldete AntiVir folgende Funde: TR/Crypt.XPACK.Gen 3 Trojan: - C:\Dokumente und Einstellungen\...\sipovo566[1].exe - C:\Dokumente und Einstellungen\Kirsten\907205.exe - C:\Dokumente und Einstellungen\Kirsten\mhzb.exe TR/Crypt.XPACK.Gen 2 Trojan: - C:\Dokumente und Einstellungen\Kirsten\3391.exe - C:\Dokumente und Einstellungen\Kirsten\bear315[1].exe - C:\Dokumente und Einstellungen\Kirsten\376742.exe - C:\Dokumente und Einstellungen\Kirsten\L...\172.exe - C:\Dokumente und Einstellungen\Kirsten\...\sbeb.exe - C:\Dokumente und Einstellungen\Kirsten\...\national48[1].exe - C:\Dokumente und Einstellungen\Kirsten\L...\252.exe BDS/Oserdi.aev: - C:\Dokumente und Einstellungen\lasvegas106[1].exe - C:\Dokumente und Einstellungen\Kirsten\L...\085.exe TR/Pincav.afyp Trojan: - C:\Dokumente und Einstellungen\Kirsten\...\6301.exe - C:\Dokumente und Einstellungen\Kirsten\...\116[1].exe - C:\Dokumente und Einstellungen\Kirsten\ibisov.exe Alle entsprechenden Dateien hatte ich damals gleich in Quarantäne verschoben. Malwarebytes und AntiVir melden zwar keine infizierten Dateien mehr, doch habe ich gelesen, dass dies nicht unbedingt bedeuten muss, dass mein Rechner nicht mehr kontaminiert ist. Kannst Du mir weiterhelfen? Wie kann ich nun sichergehen, dass alle Trojaner entfernt wurden? Viele Grüße, kiki |
Poste bitte auch alle Logs von Malwarebytes. Die findest Du im Programm im Reiter Logdateien. |
Hallo Arne, okay, dies ist der letzte log von Malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4181 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 04.11.2010 20:54:03 mbam-log-2010-11-04 (20-54-03).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 204585 Laufzeit: 1 Stunde(n), 14 Minute(n), 54 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Viele Grüße, Kirsten |
Ich habe heute auf hijackthis.de auch mein OTL-logfile analysieren lassen. Dieser stufte folgende Dateien als schädlich ein, die ich darauhin gelöscht habe: [2010.10.20 15:36:41 | 000,066,560 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\mshtmled.dll [2010.10.20 15:36:41 | 000,043,520 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\licmgr10.dll 2010.10.20 15:36:41 | 000,025,600 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\jsproxy.dll [2010.10.20 15:36:40 | 000,602,112 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\msfeeds.dll [2010.10.20 15:36:40 | 000,184,320 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\iepeers.dll [2010.10.20 15:36:40 | 000,055,296 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\msfeedsbs.dll [2010.10.20 15:36:39 | 000,611,840 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\mstime.dll [2010.10.20 15:36:38 | 000,916,480 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wininet.dll 2010.10.20 15:36:38 | 000,206,848 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\occache.dll [2010.10.20 15:36:37 | 001,986,560 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iertutil.dll 2010.10.20 15:36:37 | 001,469,440 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\inetcpl.cpl 2010.10.20 15:36:36 | 000,743,424 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\iedvtool.dll 2010.10.20 15:36:36 | 000,173,056 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\ie4uinit.exe 2010.10.20 15:36:35 | 000,387,584 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\iedkcs32.dll [2010.10.20 15:36:33 | 011,080,192 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\ieframe.dll [2010.10.20 15:36:24 | 000,954,368 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc40.dll 2010.10.20 15:36:24 | 000,953,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc40u.dll [2010.10.20 15:36:13 | 000,617,472 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\comctl32.dll [2010.10.20 15:32:47 | 000,590,848 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\rpcrt4.dll die Datei [2010.10.20 15:36:36 | 000,173,056 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ie4uinit.exe konnte ich nicht löschen. Viele Grüße, kiki |
Zitat:
Hijackthis.de ist nur zur Auswertung von HJT-Logs, seit wann soll man da OTL-Logs auswerten können?! Und warum löscht Du gleich ohne das abzuklären naiv Dateien, die automatische Auswertung hat immer ihre Macken! :balla: Zitat:
|
Hallo Arne, das ist dann das Resultat eines Laien, der versucht sich selbst zu helfen:(( Ich kenne mich leider absolut nicht aus und mir konnte auch im Freundeskreis niemand weiterhelfen. Okay, dann lade ich die neue Version von Malwarebytes herunter & führe den Vollscan durch. Hoffe, Du hast etwas Geduld und kannst mir helfen..Ich bin Dir für jeden Rat so dankbar! Viele Grüße, kiki |
Hallo Arne, nach dem Update von Malwarebytes habe ich den Vollscan durchgeführt (s.u.). Es wurde der Schädling "Worm.Palevo" entdeckt und "HKEY_LOCAL_MACHINE/SOFTWARE/Micr" als infiziertes Objekt gemeldet, das ich nach den Anweisungen auf trojanerboard entfernt habe. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5052 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 05.11.2010 19:19:46 mbam-log-2010-11-05 (19-19-46).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 221370 Laufzeit: 1 Stunde(n), 39 Minute(n), 31 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Viele Grüße, kiki |
Poste auch die Logs von OTL |
Anbei das aktuelle Logfile von OTL: OTL Code:OTL Logfile: Code: OTL logfile created on: 06.11.2010 15:39:00 - Run 4 Viele Grüße, kiki |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTL Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Okay, habe ich wie beschrieben ausgeführt. Der Rechner wurde dabei neu gestartet. OTL-Code: All processes killed ========== OTL ========== Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{101e8cee-0cac-11df-b30c-18a905d08df5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found. File D:\MEGA\\sudbina.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found. File D:\MEGA\\\sudbina.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found. File D:\MEGA\\\sudbina.