Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Computer startet nicht nach Entfernung von Windows Recovery Virus (https://www.trojaner-board.de/97537-computer-startet-entfernung-windows-recovery-virus.html)

experijens 16.04.2011 02:07

Computer startet nicht nach Entfernung von Windows Recovery Virus
 
hi,

hier gibt es ja schon eine Menge zu dem Thema "Windows Recovery".

Ich habe jetzt folgendes Problem und bisher noch nichts dazu bei meiner websuche gefunden.

Ich habe/hatte auf meinem Rechner das Windows-Recovery-Problem, wie in diesem Thread beschieben: http://www.trojaner-board.de/96741-w...entfernen.html
(der computer ließ sich noch starten)

Ich habe dann mit einem anderen Rechner (von dem ich jetzt auch schreibe) rkill und malwarebytes downgeloadet, umbenannt, auf cd gebrannt, auf dem infizierten rechner wie im thread beschrieben ausgeführt.
(mehrmals rkill, dann unsichtbare dateien sichtbar gemacht (war dann alles wieder da), dann malwarebytes installiert, rechner wieder ans i-net angeschlossen (hatte ich zur sicherheit getrennt), geupdatet, vollen scan gemacht und dann alle Bedrohungen entfernt. (im log stand überall, dass es erfolgreich war))
Nun sollte ich zum endgültigen entfernen neu starten, was ich bestätigt habe. Seitdem startet der computer nicht mehr. Er lädt bis zum Windows-Bildschirm mit dem Balken (windows xp englisch), und sartet dann neu. Dann kommt die auswahl, wo man die verschiedenen abgesicherten modi ... wählen kann. Egal, welchen ich auswähle, der rechner startet neu.
bei safe mode, safe mod network und safe mode command prompt -> ohne windows bild bis ....\drivers\Mup.sys, dann restart
bei last known good und normally bis Windows bild - 2 kleine balken, dann ganz kurzer bluescreen, dann restart.

ich hoffe, ihr könnt mir helfen - schon mal danke für eure mühe

grüße

cosinus 16.04.2011 14:22

Kommst du an die Logs von Malwarebytes ran? Wenn ja bitte alle posten!

experijens 16.04.2011 14:51

hi,

über das installierte windows nicht, da das ja in keinem der Modi startet.

Ich hatte überlegt, ob ich die windows-reparatur-option von der windows cd drüber laufen lasse.

Vorher werd ich aber erst mal versuchen, mit diesem ubuntu aus deiner signatur meine Daten zu sichern. Wenn ich damit Zugriff auf die Festplatte habe, werd ich gleich mal nach einer solchen logdati ausschau halten.

Würden die Logs denn helfen, wenn das system ohnehin nicht von allein startet? Da muss ja dann eh was repariert werden. (aber ich frage zu viel :) ich werd erst mal nach den Logdateien sehen)

Auf jeden Fall danke für deine schnelle Antwort.

grüße

cosinus 17.04.2011 19:14

Mit OTLPE kriegen wir es vllt noch hin. Einen Zweitrechner mit funktionstüchtigem Windows hast du ja. Von dort aus kommst du auch an die Log von Malwarebytes ran.

XP => Dokumente und Einstellungen/NAME/Anwendungsdaten/Malwarebytes/Malwarebytes' Anti-Malware/Logs
Vista und 7 => Users/NAME/AppData/Roaming/Malwarebytes/Malwarebytes' Anti-Malware/Logs
ein anderer Ort ist auch möglich => /ProgramData/Malwarebytes/Malwarebytes' Anti-Malware/Logs

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote den Rechner mit defektem Windows von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

experijens 17.04.2011 20:36

hi,

kann ich die otl.txt auch mit der reatogo-platform auf nen usb-stick ziehen oder sollte ich dafür wieder ubuntu benutzen?

die OTL.Txt hab ich unter c:
Eine extras.txt gibt es aber nicht unter c:

grüße

experijens 17.04.2011 21:11

hi,

hab jetzt nochmal auf ubuntu gewechselt und die otl.txt rübergeholt.

