|
Plagegeister aller Art und deren Bekämpfung: TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFilesWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.06.2012, 16:49 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Filelook:: c:\programme\internet explorer\plugins\PanoViewer.dll c:\programme\internet explorer\plugins\UPjpeg.dll 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
10.06.2012, 17:29 | #17 |
| TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Auch diesmal kam die Meldung von Combofix, dass der Virenscanner an ist obwohl ich ihn ausgeschalten habe?????????? Kann es sein, dass Avira nicht richtig arbeitet??????
__________________Was mach ich mit den drei Dateien in Malwarbytes????? [code] Combofix Logfile: Code:
ATTFilter ComboFix 12-06-09.02 - xxx 10.06.2012 18:11:52.2.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1789.1112 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\CFScript.txt AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000} AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {00000000-FFA4-00DA-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804FD100-FFA4-00DA-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804FD408-FFA4-00DA-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804FD408-FFA4-00EB-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {867460E8-FFA4-00DA-0D24-347CA8A3377C} AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . . ((((((((((((((((((((((( Dateien erstellt von 2012-05-10 bis 2012-06-10 )))))))))))))))))))))))))))))) . . 2012-06-08 19:41 . 2012-06-08 19:41 -------- d-----w- C:\_OTL 2012-06-08 18:22 . 2012-06-08 19:38 -------- d-----w- c:\programme\OTL 2012-06-06 16:42 . 2012-06-06 16:42 -------- d-----w- c:\programme\ESET . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-05-31 13:22 . 2005-01-23 18:28 604160 ----a-w- c:\windows\system32\crypt32.dll 2012-04-15 08:30 . 2012-04-15 08:30 848 --sha-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys 2012-04-11 13:51 . 2004-08-04 00:50 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe 2012-04-11 13:51 . 2005-01-23 18:28 1862400 ----a-w- c:\windows\system32\win32k.sys 2012-04-11 13:51 . 2005-01-23 18:28 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe 2012-04-04 13:56 . 2012-03-12 11:21 22344 ----a-w- c:\windows\system32\drivers\mbam.sys 2003-01-13 09:59 . 2010-09-18 09:35 278528 ------w- c:\programme\internet explorer\plugins\PanoViewer.dll 1999-04-30 15:00 . 2010-09-18 09:35 98304 ------w- c:\programme\internet explorer\plugins\UPjpeg.dll 2012-03-13 04:38 . 2012-03-25 08:37 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . . --- c:\programme\internet explorer\plugins\PanoViewer.dll --- Company: File Description: PanoViewer Module File Version: 1, 0, 0, 1 Product Name: PanoViewer Module Copyright: Copyright 2002 Original Filename: PanoViewer.DLL File size: 278528 Created time: 2010-09-18 09:35 Modified time: 2003-01-13 09:59 MD5: D6A407B9D6EC4732A80F7FC87F0EDE42 SHA1: C6625E19093CB3797DB0B443E1CAB1CAC779DF25 . . --- c:\programme\internet explorer\plugins\UPjpeg.dll --- Company: ------ File Description: ------ File Version: ------ Product Name: ------ Copyright: ------ Original Filename: ------ File size: 98304 Created time: 2010-09-18 09:35 Modified time: 1999-04-30 15:00 MD5: 3507D94DA0ACA556C6B29B7334775974 SHA1: B48D617067CE687E6BF1CFAFDBC8BBF93EE69994 . . ((((((((((((((((((((((((((((( SnapShot@2012-06-10_13.26.08 ))))))))))))))))))))))))))))))))))))))))) . + 2012-06-10 15:51 . 2012-06-10 15:51 16384 c:\windows\Temp\Perflib_Perfdata_78.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-06-04 3905920] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="c:\ati-cpanel\atiptaxx.exe" [2004-11-24 344064] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "PMCS"="c:\programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" [2004-09-29 24576] "PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-24 98304] "RTHDCPL"="RTHDCPL.EXE" [2010-07-28 19557480] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512] "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2007-03-26 210472] "ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~2\UPDATE~1\ISUSPM.exe" [2005-02-17 221184] "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-17 81920] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . c:\dokumente und einstellungen\xxx\Startmenü\Programme\Autostart\ Microsoft Office-Schnellstart.lnk - c:\msoffice\Office\FASTBOOT.EXE [1995-8-25 14848] . c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ Service Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308] . [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2011-05-04 17:54 551296 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE] @="" . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-09-20 22:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2011-01-31 08:44 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX4000 Series] 2006-02-21 04:00 131072 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIBEE.EXE . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] 2005-05-13 15:11 1397760 ------w- c:\programme\Ahead\InCD\InCD.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2006-06-14 14:24 278528 ----a-w- c:\programme\iTunes\iTunesHelper.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] 2005-05-19 17:38 1957888 ------w- c:\programme\Ahead\Nero BackItUp\NBJ.