Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Log-Analyse und Auswertung: TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 2 von 3 1 2 3
Alt 13.12.2011, 17:23   #16
Benedikt.
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Also, ich habe ComboFix runtergeladen und den Avira-Guard deaktiviert, sowie auf der Combofix-Homepage beschrieben.
Trotzdem bekomme ich die Meldung, den Real-Time-Scanner AntiVir Desktop zu deaktivieren. Ich hab schon versucht, alle Prozesse von AVIRA zu beenden. Die ließen sich auch beenden, Combofix wollte trotzdem nicht starten.

Kannst du mir helfen?

danke, Benedikt.

Alt 13.12.2011, 17:24   #17
Benedikt.
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Ahhh, Combofix, startet nun doch. Ich lasse ihn mal machen.
__________________
Alt 13.12.2011, 18:25   #18
Benedikt.
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


ComboFix-Log auch endlich fertig:
__________________
Alt 13.12.2011, 20:20   #19
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Folder::
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\qtuywund
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BabylonToolbar
c:\programme\Babylon
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.12.2011, 08:54   #20
Benedikt.
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


So, hier kommt die ComboFix.txt:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-12-13.03 - Administrator 14.12.2011   8:38.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2039.1421 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BabylonToolbar
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\qtuywund
c:\programme\Babylon
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-11-14 bis 2011-12-14  ))))))))))))))))))))))))))))))
.
.
2011-12-13 12:31 . 2011-12-13 12:31	--------	d-----w-	C:\_OTL
2011-12-12 17:18 . 2011-12-12 17:18	--------	d-----w-	c:\programme\ESET
2011-12-12 16:00 . 2011-12-12 16:00	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2011-12-12 15:59 . 2011-12-12 15:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-12-12 15:59 . 2011-12-12 15:59	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-12-12 15:59 . 2011-08-31 16:00	22216	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-12-07 11:44 . 2011-12-07 19:12	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2011-12-07 10:13 . 2011-12-13 10:28	--------	d-----w-	c:\windows\system32\NtmsData
2011-12-06 11:29 . 2011-12-06 11:29	--------	d-----r-	c:\dokumente und einstellungen\NetworkService\Favoriten
2011-11-23 17:52 . 2011-11-23 17:59	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\MyPhoneExplorer
2011-11-23 17:52 . 2011-11-23 17:52	--------	d-----w-	c:\programme\BabylonToolbar
2011-11-23 17:52 . 2011-11-23 17:52	--------	d-----w-	c:\programme\MyPhoneExplorer
2011-11-21 15:27 . 2001-08-18 03:54	5632	----a-w-	c:\windows\system32\ptpusb.dll
2011-11-21 15:27 . 2008-04-13 18:45	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2011-11-21 15:27 . 2008-04-13 18:45	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2011-11-21 15:27 . 2008-04-14 02:22	159232	----a-w-	c:\windows\system32\ptpusd.dll
2011-11-21 15:23 . 2011-11-21 15:23	--------	d-----w-	c:\programme\Motorola
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-02 07:23 . 2011-05-16 08:01	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-10-10 14:22 . 2009-10-01 08:20	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-09-28 07:06 . 2004-11-11 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2011-09-26 15:47 . 2011-09-26 15:47	227176	----a-w-	c:\windows\system32\ddBACCTM.cpl
2011-09-26 15:47 . 2011-09-26 15:47	825192	----a-w-	c:\windows\system32\Ddbaccpl.cpl
2011-09-26 09:41 . 2007-10-09 11:03	614912	----a-w-	c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41 . 2004-11-11 12:00	23040	----a-w-	c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2004-11-11 12:00	220160	----a-w-	c:\windows\system32\oleacc.dll
2009-10-13 17:07 . 2009-10-03 15:13	3211264	----a-w-	c:\programme\Gemeinsame DateienDDBACSetup.msi
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2004-11-11 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-11-11 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
(((((((((((((((((((((((((((((   SnapShot@2011-12-13_17.10.32   )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-11-11 12:00 . 2011-12-13 17:29	87412              c:\windows\system32\perfc009.dat
+ 2004-11-11 12:00 . 2011-12-13 17:29	502192              c:\windows\system32\perfh009.dat
