|
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
GMER Logfile: Code: GMER 1.0.15.15530 - GMER - Rootkit Detector and Remover |
OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit Online Solutions :: Index |
MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x000000fc Kernel Drivers (total 119): 0x804D7000 \WINDOWS\system32\TUKERNEL.EXE 0x80709000 \WINDOWS\system32\hal.dll 0xF7987000 \WINDOWS\system32\KDCOM.DLL 0xF7897000 \WINDOWS\system32\BOOTVID.dll 0xF74E3000 spmg.sys 0xF7989000 \WINDOWS\System32\Drivers\WMILIB.SYS 0xF74CB000 \WINDOWS\System32\Drivers\SCSIPORT.SYS 0xF749C000 ACPI.sys 0xF748B000 pci.sys 0xF75F7000 isapnp.sys 0xF7A4F000 pciide.sys 0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7607000 MountMgr.sys 0xF7868000 ftdisk.sys 0xF770F000 PartMgr.sys 0xF7617000 VolSnap.sys 0xF7850000 atapi.sys 0xF7627000 disk.sys 0xF7637000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7830000 fltmgr.sys 0xF7975000 sr.sys 0xF7647000 PxHelp20.sys 0xF795E000 KSecDD.sys 0xF7B52000 Ntfs.sys 0xF7A22000 NDIS.sys 0xF7657000 uagp35.sys 0xBA7E6000 Mup.sys 0xF7717000 BMLoad.sys 0xBA72E000 \SystemRoot\system32\DRIVERS\amdk7.sys 0xB9814000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xB9800000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xBA6FE000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF77BF000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF77C7000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7687000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7697000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF76A7000 \SystemRoot\system32\DRIVERS\redbook.sys 0xB97DD000 \SystemRoot\system32\DRIVERS\ks.sys 0xF77CF000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0xB968D000 \SystemRoot\system32\drivers\cmuda.sys 0xB9669000 \SystemRoot\system32\drivers\portcls.sys 0xF76B7000 \SystemRoot\system32\drivers\drmk.sys 0xF77D7000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xB9645000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF77DF000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF77E7000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF76C7000 \SystemRoot\system32\DRIVERS\serial.sys 0xBA6F6000 \SystemRoot\system32\DRIVERS\serenum.sys 0xB9631000 \SystemRoot\system32\DRIVERS\parport.sys 0xBA6F2000 \SystemRoot\system32\DRIVERS\gameenum.sys 0xF7AAF000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF76D7000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xBA6EE000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xB957A000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF76E7000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF76F7000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF77EF000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xB9569000 \SystemRoot\system32\DRIVERS\psched.sys 0xF747B000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF77F7000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF77FF000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF746B000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF79A5000 \SystemRoot\system32\DRIVERS\swenum.sys 0xB950B000 \SystemRoot\system32\DRIVERS\update.sys 0xBA6DE000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF744B000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF743B000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF79B1000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF79B3000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xBA1E3000 \SystemRoot\System32\Drivers\Null.SYS 0xF79B5000 \SystemRoot\System32\Drivers\Beep.SYS 0xF781F000 \SystemRoot\System32\drivers\vga.sys 0xF79B7000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF79B9000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF772F000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF7737000 \SystemRoot\System32\Drivers\Npfs.SYS 0xBA103000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xB8360000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xB8307000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xF773F000 \SystemRoot\System32\Drivers\tcpipBM.SYS 0xB82DF000 \SystemRoot\system32\DRIVERS\netbt.sys 0xF7923000 \SystemRoot\System32\drivers\ws2ifsl.sys 0xB82BD000 \SystemRoot\System32\drivers\afd.sys 0xF741B000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF7747000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xB8292000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xB8222000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF740B000 \SystemRoot\System32\Drivers\Fips.SYS 0xB81FC000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF7887000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xB810E000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF79BF000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xBA76E000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xF7767000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xB80F5000 \SystemRoot\system32\DRIVERS\ewusbmdm.sys 0xF776F000 \SystemRoot\System32\Drivers\Modem.SYS 0xB80D9000 \SystemRoot\system32\DRIVERS\ewusbnet.sys 0xF7777000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xB83E3000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xBA75E000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF7807000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xB8099000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF79E7000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xB8158000 \SystemRoot\System32\drivers\Dxapi.sys 0xF780F000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7AB2000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBF596000 \SystemRoot\System32\ATMFD.DLL 0xB7D34000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xB7D69000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB7AAF000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xF79D9000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xB7982000 \SystemRoot\system32\drivers\wdmaud.sys 0xB7B4C000 \SystemRoot\system32\drivers\sysaudio.sys 0xB7358000 \SystemRoot\system32\DRIVERS\srv.sys 0xB60B4000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 37): 0 System Idle Process 4 System 368 C:\WINDOWS\system32\smss.exe 648 csrss.exe 672 C:\WINDOWS\system32\winlogon.exe 716 C:\WINDOWS\system32\services.exe 728 C:\WINDOWS\system32\lsass.exe 884 C:\WINDOWS\system32\svchost.exe 944 svchost.exe 992 C:\WINDOWS\system32\svchost.exe 1056 svchost.exe 1176 svchost.exe 1328 C:\WINDOWS\explorer.exe 1392 C:\WINDOWS\system32\spoolsv.exe 1436 C:\Programme\Avira\AntiVir Desktop\sched.exe 1476 svchost.exe 1576 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1588 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe 1620 C:\Programme\Bonjour\mDNSResponder.exe 1656 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1768 C:\Programme\Java\jre6\bin\jqs.exe 1856 C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe 1888 C:\WINDOWS\system32\nvsvc32.exe 1956 C:\WINDOWS\system32\svchost.exe 1996 wdfmgr.exe 164 C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe 444 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 480 C:\WINDOWS\system32\ctfmon.exe 2212 alg.exe 2388 C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe 2536 C:\WINDOWS\system32\wuauclt.exe 2644 C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe 1552 C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmop.exe 2492 C:\Programme\Internet Explorer\iexplore.exe 2984 C:\Programme\Internet Explorer\iexplore.exe 3528 C:\Programme\Internet Explorer\iexplore.exe 3236 D:\Install Programme\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000006`f69ae600 (NTFS) PhysicalDrive0 Model Number: ExcelStorTechnologyJ880, Rev: PF2OA21B Size Device Name MBR Status -------------------------------------------- 76 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! |
Gerade hat AntiVir wieder was in der System Volume Information gefunden...ich wüsste zu gerne wieso er da immer was findet... C:\System Volume Information\_restore{E58F0591-41E4-4988-94C2-D9AC0ADB9225}\RP57\A0031404.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde gelöscht. |
Das sieht soweit ok aus, AntiVir findet nur was in den Systemwiederherstellungpunkten. Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Mach danach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 6009 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 10.03.2011 14:27:00 mbam-log-2011-03-10 (14-27-00).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|I:\|) Durchsuchte Objekte: 222757 Laufzeit: 1 Stunde(n), 26 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
SUPERAntiSpyware Scan Log SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware! Generated 03/10/2011 at 08:44 PM Application Version : 4.49.1000 Core Rules Database Version : 6569 Trace Rules Database Version: 4381 Scan type : Complete Scan Total Scan Time : 01:43:20 Memory items scanned : 482 Memory threats detected : 0 Registry items scanned : 6745 Registry threats detected : 0 File items scanned : 84430 File threats detected : 6 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Talibude\Cookies\talibude@doubleclick[2].txt Trojan.Agent/Gen-ImageDocFake D:\EIGENE SCHREIBSACHEN\BERICHTE\BERICHTSHEFT NACHWEIS 51.DOC C:\SYSTEM VOLUME INFORMATION\_RESTORE{E58F0591-41E4-4988-94C2-D9AC0ADB9225}\RP62\A0032086.LNK D:\EIGENE SCHREIBSACHEN\BERICHTE\BERICHTSHEFT NACHWEIS 58.DOC C:\SYSTEM VOLUME INFORMATION\_RESTORE{E58F0591-41E4-4988-94C2-D9AC0ADB9225}\RP62\A0032091.LNK D:\EIGENE SCHREIBSACHEN\BERICHTE\BERICHTSHEFT NACHWEIS 45.DOC |
Da wurde nur ein Cookie gefunden, der andere Kram besteht aus Fehlalarmen! Sieht nach persönlichen Dokumenten aus! Rechner wieder ok oder noch Probleme/andere Funde? |
Ne alles ok soweit. Aber was ist mit diesem recycler Ordner der plötzlich aufgetaucht war und genauso plötzlich wieder verschwand? Normal ist das doch nicht oder? |
Recycler ist der Papierkorb! Das ist ein versteckter Ordner, der in den Windows-Standardeinstellungen nur ausgblendet wird, der existiert immer! Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink (Mozilla und andere Browser) => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
ok werde ich machen! Danke für die tolle hilfe, die unterstützung und die tipps bzw. programme zur windows pflege! Falls nochwas sein sollte poste ich es hier wieder rein :) Gruß, Max! |
Moin! Hab da bei nen kleinem Check was gefunden Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 6092 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18.03.2011 00:04:46 mbam-log-2011-03-18 (00-04-46).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 144445 Laufzeit: 6 Minute(n), 38 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{A0489C57-CAB3-B277-C94C-D50BAB445932} (Trojan.ZbotR.Gen) -> Value: {A0489C57-CAB3-B277-C94C-D50BAB445932} -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\Talibude\anwendungsdaten\Ehacq\dufa.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully. habe danach einen vollständigen Scan durchgeführt: Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 6092 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18.03.2011 01:30:06 mbam-log-2011-03-18 (01-30-06).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 208373 Laufzeit: 1 Stunde(n), 11 Minute(n), 38 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Ist alles ok oder sollte ich noch was machen? |
Waren nur Überreste. Oder hast du noch dickere Probleme? |
Naja manche Internetseiten werden nicht richtig aufgebaut, auch neuladen mit strg und F5 hilft dann nicht. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board