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{50645265-7d58-11df-b3ef-18a905d08df5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found. File D:\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found. File D:\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found. File D:\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{517b0981-e76c-11df-b918-18a905d08df5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{517b0981-e76c-11df-b918-18a905d08df5}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{517b0981-e76c-11df-b918-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{517b0981-e76c-11df-b918-18a905d08df5}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{517b0981-e76c-11df-b918-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{517b0981-e76c-11df-b918-18a905d08df5}\ not found. File D:\autorun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{521473cd-22f2-11df-aea7-18a905d08df5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found. File D:\sejo\\kalac.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found. File D:\sejo\kalac.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found. File D:\sejo\\kalac.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6cd74f66-c0a3-11df-91a1-18a905d08df5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6cd74f66-c0a3-11df-91a1-18a905d08df5}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6cd74f66-c0a3-11df-91a1-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6cd74f66-c0a3-11df-91a1-18a905d08df5}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6cd74f66-c0a3-11df-91a1-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6cd74f66-c0a3-11df-91a1-18a905d08df5}\ not found. File D:\StartVMCLite.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e075226a-9e3a-11df-866a-18a905d08df5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found. File E:\sejo\\kalac.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found. File E:\sejo\kalac.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found. File E:\sejo\\kalac.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found. File D:\mirk\okitab.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found. File D:\mirk\\okitab.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found. File D:\mirk\\okitab.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found. File D:\MEGA\\sudbina.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found. File D:\MEGA\\\sudbina.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found. File D:\MEGA\\\sudbina.exe not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes ->Flash cache emptied: 321 bytes User: Kirsten ->Temp folder emptied: 2639093 bytes ->Temporary Internet Files folder emptied: 24261607 bytes ->Java cache emptied: 458450 bytes ->FireFox cache emptied: 103624890 bytes ->Flash cache emptied: 15104 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 3403499 bytes RecycleBin emptied: 372116165 bytes Total Files Cleaned = 483,00 mb OTL by OldTimer - Version 3.2.9.1 log created on 11062010_173917 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Viele Grüße, kiki |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo Arne, Danke für die Anweisungen; ich habe nun CCleaner sowie Combofix ausgeführt. Dies ist die Meldung von combofix: Combofix Logfile: Code: ComboFix 10-11-07.01 - Kirsten 08.11.2010 17:37:51.1.2 - x86 Viele Grüße, kiki |
Hallo Arne, mein Rechner meldete soeben, dass Windows Systemwiederherstellung und Roxio Back on Track (war auf meinem HP mini100c installiert) nicht parallel laufen können. Es wurde geraten, die Windows Systemwiederherstellung zu deaktivieren. Ist das richtig? Viele Grüße, kiki |
Ja war so ok. Weiter gehts: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: File:: 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Hallo Arne, Danke zunächst für Deine Hilfe & die ganzen Schritt-für-Schritt-Anweisungen! Ich habe alles ausgeführt, wie Du es beschrieben hast. Nach dem Neustart des Computers meldete Combofix zunächst, es würde eine Logdatei erstellen. Doch kurz darauf ist mein Rechner wieder neu gestartet. Es erschien dann die Windows-Meldung, dass "das System nach einem schwerwiegenden Fehler wieder ausgeführt" wird. Ich poste Dir hier mal die Fehlermeldung: Problemsignatur: BCCode : 1000008e BCP1 : 80000004 BCP2 : 8054BDF4 BCP3 : 9B35B594 BCP4 : 00000000 OSVer : 5_1_2600 SP : 3_0 Product : 768_1 Problembericht: enthaltene Dateien C:\DOKUME~1\Kirsten\LOKALE~1\Temp\WER00c3.dir00\Mini110910-01.dmp C:\DOKUME~1\Kirsten\LOKALE~1\Temp\WER00c3.dir00\sysdata.xml Das Logfile von Combofix habe ich danach unter C:\\Combofix.txt abgerufen: ComboFix 10-11-07.01 - Kirsten 09.11.2010 10:14:40.2.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1015.249 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Kirsten\Desktop\cofi.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Kirsten\Desktop\CFScript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FILE :: "c:\windows\service4g.exe" "c:\windows\starter4g.exe" "c:\windows\updater4g.exe" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\service4g.exe c:\windows\starter4g.exe c:\windows\updater4g.exe . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_XS_Stick_Service -------\Service_XS Stick Service ((((((((((((((((((((((( Dateien erstellt von 2010-10-09 bis 2010-11-09 )))))))))))))))))))))))))))))) . Viele Grüße, kiki |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hi Arne, gestern abend hat Avira leider schon wieder vor einem Virus gewarnt. Es wurde der Worm\Rbot.655092 in folgender Datei entdeckt: C:\\Qoobox\...\updater4g.exe.vir. Die Datei habe ich danach zunächst in Quarantäne verschoben. Anschließend habe ich meinen Rechner ein weiteres Mal mit Malwarebytes und Antivir gescannt; beide Scans waren unauffällig. Soll ich trotzdem mit den Schritten fortfahren? Oder nochmal Ccleaner durchlaufen lassen? Viele Grüße, kiki |
Zitat:
Mach jetzt die anderen Logs. |
Okay! Danke für die Info zu Qoobox! Ich setze mich jetzt an die nächsten Logs. Viele Grüße, kiki |