+ 2004-11-11 12:00 . 2011-12-13 17:29	551498              c:\windows\system32\perfh007.dat
+ 2004-11-11 12:00 . 2011-12-13 17:29	114346              c:\windows\system32\perfc007.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\progra~1\MICROS~3\wcescomm.exe" [2006-06-26 1211176]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-02 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-09-25 33517568]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"IJNetworkScanUtility"="c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE" [2007-11-19 128352]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-06-13 73728]
"Google Quick Search Box"="c:\programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-10-02 122880]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 532776]
"DATALINE Office Updater"="c:\programme\DATALINE Office Update\updctrl.exe" [2011-01-14 35840]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"LWBMOUSE"="c:\programme\Tech\Wheel Mouse\5.3\MOUSE32A.EXE" [2002-05-24 357376]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2008-07-09 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2008-07-09 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Quicken 2009 Zahlungserinnerung.lnk - c:\programme\Lexware\Quicken\2009\billmind.exe [2008-5-20 98304]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Brother\\Brmfl08g\\FAXRX.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.10.2009 12:18 136360]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [12.12.2011 16:59 366152]
R2 MotoHelper;MotoHelper Service;c:\programme\Motorola\MotoHelper\MotoHelperService.exe [25.03.2011 20:22 223088]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [12.12.2011 16:59 22216]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [01.10.2009 09:38 874880]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.02.2010 16:08 135664]
S3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\drivers\motfilt.sys [21.11.2011 16:24 6016]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [08.02.2010 16:08 135664]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
S3 motandroidusb;Mot ADB Interface Driver;c:\windows\system32\drivers\motoandroid.sys [21.11.2011 16:24 25856]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [21.11.2011 16:24 20352]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [21.11.2011 16:24 8320]
S3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\drivers\Motousbnet.sys [21.11.2011 16:24 23424]
S3 motusbdevice;Motorola USB Dev Driver;c:\windows\system32\drivers\motusbdevice.sys [21.11.2011 16:24 9472]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
Inhalt des "geplante Tasks" Ordners
.
2011-12-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-08 15:08]
.
2011-12-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-08 15:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ard.de/
uInternet Connection Wizard,ShellNext = hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=0407&Ext=pdf
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.100
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-12-14 08:45
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2052111302-861567501-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,cd,8f,58,39,71,26,47,4f,ab,d0,65,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,eb,fa,68,08,25,5d,3b,44,93,db,a8,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3740)
c:\programme\ScanSoft\OmniPageSE4\OpHookSE4.dll
c:\programme\Google\Quick Search Box\bin\1.2.1151.245\qsb.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2011-12-14  08:48:02
ComboFix-quarantined-files.txt  2011-12-14 07:47
ComboFix2.txt  2011-12-13 17:21
.
Vor Suchlauf: 9 Verzeichnis(se), 206.948.519.936 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 206.931.689.472 Bytes frei
.
- - End Of File - - 0DDA1ED9C15146C57435748C207339D0
--- --- ---
Alt 14.12.2011, 11:50   #21
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

__________________
--> TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden

Alt 26.12.2011, 16:03   #22
Benedikt.
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Hallo cosinus,

Tut mir echt Leid, dass ich mich jetzt erst bei dir melde. Ich hatte aus gesundheitlichen Problemen keine Möglichkeit, weiter zu versuchen, den Virus zu beseitigen.
Ich hoffe, dass mein Thema noch halbwegs aktuell ist. Der Rechner wurde nach dem letzten Scan heruntergefahren und seitdem wurde nichts verändert bzw an dem Rechner gearbeitet.

