![]() |
System Tool eingenistet Hallo zusammen, ich habe mir heute System Tool eingefangen. Habe hier im Forum schon ähnliche Beiträge gelesen und hoffe ihr könnt mir helfen. Was mich wundert ist, dass sich System Tool trotz G Data Total Care 2011 (allerdings nur die Testversion) eingeschlichen hat. Ich habe beim surfen zwei meldungen von G Data erhalten aber den Zugriff jedes Mal verweigert. Plötzlich kam das Pop Up von System Tools und es ging fast nichts mehr. G Date ist angeblich verseucht und kann nicht mehr gestartet werden. Der Taskmanager ist ebenfalls tot. Ich habe bei der Aufforderung (Beheben sie die Probleme) von System Tool jedesmal verneint und "ohne Schutz" im web recherchiert. Plötzlich ging der PC von alleine aus und wollte sich wieder hoch fahren. Da ich Angst hatte, dass der Reboot von System Tool ausgeht hab ich den hauptschalter umgelegt und den PC jetzt im abgesicherten Modus mit Netzwerktreibern gestartet, mich hier angemeldet und gleich OTL und combofix runter geladen. G Data Testversion habe ich seit 2 Tagen. (wollte es testen weil es beim onlinescan bereits trojaner gefunden hatte) Ich benutze den PC für meinen kleinen Handwerksbetrieb und bin grade echt beunruhigt. Ich hoffe ihr könnt mir helfen. grüße Chris |
Zitat:
http://www.trojaner-board.de/images/icons/icon4.gif Bitte beachten http://www.trojaner-board.de/images/icons/icon4.gif => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html |
okay, danke. Würdest du mir vielleicht helfen das Teil wieder los zu werden? Soll ich mal OTL laufen lassen? Wenn ja, im abgesicherten Modus (derzeit aktiv) oder im normalen Modus? gruß chris |
Lies doch bitte die verlinkten Hinweise... |
die verlinkten Hinweise? Du meinst das "Bitte beachten..."? ich dachte eigentlich ich hätte es beachtet. Habe nicht blind die Lösung eines vermeintlich gleichen Problems versucht, mich deutlich ausgedrückt, war höflich und im richtigen subforum bin ich glaube ich auch. Sorry aber ich versteh nicht was du meinst. gruß |
Lies davon bitte alles!! Da sind auch Instruktionen, die jeder bei Befall beachten muss!! Zitat:
|
Ich habe ComboFix nicht ausgeführt sondern nur runter geladen. Ich würde es nach der Warnung hier im Forum nie ohne Anweisung ausführen. Liegt es daran, dass ich es vorhin klein geschrieben habe????? Ich bitte um Verzeihung. Ich habs einfach übersehen... gruß chris |
Schau mal unter Abschnitt http://saved.im/mtyzmjm5bnvw/2.png :pfeiff: |
Soll das heißen ich hätte kein neues Thema verfassen sollen, weil es bereits behandelt wird oder wurde? |
Och menno.. :( Im Abschnitt 2 wird doch beschrieben welches Tool in welcher Reihenfolge du ausführen sollst...ist das so unverständlich? :balla: |
okay jetzt schäme ich mich :stirn: ich habe nach dem Zitat mit den 7 Regeln nicht mehr weiter gescrollt.... Asche auf mein Haupt. Ich mach das unter Punkt 2 jetzt. Danke. |
So, hier als erstes ein Log file von heute Mittag. Dabei habe ich nur einen Ordner gescant der beim Recherchieren im Web erwähnt wurde. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5866 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 7.0.5730.11 24.02.2011 12:39:35 mbam-log-2011-02-24 (12-39-29).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 1 Laufzeit: 4 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\hHoCgNn06504 (Trojan.FakeAlert) -> Value: hHoCgNn06504 -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\all users\anwendungsdaten\hhocgnn06504\hhocgnn06504.exe (Trojan.FakeAlert) -> No action taken. |
Das ist der Scan den ich später gemacht habe, also nachdem ich mich hier angemeldet habe. Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 5868 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.11 24.02.2011 16:46:59 mbam-log-2011-02-24 (16-46-37).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 158406 Laufzeit: 21 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\Erich\lokale einstellungen\Temp\jar_cache40881.tmp (Trojan.FakeAlert) -> No action taken. c:\dokumente und einstellungen\Erich\lokale einstellungen\Temp\0.37880157168383133.exe (Trojan.Dropper) -> No action taken. |
Hier die OTL ScansOTL Logfile: Code: OTL logfile created on: 24.02.2011 17:34:49 - Run 1 |
Hier die OTL ScansOTL Logfile: Code: OTL logfile created on: 24.02.2011 17:34:49 - Run 1 |
Zitat:
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Hier das Extra Log file |