Beide dateien (malwarebytes-log und otl-log) poste ich hier im anhang.

grüße

cosinus 17.04.2011 21:32

Zitat:

c:\WINDOWS\system32\drivers\volsnap.sys
Die Datei hat Malwarebytes gelöscht weil sie manipuliert wurde. Dummerweise kann Windows ohne sie nicht starten.
Ich hab dir so eine volsnap mach hochgeladen, ist von meiner WinXP-Installation => File-Upload.net - volsnap.sys
Übertrage sie über Ubuntu oder OTLPE in den Ordner c:\WINDOWS\system32\drivers

Dann sollte dein Windows eigentlich normal wieder starten.

experijens 17.04.2011 21:54

hi,

juhuuuu - vielen dank - windows startet wieder.

Was sollte ich als nächstes tun?

Meine Dateien und Ordner sind noch unsichtbar. Bei meiner Recherche am Anfang hab ich hier im Forum irgendwas mit unhide gelesen. Sollte ich das machen, oder erst noch was anderes?

grüße

cosinus 18.04.2011 13:23

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Erstell auch frische OTL-Logs aus dem laufenden Windows heraus und poste sie.

experijens 18.04.2011 17:53

hi,

bevor ich jetzt nochmal irgendwas auf dem rechner ausführe hab ich erst mal noch ne frage:

gestern hat ja Windows wieder gestartet, heute jedoch nicht mehr - wieder das gleiche problem - habe dann nochmal deine volsnap.sys per ubuntu kopiert (die fehlte tatsächlich - beim ersten mal war sie irgendwie noch da, aber nicht als sys-datei (unbekannte dateiendung, als ich die über ubuntu anklicken wollte)) und nun war der Start wieder erfolgreich. (hab ubuntu nicht wie empfohlen auf einfachklick eingestellt, weil ich doppelklick gewohnt bin - einfachklick wählt dann ja nur die datei aus)

Gestern hatte ich nichts weiter mit dem rechner gemacht, bis auf malwarebytes-scans und update und noch nen scan - hat jedes mal nichts gefunden. Interessanterweise hat aber malwarebytes noch ne riesen liste unter dem tab quarantäne.
Zudem gab es ab und zu ne Fehlermeldung. Momentan war ich mit dem Rechner per IE in diesem Thread und habe unhide.exe downgeloadet. Da hat sich nen neues Fenster mit webinhalt geöffnet, was auf meinem laptop nicht der fall war.
Bisher hat AVG auch 2 Bedrohungen gemeldet (sieht zumindest so aus (Infektion: Exploit: Blackhole Exploit Kit (type 2002))). Bisher hab ich aber noch keinen AVG-Scan durchgeführt, da das ja vorher auch nicht geholfen hat.

edit: mir ist noch was aufgefallen: auf dem Desktop ist ne (unsichtbare) Datei (wie ja alles andere auch) namens "windows recovery". Zudem hab ich im Taskmanager die Prozesse PnkBstrA.exe und PnkBstrB.exe entdeckt. Ich weiß zwar, dass Punkbuster bei diversen Spielen läuft, aber ich kann mich nicht erinnern, das mal außerhalb von Spielen im Taskmanager unter Prozesse gesehen zu haben - kann mich da aber auch irren.

grüße

cosinus 18.04.2011 18:14

Zitat:

Interessanterweise hat aber Malwarebytes noch ne riesen liste unter dem tab quarantäne.
Das Log dazu posten. Alle Logs posten, die im Reiter Logdateien zu sehen sind.

Zitat:

Bisher hat AVG auch 2 Bedrohungen gemeldet (sieht zumindest so aus (Infektion: Exploit: Blackhole Exploit Kit (type 2002))).
Auch das Log posten.

Windows startet jetzt immer wieder normal oder nicht?
Bitte im laufenden Windows dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

experijens 18.04.2011 18:42

hi,

hab den TDSSKiller-Log angehangen.
Auch den zweiten log von malwarebytes (den ersten hatte ich ja schon - oder soll ich immer wieder alle posten?)

Nach TDSS-Kill restart hat windows gestartet.

Ich vermute, dass Malwarebytes die volsnap nochmal gelöscht hat, weil die noch in der quarantäne liste steht.

vom AVG hab ich nichts sinnvolles gefunden, was ich posten könnte - ich hab ja auch seitdem keinen scan gemacht - es ist nur eine Bedrohung in nem Fenster gemeldet worden - aber ich such nochmal.