Hier sind die Log-Dateien von OSAM und GMER:

OSAM:

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 15:09:36 on 26.12.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"Ddbaccpl.cpl" - "DataDesign AG" - C:\WINDOWS\system32\Ddbaccpl.cpl
"ddBACCTM.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddBACCTM.cpl
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"viahdcpl.cpl" - "VIA Technologies, Inc" - C:\WINDOWS\system32\viahdcpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"MBAMSwissArmy" (MBAMSwissArmy) - ? - C:\WINDOWS\system32\drivers\mbamswissarmy.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
>{22d6f312-b0f6-11d0-94ab-0080c74c7e95} "Microsoft Windows Media Player" - "Microsoft Corporation" - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{12D51199-0DB5-46FE-A120-47A3D7D937CC} "DVD: Pluggable Protocol" - "Microsoft Corporation" - C:\WINDOWS\system32\msvidctl.dll
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
{CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} "TV: Pluggable Protocol" - "Microsoft Corporation" - C:\WINDOWS\system32\msvidctl.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{56F9679E-7826-4C84-81F3-532071A8BCC5} "Windows Desktop Search Namespace Manager" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobiles Gerät" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Wcesview.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll
{cc86590a-b60a-48e6-996b-41d25ed39a1e} "Portable Media Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{13E7F612-F261-4391-BEA2-39DF4F3FA311} "Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\msnlExt.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_02" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "Java Plug-in 1.6.0_02" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_02" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\INetRepl.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\INetRepl.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.7.7018.1622\swg.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Quicken 2009 Zahlungserinnerung.lnk" - "Lexware GmbH & Co. KG" - C:\Programme\Lexware\Quicken\2009\billmind.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"H/PC Connection Agent" - "Microsoft Corporation" - "C:\PROGRA~1\MICROS~3\wcescomm.exe"
"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"BrMfcWnd" - "Brother Industries, Ltd." - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
"ControlCenter3" - "Brother Industries, Ltd." - C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
"DATALINE Office Updater" - "DATALINE GmbH & Co. KG" - "C:\Programme\DATALINE Office Update\updctrl.exe"
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe
"Google Quick Search Box" - "Google Inc." - "C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe"  /autorun
"HDAudDeck" - ? - C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1  (File found, but it contains no detailed information)
"IJNetworkScanUtility" - "CANON INC." - C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
"IndexSearch" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
"LexwareInfoService" - "Lexware GmbH & Co. KG" - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
"LWBMOUSE" - ? - C:\Programme\Tech\Wheel Mouse\5.3\MOUSE32A.EXE
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"OpwareSE4" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
"PaperPort PTD" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
"PPort11reminder" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
"SSBkgdUpdate" - "Nuance Communications, Inc." - "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Canon BJNP Port" - "CANON INC." - C:\WINDOWS\system32\CNMNPPM.DLL
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Dienst für Seriennummern der tragbaren Medien" (WmdmPmSN) - "Microsoft Corporation" - C:\WINDOWS\system32\mspmsnsv.dll
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe
"MotoHelper Service" (MotoHelper) - ? - C:\Programme\Motorola\MotoHelper\MotoHelperService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"PIXMA Extended Survey Program" (IJPLMSVC) - ? - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
"Windows User Mode Driver Framework" (UMWdf) - "Microsoft Corporation" - C:\WINDOWS\system32\wdfmgr.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru










GMER:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-12-26 14:54:38
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 ST3250310AS rev.4.AAA
Running: 82xh4yg0.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uftcapog.sys


---- System - GMER 1.0.15 ----

SSDT            F7AB544E                                                           ZwCreateKey
SSDT            F7AB5444                                                           ZwCreateThread
SSDT            F7AB5453                                                           ZwDeleteKey
SSDT            F7AB545D                                                           ZwDeleteValueKey
SSDT            F7AB5462                                                           ZwLoadKey
SSDT            F7AB5430                                                           ZwOpenProcess
SSDT            F7AB5435                                                           ZwOpenThread
SSDT            F7AB546C                                                           ZwReplaceKey
SSDT            F7AB5467                                                           ZwRestoreKey
SSDT            F7AB5458                                                           ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\monfilt.sys                            entry point in "init" section [0xA91FE280]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\SearchIndexer.exe[392] kernel32.dll!WriteFile  7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                           fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
--- --- ---