Okay ich mache jetzt noch einen Vollscan mit Malwarebytes. Befürchte aber dass ich das Log erst morgen früh posten kann. Ich habe es heute vor beiden Scans aktualisiert. P.S. Ich habe alle Scans heute im normalen Modus und während G Date gelaufen ist gemacht. Spielt das eine Rolle? Hier noch ein älteres Log von Malwarebytes. Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 5615 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.11 27.01.2011 10:12:13 mbam-log-2011-01-27 (10-12-08).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 314208 Laufzeit: 1 Stunde(n), 58 Minute(n), 4 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{6FD31ED6-7C94-4bbc-8E95-F927F4D3A949} (Adware.180Solutions) -> No action taken. HKEY_CLASSES_ROOT\SAI.Instantiator.1 (Adware.180Solutions) -> No action taken. HKEY_CLASSES_ROOT\SAI.Instantiator (Adware.180Solutions) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6FD31ED6-7C94-4BBC-8E95-F927F4D3A949} (Adware.180Solutions) -> No action taken. HKEY_CLASSES_ROOT\egodktf.bsfl (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Helper (Trojan.Agent) -> Value: Helper -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\programme\softxpansion\tbsof1.dll (Adware.Shopper) -> No action taken. c:\dokumente und einstellungen\Erich\anwendungsdaten\Helper\bin\liveu.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\drivers\asc3550p.sys (Rootkit.Agent) -> No action taken. |
Guten Morgen, hier das Log file des letzten Suchlaufes. |
Zitat:
|
Hab ich doch. Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 5868 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.11 24.02.2011 16:47:38 mbam-log-2011-02-24 (16-47-38).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 158406 Laufzeit: 21 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\Erich\lokale einstellungen\Temp\jar_cache40881.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Erich\lokale einstellungen\Temp\0.37880157168383133.exe (Trojan.Dropper) -> Quarantined and deleted successfully. |
Ok, dann ist alles gut :D Ich seh mit mal die OTL-Logs an. |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTL Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Hier das OTL log file All processes killed ========== OTL ========== C:\fsqwr.bmp moved successfully. Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hHoCgNn06504\ not found. C:\AUTOEXEC.BAT moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a44e09dd-06ab-11df-bd35-00116b3d1713}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a44e09dd-06ab-11df-bd35-00116b3d1713}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a44e09dd-06ab-11df-bd35-00116b3d1713}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a44e09dd-06ab-11df-bd35-00116b3d1713}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a44e09dd-06ab-11df-bd35-00116b3d1713}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a44e09dd-06ab-11df-bd35-00116b3d1713}\ not found. File G:\USBAutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\ not found. File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 319137 bytes ->FireFox cache emptied: 63881620 bytes ->Flash cache emptied: 715 bytes User: All Users User: Chris User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Erich ->Temp folder emptied: 486475184 bytes ->Temporary Internet Files folder emptied: 227524299 bytes ->Java cache emptied: 14463998 bytes ->FireFox cache emptied: 54159260 bytes ->Flash cache emptied: 337907 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 40230 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33237 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 24 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 55773667 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 861.00 mb OTL by OldTimer - Version 3.2.21.0 log created on 02252011_100030 Files\Folders moved on Reboot... File move failed. C:\WINDOWS\SD6772097.tmp scheduled to be moved on reboot. Registry entries deleted on Reboot... grüße |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hi, es gibt ein kleines Problem. Combofix bzw cofi.exe meint dass folgende Anwendungen laufen: G Data total care Antivir Personal Edition classic Antivir Personal Edition classic Das Problem dabei ist, dass ich schon eine Weile kein Antivir mehr auf dem Rechner habe... Im Taskmanager sind mir ein paar Prozesse aufgefallen: GDFSvc.exe AVKProxy.exe AVKService.exe AVKctl.exe Keiner dieser Prozesse lässt sich mit dem Taskmanager oder Tune Up Process Manager beenden. Was soll ich tun? grüße Chris |
Das ist ein Bug. Wenn GDATA deaktiviert und AntiVir deinstalliert ist einfach ausführen - :) |
okay, dann mach ich einfach mal. Danke. |
hier das ComboFix Log File Combofix Logfile: Code: ComboFix 11-02-24.05 - Erich 26.02.2011 13:40:41.1.1 - x86 |
Zitat:
|
ich habe keine Ahnung. Ich hab die Anleitung zu Combofix haargenau befolgt. Was jetzt? gruß Chris |
Wir brauchen die Wiederherstellungskonsole: Gehe auf die Microsoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12 Wähle den Download, der für dein Betriebssystem bestimmt ist: Hinweis: Für WinXP Sp3 wähle die Sp2 Version. http://i94.photobucket.com/albums/l8...ungskonsol.png Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab (bzw. cofi.exe wenn umbenannt) http://i94.photobucket.com/albums/l8...onsole_ani.gif Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.
