Doch Vundofix erstellt ein Logfile, dieses liegt unter C:\vundofix.txt.
Suche und poste es noch.

edit: Kommt das Log aus der Datei C:\vundofix.txt.?

Bata

Jawohl. Allerdings... Ich habe die erste Version von vundofix nach meinen ersten Bemühungen gelöscht. Komplett. Mit entleertem Mülleimer.

Allerdings wird Vundofix nicht mehr fündig - kein vundo, und keiner seiner kleinen Kumpel. Das ist was gutes, oder?

Lade Dir die Software Avenger,

-Input script manually (anhaken)
-die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\acbay.ini
C:\WINDOWS\system32\acbay.bak2
C:\WINDOWS\system32\acbay.bak1
         

- Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

Dann poste das Avenger Logfile.

Bata

Avenger ausgeführt. Ich habe allerdings eine Frage: Die zur Löschung im Script von mir angegebenen Daten ließen sich zuvor nicht per Windows-Suchoption auffinden. Tut das was zur Sache?

Hier nun die Logfile:



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xyfwimbw

*******************

Script file located at: \??\C:\WINDOWS\fceonvsy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\acbay.ini deleted successfully.
File C:\WINDOWS\system32\acbay.bak2 deleted successfully.
File C:\WINDOWS\system32\acbay.bak1 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Vielleicht hast Du beim Suchen was falsch gemacht?

Das vundofix die allerdings nicht gefunden hat wundert mich. Das sind Rest des Vundo.
Daher führe bitte noch einen Scan mit IceSword durch, gehe wie dort beschrieben vor und poste ein Log der Kernel Module.
Die SSDTs auch mal durchsehen ob da welche Rot gekennzeichnt sind.

Bata

Möglich. Allerdings lässt sich, denke ich, nicht viel falsch machen, wenn man "acbay" in das Suchfeld eintippt und "Suchen" anklickt. Hat mich bloß verwundert; ich fragte mich, ob Windows Wege hat und verwendet, bestimmte Dateien vom Suchlauf auszuschließen.


IceSword Lofgile:

Kernel Module:

\WINDOWS\system32\ntoskrnl.exe
\WINDOWS\system32\hal.dll
\WINDOWS\system32\KDCOM.DLL
\WINDOWS\system32\BOOTVID.dll
ACPI.sys
\WINDOWS\System32\DRIVERS\WMILIB.SYS
pci.sys
isapnp.sys
ohci1394.sys
\WINDOWS\System32\DRIVERS\1394BUS.SYS
compbatt.sys
\WINDOWS\System32\DRIVERS\BATTC.SYS
pciide.sys
\WINDOWS\System32\DRIVERS\PCIIDEX.SYS
intelide.sys
pcmcia.sys
MountMgr.sys
ftdisk.sys
ACPIEC.sys
\WINDOWS\System32\DRIVERS\OPRGHDLR.SYS
PartMgr.sys
VolSnap.sys
atapi.sys
disk.sys
\WINDOWS\System32\DRIVERS\CLASSPNP.SYS
fltmgr.sys
sr.sys
Fastfat.sys
KSecDD.sys
NDIS.sys
srescan.sys
Mup.sys
agp440.sys
\SystemRoot\System32\DRIVERS\intelppm.sys
\SystemRoot\System32\DRIVERS\ati2mtag.sys
\SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
\SystemRoot\System32\DRIVERS\usbuhci.sys
\SystemRoot\System32\DRIVERS\USBPORT.SYS
\SystemRoot\System32\DRIVERS\usbehci.sys
\SystemRoot\System32\DRIVERS\bcm4sbxp.sys
\SystemRoot\System32\DRIVERS\w22n51.sys
\SystemRoot\System32\DRIVERS\nic1394.sys
\SystemRoot\system32\drivers\tifm21.sys
\SystemRoot\System32\DRIVERS\i8042prt.sys
\SystemRoot\System32\Drivers\DKbFltr.sys
\SystemRoot\System32\DRIVERS\kbdclass.sys
\SystemRoot\System32\DRIVERS\SynTP.sys
\SystemRoot\System32\DRIVERS\USBD.SYS
\SystemRoot\System32\DRIVERS\mouclass.sys
\SystemRoot\System32\DRIVERS\nscirda.sys
\SystemRoot\System32\DRIVERS\irenum.sys
\SystemRoot\System32\DRIVERS\SMBHC.sys
\SystemRoot\System32\DRIVERS\SMBCLASS.SYS
\SystemRoot\System32\DRIVERS\imapi.sys
\SystemRoot\System32\DRIVERS\cdrom.sys
\SystemRoot\System32\DRIVERS\redbook.sys
\SystemRoot\System32\DRIVERS\ks.sys
\SystemRoot\System32\Drivers\incdrm.SYS
\SystemRoot\System32\DRIVERS\InCDPass.sys
\SystemRoot\System32\DRIVERS\NTIDrvr.sys
\SystemRoot\system32\drivers\camchal.sys
\SystemRoot\system32\drivers\camcaud.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\System32\DRIVERS\HSFHWICH.sys
\SystemRoot\System32\DRIVERS\HSF_DP.sys
\SystemRoot\System32\DRIVERS\HSF_CNXT.sys
\SystemRoot\System32\Drivers\Modem.SYS
\SystemRoot\System32\DRIVERS\usb2mpa.sys
\SystemRoot\System32\DRIVERS\KMONAPI.SYS
\SystemRoot\System32\DRIVERS\audstub.sys
\SystemRoot\System32\Drivers\RootMdm.sys
\SystemRoot\System32\DRIVERS\rasirda.sys
\SystemRoot\System32\DRIVERS\TDI.SYS
\SystemRoot\System32\DRIVERS\rasl2tp.sys
\SystemRoot\System32\DRIVERS\ndistapi.sys
\SystemRoot\System32\DRIVERS\ndiswan.sys
\SystemRoot\System32\DRIVERS\raspppoe.sys
\SystemRoot\System32\DRIVERS\raspptp.sys
\SystemRoot\System32\DRIVERS\psched.sys
\SystemRoot\System32\DRIVERS\msgpc.sys
\SystemRoot\System32\DRIVERS\ptilink.sys
\SystemRoot\System32\DRIVERS\raspti.sys
\SystemRoot\System32\DRIVERS\vmdmc.sys
\SystemRoot\System32\DRIVERS\termdd.sys
\SystemRoot\System32\DRIVERS\swenum.sys
\SystemRoot\System32\DRIVERS\update.sys
\SystemRoot\System32\DRIVERS\mssmbios.sys
\SystemRoot\System32\DRIVERS\SMBBATT.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\System32\DRIVERS\usbhub.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\Drivers\mnmdd.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\System32\Drivers\InCDrec.SYS
\SystemRoot\System32\Drivers\InCDfs.SYS
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\System32\DRIVERS\rasacd.sys
\SystemRoot\System32\DRIVERS\ipsec.sys
\SystemRoot\System32\DRIVERS\tcpip.sys
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\System32\vsdatant.sys
\SystemRoot\System32\drivers\afd.sys
\SystemRoot\System32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\ssmdrv.sys
\SystemRoot\System32\DRIVERS\rdbss.sys
\SystemRoot\System32\DRIVERS\mrxsmb.sys
\SystemRoot\System32\Drivers\Fips.SYS
\SystemRoot\System32\DRIVERS\ipnat.sys
\SystemRoot\System32\DRIVERS\wanarp.sys
\SystemRoot\System32\DRIVERS\arp1394.sys
\SystemRoot\system32\DRIVERS\avipbb.sys
\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
\SystemRoot\System32\DRIVERS\colusb.sys
\SystemRoot\System32\Drivers\Cdfs.SYS
\SystemRoot\System32\DRIVERS\usbprint.sys
\SystemRoot\System32\DRIVERS\hidusb.sys
\SystemRoot\System32\DRIVERS\HIDCLASS.SYS
\SystemRoot\System32\DRIVERS\HIDPARSE.SYS
\SystemRoot\System32\DRIVERS\mouhid.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\dump_WMILIB.SYS
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\watchdog.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\drivers\dxgthk.sys
\SystemRoot\System32\ati2dvag.dll
\SystemRoot\System32\ati2cqag.dll
\SystemRoot\System32\ati3duag.dll
\SystemRoot\System32\ativvaxx.dll
\SystemRoot\System32\DRIVERS\irda.sys
\SystemRoot\System32\DRIVERS\ndiscapi.sys
\SystemRoot\System32\DRIVERS\ndisuio.sys
\SystemRoot\System32\DRIVERS\capi.sys
\SystemRoot\System32\DRIVERS\mrxdav.sys
\SystemRoot\system32\drivers\wdmaud.sys
\SystemRoot\system32\drivers\sysaudio.sys
\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
\SystemRoot\System32\DRIVERS\mdmxsdk.sys
\SystemRoot\System32\DRIVERS\srv.sys
\SystemRoot\System32\Drivers\HTTP.sys
\SystemRoot\system32\drivers\kmixer.sys
\SystemRoot\System32\Drivers\IsDrv120.sys
\WINDOWS\System32\ntdll.dll
C:\WINDOWS\system32\ZoneLabs\srescan.sys


