|
Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 Hallo, Avira hat auf meinem Rechner (Windows XP) vor 1 Woche Virenbefall gemeldet, ich habe immer wieder auf entfernen geklickt und dachte alles sei gut. Aber die Meldung kam immer häufiger, mein Rechner lässt sich zeitweise nur schwer starten, öffnet nicht mal mehr den Internet-Explorer, bringt verschiedene Fehlermeldungen wie: "GetDriveLayOut:CreateFile fail! Das System kann dich angegebene Datei nicht finden", "Query DosDevice failes", "Runtime Error", No stand alone disk, no usable disk array attached, please check if any disk array is broken", kurz er spinnt. Gott sei Dank habe ich euer Forum hier gefunden und halte mich jetzt hoffentlich auch an die Regeln und poste jetzt erstmal den Virenbericht von Malwarebytes (während des Malwarebyte-Scans meldete Avira: In der Datei C\\Windows\system32\lodupgd.jpg wurde ein Virus oder unerwünschtes Programm TR\Kazy.18911.10 gefunden. Zugriff auf Datei wurde verweigert.) Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6367 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 15.04.2011 10:58:19 mbam-log-2011-04-15 (10-58-19).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 166555 Laufzeit: 5 Minute(n), 49 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 14 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 1 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: c:\WINDOWS\system32\acroiehelpe.dll (Trojan.Banker) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (Adware.Minibug) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{3C2D2A1E-031F-4397-9614-87C932A848E0} (Adware.Minibug) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{04A38F6B-006F-4247-BA4C-02A139D5531C} (Adware.Minibug) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX.1 (Adware.Minibug) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX (Adware.Minibug) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\linkrdr.AIEbho (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Zango (Adware.180Solutions) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\WEATHERBUG\MINIBUGTRANSPORTER.DLL (Adware.Minibug) -> Value: MINIBUGTRANSPORTER.DLL -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Banker) -> Bad: (C:\WINDOWS\system32\appconf32.exe) Good: () -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully. Infizierte Dateien: c:\programme\gemeinsame dateien\Real\weatherbug\minibugtransporter.dll (Adware.Minibug) -> Quarantined and deleted successfully. c:\WINDOWS\system32\lodupgd.jpg (Extension.Mismatch) -> Quarantined and deleted successfully. c:\WINDOWS\system32\acroiehelpe.dll (Trojan.Banker) -> Delete on reboot. c:\WINDOWS\system32\appconf32.exe (Trojan.Banker) -> Quarantined and deleted successfully. c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Quarantined and deleted successfully. c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> Quarantined and deleted successfully. ...könnt ihr mir bitte helfen :crazy: Jetzt soll ich den Rechner erstmal neu starten, hoffe es klappt... Viele Grüße allure |
Hallo und :hallo: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hallo Arne, danke für deine Info. ich habe jetzt den Vollscan gemacht, es wurde kein Virus gefunden. Allerdings kam während des Suchlaufs die Meldung von Avira, "auf C:\ Dokumente und Einstellungen\...\index (1) wurde ein Virus oder unerwünschtes Programm "HTML/AGent.abh" gefunden, Zugriff wurde verweigert". Danach habe ich den Systemscan mit OTL durchgeführt. Sämtliche Logfiles gezippt anbei. Viele Grüße allure |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Hallo, der Report liest sich schon mal vielversprechend :) Hier das Logfile nach dem OTL-Fix: All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Hlifowunikazub deleted successfully. C:\WINDOWS\iwupebas.dll moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\routcnf deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\MSMSGS deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\updateMgr deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. D:\Autobahnraststätten.doc moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6e59b90e-b011-11de-b259-000b6aec1306}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6e59b90e-b011-11de-b259-000b6aec1306}\ not found. File J:\WDSetup.exe not found. C:\WINDOWS\System32\UAs folder moved successfully. C:\WINDOWS\System32\5015\components folder moved successfully. C:\WINDOWS\System32\5015 folder moved successfully. C:\WINDOWS\System32\kock folder moved successfully. C:\WINDOWS\Ifidij.dat moved successfully. File C:\WINDOWS\Ifidij.dat not found. C:\WINDOWS\Qluxis.bin moved successfully. ========== COMMANDS ========== HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Bungel ->Temp folder emptied: 2064763 bytes ->Temporary Internet Files folder emptied: 90353606 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 3012682 bytes ->Flash cache emptied: 932 