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nuance PDF Create! 5-reminder] 2007-08-31 07:02 328992 ----a-w- c:\programme\Nuance\PDF Create! 5\Ereg\Ereg.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDF5 Registry Controller] 2008-07-31 00:30 58656 ----a-w- c:\programme\Nuance\PDF Create! 5\RegistryController.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFHook] 2008-07-31 00:30 795936 ----a-w- c:\programme\Nuance\PDF Create! 5\PdfCreate5Hook.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint] 2006-09-04 14:27 228774 ----a-w- c:\programme\PDFDrucker\PDF24Updater.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Companion] 2009-06-18 09:04 772096 ----a-w- c:\programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\Pinnacle\\MediaCenter\\PMC.exe"= "c:\\Programme\\Pinnacle\\MediaCenter\\PmcSettings.exe"= "c:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe"= "c:\\Programme\\Pinnacle\\MediaCenter\\EpgSpoolerSrv.exe"= "c:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaCenterService\\PMC.Service.Main.exe"= "c:\\Programme\\Pinnacle\\MediaCenter\\tvtvWizard.exe"= "c:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaServer\\PMSInstallInit.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009 . R1 AppleCharger;AppleCharger;c:\windows\system32\drivers\AppleCharger.sys [27.04.2011 03:16 19496] R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.10.2011 18:12 36000] R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [22.07.2011 18:27 12880] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.07.2011 23:55 67664] R2 !SASCORE;SAS Core Service;c:\programme\SUPERAntiSpyware\SASCore.exe [12.08.2011 01:38 116608] R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.10.2011 18:12 86224] R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [30.07.2010 20:34 27632] R3 usbfilter;AMD USB Filter Driver;c:\windows\system32\drivers\usbfilter.sys [27.04.2011 03:15 30392] S2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [30.07.2010 20:33 90112] S3 3xHybrid;Pinnacle PCTV 300i Stereo DVB-T;c:\windows\system32\drivers\3xHybrid.sys [23.01.2005 20:36 698368] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [27.04.2011 03:04 1691480] S3 AppleChargerSrv;AppleChargerSrv;system32\AppleChargerSrv.exe --> system32\AppleChargerSrv.exe [?] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [30.07.2010 19:53 86824] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [30.07.2010 19:54 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [30.07.2010 19:54 114728] S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [30.07.2010 19:54 106208] S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [30.07.2010 19:54 26024] S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [30.07.2010 19:54 104744] S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [30.07.2010 19:54 109864] . Inhalt des "geplante Tasks" Ordners . 2012-06-09 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 12:57] . 2005-07-21 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8112295493.job - c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = uSearchMigratedDefaultURL = uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR IE: &ICQ Toolbar Search - c:\programme\icq\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm IE: An vorhandene PDF-Datei anhängen - c:\programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML IE: Inhalt der ausgewählten Links an vorhandene PDF-Datei anhängen - c:\programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML IE: Linkinhalt an vorhandene PDF-Datei anhängen - c:\programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML IE: PDF-Datei aus Linkinhalt erstellen - c:\programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML IE: PDF-Datei erstellen - c:\programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML IE: PDF-Dateien aus den ausgewählten Links erstellen - c:\programme\Nuance\PDF Create! 5\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\rl0exz3q.default\ . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-06-10 18:20 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(696) c:\programme\SUPERAntiSpyware\SASWINLO.DLL c:\windows\system32\Ati2evxx.dll . - - - - - - - > 'explorer.exe'(1904) c:\windows\system32\msi.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2012-06-10 18:23:43 ComboFix-quarantined-files.txt 2012-06-10 16:23 ComboFix2.txt 2012-06-10 13:28 . Vor Suchlauf: 24 Verzeichnis(se), 122.884.050.944 Bytes frei Nach Suchlauf: 25 Verzeichnis(se), 122.867.081.216 Bytes frei . - - End Of File - - F518042A18E83090315B725537F68F27 |
10.06.2012, 18:38 | #18 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFilesZitat:
Das ist ein Bug von AntVir denn es schreibt bestimmte Infos nicht richtig ins Sicherheitscenter Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________ |
11.06.2012, 16:00 | #19 |
| TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Ja da muss meine ?-Taste gestern wohl einen kleinen Hänger gehabt haben Darf ich dich nochmal wegen den Dateien in Malwarebytes nerven? Und noch ne grundsätzliche Frage, wenn Viren bzw. Funde in Quarantäne sind, können sie dann noch was anstellen oder sind die erst mal lahm gelegt? hier kommen schon mal die ersten Log-Dateien von GMER und OSAM [code] GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2012-06-10 22:43:57 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD2000JD-55HBB0 rev.08.02D08 Running: 5yu6n8d3.exe; Driver: C:\DOKUME~1\xxx~1\LOKALE~1\Temp\uglcykow.sys ---- System - GMER 1.0.15 ---- SSDT BA75A184 ZwClose SSDT BA75A13E ZwCreateKey SSDT BA75A18E ZwCreateSection SSDT BA75A134 ZwCreateThread SSDT BA75A143 ZwDeleteKey SSDT BA75A14D ZwDeleteValueKey SSDT BA75A17F ZwDuplicateObject SSDT BA75A152 ZwLoadKey SSDT BA75A120 ZwOpenProcess SSDT BA75A125 ZwOpenThread SSDT BA75A1A7 ZwQueryValueKey SSDT BA75A15C ZwReplaceKey SSDT BA75A198 ZwRequestWaitReplyPort SSDT BA75A157 ZwRestoreKey SSDT BA75A193 ZwSetContextThread SSDT BA75A19D ZwSetSecurityObject SSDT BA75A148 ZwSetValueKey SSDT BA75A1A2 ZwSystemDebugControl SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xA88A0640] Code \??\C:\DOKUME~1\xxx~1\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB5303000, 0x2191E7, 0xE8000020] ? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. ! ? C:\DOKUME~1\xxx~1\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- Device ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0x2E 0xE8 0xE1 0x00 ... Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x46 0x47 0x15 0xB0 ... Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ... Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x6B 0x65 0x49 0x6A ... Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xF5 0x1D 0x4D 0x73 ... Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ... Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ... Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ... Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ... Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ... Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ... Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x6C 0x43 0x2D 0x1E ... ---- EOF - GMER 1.0.15 ---- Code:
ATTFilter OSAM Logfile: Geändert von Evi82 (11.06.2012 um 16:07 Uhr) |
11.06.2012, 19:44 | #20 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Überleg doch mal was eine Quarantäne ist! Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.
__________________ Logfiles bitte immer in CODE-Tags posten |
11.06.2012, 20:31 | #21 |
| TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Okay vielen Dank für die Info. Wollte nur mal nen Experten fragen, weil ich im Internet mal was anderes gelesen hab, brauch ich mir also um die Worm.Koobface in der Quarantäne vorerst keine Sorgen machen. Weißt du wie groß die Avast Virus Definition ungefähr ist, bin bei fast 28 MB mit meinem Modem (juhu 5 KB/s, bitte net lachen) und häng also schon seit 1 1/2 Stunden in der Telefonleitung und möcht nur mal wissen wie lange es ca. noch dauert..... |
11.06.2012, 21:35 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Modem? Hast du noch eine analoge Verbindung, kein DSL oder Kabel von Kabeldeutschland?
__________________ Logfiles bitte immer in CODE-Tags posten |
11.06.2012, 21:43 | #23 |
| TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Nix DSL, nix Kabel. Modem!!!! Bin auch mittlerweile schon bei 48 MB, aber sag mir jetzt bloß nicht, dass des erst die Hälfte ist? |
11.06.2012, 22:01 | #24 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Nien, du müsstest es fast geschafft haben
__________________ Logfiles bitte immer in CODE-Tags posten |
12.06.2012, 05:50 | #25 |
| TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Guten Morgen, des hat jetzt gestern leider nicht mehr geklappt, irgendwann hat er mit dem Runterladen nicht mehr weitergemacht. Gibts ne Alternative für mich bzw. kann ich mir die Virendefinition über einen anderen (schnelleren) PC runterladen und dann auf meinen kopieren? |
12.06.2012, 13:23 | #26 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Ist mir keine bekannt. Versuch doch mal den aswMBR offline auszuführen. Evtl scannt er dann einfach so ohne update
__________________ Logfiles bitte immer in CODE-Tags posten |
12.06.2012, 14:23 | #27 |
| TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Hab mir von meiner Schwester jetzt die Freeware Version von Avast (70 MB) runterladen lassen, ist es sinnvoll, wenn ich diese jetzt für den Scan installiere und danach wieder deinstalliere oder soll ich gleich Avast drauf lassen und Avira runtermachen? |
12.06.2012, 14:30 | #28 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Nein!! Avast Virenscanner ist nicht aswMBR!
__________________ Logfiles bitte immer in CODE-Tags posten |
12.06.2012, 14:37 | #29 |
| TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Schade. aswMBR auf einem anderen Rechner downloaden und dann auf meinen kopieren geht auch nicht oder? |
12.06.2012, 15:17 | #30 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles Wie ich schon sagte kenn ich keien Möglichkeit das umzusetzen! Warum probierst du den nicht einfach offline aus!!
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu TR/Trash.Gen/Trojan.Agent/Gen-Nullo[Short]/Risktool.KillFiles |
.dll, autostart, avira, ccc.exe, csrss.exe, dateisystem, desktop, detected, dllhost.exe, eudora, explorer, explorer.exe, firefox, free, gelöscht, heuristiks/extra, heuristiks/shuriken, home, lsass.exe, malwarebytes, mom.exe, mp3, namen, nt.dll, programme, risktool.killfiles, services.exe, spoolsv.exe, superantispyware, svchost.exe, system volume information, temp, viren, winlogon.exe |