| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: "Mediashifting.com" VirusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
02.01.2012, 19:16
| #1 |
  |  "Mediashifting.com" Virus Hi, nix zu sehen... Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Stürzt GMER ab, bitte im abgesicherten Modus (F8 beim Booten) probieren! chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
04.01.2012, 12:57
| #2 |
 | "Mediashifting.com" Virus Hallo!
__________________Hier der Bericht vom GMER GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-01-04 13:16:29
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD1600BEVT-22ZCT0 rev.11.01A11
Running: 78mci2i0.exe; Driver: C:\Users\ADMINI~1\AppData\Local\Temp\kxldypog.sys
---- System - GMER 1.0.15 ----
SSDT 858B6C10 ZwAlertResumeThread
SSDT 858B6CF0 ZwAlertThread
SSDT 858ED9F0 ZwAllocateVirtualMemory
SSDT 8587B048 ZwAlpcConnectPort
SSDT 858B63B8 ZwAssignProcessToJobObject
SSDT 858B6960 ZwCreateMutant
SSDT 858B60D8 ZwCreateSymbolicLinkObject
SSDT 859F2B20 ZwCreateThread
SSDT 858B61C8 ZwCreateThreadEx
SSDT 858B6498 ZwDebugActiveProcess
SSDT 858EDBA0 ZwDuplicateObject
SSDT 858ED810 ZwFreeVirtualMemory
SSDT 858B6A50 ZwImpersonateAnonymousToken
SSDT 858B6B30 ZwImpersonateThread
SSDT 855E0ED0 ZwLoadDriver
SSDT 858ED710 ZwMapViewOfSection
SSDT 858B6880 ZwOpenEvent
SSDT 859F2A08 ZwOpenProcess
SSDT 858EDAE0 ZwOpenProcessToken
SSDT 858B66C0 ZwOpenSection
SSDT 859F2938 ZwOpenThread
SSDT 858B62C8 ZwProtectVirtualMemory
SSDT 858B6DD0 ZwResumeThread
SSDT 858ED460 ZwSetContextThread
SSDT 858ED540 ZwSetInformationProcess
SSDT 858B6578 ZwSetSystemInformation
SSDT 858B67A0 ZwSuspendProcess
SSDT 858B6EB0 ZwSuspendThread
SSDT 859F2C00 ZwTerminateProcess
SSDT 858B6F90 ZwTerminateThread
SSDT 858ED630 ZwUnmapViewOfSection
SSDT 858ED900 ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82C84579 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82CA8F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!RtlSidHashLookup + 224 82CB0724 8 Bytes [10, 6C, 8B, 85, F0, 6C, 8B, ...]
.text ntkrnlpa.exe!RtlSidHashLookup + 23C 82CB073C 4 Bytes [F0, D9, 8E, 85]
.text ntkrnlpa.exe!RtlSidHashLookup + 248 82CB0748 4 Bytes [48, B0, 87, 85]
.text ntkrnlpa.exe!RtlSidHashLookup + 29C 82CB079C 4 Bytes [B8, 63, 8B, 85]
.text ntkrnlpa.exe!RtlSidHashLookup + 318 82CB0818 4 Bytes [60, 69, 8B, 85]
.text ...
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\ACPI_HAL \Device\0000004f halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0009dd21488e
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0009dd21488e@402ba1eeee7a 0xEB 0xE6 0x4E 0x73 ...
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0009dd21488e (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0009dd21488e@402ba1eeee7a 0xEB 0xE6 0x4E 0x73 ...
---- Files - GMER 1.0.15 ----
File C:\Windows\$NtUninstallKB1455$\1889241803 0 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\@ 2048 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\L 0 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\L\xadqgnnk 74240 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\loader.tlb 2632 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\U 0 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\U\@00000001 45968 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\U\@000000c0 3072 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\U\@000000cb 3072 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\U\@000000cf 1536 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\U\@80000000 26112 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\U\@800000c0 32768 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\U\@800000cb 24064 bytes
File C:\Windows\$NtUninstallKB1455$\1889241803\U\@800000cf 31744 bytes
File C:\Windows\$NtUninstallKB1455$\1904035700 0 bytes
---- EOF - GMER 1.0.15 ----
|
|
05.01.2012, 10:45
| #3 |
| | "Mediashifting.com" Virus Hi,
__________________Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop. http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe
Code:
ATTFilter
:dir
C:\Windows\$NtUninstallKB1455$ /s
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.