Hi Arne, der Scan von GMER hat ziemlich lange gedauert; hier kommen nun die Logs. GMER: GMER Logfile: Code: GMER 1.0.15.15530 - hxxp://www.gmer.net OSAM: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru und MBRCheck: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000000c Kernel Drivers (total 129): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E5000 \WINDOWS\system32\hal.dll 0xF7A88000 \WINDOWS\system32\KDCOM.DLL 0xF7998000 \WINDOWS\system32\BOOTVID.dll 0xF7458000 ACPI.sys 0xF7A8A000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7447000 pci.sys 0xF7588000 isapnp.sys 0xF799C000 compbatt.sys 0xF79A0000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF7B50000 pciide.sys 0xF7808000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7A8C000 aliide.sys 0xF7A8E000 viaide.sys 0xF7A90000 intelide.sys 0xF7598000 MountMgr.sys 0xF7428000 ftdisk.sys 0xF79A4000 ACPIEC.sys 0xF7B51000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF7810000 PartMgr.sys 0xF75A8000 VolSnap.sys 0xF734E000 iaStor.sys 0xF75B8000 disk.sys 0xF75C8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF732E000 fltMgr.sys 0xF7316000 syscow32x.sys 0xF75D8000 PxHelp20.sys 0xF72FF000 KSecDD.sys 0xF7272000 Ntfs.sys 0xF7245000 NDIS.sys 0xF7818000 SaibIa32.sys 0xF75E8000 SahdIa32.sys 0xF722B000 Mup.sys 0xF77B8000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF5A74000 \SystemRoot\system32\DRIVERS\igxpmp32.sys 0xF5A60000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF5A38000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF588D000 \SystemRoot\system32\DRIVERS\bcmwl5.sys 0xF77D8000 \SystemRoot\system32\DRIVERS\l1c51x86.sys 0xF78A8000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF5869000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF78B0000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF77E8000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF78B8000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF5838000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF7AC2000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF77F8000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS 0xF57BC000 \SystemRoot\System32\Drivers\wdf01000.sys 0xF78C0000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF715B000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF7A40000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xF7C4F000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7628000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF69C2000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF57A5000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF7638000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF7648000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF78C8000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF5794000 \SystemRoot\system32\DRIVERS\psched.sys 0xF7658000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF78D0000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF78D8000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF7668000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7AC4000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF5771000 \SystemRoot\system32\DRIVERS\ks.sys 0xF5713000 \SystemRoot\system32\DRIVERS\update.sys 0xF69B2000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF609A000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xA81E9000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xA24AF000 \SystemRoot\system32\drivers\sthda.sys 0xA248B000 \SystemRoot\system32\drivers\portcls.sys 0xA81D9000 \SystemRoot\system32\drivers\drmk.sys 0xA246F000 \SystemRoot\system32\drivers\AESTAud.sys 0xA80F4000 \SystemRoot\System32\Drivers\i2omgmt.SYS 0xF7B3E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xA39DF000 \SystemRoot\System32\Drivers\Null.SYS 0xF7B40000 \SystemRoot\System32\Drivers\Beep.SYS 0xA4731000 \SystemRoot\System32\drivers\vga.sys 0xF7B42000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7B44000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xA2239000 \SystemRoot\system32\DRIVERS\snp2uvc.sys 0xA81B9000 \SystemRoot\system32\DRIVERS\STREAM.SYS 0xA4729000 \SystemRoot\system32\DRIVERS\sncduvc.SYS 0xA4721000 \SystemRoot\System32\Drivers\Msfs.SYS 0xA4719000 \SystemRoot\System32\Drivers\Npfs.SYS 0xA80F0000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xA2226000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xA21CD000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xA21A5000 \SystemRoot\system32\DRIVERS\netbt.sys 0xA217F000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xA215D000 \SystemRoot\System32\drivers\afd.sys 0xA81A9000 \SystemRoot\system32\DRIVERS\netbios.sys 0xA4711000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xA8199000 \SystemRoot\System32\Drivers\SaibVd32.sys 0xA2132000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA20C2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xA4814000 \SystemRoot\System32\Drivers\Fips.SYS 0xA20A6000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7B4E000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0x9D278000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x9B71C000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0x9C5B9000 \SystemRoot\System32\drivers\Dxapi.sys 0x9D395000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0x9B980000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF024000 \SystemRoot\System32\igxpgd32.dll 0xBF012000 \SystemRoot\System32\igxprd32.dll 0xBF04F000 \SystemRoot\System32\igxpdv32.DLL 0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0x9B708000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0x9C040000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x9B6CB000 \SystemRoot\system32\drivers\wdmaud.sys 0xF604A000 \SystemRoot\system32\drivers\sysaudio.sys 0x9B508000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0x9B3E8000 \SystemRoot\system32\DRIVERS\srv.sys 0x9AF0D000 \SystemRoot\system32\drivers\kmixer.sys 0xF7AC8000 \SystemRoot\system32\drivers\splitter.sys 0x9AD8C000 \SystemRoot\System32\Drivers\HTTP.sys 0x9C7A5000 \SystemRoot\System32\Drivers\Cdfs.SYS 0x9B5A9000 \SystemRoot\system32\DRIVERS\asyncmac.sys 0x9A8C6000 \SystemRoot\System32\Drivers\Fastfat.SYS 0x9A8AE000 \??\C:\DOKUME~1\Kirsten\LOKALE~1\Temp\fftorfow.sys 0x9D3A5000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0x9A894000 \SystemRoot\system32\DRIVERS\cmnsusbser.sys 0xA26D9000 \SystemRoot\System32\Drivers\Modem.SYS 0xA26A9000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 50): 0 System Idle Process 4 System 768 C:\WINDOWS\system32\smss.exe 816 csrss.exe 840 C:\WINDOWS\system32\winlogon.exe 884 C:\WINDOWS\system32\services.exe 896 C:\WINDOWS\system32\lsass.exe 1068 C:\WINDOWS\system32\svchost.exe 1148 svchost.exe 1188 C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe 1200 C:\WINDOWS\system32\svchost.exe 1384 svchost.exe 1452 svchost.exe 1684 C:\WINDOWS\system32\spoolsv.exe 1728 C:\Programme\IDT\WDM\stacsv.exe 488 C:\WINDOWS\explorer.exe 584 C:\Programme\Avira\AntiVir Desktop\sched.exe 2032 svchost.exe 280 C:\Programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe 308 C:\Programme\Avira\AntiVir Desktop\avguard.exe 384 C:\Programme\Java\jre6\bin\jqs.exe 688 C:\WINDOWS\system32\svchost.exe 1012 C:\Programme\XSManager\WTGService.exe 1084 C:\WINDOWS\system32\igfxtray.exe 1360 C:\WINDOWS\system32\hkcmd.exe 1372 C:\WINDOWS\system32\igfxpers.exe 