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Favoriten User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 47311108 bytes ->Flash cache emptied: 25293 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 350481777 bytes ->Java cache emptied: 20099 bytes ->Flash cache emptied: 33508 bytes User: SysBuilder ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 65536 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2153861 bytes %systemroot%\System32 .tmp files removed: 19434375 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 9316 bytes RecycleBin emptied: 22761 bytes Total Files Cleaned = 491,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 04152011_210808 Files\Folders moved on Reboot... File\Folder C:\Dokumente und Einstellungen\Bungel\Lokale Einstellungen\Temp\~DF8844.tmp not found! File\Folder C:\Dokumente und Einstellungen\Bungel\Lokale Einstellungen\Temp\~DF885C.tmp not found! File\Folder C:\Dokumente und Einstellungen\Bungel\Lokale Einstellungen\Temp\~DF8880.tmp not found! File\Folder C:\Dokumente und Einstellungen\Bungel\Lokale Einstellungen\Temp\~DF8898.tmp not found! C:\Dokumente und Einstellungen\Bungel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KMNY87TJ\ads[10].htm moved successfully. C:\Dokumente und Einstellungen\Bungel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPLF151P\adsCALIQG9G.htm moved successfully. C:\Dokumente und Einstellungen\Bungel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E8TL5SID\97505-befall-von-verschiedenen-viren-tr-kazy-18911-10-tr-crypt-epack-gen2[1].html moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZV68WWGB\display[1].txt moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z1SSIBJN\display[10].txt moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z1SSIBJN\display[4].txt moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z1SSIBJN\display[9].txt moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXA0XY4D\displayCAVC605A.txt moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXA0XY4D\display[11].txt moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXA0XY4D\display[6].txt moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXA0XY4D\redirect[3].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J9T3KTDR\display[3].txt moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J9T3KTDR\display[5].txt moved successfully. Registry entries deleted on Reboot... Nach dem Reboot erschien wieder die Meldung: "Get DriveLay Out: CreateFile fail, das System kann die angegebene Datei nicht finden". Viele Grüße allure |
Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen! 2.) Ordner C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten |
Datei ist hochgeladen :) |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Ich habe das Tool ausgeführt und nach dem Neustart kam die Fehlermeldung "Get DriveLay Out: CreateFile fail" NICHT MEHR :) Ein Logfile so wie bei den anderen bisher ausgeführten Programmen habe ich nicht gesehen, wo kann ich das denn finden? Viele Grüße allure |
Hatte der TDSS-Killer denn was gefunden? |
Ich glaube da stand auch so was wie im Beispielbild (bei der Erklärung des Programs) ".....will be cured after reboot". Und seit dem Neustart ploppt die Fehlermeldung auch nicht mehr hoch. Ich hatte es mir aber leider nicht gemerkt, was genau gecured wird, weil ich dachte da ploppt nach dem reboot wieder so ein Logfile-Fenster hoch. Muss ich denn jetzt noch etwas machen, ccleaner, oder irgendwelche Programme wieder löschen? Viele Grüße allure |
Bitte Windows neu starten und zur Kontrolle ein neues Log mit dem Kaspersky-TDSS-Killer machen. Du musst auch auf den Button REPORT klicken!! |
Hallo Arne, nach erneutem Durchlauf des TDSS-Killer wurde kein Infect gefunden. hier der Report: 2011/04/17 20:44:33.0625 0840 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28 2011/04/17 20:44:34.0046 0840 ================================================================================ 2011/04/17 20:44:34.0046 0840 SystemInfo: 2011/04/17 20:44:34.0046 0840 2011/04/17 20:44:34.0046 0840 OS Version: 5.1.2600 ServicePack: 3.0 2011/04/17 20:44:34.0046 0840 Product type: Workstation 2011/04/17 20:44:34.0046 0840 ComputerName: juragel1 2011/04/17 20:44:34.0046 0840 UserName: Bungel 2011/04/17 20:44:34.0046 0840 Windows directory: C:\WINDOWS 2011/04/17 20:44:34.0046 0840 System windows directory: C:\WINDOWS 2011/04/17 20:44:34.0046 0840 Processor architecture: Intel x86 2011/04/17 20:44:34.0046 0840 Number of processors: 1 2011/04/17 20:44:34.0046 0840 Page size: 0x1000 2011/04/17 20:44:34.0046 0840 Boot type: Normal boot 2011/04/17 20:44:34.0046 0840 ================================================================================ 2011/04/17 20:44:34.0796 0840 Initialize success 2011/04/17 20:44:40.0437 1884 ================================================================================ 2011/04/17 20:44:40.0437 1884 Scan started 2011/04/17 20:44:40.0437 1884 Mode: Manual; 2011/04/17 20:44:40.0437 