Code:
ATTFilter netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
mv61xx.sys
winlogon.exe
userinit.exe
WS2_32.dll
/md5stop
c:\windows\system32\drivers\*.sys /lockedfiles
c:\windows\system32\*.dll /lockedfiles
%systemroot%\*. /mp /s
%PROGRAMFILES%\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
chris
__________________ |
|
05.01.2012, 14:22
| #4 |
| | "Mediashifting.com" Virus Hallo! Hier die Ergebnisse vom SystemLook DanyRibi |
|
09.01.2012, 16:40
| #5 |
| | "Mediashifting.com" Virus Ich habe Combofix durchlaufen lassen, aber kurz vor Schluss hat es abgebrochen.. |
|
10.01.2012, 18:20
| #6 |
| | "Mediashifting.com" Virus das Problem wurde durch Unhide nicht gelöst.. |
|
10.01.2012, 21:48
| #7 |
| | "Mediashifting.com" Virus Hi, das ist dann wohl eine neue Infektion... Probieren wir erstnochmal das hier: ->Start - Regedit, zum Key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer navigieren und dort den Eintrag (falls vorhanden) NoDesktop löschen... sonst: MAM updaten und FULL-Scann, TDSS-Killer laufen lasse und ein neues OTL-Log... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
15.01.2012, 18:08
| #8 |
 | "Mediashifting.com" Virus Hallo, mich hat es mit diesem Shit auch erwischt... Außerdem irgendwas ähnliches von Max++ OTL, OTS, HiJack liefen schon mal... Kaspersky läuft permanent, habe da auch was entfernt ohne genauer nachzugucken. Bereits folgende Ungereimtheiten entfernt: tcudriver.exe svchoost.exe & csrss.exe aus benutzer\name\appdata\roaming consrv.dll aus C:\windows\system32\ entfernt (nicht in Registrierung eingetragen gewesen: Ich hatte "Windows 7 Firewall Control" von sphinx-soft.com drauf, als das nicht mehr lief wurde ich darauf aufmerksam. Windows Firewall-Dienst tot, "Fix it" von MS brachte keine besserung. In der Systemsteuerung kann ich auch nicht mehr mit der Firewall einstellen: Fehler: 0x80070424 Bitte Ideen und Vorschläge! Im Anhang nochmal die aktuelle OTL-Log. |
|
15.01.2012, 20:31
| #9 |
| | "Mediashifting.com" Virus Hei Chris wie komme ich auf "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"? |
|
15.01.2012, 21:00
| #10 |
| | "Mediashifting.com" Virus Bei Win 7 auf "Start" und dann unten bei "DOS-Befehle / Suchtext" Regedit eingeben und dahin durchklicken! Bei mir leider fail. An dieser Position nichts ungewöhnliches zu finden... |
|
16.01.2012, 18:18
| #11 |
| | "Mediashifting.com" Virus Hi, @Franklin84, bitte neuen Thread eröffnen... und schaue Dir das hier mal näher an ;o) O20 - HKCU Winlogon: Shell - (C:\Users\Frank\AppData\Local\445358e4\X) -C:\Users\Frank\AppData\Local\445358e4\X () [2012.01.15 12:39:53 | 000,000,000 | -HSD | C] -- C:\Users\Frank\AppData\Local\445358e4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] "DisableMonitoring" = 1 -> Antimalewarebytes und TDSS-Killer... Scan mit SystemLook @DanyRibi Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop. http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe
Code:
ATTFilter
:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] /s
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
16.01.2012, 19:38
| #12 |
| | "Mediashifting.com" Virus @Chris4You: Ja, sorry war hier lange nicht unterwegs. Nur eben wenns gewaltig "brennt" XD. Mal noch ne kurze Frage: * Ist Kaspersky 2012 so schlecht das sich de rRechner infizieren kann? Weil beim Systemscan vor 4 Tagen war alles i.O. bis auf paar wenige gezippte Spieletrainer. * Kann man in so einem Fall eine Systemwiederherstellung machen? Bringt das was? Oder reißt man damit mehr ein? * TDDS hat nichts gefunden. Antimalewarebytes und ESET Online Scanner haben kräftig aufgeräumt. * "445358e4" mußte ich trotzdem manuell löschen, da Antimalwarebytes nach einem Neustart das trotzdem nicht gemacht hatte... * Schwierige, aber dennoch erfolgreiche Reparatur Der Windows Firewall! komplette Registry-Keys der Firewall waren gelöscht! -> Fehler 0x80070424 bfe.reg & firewall.reg aus dem sevenforums.com nach der Anleitung von User "Balon" * mediashifting.com meldet sich nun auch nicht mehr im Firefox... einen Redirect bei der Such konnte ich nicht feststellen! Trotzdem vielen Dank! Mfg FRank |
|
20.01.2012, 18:25
| #13 |
| | "Mediashifting.com" Virus SystemLook 30.07.11 by jpshortstuff Log created at 18:47 on 20/01/2012 by Administrator Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"= 0x0000000091 (145) "NoInternetOpenWith"= 0x0000000001 (1) "NoRecentDocsNetHood"= 0x0000000001 (1) [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] (No values found) [] Hive unrecognized. -= EOF =- |
|
| Themen zu "Mediashifting.com" Virus |
| 95p.com, beheben, drücke, google, große, link, mediashifting.com, online virus, problem, schritt, seite, seiten, suche, verschiedene, virus, virus oder maleware beseitigen |
Hybrid-Darstellung