1408 C:\Programme\HP\HPBTWD.exe 1424 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 1440 C:\Programme\IDT\WDM\sttray.exe 1496 C:\WINDOWS\system32\AESTFltr.exe 1540 C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe 1548 C:\WINDOWS\system32\igfxsrvc.exe 1724 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 1752 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 2056 C:\Programme\Skype\Phone\Skype.exe 2092 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe 2144 C:\WINDOWS\system32\ctfmon.exe 2268 C:\Programme\OpenOffice.org 3\program\soffice.exe 2356 C:\Programme\OpenOffice.org 3\program\soffice.bin 3048 C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe 3296 C:\WINDOWS\system32\wbem\wmiapsrv.exe 3324 wmiprvse.exe 3372 alg.exe 3508 C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe 3596 C:\WINDOWS\system32\wuauclt.exe 3888 C:\Programme\XSManager\XSManager.exe 3652 C:\Programme\Mozilla Firefox\firefox.exe 3292 C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe 3492 C:\Programme\Mozilla Firefox\plugin-container.exe 752 C:\Dokumente und Einstellungen\Kirsten\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS) PhysicalDrive0 Model Number: WDCWD1600BEVT-60ZCT1, Rev: 13.01A13 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979 Done! Viele Grüße, kiki |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hi Arne, Danke!! Wäre so froh, wenn mein Rechner wieder in Ordnung kommt- und ich keine Panik mehr vor Trojanern etc. haben muss! Hier kommt zunächst das Log von Malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5098 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 12.11.2010 12:57:40 mbam-log-2010-11-12 (12-57-40).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 223095 Laufzeit: 1 Stunde(n), 23 Minute(n), 47 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Das Log von SASW schicke ich später. Viele Grüße, kiki |
Hi Arne, dies ist das Log con SASW: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 11/12/2010 at 03:45 PM Application Version : 4.45.1000 Core Rules Database Version : 5850 Trace Rules Database Version: 3662 Scan type : Complete Scan Total Scan Time : 01:33:35 Memory items scanned : 644 Memory threats detected : 0 Registry items scanned : 6437 Registry threats detected : 0 File items scanned : 85811 File threats detected : 7 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Kirsten\Cookies\kirsten@perf.overture[1].txt C:\Dokumente und Einstellungen\Kirsten\Cookies\kirsten@2o7[2].txt adserv.quality-channel.de [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ] cdn5.specificclick.net [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ] imagesrv.adition.com [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ] serving-sys.com [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ] www.ardmediathek.de [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ] Viele Grüße, kiki |
Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Hallo Arne, Malwarebytes und Antivir haben keine Viren o.ä. mehr gefunden! Tausend Dank für Deine Hilfe!!! Nur mein Rechner fährt immer noch langsam hoch, dabei wird der Bildschirm kurz schwarz und die Taskleiste erscheint dann ein zweites Mal. Ist dennoch alles okay? Oder kann das auch auf ein Virus hindeuten? Schöne Grüße, kiki |
Wie kann denn die Taskleiste ein 2. Mal erscheinen? Meinst du was anderes mit Taskleiste als das was ich meine? Beschreib mal genauer. Und natürlich könnte irgendwo immer noch was Bösartiges stecken auch wenn alle Logs nun ok sind. Das ist das Restrisiko einer jeden Bereinigung. |
Hi Arne, ich meine die Startleiste, die am Bildschirmrand unten erscheint und Startmenü sowie Batterieanzeige etc. enhält. Gut, dann ich versuch nochmal die Probleme beim Hochfahren des Computers zu beschreiben: Bevor AntiVir den Trojaner meldete fuhr der Computer schneller hoch und die Taskleiste erschien ohne Verzögerung. Jetzt sieht anfangs auch alles normal aus, d.h. alle Dokumente auf dem Desktop und auch die Startleiste sind bereits auf dem Bildschirm zu sehen. Doch kurze Zeit später wird der Hintergrund für kurze Zeit komplett schwarz und anschließend wird die Startleiste quasi erneut, aber sehr langsam aufgebaut. Viele Grüße, kiki |
Das war die ganze Prozedur schon so durch, also direkt nach dem AntiVir-Fund oder erst nach einen "meiner" Schritte? |
Direkt nach dem AntiVir- Fund, also bereits vor dem Durchführen Deiner "Schritte". Viele Grüße, kiki |
Kannst du AntiVir mal vorübergehend deinstallieren, Rechner neustarten und beobachten ob das immer noch so auftaucht? |
Hi Arne, nachdem ich AntiVir deinstaliert habe, wurde der Bildschirm nach dem Hochfahren erneut für einen kurzen Moment schwarz. Aber die Taskleiste erschien nicht mehr verzögert. Schönen Gruß, kiki |
Ok, lags wohl an AntiVir. Als Alternative kannst du auch das nutzen => http://www.microsoft.com/security_essentials/ Ansonsten noch Probleme oder weitere Funde? |
Hallo Arne, sorry für die späte Antwort. In der Zwischenzeit hatte ich keine weiteren Funde. Dann sollte soweit alles in Ordnung sein, oder? Werde mir wohl Kaspersky Internet Security 2011 zulegen, um meinen Computer in Zukunft noch besser zu schützen. Viele Grüße, kiki |
Zitat:
Lies einfach mal hier, ich denke dann sollte es etwas klarer werden: Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei? personal firewalls ? Wiki ? ubuntuusers.de NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de microsoft.public.de.security.heimanwender FAQ Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes: Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar? |
Hi Arne, vielen Dank für den Tipp & die ganzen Links! Dabei frage ich mich wirklich, wie ich mir die Trojaner eingefangen habe. Denn das Internet nutze ich vor allem um Mails zu schreiben, Online-Zeitung zu lesen oder für meine Arbeit zu recherchieren. Na, dann hoff ich mal, mit regelmäßigen Antivirus-Checks und "kontrolliertem" Surfen passiert mir das nicht nochmal. Schöne Grüße, kiki |