|
Hallo Cosinus, erstmal danke für deine Hartnäckigkeit mein Problem betreffend. Es gibt leider ein neues Problem. Ich habe die Wiederherstellungskonsole runtergeladen und auf cofi.exe gezogen wie du es beschrieben hast. Cofi.exe erkannte das auch und ich habe alles bestätigt. Leider hängt cofi seit mind. 2,5 Stunden bei: Fertiggestellt Stufe_49 Ich habe weder die Maus noch die Tastatur angefasst. Naja bis eben zumindest... Hast noch nen Vorschlag was ich jetzt machen könnte? grüße Chris Edit: Ach ja, ich hab cofi.exe noch immer am Laufen. Soll ich es abbrechen? |
Hast du eine Windows-XP-CD? Darüber kann man die Wiederherstellungskonsole auch installieren. |
nein hab ich leider nicht. |
Zitat:
|
Versteh nicht wieso das enabled ist -.- Ich hab cofi.exe ein zweites Mal ausgeführt. Siehe Log. Ich kann G Data aber auch deinstallieren wenns nötig ist. Gib bitte Bescheid. grüße chris Combofix Logfile: Code: ComboFix 11-02-24.05 - Erich 28.02.2011 14:12:48.3.1 - x86 |
Zitat:
Nach der Deinstallation von GDATA: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Folder:: 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Guten Morgen, hier das Log: Combofix Logfile: Code: ComboFix 11-03-01.03 - Erich 02.03.2011 23:13:19.4.1 - x86 grüße Christian |
Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Files to delete: 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken |
Anbei das Log von Avenger Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "c:\windows\SD6772097.tmp" deleted successfully. Completed script processing. ******************* Finished! Terminate. Hier der Link des hoch geladenen Archives. hxxp://www.file-upload.net/download-3259924/backup.zip.html grüße Christian |
Dann bitte nochmal CF ausführen, nimm eine neue cofi.exe bitte! ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Guten Abend, hier das Log von ComboFix. Combofix Logfile: Code: ComboFix 11-03-05.02 - Erich 06.03.2011 18:55:35.5.1 - x86 grüße Christian |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
So, ich denke ich habe bei OSAM einen Fehler gemacht. Nach dem Scan wollte OSAM sich mit dem Internet verbinden. Das ging aber nicht, da ich wegen Gmer das Lan Kabel noch abgezogen hatte. Ich hab deshalb auf Cancel geklickt und danach einfach das Log file abgespeichert. Das ist hier: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Edit: Ich habe OSAM noch geöffnet. Soll ich da noch was machen? |
Hier die MBRCheck .txt MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000003d Kernel Drivers (total 133): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x806EF000 \WINDOWS\system32\hal.dll 0xF7987000 \WINDOWS\system32\KDCOM.DLL 0xF7897000 \WINDOWS\system32\BOOTVID.dll 0xF74D6000 spub.sys 0xF7989000 \WINDOWS\System32\Drivers\WMILIB.SYS 0xF74BE000 \WINDOWS\System32\Drivers\SCSIPORT.SYS 0xF748F000 ACPI.sys 0xF75F7000 isapnp.sys 0xF7866000 pci.sys 0xF7A4F000 pciide.sys 0xF7707000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS 0xF7607000 MountMgr.sys 0xF7847000 ftdisk.sys 0xF798B000 dmload.sys 0xF7961000 dmio.sys 0xF770F000 PartMgr.sys 0xF7617000 VolSnap.sys 0xF782F000 atapi.sys 0xF7627000 disk.sys 0xF7637000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS 0xF7A2F000 fltmgr.sys 0xF794F000 sr.sys 0xF7A18000 KSecDD.sys 0xF7B52000 