Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Wie krieg ich das wieder weg? (https://www.trojaner-board.de/95803-krieg-weg.html)

atoner7174 18.02.2011 15:20
Wie krieg ich das wieder weg?
 
Hab hier was gefunden was wohl nicht dahin gehört, und jetzt????



---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

Device \Driver\iaStor \Device\Ide\iaStor0 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\atapi \Device\Ide\IdePort0 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\PCTSDInjDriver32 \Device\PCTSDInjDriver32 PCTSDInj32.sys (UM Injection Driver/PC Tools)
Device \Driver\USBSTOR \Device\000000a6 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\USBSTOR \Device\000000a7 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))

AttachedDevice \Driver\Tcpip \Device\Udp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\RawIp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] aqsyiel <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet001\Services\aqsyiel@DisplayName Image Boot
Reg HKLM\SYSTEM\ControlSet001\Services\aqsyiel@Type 32
Reg HKLM\SYSTEM\ControlSet001\Services\aqsyiel@Start 2
Reg HKLM\SYSTEM\ControlSet001\Services\aqsyiel@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet001\Services\aqsyiel@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet001\Services\aqsyiel@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet001\Services\aqsyiel@Description Sch?tzt das System gegen Spyware und Malware. Wenn dieser Service deaktiviert wird, ist das System nicht gegen Spyware gesch?tzt.
Reg HKLM\SYSTEM\ControlSet001\Services\aqsyiel\Parameters
Reg HKLM\SYSTEM\ControlSet001\Services\aqsyiel\Parameters@ServiceDll C:\WINDOWS\system32\wiyyi.dll
Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0011f605d3cd
Reg HKLM\SYSTEM\ControlSet002\Services\aqsyiel@DisplayName Image Boot
Reg HKLM\SYSTEM\ControlSet002\Services\aqsyiel@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\aqsyiel@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\aqsyiel@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\aqsyiel@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\aqsyiel@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\aqsyiel@Description Sch?tzt das System gegen Spyware und Malware. Wenn dieser Service deaktiviert wird, ist das System nicht gegen Spyware gesch?tzt.
Reg HKLM\SYSTEM\ControlSet002\Services\aqsyiel\Parameters
Reg HKLM\SYSTEM\ControlSet002\Services\aqsyiel\Parameters@ServiceDll C:\WINDOWS\system32\wiyyi.dll
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0011f605d3cd
Reg HKLM\SYSTEM\CurrentControlSet\Services\aqsyiel@DisplayName Image Boot
Reg HKLM\SYSTEM\CurrentControlSet\Services\aqsyiel@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\aqsyiel@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\aqsyiel@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\aqsyiel@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\aqsyiel@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\aqsyiel@Description Sch?tzt das System gegen Spyware und Malware. Wenn dieser Service deaktiviert wird, ist das System nicht gegen Spyware gesch?tzt.
Reg HKLM\SYSTEM\CurrentControlSet\Services\aqsyiel\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\aqsyiel\Parameters@ServiceDll C:\WINDOWS\system32\wiyyi.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011f605d3cd
Reg HKLM\SYSTEM\ControlSet005\Services\aqsyiel@DisplayName Image Boot
Reg HKLM\SYSTEM\ControlSet005\Services\aqsyiel@Type 32
Reg HKLM\SYSTEM\ControlSet005\Services\aqsyiel@Start 2
Reg HKLM\SYSTEM\ControlSet005\Services\aqsyiel@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet005\Services\aqsyiel@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet005\Services\aqsyiel@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet005\Services\aqsyiel@Description Sch?tzt das System gegen Spyware und Malware. Wenn dieser Service deaktiviert wird, ist das System nicht gegen Spyware gesch?tzt.
Reg HKLM\SYSTEM\ControlSet005\Services\aqsyiel\Parameters
Reg HKLM\SYSTEM\ControlSet005\Services\aqsyiel\Parameters@ServiceDll C:\WINDOWS\system32\wiyyi.dll
Reg HKLM\SYSTEM\ControlSet005\Services\BTHPORT\Parameters\Keys\0011f605d3cd

---- EOF - GMER 1.0.14 ----

kira 18.02.2011 15:54
Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vB Code Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)[/list]
► Was hast Du gefunden, was nicht "dahin gehört"?
Wenn irgend etwas mit deinem PC nicht in Ordnung ist, bitte eine möglichst kurz und genaue Problembeschreibung!

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ "Download"→ " Download from FileHippo.com"
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
gruß
Coverflow


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19