1884 ================================================================================ 2011/04/17 20:44:40.0984 1884 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys 2011/04/17 20:44:41.0125 1884 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys 2011/04/17 20:44:41.0312 1884 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys 2011/04/17 20:44:41.0468 1884 Afc (a7b8a3a79d35215d798a300df49ed23f) C:\WINDOWS\system32\drivers\Afc.sys 2011/04/17 20:44:41.0593 1884 AFD (7618d5218f2a614672ec61a80d854a37) C:\WINDOWS\System32\drivers\afd.sys 2011/04/17 20:44:42.0000 1884 AmdK7 (3a0dafac778236559c14c7203fb550eb) C:\WINDOWS\system32\DRIVERS\amdk7.sys 2011/04/17 20:44:42.0859 1884 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys 2011/04/17 20:44:43.0015 1884 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys 2011/04/17 20:44:43.0250 1884 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys 2011/04/17 20:44:43.0406 1884 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys 2011/04/17 20:44:43.0562 1884 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys 2011/04/17 20:44:43.0765 1884 avgntflt (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys 2011/04/17 20:44:43.0906 1884 avipbb (5fedef54757b34fb611b9ec8fb399364) C:\WINDOWS\system32\DRIVERS\avipbb.sys 2011/04/17 20:44:44.0062 1884 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys 2011/04/17 20:44:44.0281 1884 BrPar (2fe6d5be0629f706197b30c0aa05de30) C:\WINDOWS\System32\drivers\BrPar.sys 2011/04/17 20:44:44.0390 1884 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys 2011/04/17 20:44:44.0546 1884 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys 2011/04/17 20:44:44.0656 1884 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys 2011/04/17 20:44:44.0765 1884 cdrbsdrv (e0042bd5bef17a6a3ef1df576bde24d1) C:\WINDOWS\system32\drivers\cdrbsdrv.sys 2011/04/17 20:44:44.0828 1884 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys 2011/04/17 20:44:45.0093 1884 cmuda (924ab66e831e9cf3e20dbc6b63103516) C:\WINDOWS\system32\drivers\cmuda.sys 2011/04/17 20:44:45.0515 1884 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys 2011/04/17 20:44:45.0656 1884 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys 2011/04/17 20:44:45.0812 1884 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys 2011/04/17 20:44:45.0968 1884 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys 2011/04/17 20:44:46.0093 1884 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys 2011/04/17 20:44:46.0296 1884 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys 2011/04/17 20:44:46.0531 1884 ENTECH (fd9fc82f134b1c91004ffc76a5ae494b) C:\WINDOWS\system32\DRIVERS\ENTECH.sys 2011/04/17 20:44:46.0671 1884 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys 2011/04/17 20:44:46.0843 1884 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys 2011/04/17 20:44:46.0953 1884 FETNDIS (e9648254056bce81a85380c0c3647dc4) C:\WINDOWS\system32\DRIVERS\fetnd5.sys 2011/04/17 20:44:47.0062 1884 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys 2011/04/17 20:44:47.0171 1884 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys 2011/04/17 20:44:47.0281 1884 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys 2011/04/17 20:44:47.0437 1884 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys 2011/04/17 20:44:47.0546 1884 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys 2011/04/17 20:44:47.0687 1884 gameenum (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys 2011/04/17 20:44:47.0781 1884 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys 2011/04/17 20:44:47.0875 1884 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys 2011/04/17 20:44:48.0015 1884 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys 2011/04/17 20:44:48.0234 1884 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys 2011/04/17 20:44:48.0515 1884 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys 2011/04/17 20:44:48.0640 1884 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys 2011/04/17 20:44:48.0875 1884 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys 2011/04/17 20:44:48.0953 1884 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys 2011/04/17 20:44:49.0062 1884 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys 2011/04/17 20:44:49.0171 1884 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys 2011/04/17 20:44:49.0343 1884 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys 2011/04/17 20:44:49.0484 1884 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys 2011/04/17 20:44:49.0718 1884 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys 2011/04/17 20:44:49.0859 1884 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys 2011/04/17 20:44:49.0968 1884 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys 2011/04/17 20:44:50.0109 1884 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys 2011/04/17 20:44:50.0390 1884 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys 2011/04/17 20:44:50.0515 1884 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys 2011/04/17 20:44:50.0625 1884 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys 2011/04/17 20:44:50.0718 1884 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys 2011/04/17 20:44:50.0828 1884 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys 2011/04/17 20:44:50.0953 1884 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys 2011/04/17 20:44:51.0093 1884 MRxSmb (0ea4d8ed179b75f8afa7998ba22285ca) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys 2011/04/17 20:44:51.0281 1884 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys 2011/04/17 20:44:51.0437 1884 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys 2011/04/17 20:44:51.0546 1884 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys 2011/04/17 20:44:51.0640 1884 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys 2011/04/17 20:44:51.0765 1884 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys 2011/04/17 20:44:51.0875 1884 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys 2011/04/17 20:44:52.0046 1884 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys 2011/04/17 20:44:52.0218 1884 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys 2011/04/17 20:44:52.0375 1884 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys 2011/04/17 20:44:52.0500 1884 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys 2011/04/17 20:44:52.0625 1884 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys 2011/04/17 20:44:52.0875 1884 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys 2011/04/17 20:44:52.0984 1884 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys 2011/04/17 20:44:53.0218 1884 nmwcd (48fb907b069524f2dc7ba62a0762850c) C:\WINDOWS\system32\drivers\ccdcmb.sys 2011/04/17 20:44:53.0343 1884 nmwcdc (2914ceb789964141ac6e22c6bc980c42) C:\WINDOWS\system32\drivers\ccdcmbo.sys 2011/04/17 20:44:53.0437 1884 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys 2011/04/17 20:44:53.0562 1884 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys 2011/04/17 20:44:53.0734 1884 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys 2011/04/17 20:44:53.0953 1884 nv (10458bfc0968e7e69d77f292942b27b1) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys 2011/04/17 20:44:54.0203 1884 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys 2011/04/17 20:44:54.0359 1884 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys 2011/04/17 20:44:54.0468 1884 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys 2011/04/17 20:44:54.0562 1884 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys 2011/04/17 20:44:54.0671 1884 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys 2011/04/17 20:44:54.0765 1884 pccsmcfd (fd2041e9ba03db7764b2248f02475079) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys 2011/04/17 20:44:54.0875 1884 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys 2011/04/17 20:44:55.0093 1884 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys 2011/04/17 20:44:55.0703 1884 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys 2011/04/17 20:44:55.0859 1884 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys 2011/04/17 20:44:56.0265 1884 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys 2011/04/17 20:44:56.0390 1884 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys 2011/04/17 20:44:56.0546 1884 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys 2011/04/17 20:44:56.0656 1884 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys 2011/04/17 20:44:56.0750 1884 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys 2011/04/17 20:44:56.0890 1884 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys 2011/04/17 20:44:57.0015 1884 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys 2011/04/17 20:44:57.0187 1884 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys 2011/04/17 20:44:57.0312 1884 ROOTMODEM (d8b0b4ade32574b2d9c5cc34dc0dbbe7) C:\WINDOWS\system32\Drivers\RootMdm.sys 2011/04/17 20:44:57.0484 1884 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys 2011/04/17 20:44:57.0640 1884 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys 2011/04/17 20:44:57.0750 1884 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys 2011/04/17 20:44:57.0890 1884 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys 2011/04/17 20:44:58.0171 1884 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys 2011/04/17 20:44:58.0343 1884 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys 2011/04/17 20:44:58.0453 1884 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys 2011/04/17 20:44:58.0640 1884 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys 2011/04/17 20:44:58.0750 1884 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys 2011/04/17 20:44:58.0890 1884 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys 2011/04/17 20:44:59.0281 1884 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys 2011/04/17 20:44:59.0421 1884 