Hi Arne, kannst Du mir bitte nochmal helfen? Auf meinem Rechner wurden neue Trojaner entdeckt:(( Dabei habe ich vorsichtig gesurft und keine Dateien heruntergeladen. Frage mich wirklich, wie sich die Trojaner immer wieder einschleichen. Und warum habe ich das nicht bemerkt? Gestern hat Malwarebytes Trojaner in folgenden Dateien entdeckt. Danach habe ich alle in Quarantäne verschoben. Trojan.DNSChanger: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{07EC0ADC-8A48-43FE-8341-D9D7C698892E}\DhcpNameServer HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{76E7AEAD-198B-4AFC-B507-76050BA527EC}\DhcpNameServer Trojan.Dropper: c:\dokumente und einstellungen\Kirsten\lokale einstellungen\Temp\0.4442943182359632.exe c:\system rollback data\Restore\Current\50390\10\Target\WINDOWS\system32\spool\prtprocs\w32x86\xMYW3u7.dll Trojan.Alureon.Gen: c:\system rollback data\Restore\Current\50390\10\Target\WINDOWS\system32\spool\prtprocs\w32x86\Y17oCEI9.dll Seit gestern wird auch meine Internetverbindung (über einen Surf-Stick) immer wieder unterbrochen und kurz nach dem Hochfahren des Rechners erscheint die Fehlermeldung: Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden. Die Taskleiste verändert sich komplett; anderes Schriftbild, auch die Datum- und Uhrzeitangabe sind anders aus. Die Trojaner machen mir große Sorgen. Das sieht nicht gut aus, oder?? Anbei die Meldungen von Malwarebytes; nach der ersten Trojaner-Beseitigung hatte ich einen zweiten Suchdurchlauf gestartet: Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5264 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 08.12.2010 00:46:57 mbam-log-2010-12-08 (00-46-57).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 131163 Laufzeit: 6 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{07EC0ADC-8A48-43FE-8341-D9D7C698892E}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (93.188.163.192,93.188.160.112) Good: () -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{76E7AEAD-198B-4AFC-B507-76050BA527EC}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (93.188.163.192,93.188.160.112) Good: () -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\Kirsten\lokale einstellungen\Temp\0.4442943182359632.exe (Trojan.Dropper) -> Quarantined and deleted successfully. Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5264 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 08.12.2010 02:12:14 mbam-log-2010-12-08 (02-12-14).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 218354 Laufzeit: 1 Stunde(n), 20 Minute(n), 30 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\system rollback data\Restore\Current\50390\10\Target\WINDOWS\system32\spool\prtprocs\w32x86\xMYW3u7.dll (Trojan.Dropper) -> Quarantined and deleted successfully. c:\system rollback data\Restore\Current\50390\10\Target\WINDOWS\system32\spool\prtprocs\w32x86\Y17oCEI9.dll (Trojan.Alureon.Gen) -> Quarantined and deleted successfully. Antispyware meldet außer Tracking Cookies keine weiteren Funde. Wie soll ich vorgehen? Wieder OTL und GMER posten? Schöne Grüße, kiki |
Am selben Rechner oder ist das ein anderer? |
Hi Arne, am selben Rechner. Viele Grüße, kiki |
Hi Arne, AntiVir hat inzwischen zwei versteckte Objekte gefunden: HKEY_USERS\S-1-5-21-2219577811-1329296693-4104837356-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\savedlegacysettings [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\RNG\seed [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Ich schicke Dir hier schonmal die OTL Logs- falls Du mal draufschauen kannst und sie für die Diagnose brauchst. OTL Logfile:OTL Logfile: Code: OTL Extras logfile created on: 08.12.2010 13:56:21 - Run 5 OTL Logfile: Code: OTL logfile created on: 08.12.2010 13:56:20 - Run 5 Viele Grüße, kiki |
Mach nochmal nen Durchgang mit CF, die cofi neu runterladen: Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hi Arne, sorry für die späte Antwort. Mein Rechner hat sich beim ersten Durchlauf aufgehängt. Und danach gabs so viel Stress an der Uni. Ich versuche combofix jetzt einfach nochmal. Viele Grüße, kiki |
Hi Arne, hier kommt das Log von Combofix (das ich leider nur im reduzierten Modus ausführen konnte). Log Combofix: Combofix Logfile: Code: ComboFix 10-12-07.06 - Kirsten 14.12.2010 14:58:18.3.2 - x86 Viele Grüße, kiki |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo Arne, erstmal vielen lieben Dank, dass Du mir weiterhilfst! Hier kommen die Logs von Osam und MBRCheck; GMER ist leider abgestürzt. Osam Log: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck Log: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x00000004 Kernel Drivers (total 123): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E5000 \WINDOWS\system32\hal.dll 0xF7A88000 \WINDOWS\system32\KDCOM.DLL 0xF7998000 \WINDOWS\system32\BOOTVID.dll 0xF7458000 ACPI.sys 0xF7A8A000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7447000 pci.sys 0xF7588000 isapnp.sys 0xF799C000 compbatt.sys 0xF79A0000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF7B50000 pciide.sys 0xF7808000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7A8C000 aliide.sys 0xF7A8E000 viaide.sys 0xF7A90000 intelide.sys 0xF7598000 MountMgr.sys 0xF7428000 ftdisk.sys 0xF79A4000 ACPIEC.sys 0xF7B51000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF7810000 PartMgr.sys 0xF75A8000 VolSnap.sys 0xF734E000 iaStor.sys 0xF75B8000 disk.sys 0xF75C8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF732E000 fltMgr.sys 0xF7316000 syscow32x.sys 0xF7304000 sr.sys 0xF75D8000 PxHelp20.sys 0xF72ED000 KSecDD.sys 0xF7260000 Ntfs.sys 0xF7233000 NDIS.sys 0xF7818000 SaibIa32.sys 0xF75E8000 SahdIa32.sys 0xF7219000 Mup.sys 0xF77E8000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF5F72000 \SystemRoot\system32\DRIVERS\igxpmp32.sys 0xF5F5E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF5F36000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF5D8B000 \SystemRoot\system32\DRIVERS\bcmwl5.sys 0xF77F8000 \SystemRoot\system32\DRIVERS\l1c51x86.sys 0xF78A8000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF5D67000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF78B0000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF7628000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF78B8000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF5D36000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF7AC6000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7638000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS 0xF5CBA000 \SystemRoot\System32\Drivers\wdf01000.sys 0xF78C0000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF714D000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF7149000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xF7CA1000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7648000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7A40000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF5CA3000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF7658000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF7668000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF78C8000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF5C92000 \SystemRoot\system32\DRIVERS\psched.sys 0xF7678000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF78D0000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF78D8000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF7688000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7AC8000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF5C6F000 \SystemRoot\system32\DRIVERS\ks.sys 0xF5C11000 \SystemRoot\system32\DRIVERS\update.sys 0xF6EB8000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF7698000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xA9281000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xA7CD8000 \SystemRoot\system32\drivers\sthda.sys 0xA7CB4000 \SystemRoot\system32\drivers\portcls.sys 0xA9271000 \SystemRoot\system32\drivers\drmk.sys 0xA7C98000 \SystemRoot\system32\drivers\AESTAud.sys 0xF71F1000 \SystemRoot\System32\Drivers\i2omgmt.SYS 0xF7B46000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0x9FE82000 \SystemRoot\System32\Drivers\Null.SYS 0xF7B48000 \SystemRoot\System32\Drivers\Beep.SYS 0xA35FD000 \SystemRoot\System32\drivers\vga.sys 0xF7B4A000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7B4C000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xA35F5000 \SystemRoot\System32\Drivers\Msfs.SYS 0xA35ED000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF71ED000 \SystemRoot\system32\DRIVERS\rasacd.sys 0x9D4AF000 \SystemRoot\system32\DRIVERS\ipsec.sys 0x9D456000 \SystemRoot\system32\DRIVERS\tcpip.sys 0x9D406000 \SystemRoot\system32\DRIVERS\netbt.sys 0x9D3E0000 \SystemRoot\system32\DRIVERS\ipnat.sys 0x9D3BE000 \SystemRoot\System32\drivers\afd.sys 0x9D210000 \SystemRoot\system32\DRIVERS\snp2uvc.sys 0xA3877000 \SystemRoot\system32\DRIVERS\STREAM.SYS 0xA35E5000 \SystemRoot\system32\DRIVERS\sncduvc.SYS 0xA3867000 \SystemRoot\system32\DRIVERS\netbios.sys 0xA35D5000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0x9D1EE000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS 0xA35CD000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS 0xA3857000 \SystemRoot\System32\Drivers\SaibVd32.sys 0x9D1C3000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x9D153000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xA00AF000 \SystemRoot\System32\Drivers\Fips.SYS 0x9D130000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7AF0000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0x97731000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x9624D000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0x98160000 \SystemRoot\System32\drivers\Dxapi.sys 0x97B4E000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7C63000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF024000 \SystemRoot\System32\igxpgd32.dll 0xBF012000 \SystemRoot\System32\igxprd32.dll 0xBF04F000 \SystemRoot\System32\igxpdv32.DLL 0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0x96238000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0x9665E000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x961FB000 \SystemRoot\system32\drivers\wdmaud.sys 0x96996000 \SystemRoot\system32\drivers\sysaudio.sys 0x96060000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0x95CE8000 \SystemRoot\system32\DRIVERS\srv.sys 0x9599D000 \SystemRoot\system32\drivers\kmixer.sys 0x97BDD000 \SystemRoot\system32\drivers\splitter.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 51): 0 System Idle Process 4 System 764 C:\WINDOWS\system32\smss.exe 812 csrss.exe 836 C:\WINDOWS\system32\winlogon.exe 880 C:\WINDOWS\system32\services.exe 892 C:\WINDOWS\system32\lsass.exe 1064 C:\WINDOWS\system32\svchost.exe 1160 svchost.exe 1216 C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe 1380 svchost.exe 1428 svchost.exe 1472 C:\WINDOWS\explorer.exe 1812 C:\Programme\IDT\WDM\stacsv.exe 516 C:\Programme\Avira\AntiVir Desktop\sched.exe 644 svchost.exe 724 C:\Programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe 168 C:\WINDOWS\system32\igfxtray.exe 1012 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe 1008 C:\WINDOWS\system32\hkcmd.exe 1092 C:\WINDOWS\system32\igfxpers.exe 1100 C:\Programme\HP\HPBTWD.exe 1084 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 1308 C:\WINDOWS\system32\AESTFltr.exe 1352 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1368 C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe 1376 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 1392 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 1296 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe 1412 C:\Programme\Skype\Phone\Skype.exe 1444 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe 1552 C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe 1620 C:\WINDOWS\system32\ctfmon.exe 1500 C:\WINDOWS\system32\igfxsrvc.exe 1908 C:\Programme\Philips\GoGear SA1VBExxA Device Manager\GoGear_SA1VBExxA_DeviceManager.exe 1988 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac 208 C:\Programme\Java\jre6\bin\jqs.exe 224 C:\Programme\Google\Update\GoogleUpdate.exe 244 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 252 C:\Programme\OpenOffice.org 3\program\soffice.exe 540 C:\WINDOWS\system32\svchost.exe 436 C:\Programme\OpenOffice.org 3\program\soffice.bin 1548 C:\Programme\XSManager\WTGService.exe 3072 C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe 3296 C:\WINDOWS\system32\wbem\wmiapsrv.exe 3392 alg.exe 3568 C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe 2244 C:\WINDOWS\system32\spoolsv.exe 1240 C:\Programme\Avira\AntiVir Desktop\avcenter.exe 692 C:\Programme\Avira\AntiVir Desktop\avwsc.exe 2820 C:\Dokumente und Einstellungen\Kirsten\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS) PhysicalDrive0 Model Number: WDCWD1600BEVT-60ZCT1, Rev: 13.01A13 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979 Done! Viele Grüße, kiki |
Ok. Probier combofix bitte mit einer neu heruntergeladenen cofi.exe nochmal aus. |
Hallo Arne, Combofix habe ich neu heruntergeladen und gestartet. Das Programm lief sehr lange- mehr als 12 Stunden und meldete, dass nach infizierten Dateien gesucht wird. Als ich zur Uni musste, habe ich den Rechner weiterlaufen lassen, um Combofix nicht zu unterbrechen. Danach lief er im Ruhemodus und hat sich schließlich aufgehangen. Es erschien die Nachricht, dass nur PCxy oder ein Administrator die Computersperre aufheben kann. Ich drückte auf Enter, doch dann tat sich gar nichts mehr. Ich musste schließlich warten, bis die Batterie leer war, um ihn neu starten zu können. Soll ich es nochmal mit Combofix versuchen? Viele Grüße, kiki |