Ntfs.sys 0xF7B25000 NDIS.sys 0xF7717000 SISAGPX.sys 0xF789B000 RecAgent.sys 0xF7B0B000 Mup.sys 0xF76F7000 \SystemRoot\System32\DRIVERS\amdk7.sys 0xB782D000 \SystemRoot\System32\DRIVERS\nv4_mini.sys 0xB7801000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS 0xF746F000 \SystemRoot\System32\DRIVERS\i8042prt.sys 0xF77DF000 \SystemRoot\System32\DRIVERS\mouclass.sys 0xF77FF000 \SystemRoot\System32\DRIVERS\kbdclass.sys 0xB77EB000 \SystemRoot\System32\Drivers\AnyDVD.sys 0xF7807000 \SystemRoot\system32\drivers\pfc.sys 0xF79BD000 \SystemRoot\System32\Drivers\ElbyDelay.sys 0xF744F000 \SystemRoot\System32\DRIVERS\cdrom.sys 0xF743F000 \SystemRoot\System32\DRIVERS\redbook.sys 0xB77C8000 \SystemRoot\System32\DRIVERS\ks.sys 0xF742F000 \SystemRoot\system32\drivers\Imapi.sys 0xB7678000 \SystemRoot\system32\drivers\cmuda.sys 0xB7654000 \SystemRoot\system32\drivers\portcls.sys 0xF7877000 \SystemRoot\system32\drivers\drmk.sys 0xF780F000 \SystemRoot\System32\DRIVERS\usbohci.sys 0xB761E000 \SystemRoot\System32\DRIVERS\USBPORT.SYS 0xF7817000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xB80AE000 \SystemRoot\System32\DRIVERS\sisnic.sys 0xB75FC000 \SystemRoot\system32\DRIVERS\Rtlnic51.sys 0xB75A4000 \SystemRoot\System32\Drivers\awqb7ntm.SYS 0xF774F000 \SystemRoot\System32\DRIVERS\fdc.sys 0xB8796000 \SystemRoot\System32\DRIVERS\serial.sys 0xB87BC000 \SystemRoot\System32\DRIVERS\serenum.sys 0xB7554000 \SystemRoot\System32\DRIVERS\parport.sys 0xB87B8000 \SystemRoot\System32\DRIVERS\gameenum.sys 0xB7411000 \SystemRoot\system32\DRIVERS\btkrnl.sys 0xB87B4000 \SystemRoot\system32\drivers\tbhsd.sys 0xB87A9000 \SystemRoot\System32\DRIVERS\audstub.sys 0xF7767000 \SystemRoot\System32\DRIVERS\rasirda.sys 0xF7787000 \SystemRoot\System32\DRIVERS\TDI.SYS 0xB8032000 \SystemRoot\System32\DRIVERS\rasl2tp.sys 0xF791F000 \SystemRoot\System32\DRIVERS\ndistapi.sys 0xB73FA000 \SystemRoot\System32\DRIVERS\ndiswan.sys 0xB8022000 \SystemRoot\System32\DRIVERS\raspppoe.sys 0xB8012000 \SystemRoot\System32\DRIVERS\raspptp.sys 0xB73E9000 \SystemRoot\System32\DRIVERS\psched.sys 0xB8002000 \SystemRoot\System32\DRIVERS\msgpc.sys 0xF7737000 \SystemRoot\System32\DRIVERS\ptilink.sys 0xF779F000 \SystemRoot\System32\DRIVERS\raspti.sys 0xB7391000 \SystemRoot\System32\DRIVERS\rdpdr.sys 0xB8776000 \SystemRoot\System32\DRIVERS\termdd.sys 0xF79E3000 \SystemRoot\System32\DRIVERS\swenum.sys 0xB7333000 \SystemRoot\System32\DRIVERS\update.sys 0xB87E0000 \SystemRoot\System32\DRIVERS\mssmbios.sys 0xB8766000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xB8726000 \SystemRoot\System32\DRIVERS\usbhub.sys 0xF79ED000 \SystemRoot\System32\DRIVERS\USBD.SYS 0xB80A6000 \SystemRoot\System32\DRIVERS\flpydisk.sys 0xF79F1000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xB8374000 \SystemRoot\System32\Drivers\Null.SYS 0xF79F3000 \SystemRoot\System32\Drivers\Beep.SYS 0xB8096000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xB808E000 \SystemRoot\System32\drivers\vga.sys 0xF79F5000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF79F7000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xB8086000 \SystemRoot\System32\Drivers\Msfs.SYS 0xB807E000 \SystemRoot\System32\Drivers\Npfs.SYS 0xB81B2000 \SystemRoot\System32\DRIVERS\rasacd.sys 0xB51D8000 \SystemRoot\System32\DRIVERS\ipsec.sys 0xB517F000 \SystemRoot\System32\DRIVERS\tcpip.sys 0xB5157000 \SystemRoot\System32\DRIVERS\netbt.sys 0xB5135000 \SystemRoot\System32\drivers\afd.sys 0xB8786000 \SystemRoot\System32\DRIVERS\netbios.sys 0xB510A000 \SystemRoot\System32\DRIVERS\rdbss.sys 0xB50EE000 \SystemRoot\System32\drivers\prodrv04.sys 0xB836D000 \SystemRoot\System32\Drivers\PQNTDrv.SYS 0xB507E000 \SystemRoot\System32\DRIVERS\mrxsmb.sys 0xB8341000 \??