Zum Schluss noch die Datei der aswMBR.exe:

aswMBR version 0.9.9.1120 Copyright(c) 2011 AVAST Software
Run date: 2011-12-26 15:12:12
-----------------------------
15:12:12.075 OS Version: Windows 5.1.2600 Service Pack 3
15:12:12.075 Number of processors: 2 586 0x1C02
15:12:12.075 ComputerName: PC-*** UserName:
15:12:12.966 Initialize success
15:15:05.544 AVAST engine defs: 11122501
15:15:44.278 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5
15:15:44.278 Disk 0 Vendor: ST3250310AS 4.AAA Size: 238475MB BusType: 3
15:15:46.325 Disk 0 MBR read successfully
15:15:46.325 Disk 0 MBR scan
15:15:46.356 Disk 0 Windows XP default MBR code
15:15:46.356 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 238464 MB offset 63
15:15:46.372 Disk 0 scanning sectors +488376000
15:15:46.450 Disk 0 scanning C:\WINDOWS\system32\drivers
15:15:56.966 File: C:\WINDOWS\system32\drivers\netbt.sys **INFECTED** Win32:Aluroot [Rtk]
15:16:06.138 Service scanning
15:16:07.138 Modules scanning
15:16:11.622 Disk 0 trace - called modules:
15:16:11.638 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
15:16:11.638 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89b43ab8]
15:16:11.638 3 CLASSPNP.SYS[f7637fd7] -> nt!IofCallDriver -> \Device\00000066[0x89b49f18]
15:16:11.638 5 ACPI.sys[f75ad620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-5[0x89b87d98]
15:16:12.325 AVAST engine scan C:\WINDOWS
15:16:37.747 AVAST engine scan C:\WINDOWS\system32
15:20:24.888 AVAST engine scan C:\WINDOWS\system32\drivers
15:20:36.388 File: C:\WINDOWS\system32\drivers\netbt.sys **INFECTED** Win32:Aluroot [Rtk]
15:20:51.106 AVAST engine scan C:\Dokumente und Einstellungen\Administrator
15:36:23.513 AVAST engine scan C:\Dokumente und Einstellungen\All Users
15:38:50.169 Scan finished successfully
15:54:38.184 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Administrator\Desktop\MBR.dat"
15:54:38.184 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Administrator\Desktop\aswMBR.txt"


Vielen Dank, Gruß, Benedikt.

Alt 26.12.2011, 19:13   #23
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Wir müssen eine Datei ersetzen, bitte einen Ordner "cosinus" auf C: erstellen und diese netbt.sys runterladen, abspeichern in den cosinusordner c:\cosinus => netbt.sys nach c:\cosinus\netbt.sys

Dann gehts so weiter:

PartedMagic
  • Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 150 MB sein
  • Brenn die ISO-Datei per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
  • Boote den Rechner von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist





  • Du müsstest ein Symbol Mount Devices finden, das doppelklicken





  • Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
  • Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) diese Datei um, einfach ein .vir dranhängen:

    Code:
    ATTFilter
    /media/[LW C]/WINDOWS/system32/drivers/netbt.sys.vir
  • Die saubere Datei aus dem cosinusordner in den Windows-Systempfad kopieren

    Code:
    ATTFilter
    /media/[LW C]/cosinus/netbt.sys => /media/[LW C]/windows/system32/drivers/netbt.sys
    (müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)

  • Starte den Rechner neu und boote Windows
  • Falls Windows wieder normal bootet => die in Linux umbenannt Datei (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Gib Bescheid wenn alles durch ist. Erstell am besten ein neues Log mit aswmBR auch dann gleich
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 28.12.2011, 13:22   #24
Benedikt.
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Hallo cosinus,

Ich habe die Datei Hochgeladen, so wie beschrieben. Hat auch geklappt.