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys 2011/04/17 20:44:59.0562 1884 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys 2011/04/17 20:44:59.0671 1884 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys 2011/04/17 20:44:59.0781 1884 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys 2011/04/17 20:44:59.0984 1884 uagp35 (d85938f272d1bcf3db3a31fc0a048928) C:\WINDOWS\system32\DRIVERS\uagp35.sys 2011/04/17 20:45:00.0093 1884 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys 2011/04/17 20:45:00.0359 1884 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys 2011/04/17 20:45:00.0500 1884 upperdev (e526a166e6acafd0a9b3841d3941669e) C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys 2011/04/17 20:45:00.0625 1884 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys 2011/04/17 20:45:00.0718 1884 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys 2011/04/17 20:45:00.0812 1884 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys 2011/04/17 20:45:00.0906 1884 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys 2011/04/17 20:45:01.0015 1884 usbser (1c888b000c2f9492f4b15b5b6b84873e) C:\WINDOWS\system32\drivers\usbser.sys 2011/04/17 20:45:01.0109 1884 UsbserFilt (6f3e3c6811b930d2414552a2e4a40f36) C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys 2011/04/17 20:45:01.0234 1884 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS 2011/04/17 20:45:01.0328 1884 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys 2011/04/17 20:45:01.0437 1884 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys 2011/04/17 20:45:01.0546 1884 ViaIde (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys 2011/04/17 20:45:01.0625 1884 viamraid (0363e216e4eb5052969c96608934dbde) C:\WINDOWS\system32\DRIVERS\viamraid.sys 2011/04/17 20:45:01.0734 1884 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys 2011/04/17 20:45:01.0921 1884 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys 2011/04/17 20:45:02.0031 1884 Wdf01000 (d918617b46457b9ac28027722e30f647) C:\WINDOWS\system32\Drivers\wdf01000.sys 2011/04/17 20:45:02.0312 1884 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys 2011/04/17 20:45:02.0562 1884 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys 2011/04/17 20:45:02.0671 1884 WS2IFSL (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys 2011/04/17 20:45:02.0796 1884 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys 2011/04/17 20:45:02.0906 1884 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys 2011/04/17 20:45:03.0125 1884 ================================================================================ 2011/04/17 20:45:03.0125 1884 Scan finished 2011/04/17 20:45:03.0125 1884 ================================================================================ Viele Grüße allure |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo, anbei der combofix-Bericht: Combofix Logfile: Code: ComboFix 11-04-16.03 - Bungel 17.04.2011 23:18:56.1.1 - x86Viele Grüße allure |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo Arne, ich habe ein Problem mit dem OSAM. Nach dem Download auf meinen Desktop wollte ich ihn öffnen und es kam die Meldung: "Die folgende Datei kann nicht geöffnet werden: osam_autorun_manager_5_0_portable.rar Das Program von dem diese Datei erstellt wurde muss bekannt sein, damit sie geöffnet werden kann... wie möchten Sie vorgehen: Webdienst für Suche nach geeignetem Program verwenden oder Programm aus einer Liste auswählen" :confused: In der OSAM Anleitung steht: "Entpacke die osam-autorun_manager_version_portable.rar. Dabei entsteht ein Ordner osam_autorun_manager_version_portable. Öffne ihn." Wie geht "entpacken"? Viele Grüße allure |
- Virenscanner deaktivieren - zum Entpacken sowas wie WinRAR oder 7zip verwenden |
kriegs nicht hin :confused: Habe den OSAM wieder gelöscht, nochmal runtergeladen, versucht mit WinZip zu öffnen, dann entsteht ein gezipptes File, das sich nicht öffnen lässt, bzw. Name ist unvollständig. Ich kann mit WinZip nicht (so gut) umgehen, WinRAR zeigt es nicht an. |
Nimm das => File-Upload.net - osam.zip |
Habe es runtergeladen, auf dem Desktop gespeichert, versucht zu öffnen, Fehlermeldung: "Datei kann nicht geöffnet werden. Offenbar handelt es sich nicht um ein gültiges Archiv." |
Installier mal WinRAR oder 7zip. Damit entpacken. |