\C:\WINDOWS\system32\mbmiodrvr.sys 0xB81A6000 \??\C:\WINDOWS\system32\drivers\LUMDriver.sys 0xF7687000 \SystemRoot\System32\Drivers\Fips.SYS 0xB5058000 \SystemRoot\System32\DRIVERS\ipnat.sys 0xB8736000 \SystemRoot\System32\DRIVERS\wanarp.sys 0xB8076000 \SystemRoot\System32\Drivers\ElbyCDIO.sys 0xF741F000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB5018000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF79FB000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xB81A2000 \SystemRoot\System32\drivers\Dxapi.sys 0xB8066000 \SystemRoot\System32\watchdog.sys 0xBD000000 \SystemRoot\System32\drivers\dxg.sys 0xB87AC000 \SystemRoot\System32\drivers\dxgthk.sys 0xBD012000 \SystemRoot\System32\nv4_disp.dll 0xBD5B3000 \SystemRoot\System32\ATMFD.DLL 0xB4E94000 \SystemRoot\system32\DRIVERS\AegisP.sys 0x8B360000 \SystemRoot\System32\DRIVERS\irda.sys 0xB4ECE000 \SystemRoot\System32\DRIVERS\ndisuio.sys 0x8B293000 \SystemRoot\System32\DRIVERS\mrxdav.sys 0x8BFCB000 \SystemRoot\System32\Drivers\ParVdm.SYS 0x8B259000 \SystemRoot\System32\Drivers\SENTINEL.SYS 0xB806E000 \??\C:\WINDOWS\system32\drivers\btserial.sys 0x8B227000 \??\C:\WINDOWS\system32\drivers\btslbcsp.sys 0xB475B000 \SystemRoot\System32\Drivers\DgiVecp.sys 0x8B15B000 \??\C:\WINDOWS\system32\drivers\hardlock.sys 0x8B137000 \SystemRoot\System32\Drivers\Fastfat.SYS 0x8B0B7000 \SystemRoot\System32\DRIVERS\srv.sys 0xB4FE8000 \??\C:\WINDOWS\system32\drivers\SECDRV.SYS 0x8AE72000 \SystemRoot\system32\drivers\wdmaud.sys 0xB4C5F000 \SystemRoot\system32\drivers\sysaudio.sys 0x8A92D000 \SystemRoot\System32\Drivers\HTTP.sys 0x8AA1A000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll 0x10000000 \Programme\DAEMON Tools Lite\daemon.dll Processes (total 26): 0 System Idle Process 4 System 648 C:\WINDOWS\system32\smss.exe 712 csrss.exe 760 C:\WINDOWS\system32\winlogon.exe 804 C:\WINDOWS\system32\services.exe 816 C:\WINDOWS\system32\lsass.exe 968 C:\WINDOWS\system32\svchost.exe 1028 svchost.exe 1068 C:\WINDOWS\system32\svchost.exe 1120 svchost.exe 1220 svchost.exe 1360 C:\WINDOWS\system32\spoolsv.exe 1432 svchost.exe 1472 svchost.exe 1484 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe 1500 C:\CIMCO\NFS\portmap.exe 1660 C:\WINDOWS\system32\slserv.exe 1704 C:\WINDOWS\system32\PAStiSvc.exe 1720 C:\WINDOWS\system32\svchost.exe 1788 C:\CIMCO\NFS\nfs.exe 1976 alg.exe 476 C:\WINDOWS\explorer.exe 1244 C:\WINDOWS\system32\rundll32.exe 1480 C:\Programme\FreePDF_XP\fpassist.exe 2252 C:\Dokumente und Einstellungen\Erich\Eigene Dateien\Downloads\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: IC35L060AVV207-0, Rev: V22OA66A Size Device Name MBR Status -------------------------------------------- 37 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! |
GMER ging nicht? |
Nein, GMER ging nicht. Ich habs gestern 2x versucht und heute früh noch einmal. Grüße Christian |