Ich schreibe grad vom dem Rechner. Während vor TDSSKill der IE oft abgestürzt ist, läuft es momenten (zumindest) ohne Störung.

grüße

cosinus 18.04.2011 18:45

Zitat:

2011/04/18 19:23:36.0921 3880 \HardDisk0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot

2011/04/18 19:23:36.0921 3880 \HardDisk0 - ok

2011/04/18 19:23:36.0921 3880 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure

2011/04/18 19:23:42.0968 3896 Deinitialize success
TDL4 wurde erkannt und entfernt. Bitte Windows neu starten und zur Kontrolle ein neues Log mit dem Kaspersky-TDSS-Killer machen.

experijens 18.04.2011 18:54

hi,

hab ich gemacht - hat nix weiter gefunden.

grüße

cosinus 18.04.2011 18:58

Dann sollte das Problem mit der volsnap behoben sein.
Poste bitte frische OTL-Logs, diese aus dem laufenden Windows heraus erstellen:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

experijens 18.04.2011 19:37

hi,

irgendwie hab ich das Bedürfnis, mich mal wieder zu bedanken - also danke vielmals für deine Hilfe.

OTL-Scan ist fertig - Dateien hab ich angehangen.

grüße

cosinus 18.04.2011 19:42

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.12.29 20:06:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{8dd609ec-0038-11df-950b-001d92802c13}\Shell - "" = AutoRun
O33 - MountPoints2\{8dd609ec-0038-11df-950b-001d92802c13}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8dd609ec-0038-11df-950b-001d92802c13}\Shell\AutoRun\command - "" = F:\Startme.exe
[2011.04.17 19:21:21 | 000,000,000 | ---D | C] -- C:\.Trash-999
[2011.04.15 15:50:24 | 000,000,152 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\~18407220r
[2011.04.15 15:50:24 | 000,000,120 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\~18407220
[2011.04.15 15:49:22 | 000,000,813 | -H-- | C] () -- C:\Documents and Settings\xxxxxxx\Desktop\Windows Recovery.lnk
[2011.04.15 15:49:11 | 000,000,336 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\18407220
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

experijens 18.04.2011 19:59

hi,

zuvor hab ich noch 2 Fragen:

soll ich die xxxxxx im code für den otl-fix ("C:\Documents and Settings\xxxxxxx\Desktop\Windows Recovery.lnk") wieder durch meinem Namen ersetzen?

Ich bekomme AVG 9 irgendwie nicht deaktiviert (ich finde die Möglichkeit dazu einfach nicht). Rechtsklick auf das tray-icon hat eine solche option nicht. Ich könnte bei den erweiterten Einstellungen einzelne Teile wie z.B. den residenten schutz deaktivieren - reicht das?

grüße

cosinus 18.04.2011 20:36

Zitat:

soll ich die xxxxxx im code für den otl-fix ("C:\Documents and Settings\xxxxxxx\Desktop\Windows Recovery.lnk") wieder durch meinem Namen ersetzen?
Ja!!

Zitat:

Ich bekomme AVG 9 irgendwie nicht deaktiviert (ich finde die Möglichkeit dazu einfach nicht)
AVG bitte erstmal deinstallieren, das stört unsere Bereinigung. Wenn wir durch sind kann ein Virenscanner wieder rauf.

experijens 18.04.2011 20:50

hi,

ich hatte zwischenzeitlich schon das mit dem xxxxxxx -austauschen als sinnvoll erachtet und gemacht.

Auch habe ich gegoogelt, was man bei AVG deaktivieren sollte und dies getan.

Dann habe ich den Fix ausgeführt. (log habe ich beigefügt (.log in .txt geändert und wieder xxxxxxx eingesetzt))

AVG werde ich gleich mal deinstallieren.
Was würdest du denn als Alternative empfehlen? Ist z.B. Kaspersky Internet Security 2011 gut? Das wurde mir empfohlen.

grüße

cosinus 18.04.2011 21:05

Zitat:

Was würdest du denn als Alternative empfehlen? Ist z.B. Kaspersky Internet Security 2011 gut? Das wurde mir empfohlen.
Nein. Auf keinen Fall eine Suite installieren. Die darin enthaltene Personal Firewall ist kontraproduktiv. Wenn ich ein Windows mit einem Virenscanner ausstatten müsste, würde ich derzeit zu Microsoft Security Essentials greifen und die Windows-Firewall werken lassen.


Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

experijens 18.04.2011 21:50

hi,

hab Ccleaner und cofi entsprechend der anleitung durchgeführt.

Inzwischen ist auch nichts mehr unsichtbar, obwohl ich ja unhide noch nicht ausgeführt hatte.

grüße

Code:

ComboFix 11-04-17.03 - xxxxxxx 18.04.2011  22:30:00.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1033.18.3327.2920 [GMT 2:00]
ausgeführt von:: c:\documents and settings\xxxxxxx\Desktop\cofi.exe
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\hpe7E.dll
c:\documents and settings\All Users\Application Data\hpeDA.dll
c:\documents and settings\xxxxxxx\Application Data\Adobe\plugs
c:\documents and settings\xxxxxxx\Application Data\Adobe\shed
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-03-18 bis 2011-04-18  ))))))))))))))))))))))))))))))
.
.
2011-04-18 19:24 . 2011-04-18 19:24        --------        d-----w-        C:\_OTL
2011-04-18 16:44 . 2011-04-17 22:38        53760        ----a-w-        c:\windows\system32\drivers\volsnap.sys
2011-04-15 23:30 . 2011-04-15 23:30        --------        d-----w-        c:\documents and settings\xxxxxxx\Application Data\Malwarebytes
2011-04-15 23:29 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-15 23:29 . 2011-04-15 23:29        --------        d-----w-        c:\documents and settings\All Users\Application Data\Malwarebytes
2011-04-15 23:29 . 2011-04-15 23:29        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2011-04-15 23:29 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-04-10 13:27 . 2011-04-10 13:29        --------        d-----w-        c:\program files\Inkscape
2011-04-08 11:10 . 2011-04-10 13:30        --------        d--h--w-        c:\documents and settings\xxxxxxx\Application Data\inkscape
2011-03-27 12:38 . 2011-03-27 12:38        781272        ----a-w-        c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-03-27 12:38 . 2011-03-27 12:38        1874904        ----a-w-        c:\program files\Mozilla Firefox\mozjs.dll
2011-03-27 12:38 . 2011-03-27 12:38        728024        ----a-w-        c:\program files\Mozilla Firefox\libGLESv2.dll
2011-03-27 12:38 . 2011-03-27 12:38        1893336        ----a-w-        c:\program files\Mozilla Firefox\d3dx9_42.dll
2011-03-27 12:38 . 2011-03-27 12:38        15832        ----a-w-        c:\program files\Mozilla Firefox\mozalloc.dll
2011-03-27 12:38 . 2011-03-27 12:38        142296        ----a-w-        c:\program files\Mozilla Firefox\libEGL.dll
2011-03-27 12:38 . 2011-03-27 12:38        142296        ----a-w-        c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-03-27 12:38 . 2011-03-27 12:38        1975768        ----a-w-        c:\program files\Mozilla Firefox\D3DCompiler_42.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 05:33 . 2009-12-29 18:05        692736        ----a-w-        c:\windows\system32\inetcomm.dll
2011-03-04 06:37 . 2002-06-25 19:30        420864        ----a-w-        c:\windows\system32\vbscript.dll
2011-03-03 13:21 . 2002-06-25 19:32        1857920        ----a-w-        c:\windows\system32\win32k.sys
2011-02-27 20:00 . 2010-07-03 19:46        138664        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2011-02-27 20:00 . 2010-07-03 19:46        214864        ----a-w-        c:\windows\system32\PnkBstrB.exe
2011-02-27 20:00 . 2010-07-03 19:46        214864        ----a-w-        c:\windows\system32\PnkBstrB.xtr
2011-02-22 23:06 . 2002-06-25 19:11        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2011-02-22 23:06 . 2002-06-25 19:08        1469440        ------w-        c:\windows\system32\inetcpl.cpl
2011-02-22 23:06 . 2002-03-05 07:56        916480        ----a-w-        c:\windows\system32\wininet.dll
2011-02-22 11:41 . 2004-08-04 05:59        385024        ----a-w-        c:\windows\system32\html.iec
2011-02-17 13:18 . 2002-06-25 19:14        455936        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2002-06-25 19:27        357888        ----a-w-        c:\windows\system32\drivers\srv.sys
2011-02-17 12:32 . 2009-12-29 19:05        5120        ----a-w-        c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2002-06-25 18:59        290432        ----a-w-        c:\windows\system32\atmfd.dll
2011-02-09 13:53 . 2004-08-04 07:56        270848        ------w-        c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2004-08-04 07:56        186880        ------w-        c:\windows\system32\encdec.dll
2011-02-08 13:33 . 2002-06-25 19:13        974848        ----a-w-        c:\windows\system32\mfc42u.dll