Nee lass CF jetzt weg. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo Arne, okay, habe ich durchgeführt. Anbei poste ich Dir die Logs. OSAM Logfile: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru GMER Logfile: GMER Logfile: Code: GMER 1.0.15.15530 - hxxp://www.gmer.net MBR Check Logfile: CE0000 \SystemRoot\System32\Drivers\wdf01000.sys 0xF78C8000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF714D000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF7149000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xF7BD6000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7658000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7A40000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF5CC9000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF7668000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF7678000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF78D0000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF5CB8000 \SystemRoot\system32\DRIVERS\psched.sys 0xF7688000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF78D8000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF78E0000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF65BE000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7ACA000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF5C95000 \SystemRoot\system32\DRIVERS\ks.sys 0xF5C37000 \SystemRoot\system32\DRIVERS\update.sys 0xF6EDE000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF65AE000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xA9281000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xA7C3B000 \SystemRoot\system32\drivers\sthda.sys 0xA7739000 \SystemRoot\system32\drivers\portcls.sys 0xA9201000 \SystemRoot\system32\drivers\drmk.sys 0xA5D2D000 \SystemRoot\system32\drivers\AESTAud.sys 0x9DD0F000 \SystemRoot\system32\DRIVERS\snp2uvc.sys 0xA3E28000 \SystemRoot\system32\DRIVERS\STREAM.SYS 0xA3790000 \SystemRoot\system32\DRIVERS\sncduvc.SYS 0xF71F5000 \SystemRoot\System32\Drivers\i2omgmt.SYS 0xF7B3C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xA013D000 \SystemRoot\System32\Drivers\Null.SYS 0xF7B3E000 \SystemRoot\System32\Drivers\Beep.SYS 0xA3778000 \SystemRoot\System32\drivers\vga.sys 0xF7B40000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7B42000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xA3770000 \SystemRoot\System32\Drivers\Msfs.SYS 0xA3768000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF71F1000 \SystemRoot\system32\DRIVERS\rasacd.sys 0x9DCDC000 \SystemRoot\system32\DRIVERS\ipsec.sys 0x9DC83000 \SystemRoot\system32\DRIVERS\tcpip.sys 0x9DC5D000 \SystemRoot\system32\DRIVERS\ipnat.sys 0x9DC35000 \SystemRoot\system32\DRIVERS\netbt.sys 0x9DC13000 \SystemRoot\System32\drivers\afd.sys 0xA3E08000 \SystemRoot\system32\DRIVERS\netbios.sys 0xA3758000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0x9DBF1000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS 0x9FDE7000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS 0xA3DF8000 \SystemRoot\System32\Drivers\SaibVd32.sys 0x9DBC6000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x9DB56000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xA011D000 \SystemRoot\System32\Drivers\Fips.SYS 0x9DB33000 \SystemRoot\system32\DRIVERS\avipbb.sys 0x9FD6A000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0x977C8000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x96BB1000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0x980E1000 \SystemRoot\System32\drivers\Dxapi.sys 0x97A1E000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7BC7000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF024000 \SystemRoot\System32\igxpgd32.dll 0xBF012000 \SystemRoot\System32\igxprd32.dll 0xBF04F000 \SystemRoot\System32\igxpdv32.DLL 0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0x96B9C000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xF7A7C000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x96B5F000 \SystemRoot\system32\drivers\wdmaud.sys 0xA00AD000 \SystemRoot\system32\drivers\sysaudio.sys 0x969C4000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0x965FC000 \SystemRoot\system32\DRIVERS\srv.sys 0x96021000 \SystemRoot\System32\Drivers\Cdfs.SYS 0x966A4000 \SystemRoot\system32\DRIVERS\asyncmac.sys 0x95D15000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 46): 0 System Idle Process 4 System 764 C:\WINDOWS\system32\smss.exe 812 csrss.exe 836 C:\WINDOWS\system32\winlogon.exe 880 C:\WINDOWS\system32\services.exe 892 C:\WINDOWS\system32\lsass.exe 1068 C:\WINDOWS\system32\svchost.exe 1160 svchost.exe 1216 C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe 1396 svchost.exe 1432 svchost.exe 1476 C:\WINDOWS\explorer.exe 1808 C:\Programme\IDT\WDM\stacsv.exe 608 C:\Programme\Avira\AntiVir Desktop\sched.exe 664 svchost.exe 680 C:\WINDOWS\system32\igfxtray.exe 688 C:\WINDOWS\system32\hkcmd.exe 696 C:\WINDOWS\system32\igfxpers.exe 704 C:\Programme\HP\HPBTWD.exe 712 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 720 C:\WINDOWS\system32\AESTFltr.exe 1100 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 1332 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 1288 C:\Programme\Skype\Phone\Skype.exe 1532 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe 1544 C:\WINDOWS\system32\igfxsrvc.exe 1560 C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe 1764 C:\Programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe 1832 C:\WINDOWS\system32\ctfmon.exe 1896 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe 1908 C:\Programme\Philips\GoGear SA1VBExxA Device Manager\GoGear_SA1VBExxA_DeviceManager.exe 1956 C:\Programme\Avira\AntiVir Desktop\avguard.exe 284 C:\Programme\OpenOffice.org 3\program\soffice.exe 368 C:\Programme\Java\jre6\bin\jqs.exe 384 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 396 C:\Programme\OpenOffice.org 3\program\soffice.bin 412 C:\Programme\Google\Update\GoogleUpdate.exe 1132 C:\WINDOWS\system32\svchost.exe 2088 C:\Programme\XSManager\WTGService.exe 2960 C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe 3960 C:\WINDOWS\system32\wbem\wmiapsrv.exe 444 alg.exe 228 C:\WINDOWS\system32\spoolsv.exe 2724 C:\WINDOWS\system32\svchost.exe 4024 C:\Dokumente und Einstellungen\Kirsten\Desktop\MBRCheck (1).exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS) PhysicalDrive0 Model Number: WDCWD1600BEVT-60ZCT1, Rev: 13.01A13 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979 Done! Hoffe sehr, dass mein Rechner bald wieder normal läuft und sich die Viren etc. entfernen lassen. Danke auf jeden Fall für Deine Unterstützung!! Viele Grüße, kiki |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo Arne, okay; habe beides aktualisiert und die Scans durchgeführt. Antispyware hat einen Tracking Cookie entdeckt; Malwarebytes meldete keine infizierten Dateien. Das sieht ja erstmal okay aus. Ich werde nun beobachten, ob noch Probleme mit der Internetverbindung oder der Taskleiste auftreten. Anbei das Log von Malwarebytes: Malwarebytes Logfile: Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5342 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 17.12.2010 15:25:04 mbam-log-2010-12-17 (15-25-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 221138 Laufzeit: 1 Stunde(n), 23 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Viele Grüße, kiki |
Sieht ok aus. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Hallo Arne, nein, es gab keine weiteren Funde. Aber einige Minuten nach dem Hochfahren des Computers verändert sich immer noch die Taskleiste, u.a. Uhrzeit und Schriftbild. Diese Änderungen sind erst nach den letzten Virusmeldungen aufgetreten. Soll ich nochmal andere Programme durchlaufen lassen, die Rootkits entfernen wie z.B. Blacklight? Viele Grüße, kiki |
Zitat:
|
Hallo Arne, ja, genau. Also anfangs sieht die Taskleiste noch normal aus; Uhrzeit und Wochentag erscheinen im bekannten Schriftbild und die Leiste ist durchgängig dunkelgrau. Doch nach einigen Minuten sieht es so aus, als ob sich eine weitere Taskleiste "daraufsetzt". Die Farbgebung ist dann nicht mehr einheitlich; die Mitte der Leiste ist anschließend hellgrau und die Taskleiste sieht dadurch wie unterbrochen aus. Wenn ich das Startmenü anklicke, erscheint mein Benutzername in einem ganz anderen Schriftbild als sonst. Viele Grüße, kiki |
Mach mal einen Screenshot davon... |
Hallo Arne, okay; ich habe einen Screenshot gemacht und ihn als Paint-Dokument abgespeichert. Aber wie ich kann ihn Dir posten? Sorry, habe leider keine Ahnung. Viele Grüße, kiki |
Speicher es bitte als png Datei ab. Datei kannst du bei saved.im hochladen und hier verlinken |
Hi Arne, okay, Danke! Dies ist der link: hxxp://saved.im/mty1mzexamd3/screenshot.html. Hier sieht die Taskleiste noch nicht ganz so schräg aus; aber normalerweise ist der Start-Button grün und das Datum erscheint unter dem Wochentag. Nach einiger Zeit ändert sich ab und an die Leiste erneut; sie ist dann hellgrau und mein Benutzername wechselt in ein kursives Schriftbild. Das ist heute aber noch nicht aufgetreten, deswegen konnte ich davon keinen Screenshot machen; sonst schicke ich Dir das nochmal als link. Viele Grüße, kiki |
Die Leiste wird von ganz allein grau und doppelt so breit? :balla: |
Hallo Arne, nein; die Breite der Leiste habe ich selbst so eingestellt. Wie gesagt, einige Minuten nach dem Hochfahren des Computers erscheint die Leiste noch einmal und verändert sich merkwürdig, ohne dass ich irgendetwas mache! Normalerweise ist der Start-Button grün, die Leiste komplett dunkelgrau und wenn ich das Starmenü anklicke, erscheint ganz oben mein Name neben einem kleinen Bild. Danach: ist dieses Bild verschwunden, der Name ist kursiv und die Leiste ist heller als sonst. Na, erstmal schöne Weihnachten. Viele Grüße, k. |
Mach nochmal frische OTL-Logs: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hallo Arne, Danke, dass Du dir das weiterhin anschaust!! Die OTL-Logs poste ich Dir später. Hier noch ein Link zum aktuellen Screenshot: hxxp://saved.im/mty1nja4annv/screenshot2.html So sieht es momentan aus, wenn ich auf den Startbutton klicke. Das hat sich erst einige Minuten nach dem Hochfahren so verändert. Normalerweise erscheint mein Name nicht kursiv und daneben ist normalerweise ein kleines Bild; das ist jetzt verschwunden. Viele Grüße, k. |
Hi Arne, hier kommt das Logfile von OTL: OTL Logfile:OTL Logfile: Code: OTL logfile created on: 26.12.2010 13:38:57 - Run 6 Wünsch Dir noch einen schönen 2. Weihnachtstag! Viele Grüße, kiki |
Upps, entschuldige, das war nicht vollständig. Hier die beiden aktuellen Logs. OTL Logfile:OTL Logfile: Code: OTL logfile created on: 26.12.2010 14:55:53 - Run 7 OTL-Logfile:OTL Logfile: Code: OTL Extras logfile created on: 26.12.2010 14:55:53 - Run 7 Viele Grüße, k |
Ich seh da höchstens nur überflüssige Einträge. Evtl. hat nur dein Benutzerprofil einen Schuss, kann vorkommen, auch bei nicht infizierten Rechnern. Erstell dir mal ein neuen Benutzerkonto über Systemsteuerung oder in XP Start, ausführen control userpasswords2 eintippen und ausführen - da einen neuen Benutzer mit Passwort anlegen. Log dich aus und mit dem neuen Benutzer ein. Gib dem neuen Benutzer ruhig Adminrechte, aber normalerweise sollte der Benutzer, mit dem man ständig am Rechner dran ist, keine Adminrechte haben!! |
Hallo Arne, ganz lieben Dank, dass Du die Logs ausgewertet hast!! Oh..gut! Dann liegt`s bitte, bitte nur am Benutzerprofil. Denn sonst würd ich total verzweifeln :killpc: Okay, werde ein neues Profil einrichten und Dir dann kurz melden, ob die Änderungen an der Taskleiste immer noch auftreten. Schönen Abend & viele Grüße, k |
Naja was heißt "nur" :balla: Wenn es defekt ist müsstest du mit einem komplett neuen anfangen, d.h. alle benutzerspezifischen Einstellungen in Programmen etc müssen neu gemacht werden. Auch Daten aus Eigene Dateien oder Bilder müssen auf dem defekten ins neue Profil kopiert werden. Das ist fast wie format c :D nur dass man sich das Neuinstallieren von Windows und das Installieren der Programme danach erspart, mit einem neuen Profil hat man auch viel Fummelarbeit, aber was will man sonst machen wenn das bisher genutze Defekt ist und man weiß nicht an welcher Stelle http://cheesebuerger.de/images/smilie/konfus/a050.gif |
Hallo Arne, oh.. das habe ich mir einfacher vorgestellt :confused: Hilft ja nichts..da muss ich wohl durch! Danke für Deinen Support!! Ich kopiere jetzt nochmal alle Daten aus den Ordnern Eigene Dateien/ Eigene Bilder auf einen USB-Stick und erstelle das neue Profil. Eine Neuinstallation wäre ziemlich aufwendig; denn ich habe kein CD-ROM Laufwerk. Und von Computern, wie Du siehst, Null Ahnung! Viele Grüße, kiki |
Alle Zeitangaben in WEZ +1. Es ist jetzt 14:59 Uhr. |
Copyright ©2000-2024, Trojaner-Board