|
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: File::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken |
Das habe ich gemacht,leider habe ich den Neustart verpasst,da ich mir notiert habe was auf dem Bildschirm stand: Systemfiles is infected!!Attempting to restore C: \Winnt\system32Drivers\Volsnap.sys Das Pogramm aktuallisierte sich selbst lief dann nochmal durch und erstellte diese Logfile.(Dabei hatte ich das Internet noch an) |
Combofix Logfile: Code: ComboFix 11-05-31.01 - Paulsen 31.05.2011 22:23:15.2.1 - x86 |
Ich befürchte dein System ist im Eimer. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
GMER Logfile: Code: GMER 1.0.15.15640 - GMER - Rootkit Detector and Remover |
OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit Online Solutions :: Index |
MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows 2000 Professional Windows Information: Service Pack 4 (build 2195) Logical Drives Mask: 0x0000007d WARNING: Unsupported Windows version! Results may not be accurate! \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\G: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (FAT32) Size Device Name MBR Status -------------------------------------------- 19 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 465 GB \\.\PhysicalDrive1 RE: Unknown MBR code SHA1: BA373E253A547E7961690195D7139348FF3523E2 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: |
MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows 2000 Professional Windows Information: Service Pack 4 (build 2195) Logical Drives Mask: 0x0000007d Kernel Drivers (total 102): 0x80400000 \WINNT\System32\ntoskrnl.exe 0x80062000 \WINNT\System32\hal.dll 0xEB810000 \WINNT\System32\BOOTVID.dll 0xBFFD8000 ACPI.sys 0xEB9C8000 \WINNT\System32\DRIVERS\WMILIB.SYS 0xEB400000 pci.sys 0xEB410000 isapnp.sys 0xEB9C9000 pciide.sys 0xEB680000 \WINNT\System32\DRIVERS\PCIIDEX.SYS 0xEB688000 MountMgr.sys 0xBFFBB000 ftdisk.sys 0xEB900000 Diskperf.sys 0xEB902000 dmload.sys 0xBFF99000 dmio.sys 0xEB814000 PartMgr.sys 0xEB904000 viaide.sys 0xBFF83000 atapi.sys 0xEB690000 disk.sys 0xEB420000 \WINNT\System32\DRIVERS\CLASSPNP.SYS 0xBFF61000 fltmgr.sys 0xEB430000 PxHelp20.sys 0xBFF4F000 KSecDD.sys 0xBFED1000 Ntfs.sys 0xBFEA7000 NDIS.sys 0xEB440000 Combo-Fix.sys 0xEB698000 viaagp1.sys 0xBFE91000 Mup.sys 0xEB470000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS 0xBFAF5000 \SystemRoot\System32\DRIVERS\nv4_mini.sys 0xEB890000 \SystemRoot\System32\Drivers\cdrbsvsd.SYS 0xEB6B0000 \SystemRoot\System32\DRIVERS\cdrom.sys 0xEB9DB000 \SystemRoot\System32\Drivers\Cdralw2k.SYS 0xEB6D0000 \SystemRoot\System32\DRIVERS\USBD.SYS 0xEB6B8000 \SystemRoot\System32\DRIVERS\uhcd.sys 0xBFA35000 \SystemRoot\system32\drivers\ks.sys 0xBFA10000 \SystemRoot\system32\drivers\portcls.sys 0xBFA55000 \SystemRoot\system32\drivers\sbpci.sys 0xEB708000 \SystemRoot\System32\DRIVERS\openhci.sys 0xEB720000 \SystemRoot\System32\DRIVERS\fdc.sys 0xEB480000 \SystemRoot\System32\DRIVERS\serial.sys 0xEB8A0000 \SystemRoot\System32\DRIVERS\serenum.sys 0xEB738000 \SystemRoot\System32\DRIVERS\parport.sys 0xEB490000 \SystemRoot\System32\DRIVERS\i8042prt.sys 0xEB748000 \SystemRoot\System32\DRIVERS\mouclass.sys 0xEB758000 \SystemRoot\System32\DRIVERS\kbdclass.sys 0xEB9EB000 \SystemRoot\System32\DRIVERS\audstub.sys 0xEB4A0000 \SystemRoot\System32\DRIVERS\rasl2tp.sys 0xEB8AC000 \SystemRoot\System32\DRIVERS\ndistapi.sys 0xBF9F9000 \SystemRoot\System32\DRIVERS\ndiswan.sys 0xEB8BC000 \SystemRoot\System32\DRIVERS\TDI.SYS 0xEB4B0000 \SystemRoot\System32\DRIVERS\raspptp.sys 0xEB778000 \SystemRoot\System32\DRIVERS\ptilink.sys 0xEB788000 \SystemRoot\System32\DRIVERS\raspti.sys 0xEB4C0000 \SystemRoot\System32\DRIVERS\parallel.sys 0xEB9F5000 \SystemRoot\System32\DRIVERS\swenum.sys 0xBF9CE000 \SystemRoot\System32\DRIVERS\update.sys 0xEB4D0000 \SystemRoot\System32\DRIVERS\usbhub.sys 0xEB8C8000 \SystemRoot\System32\DRIVERS\gameenum.sys 0xEB7A8000 \SystemRoot\System32\DRIVERS\flpydisk.sys 0xEB500000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xEB7C0000 \SystemRoot\System32\Drivers\EFS.SYS 0xEB7D0000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS 0xEB90C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xEBA05000 \SystemRoot\System32\Drivers\Null.SYS 0xEBA07000 \SystemRoot\System32\Drivers\Beep.SYS 0xEB8E8000 \SystemRoot\System32\drivers\vga.sys 0xEBA0A000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xEB7F0000 \SystemRoot\System32\Drivers\Msfs.SYS 0xEB510000 \SystemRoot\System32\Drivers\Npfs.SYS 0xEB914000 \SystemRoot\System32\DRIVERS\rasacd.sys 0xBE95F000 \SystemRoot\System32\DRIVERS\tcpip.sys 0xEB520000 \SystemRoot\System32\DRIVERS\msgpc.sys 0xEB6A0000 \SystemRoot\System32\DRIVERS\wanarp.sys 0xBE90C000 \SystemRoot\System32\DRIVERS\netbt.sys 0xEB530000 \SystemRoot\System32\DRIVERS\netbios.sys 0xBE8E2000 \SystemRoot\System32\DRIVERS\rdbss.sys 0xBE86A000 \SystemRoot\System32\DRIVERS\mrxsmb.sys 0xBE84B000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xEB918000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xBE800000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xEBA39000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBE7EA000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xA0000000 \??\C:\WINNT\system32\win32k.sys 0xBE281000 \SystemRoot\System32\nv4_disp.dll 0xBDCD6000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xBDC90000 \SystemRoot\System32\drivers\afd.sys 0xEB95A000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xBDBB6000 \SystemRoot\system32\drivers\wdmaud.sys 0xBE64A000 \SystemRoot\system32\drivers\sysaudio.sys 0xBE6DA000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xBE68A000 \SystemRoot\System32\Drivers\Fips.SYS 0xBDB26000 \SystemRoot\system32\drivers\npf_devolo.sys 0xBD973000 \SystemRoot\System32\DRIVERS\srv.sys 0xEB992000 \??\C:\WINNT\System32\PfModNT.sys 0xBD9D1000 \??\C:\WINNT\system32\drivers\SECDRV.SYS 0xBD4EC000 \SystemRoot\System32\DRIVERS\ipnat.sys 0xBD348000 \SystemRoot\System32\DRIVERS\ipsec.sys 0xEB6E8000 \??\C:\cofi.exe26068c\catchme.sys 0xBB9E2000 \??\C:\DOKUME~1\Paulsen\LOKALE~1\Temp\ufpyqaow.sys 0xBB9BD000 \SystemRoot\system32\drivers\kmixer.sys 0xEB7E0000 \SystemRoot\System32\DRIVERS\RTL8139.SYS 0x77880000 \WINNT\system32\NTDLL.DLL Processes (total 33): 0 System Idle Process 8 System 164 \SystemRoot\System32\smss.exe 188 CSRSS.EXE 184 \??\C:\WINNT\system32\winlogon.exe 236 C:\WINNT\system32\services.exe 248 C:\WINNT\system32\lsass.exe 432 C:\WINNT\system32\svchost.exe 456 C:\WINNT\system32\spoolsv.exe 484 C:\Programme\Avira\AntiVir Desktop\sched.exe 500 C:\Programme\Avira\AntiVir Desktop\avguard.exe 512 C:\WINNT\System32\cisvc.exe 532 C:\WINNT\System32\CTSvcCDA.exe 556 C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe 580 C:\WINNT\System32\svchost.exe 616 C:\Programme\Java\jre6\bin\jqs.exe 728 C:\WINNT\System32\nvsvc32.exe 788 C:\WINNT\system32\regsvc.exe 804 C:\WINNT\system32\MSTask.exe 836 C:\WINNT\system32\stisvc.exe 892 C:\WINNT\System32\WBEM\WinMgmt.exe 944 C:\WINNT\system32\mspmspsv.exe 956 C:\WINNT\system32\svchost.exe 1316 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 1328 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 1336 C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe 1344 C:\Programme\Picasa2\PicasaMediaDetector.exe 1404 C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE 304 C:\WINNT\System32\cidaemon.exe 1084 C:\WINNT\explorer.exe 1520 C:\Programme\Mozilla Firefox\firefox.exe 1564 C:\WINNT\explorer.exe 1676 C:\Dokumente und Einstellungen\Paulsen\Desktop\MBRCheck.exe WARNING: Unsupported Windows version! Results may not be accurate! \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\G: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (FAT32) PhysicalDrive0 Model Number: Maxtor2B020H1, Rev: WAH21PB0 PhysicalDrive1 Model Number: HitachiHDS721050CLA362, Rev: Size Device Name MBR Status -------------------------------------------- 19 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 465 GB \\.\PhysicalDrive1 RE: Unknown MBR code SHA1: BA373E253A547E7961690195D7139348FF3523E2 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: |
Wir müssen nochmal mit Combofix ran. Bitte die alte cofi löschen und neu runterladen, dann gehts wieder weiter: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: KILLALL::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Combofix Logfile: Code: ComboFix 11-06-01.01 - Paulsen 01.06.2011 17:54:44.4.1 - x86 |
Ok, sieht schonmal besser aus. Ich brauch neue Logs von GMER und OSAM, bitte neu ausführen und die neuen Logs posten. |
Mein Pc ist kurz nach dem scannen GMER abgestürzt.Normal wieder hochgefahren,hatte dann eine Meldung vom DFÜ auf dem Bildschirm.Habe ich geschlossen mit "Während dieser Sitzung nicht mehr anzeigen" Habe jetzt noch keinen scann von GMER und OSAM gemacht. Soll ich nochmal GMER probieren? LG Heike |
Ja 1x noch. Wenn es wieder abstürzt nur Logs nur mit OSAM fortfahren |
GMER Logfile: Code: GMER 1.0.15.15640 - GMER - Rootkit Detector and Remover |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board