2011-02-08 13:33 . 2002-06-25 19:13        978944        ----a-w-        c:\windows\system32\mfc42.dll
2011-02-02 07:58 . 2009-12-29 18:03        2067456        ----a-w-        c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2009-12-29 18:03        677888        ----a-w-        c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2002-06-25 19:25        439296        ----a-w-        c:\windows\system32\shimgvw.dll
2011-03-27 12:38 . 2011-03-27 12:38        142296        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="c:\program files\Common Files\Adobe\Updater5\AdobeUpdater.exe" [2010-11-22 2356088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 16342528]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]
"nwiz"="nwiz.exe" [2009-03-27 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-12 161328]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AvgUninstallURL"="start http:" [X]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2010-11-22 295606]
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]
Skyr@cer Configuration Utility.lnk - c:\program files\Skyr@cer Utility\WLANMON.exe [2009-12-29 393216]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
2007-04-17 05:59        2887680        ----a-w-        c:\program files\Electronic Arts\EA Link\Core.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Sony Ericsson\\Update Service\\Update Service.exe"=
"c:\\spiele\\BattleForge\\Bootstrapper.exe"=
"c:\\spiele\\BattleForge\\BattleForge.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\spiele\\Steam\\Steam.exe"=
"c:\\spiele\\AoE III\\age3.exe"=
"c:\\spiele\\Battlefield 2142\\BF2142.exe"=
"c:\\spiele\\StarCraft II\\StarCraft II.exe"=
"c:\\spiele\\StarCraft II\\Versions\\Base15405\\SC2.exe"=
"c:\\spiele\\Battlefield\\BF2.exe"=
"c:\\spiele\\World of Warcraft\\Launcher.exe"=
"c:\\spiele\\World of Warcraft\\WoW-3.2.0-deDE-downloader.exe"=
"c:\\spiele\\World of Warcraft\\Blizzard Downloader.exe"=
"c:\\Program Files\\WS_FTP\\WS_FTP95.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
.
R2 SampleScanner;USB-Flachbettscanner;c:\windows\system32\drivers\ArtecGT.sys [21.06.2010 19:16 18120]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [13.01.2010 13:52 27632]
S2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [14.01.2010 14:27 90112]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [14.01.2010 14:36 13224]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 s1029bus;Sony Ericsson Device 1029 driver (WDM);c:\windows\system32\drivers\s1029bus.sys [13.01.2010 13:45 90280]
S3 s1029mdfl;Sony Ericsson Device 1029 USB WMC Modem Filter;c:\windows\system32\drivers\s1029mdfl.sys [13.01.2010 13:45 15016]
S3 s1029mdm;Sony Ericsson Device 1029 USB WMC Modem Driver;c:\windows\system32\drivers\s1029mdm.sys [13.01.2010 13:45 122280]
S3 s1029mgmt;Sony Ericsson Device 1029 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1029mgmt.sys [13.01.2010 13:45 115880]
S3 s1029nd5;Sony Ericsson Device 1029 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1029nd5.sys [13.01.2010 13:45 26024]
S3 s1029obex;Sony Ericsson Device 1029 USB WMC OBEX Interface;c:\windows\system32\drivers\s1029obex.sys [13.01.2010 13:45 111912]
S3 s1029unic;Sony Ericsson Device 1029 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1029unic.sys [13.01.2010 13:45 116904]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: An vorhandenes PDF anfügen - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to MP3 Converter - c:\documents and settings\xxxxxxx\Application Data\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: In Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\xxxxxxx\Application Data\Mozilla\Firefox\Profiles\ux1i20jh.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-18 22:33
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1220945662-688789844-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.* m*k*v*\OpenWithList]
@Class="Shell"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2011-04-18  22:34:08
ComboFix-quarantined-files.txt  2011-04-18 20:34
.
Vor Suchlauf: 34.575.544.320 bytes free
Nach Suchlauf: 34.540.834.816 bytes free
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 216C9FD2071BB458F8C55BFC4D45F4CE


cosinus 18.04.2011 21:57

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

experijens 19.04.2011 00:19

hi,

hab alle drei logs angefügt.

grüße

cosinus 19.04.2011 19:26

Sieht unauffällig aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

experijens 19.04.2011 21:30

hi,

superantispyware hat was gefunden.