Hier noch einmal eine Log-Datei von der aswMBR.exe :


aswMBR version 0.9.9.1120 Copyright(c) 2011 AVAST Software
Run date: 2011-12-27 21:36:01
-----------------------------
21:36:01.593 OS Version: Windows 5.1.2600 Service Pack 3
21:36:01.593 Number of processors: 2 586 0x1C02
21:36:01.609 ComputerName: PC-DORLE UserName:
21:36:02.031 Initialize success
21:40:37.921 AVAST engine defs: 11122702
21:40:58.531 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5
21:40:58.531 Disk 0 Vendor: ST3250310AS 4.AAA Size: 238475MB BusType: 3
21:41:00.562 Disk 0 MBR read successfully
21:41:00.578 Disk 0 MBR scan
21:41:00.625 Disk 0 Windows XP default MBR code
21:41:00.625 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 238464 MB offset 63
21:41:00.656 Disk 0 scanning sectors +488376000
21:41:00.734 Disk 0 scanning C:\WINDOWS\system32\drivers
21:41:12.390 File: C:\WINDOWS\system32\drivers\netbt.sys.vir **INFECTED** Win32:Aluroot [Rtk]
21:41:22.125 Service scanning
21:41:23.281 Modules scanning
21:41:28.437 Disk 0 trace - called modules:
21:41:28.484 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
21:41:28.484 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89bb1ab8]
21:41:28.484 3 CLASSPNP.SYS[f7637fd7] -> nt!IofCallDriver -> \Device\00000066[0x89b3df18]
21:41:28.500 5 ACPI.sys[f75ad620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-5[0x89b37d98]
21:41:29.156 AVAST engine scan C:\WINDOWS
21:41:54.531 AVAST engine scan C:\WINDOWS\system32
21:45:45.640 AVAST engine scan C:\WINDOWS\system32\drivers
21:45:57.562 File: C:\WINDOWS\system32\drivers\netbt.sys.vir **INFECTED** Win32:Aluroot [Rtk]
21:46:11.953 AVAST engine scan C:\Dokumente und Einstellungen\Administrator
22:01:48.000 AVAST engine scan C:\Dokumente und Einstellungen\All Users
22:04:15.906 Scan finished successfully
13:17:54.656 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Administrator\Desktop\MBR.dat"
13:17:54.687 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Administrator\Desktop\aswMBR-Log2.txt"


Gruß, Benedikt.

Alt 28.12.2011, 21:59   #25
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Ne da muss dir ein Fehler unterlaufen sein.

1.) (auszug aus dem UpChannel-Bereich) => netbt.sys.vir (0,00 kB) die Datei ist leer!
2.) Prüf bitte auch ob die Datei so ersetzt wurde wie o.g.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 29.12.2011, 02:14   #26
Benedikt.
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Also ich hab es gerade noch ein Mal versucht. Die Datei ist 159 KB gross. Wenn ich versuche, sie upzuloaden, bekomme ich folgende Meldung,

Datei: netbt.sys.vir empfangen

Vorgang erfolgreich abgeschlossen.

Sollte doch geklappt haben oder nicht?

Gruss, Benedikt.

Alt 29.12.2011, 02:33   #27
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Jetzt ist sie da
Mach bitte ein neues Log mit aswMBR

Zitat:
heute
29.12.2011, 02:12

Datei vorhanden.
111229-0212_netbt.sys.vir.zip
netbt.sys.vir (162,82 kB)

Benedikt.
Link
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 30.12.2011, 23:13   #28
Benedikt.
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Nochmal die Log-Datei.

Wird die Datei jetzt von dir überprüft oder wie läuft das ab? Ich weiß echt nicht, wie ich dir danken soll. Am liebsten würd' ich dich auf ein Bier einladen

Gruß, Benedikt.

Alt 30.12.2011, 23:46   #29
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Zitat:
File: C:\WINDOWS\system32\drivers\netbt.sys.vir **INFECTED** Win32:Aluroot [Rtk]
Die Datei netbt.sys.vir in C:\WINDOWS\system32\drivers kannst du nun löschen.
Mach das mal und wirklich um sicher zu gehen ein neues Log mit aswMBR
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 31.12.2011, 18:42   #30
Benedikt.
 
TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Standard

TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


Datei wurde gelöscht. aswMBR.exe Log-Datei:

Gruß, Benedikt.