Die anderen Logs sind ok. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 5989 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.11 08.03.2011 20:16:04 mbam-log-2011-03-08 (20-16-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 315096 Laufzeit: 2 Stunde(n), 38 Minute(n), 34 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\system volume information\_restore{c20634c7-c7ed-437a-a668-60406f63d97b}\RP6\A0008697.exe (Trojan.Agent) -> Quarantined and deleted successfully. |
hier das log von Super Anti Spyware SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 03/09/2011 at 11:16 AM Application Version : 4.49.1000 Core Rules Database Version : 6558 Trace Rules Database Version: 4370 Scan type : Complete Scan Total Scan Time : 03:50:48 Memory items scanned : 392 Memory threats detected : 0 Registry items scanned : 8731 Registry threats detected : 0 File items scanned : 176760 File threats detected : 4 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Erich\Cookies\erich@atdmt[1].txt s0.2mdn.net [ C:\Dokumente und Einstellungen\Erich\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\S3ZVZK7G ] Trojan.Agent/Gen-Krpytik C:\PROGRAMME\HEIDENHAIN\ACCOMV29\LSV2DLL.DLL C:\WINDOWS\SYSTEM32\KSCB532.DLL grüße christian |
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Zitat:
|
das programm kenne ich schon. Ich hab es allerdings nicht von der Herstellerseite runter geladen. Ich benötige es auch nicht zwingend, kann es also auch deinstallieren. grüße christian Edit: Systemwiederherstellung ist deaktiviert |
Was genau soll das heißen? Gecracktes Programm? :stirn: :balla: |
Nein, definitiv nicht. Es ist Freeware eines Steuerungsherstellers^^ Der Download funktionierte seiner Zeit nur nicht von deren Homepage. Deshalb hab ich es woanders gezogen. Nicht immer gleich vom Schlimmsten ausgehen xD |
Sry ich bin nur etwas misstrauisch...wahrscheinlich zuviel, entschuldige bitte :o Ich würde jetzt einfach nur fragen, was ist jetzt noch an Funden bzw. Problemen offen? Oder ist jetzt alles ok? :)q |
Kein Problem. Ich kann deine Skepsis nachvollziehen, also Schwamm drüber. Also wenn System Tool jetzt ist sind wir durch oder? Ich danke dir für die kompetente Hilfe und werde mich erkenntlich zeigen. Ihr opfert hier eure Freizeit für die Probleme anderer. Das ist nicht selbstverständlich. Ich habe zwar noch ein Trojaner Problem auf einem Laptop, aber dafür sollte ich wohl ein neues Thema eröffnen. Nochmals Danke für deine Hilfe :daumenhoc:dankeschoen: Grüße Christian |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink (Mozilla und andere Browser) => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Ich werd deine To Do Liste abarbeiten. Danke :) Grüße Christian |
Ich bekomme Java nicht deinstalliert. Weder mit JavaRa, Systemsteuerung, CC Cleaner oder TuneUp. Ich konnte einzelne Updates deinstallieren, aber die Grundversion geht nicht. Die Fehlermeldung ist immer die gleiche. Fehler bei der Anwendung von Transformen. Stellen Sie sicher, dass die angegebenen Transformpfade gültig sind. In C\Programme\ befindet sich kein Ordner mehr der Java oder Jve heißt. Fällt dir vielleicht was ein? Grüße Chris |
Installier einfach die neue Version... |
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board