Hab die beiden Logs angefügt.

malwarebytes hat immer noch dateien in der quarantäne - soll ich die löschen?

grüße

cosinus 19.04.2011 21:33

Zitat:

malwarebytes hat immer noch dateien in der quarantäne - soll ich die löschen?
Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

experijens 19.04.2011 21:45

hi,

naja - hab ne grobe Vorstellung, was Quarantäne sein könnte - aber eine Liste mit infizierten Dateien macht mich eben nervös :)

Die systemwiederherstellung hab ich deaktiviert.

grüße

cosinus 20.04.2011 17:04

Ok- Rechner soweit wieder ok oder noch Probleme offen?

experijens 20.04.2011 21:46

hi,

hmm - moment fällt mir nix weiter ein. Hab die für scans installierten programme wieder entfernt und Microsoft Security Essentials installiert.

Hab euch mal ne Kleinigkeit gespendet.

Vielen vielen Dank nochmal.

grüße

cosinus 21.04.2011 14:50

Zitat:

Hab euch mal ne Kleinigkeit gespendet.
:daumenhoc :dankeschoen:

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

experijens 26.04.2011 10:45

hi,

gestern abend hatte ich wieder das windows recovery fenster auf dem comuter. Microsoft Security Essentials hat nicht mal irgendwas gemeldet. Beim letzten Mal hatte ich ja AVG - das hatte einiges gemeldet, konnte es aber nicht entfernen.

Könntest du mir bitte noch mal helfen?

Während des Scans von Malwarebytes öffnet sich ab und zu ein Microsoft Security Essentials Fenster und möchte eine Bedrohung entfernen. Was soll ich denn tun, wenn so ein Fenster aufgeht, während Malwarebytes lauft? Bisher habe ich immer auf "Bereinigen" geklickt.

Ab und zu startet der Internetexplorer ohne mein Zutun.

grüße

cosinus 26.04.2011 12:33

Zitat:

gestern abend hatte ich wieder das windows recovery fenster auf dem comuter.
Och nö, hast du die Updates nicht eingespielt :(

experijens 26.04.2011 15:45

hi,

ich hatte die liste eigentlich abgearbeitet. Aber wenn ich mir die Liste jetzt nochmal ansehe, kommt es mir so vor, als ob ich nicht alles gemacht habe. (hab z.B. IE und Firefox und kann mich nicht erinnern, für den firefox was geupdatet zu haben)

Ich werd wohl alles neu aufsetzen. (hoffe das geht glatt) :)

Spricht was dagegen, dbx-dateien von outlook express zu sichern oder können da viren enthalten sein? Wie kann ich denn sicher gehen, dass meine gesicherten Daten sauber sind? Reicht es, die mit ubuntu zu kopieren oder sollte man die nochmal mit irgendnem programm prüfen?

grüße

cosinus 26.04.2011 17:56

Zitat:

Spricht was dagegen, dbx-dateien von outlook express zu sichern oder können da viren enthalten sein?
Dagegen spicht nichts aber warum zum Geier muss es OjE sein?! Dieses Programm ist so besch...eiden da kann man nur von abraten. Nimm doch lieber sowas wie Mozilla Thunderbird...

experijens 26.04.2011 19:33

hi,

werd ich probieren, wenn ich meine bisherigen mails dort importiert bekomme.

edit: import ging - na dann nehm ich den :)

grüße

cosinus 27.04.2011 08:43

Windows-Recovery hast du jetzt aber wegformatiert? :D

experijens 27.04.2011 09:04

hi,

jep - jetzt ja - den import hatte ich vorher auf dem laptop getestet, weil mir die mails am wichtigsten waren. Als das ging hab ich den befallenen computer neu aufgesetzt (formatiert).

grüße

cosinus 27.04.2011 10:51

Ok. Denk jetzt mal rechtzeitig an die Updates, siehst ja wie fies die Lücken ausgenutzt werden, selbst direkt nach der Bereinigung :pfeiff:


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131