Antwort
Seite 2 von 3 1 2 3

Themen zu TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden
.dll, antivir, avg, avira, dateien, desktop, einstellungen, google, lsass.exe, modul, namen, nt.dll, problem, programm, programme, prozesse, registry, services.exe, svchost.exe, temp, tr/rootkit.gen, tr/rootkit.gen2, trojaner, verweise, windows, windows xp, winlogon.exe, wuauclt.exe


« hallo 100€ abzocke | HARTNÄCKIGER 50 Euro Virus / GEMA Virus »


Ähnliche Themen: TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden


  1. Trojaner von Avira gefunden (EXP/Java.HLP.CJ und TR/ATRAPS.Gen2). Windows 7 64 Bit
    Log-Analyse und Auswertung - 14.09.2015 (9)
  2. Adware.Gen2 und 3 mal Java.Rafold.V.Gen und Java Ternewb
    Plagegeister aller Art und deren Bekämpfung - 06.04.2015 (15)
  3. CRYPT.ZPACK.GEN2, JAVA.Ternub.gen und andere Schädlinge gefunden
    Plagegeister aller Art und deren Bekämpfung - 28.12.2012 (14)
  4. TR/Winwebsec.AJ.14;BDS/ZAccess.W;EXP/JAVA.Teqwari.gen;TR/Agent.2049;TR/ATRAPS.gen2 und TR/sirefef.16896 von AVIRA gefunden
    Log-Analyse und Auswertung - 21.08.2012 (12)
  5. TR/Offend.7014939.CV von AntiVir gefunden -- PUM.Hijack.ConnectionControl von Malwarebytes gefunden
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (16)
  6. Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden
    Log-Analyse und Auswertung - 05.06.2012 (38)
  7. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  8. TR/Spy.Banker.Gen2 und TR/Offend.kdv.580984.1 und weitere Viren. Was tun ?
    Mülltonne - 01.04.2012 (2)
  9. AVIRA meldet TR/sirefef.J.615 , TR/ATRAPS.Gen2 und TR/Offend.kdv.488489
    Plagegeister aller Art und deren Bekämpfung - 03.03.2012 (3)
  10. JAVA/Dldr.Tharra.G und EXP/CVE-2010-0840
    Log-Analyse und Auswertung - 18.01.2012 (11)
  11. Trojaner TR/Drop.Croff.A, TR/Offend.KD.448731, TR/crypt.epack.gen und Java-Scriptvirus JS/Toieung.A
    Log-Analyse und Auswertung - 07.01.2012 (29)
  12. TR/Rootkit.Gen2 gefunden, wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 14.12.2011 (7)
  13. WIN XP SP3: TR/Spy.Banker.Gen2 , TR/Offend.6943020, JS/Agent.ala.1 und andere
    Log-Analyse und Auswertung - 10.12.2011 (21)
  14. TR/EyeStye.N.313 + JAVA/Dldr.Tharra.G gefunden... Was ist zu tun?
    Log-Analyse und Auswertung - 28.08.2011 (27)
  15. JAVA-Virus JAVA/Dldr.Tharra.E
    Plagegeister aller Art und deren Bekämpfung - 31.07.2011 (19)
  16. AntiVir hat DR/PSW.Cain.284.3 Dropper TR/Rootkit.Gen und TR/Crypt.XPACK.Gen2 gefunden!
    Plagegeister aller Art und deren Bekämpfung - 04.06.2011 (37)
  17. TR/Trash.Gen // TR/Spy.Agent.blbk // TR/Rootkit.Gen2' // TR/BHO.Gen // TR/Crypt.XPACK.Gen2' et al
    Antiviren-, Firewall- und andere Schutzprogramme - 05.11.2010 (16)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden - Also, ich habe ComboFix runtergeladen und den Avira-Guard deaktiviert, sowie auf der Combofix-Homepage beschrieben. Trotzdem bekomme ich die Meldung, den Real-Time-Scanner AntiVir Desktop zu deaktivieren. Ich hab schon versucht, alle - TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden...
Archiv
Du betrachtest: TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131