Hallo Arne, mit 7Zip hat es endlich geklappt :) GMER: GMER 1.0.15.15570 - hxxp://www.gmer.net Rootkit scan 2011-04-18 21:16:16 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e WDC_WD1600BB-00GUC0 rev.08.02D08 Running: l702ym7p.exe; Driver: C:\DOKUME~1\Bungel\LOKALE~1\Temp\fwlyipob.sys ---- System - GMER 1.0.15 ---- SSDT F7E3EEFE ZwCreateKey SSDT F7E3EEF4 ZwCreateThread SSDT F7E3EF03 ZwDeleteKey SSDT F7E3EF0D ZwDeleteValueKey SSDT F7E3EF12 ZwLoadKey SSDT F7E3EEE0 ZwOpenProcess SSDT F7E3EEE5 ZwOpenThread SSDT F7E3EF1C ZwReplaceKey SSDT F7E3EF17 ZwRestoreKey SSDT F7E3EF08 ZwSetValueKey ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6ECD360, 0x1DEE5D, 0xE8000020] OSAM: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x000001fd Kernel Drivers (total 112): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x806EF000 \WINDOWS\system32\hal.dll 0xF7D2F000 \WINDOWS\system32\KDCOM.DLL 0xF7C3F000 \WINDOWS\system32\BOOTVID.dll 0xF77DF000 ACPI.sys 0xF7D31000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF77CE000 pci.sys 0xF782F000 isapnp.sys 0xF7D33000 viaide.sys 0xF7AAF000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF783F000 MountMgr.sys 0xF77AF000 ftdisk.sys 0xF7AB7000 PartMgr.sys 0xF784F000 VolSnap.sys 0xF7797000 atapi.sys 0xF785F000 viamraid.sys 0xF777F000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS 0xF786F000 disk.sys 0xF787F000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF775F000 fltmgr.sys 0xF774D000 sr.sys 0xF7736000 KSecDD.sys 0xF7723000 WudfPf.sys 0xF7696000 Ntfs.sys 0xF7669000 NDIS.sys 0xF788F000 uagp35.sys 0xF764F000 Mup.sys 0xF7A9F000 \SystemRoot\system32\DRIVERS\amdk7.sys 0xF72F9000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xF72E5000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF78BF000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7B9F000 \SystemRoot\system32\drivers\Afc.sys 0xF78CF000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS 0xF78DF000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF78EF000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF72C2000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7BA7000 \SystemRoot\SYSTEM32\DRIVERS\GEARAspiWDM.sys 0xF7BAF000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF729E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7BB7000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF78FF000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7BBF000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7BC7000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF71D5000 \SystemRoot\system32\drivers\cmuda.sys 0xF71B1000 \SystemRoot\system32\drivers\portcls.sys 0xF790F000 \SystemRoot\system32\drivers\drmk.sys 0xF7BD7000 \SystemRoot\system32\DRIVERS\fetnd5.sys 0xF7BDF000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF791F000 \SystemRoot\system32\DRIVERS\serial.sys 0xF7CF3000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF719D000 \SystemRoot\system32\DRIVERS\parport.sys 0xF7CF7000 \SystemRoot\system32\DRIVERS\gameenum.sys 0xF7EFA000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF792F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7CFB000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF7186000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF793F000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF794F000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7BE7000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF7BEF000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7BF7000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF795F000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7D53000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF7088000 \SystemRoot\system32\DRIVERS\update.sys 0xF7D03000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF796F000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF797F000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7D5D000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7C17000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xF7D7F000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7E52000 \SystemRoot\System32\Drivers\Null.SYS 0xF7D81000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7C27000 \SystemRoot\System32\drivers\vga.sys 0xF7D83000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7D85000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF7C2F000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF7C37000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF760B000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xF5F2D000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xF79DF000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF5ED4000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xF5EAC000 \SystemRoot\system32\DRIVERS\netbt.sys 0xF5E8A000 \SystemRoot\System32\drivers\afd.sys 0xF79EF000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF7AD7000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xF5E5F000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xF5DC7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF79FF000 \SystemRoot\System32\Drivers\Fips.SYS 0xF5DA1000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF7A0F000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF5D7B000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7DA1000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF7A4F000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xF7ADF000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xF5D63000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7DA3000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF5F64000 \SystemRoot\System32\drivers\Dxapi.sys 0xF7AFF000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7F85000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBF3CA000 \SystemRoot\System32\ATMFD.DLL 0xBA573000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xBA4A7000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB9216000 \SystemRoot\system32\drivers\wdmaud.sys 0xBA4EB000 \SystemRoot\system32\drivers\sysaudio.sys 0xB902B000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xF7B27000 \SystemRoot\System32\drivers\BrPar.sys 0xB8216000 \SystemRoot\system32\DRIVERS\srv.sys 0xB7DDC000 \SystemRoot\System32\Drivers\HTTP.