Unter SSDT sing gut zwanzig Einträge rot gekennzeichnet, alle mit derselben Bezeichnung in der Sparte KModule:
\SystemRoot\System32\vsdatant.sys

Die Datei

c:\windows\System32\Drivers\IsDrv120.sys

bei VirusTotal - Free Online Virus and Malware Scan auswerten lassen, kopiere den Datepfad in das Feld und klicke Senden an.

Bata

Hm. Diese Datei kann ich nicht finden. Nicht unter dem angegebenen Pfad, und auch nicht über die Suchfunktion - dank Copy&Paste sind Tippfehler ausgeschlossen. Ich sehe ja selbst, dass die Logfile diese Datei aufführt, aber ich kann sie auch dann nicht finden, wenn ich den PC per Hand durchflöhe.

Lade Dir OTMoveIt öffne es, füge
c:\windows\System32\Drivers\IsDrv120.sys
in den linken Fensterteil ein, dann klicke auf "MoveIt", die Datei liegt jetzt im Ordner C:\OTMoveit!. Von dort die Datei dann scannen lassen.

Bata

Code: Alles auswählenAufklappen

ATTFilter

File/Folder c:\windows\System32\Drivers\IsDrv120.sys not found.
 
Created on 08.16.2007 15:55:53
         

Hm. Ich bin Deiner Anweisung wortgetreu gefolgt.

Ok, dann versuchen wir es anders, erstelle einen eScan, Dauer je nach Festplattengröße und Dateianzahl 2-3 Stunden.
Poste dann das Log hier und bekomme keinen Schreck ob der vielen Einträge die dort erscheinen können.

Bata

On my way. Das kann dank der ISDN Verbindung allerdings eine Weile dauern.

Ich kam gestern leider nicht mehr dazu. Verblüffung beim scannen: Ein anderer Kumpan tauchte auf - zlob. Die Logfile ist über 4 Millionen Zeichen lang. Das wird wieder viel Stückwerk. Ist die gesamte Logfile notwendig?

Nachtrag: Ich Schaf. Ich Rindvieh. find.bat. Natürlich.


Also, hier die Logfile:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.7
Sprache: German
C:\DOKUME~1\***\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\install.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 66054
Gefundene Viren: 1
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 87
Dauer des Scans bisher: 00:40:31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:48:02,33
Batchende: 13:48:08,40

Hi,
Bata scheint nicht da zu sein, also bin ich mal so frech und übernehme das hier.
(nein ich habe keine Langeweile )

Also die Datei install.dat dürfte ein Fehlalarm von eScan sein. Sicherheitshalber kannst du ja nochmal die angemoserte Datei bei www.virustotal.com auswerten lassen, ich erwarte allerdings keinen Schädlingsbefund.

lg myrtille

Danke für deine Frechheit, myrtille.

Langsam allerdings macht mich die Weigerund dieses PCs, mit den Protokollen der Suchläufe übereinzustimmen, wahnsinnig. Unter dem angegebenen Pfad kann ich keine Install.dat finden, die Windows-Suchfunktion finden überhaupt keine install.dat auf der Festplatte, und MoveIt erzeugt eine 0 kb Datei, mit der virustotal nichts anfangen kann. Wie ist so etwas möglich?

Der Name zlob allerdings lässt bei mir ein paar Glöckchen klingeln. Ich glaube, der wurde auch von AVG gemeldet und entfernt. Auf anraten Batas habe ich jenes Programm allerdings bereits deinstalliert.