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 54): 0 System Idle Process 4 System 340 C:\WINDOWS\system32\smss.exe 388 csrss.exe 412 C:\WINDOWS\system32\winlogon.exe 456 C:\WINDOWS\system32\services.exe 468 C:\WINDOWS\system32\lsass.exe 628 C:\WINDOWS\system32\svchost.exe 688 svchost.exe 756 C:\WINDOWS\system32\svchost.exe 788 C:\WINDOWS\system32\svchost.exe 960 svchost.exe 1080 svchost.exe 1180 C:\WINDOWS\explorer.exe 1252 C:\WINDOWS\system32\spoolsv.exe 1304 C:\Programme\Avira\AntiVir Desktop\sched.exe 1484 svchost.exe 1588 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe 1604 C:\Programme\VIA\RAID\raid_tool.exe 1612 C:\WINDOWS\system32\rundll32.exe 1620 C:\Programme\Java\jre1.6.0_02\bin\jusched.exe 1628 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe 1636 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe 1664 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 1688 C:\Programme\QuickTime\QTTask.exe 1700 C:\Programme\iTunes\iTunesHelper.exe 1720 C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe 1732 C:\WINDOWS\system32\ctfmon.exe 1964 C:\Programme\FRITZ!DSL\StCenter.exe 116 C:\Programme\Panasonic\MotionSD STUDIO\SD_Browser\AutoLauncher.exe 132 C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe 172 C:\Dokumente und Einstellungen\Bungel\Anwendungsdaten\Dropbox\bin\Dropbox.exe 184 C:\Programme\FRITZ!DSL\FwebProt.exe 300 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe 324 C:\Programme\Avira\AntiVir Desktop\avguard.exe 736 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 780 C:\WINDOWS\system32\bgsvcgen.exe 936 C:\Programme\Bonjour\mDNSResponder.exe 1120 C:\Programme\FRITZ!DSL\IGDCTRL.EXE 1132 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1556 C:\WINDOWS\system32\nvsvc32.exe 1896 C:\WINDOWS\system32\svchost.exe 2616 C:\Programme\Canon\CAL\CALMAIN.exe 2952 C:\Programme\PC Connectivity Solution\ServiceLayer.exe 3028 C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe 3088 C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe 3120 C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe 3128 C:\Programme\iPod\bin\iPodService.exe 3448 alg.exe 3888 C:\WINDOWS\system32\svchost.exe 3784 C:\Programme\Internet Explorer\iexplore.exe 712 C:\Programme\Internet Explorer\iexplore.exe 1652 C:\Programme\Internet Explorer\iexplore.exe 2496 C:\Dokumente und Einstellungen\Bungel\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000012`a1c98200 (NTFS) PhysicalDrive0 Model Number: WDCWD1600BB-00GUC0, Rev: 08.02D08 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! Viele Grüße allure |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo Arne, hier die logs: Malwarebyte: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6399 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 19.04.2011 22:46:14 mbam-log-2011-04-19 (22-46-14).txt Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|) Durchsuchte Objekte: 250215 Laufzeit: 1 Stunde(n), 20 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Superantispyware: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 04/20/2011 at 01:39 AM Application Version : 4.50.1002 Core Rules Database Version : 6873 Trace Rules Database Version: 4685 Scan type : Complete Scan Total Scan Time : 02:09:16 Memory items scanned : 567 Memory threats detected : 0 Registry items scanned : 7014 Registry threats detected : 0 File items scanned : 88091 File threats detected : 4 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Bungel\Cookies\bungel@adx.chip[2].txt C:\Dokumente und Einstellungen\Bungel\Cookies\bungel@ads.immobilienscout24[1].txt C:\Dokumente und Einstellungen\Bungel\Cookies\bungel@tracking.tchibo[1].txt a.ads2.msads.net [ C:\Dokumente und Einstellungen\Bungel\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\MAGJZ36G ] Viele Grüße allure |
Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Hallo Arne, es ist alles wundervoll :daumenhoc Ich habe keinerlei Probleme mehr und es wurde auch nichts mehr gefunden :) 1000 Dank für deine Mühe, Geduld und Hilfe, du hast meinen Computer (und meine Laune) gerettet :dankeschoen: Viele Grüße allure PS: Soll ich die ganzen installierten Programme wieder löschen, oder einfach auf dem PC lassen? |
Die Programme können wieder runter... Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board