| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: sysrestore.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.06.2008, 12:52
| #16 |
 |  sysrestore.dll Kommando zurück. Soeben erschien folgende Meldung: Virus gefunden in C:\windows\System32\bassmod.dll Malware-Name: Win32:Trojan-gen :-( |
|
26.06.2008, 13:29
| #17 | |
  | sysrestore.dll Dann müssen wir mal tiefer Graben. Die gemeldete Datei bei Virustotal hochladen und scannen lassen.
__________________Wenn du sie nicht findest kannst du ja Zitat:
Der Scan kann etwas dauern. Trage das Ergebnis komplett hier ein. Danach verwende mal Malwarebytes und berichte. So ich mache jetzt erst mal Schluss. Bin dann morgen Früh wieder da. Geändert von blow-in (26.06.2008 um 13:41 Uhr) |
|
26.06.2008, 13:49
| #18 |
| | sysrestore.dll Hallo blow-in,
__________________AVAST hat die Datei BASSMOD.DLL in den Ordner C:\Programme\Alwil Software\Avast4\Data\moved verschoben. Der Scan dieser Datei ergab: 0 bytes size received / Se ha recibido un archivo vacio Der Windows Explorer zeigt eine Dateigröße von 15 kb an. Die Insatallation von Malwarebytes scheiterte mit dieser Fehlermeldung: C:\Programme\Malwarebyts' Antimalware\mbamext.dll DLL/OCX konnte nicht registriert werden: RegServ32-Aufruf scheiterte mit Exit-Code 0x5  |
|
30.06.2008, 08:27
| #19 |
| | sysrestore.dll Hallo blow-in, wie geht es jetzt weiter? Liebe Grüße TieU |
|
30.06.2008, 14:25
| #21 |
| | sysrestore.dll Hallo blow-in, ja, die Datei "BASSMOD.dll" ist im Ordner C:\Programme\Alwil Software\Avast4\DATA\moved sichtbar. Ich habe sie gem. Anleitung auf den Server geladen. Schon herzlichen Dank für deine Hilfe. Liebe Grüße TieU |
|
02.07.2008, 15:03
| #22 |
| | sysrestore.dll Hallo blow-in, hier die aktuelle Log-Datei von HiJackThis Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:52:22, on 02.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\SentinelSuperProServer\spnsrvnt.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\cidaemon.exe C:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2&DI=108&XAPID=4210??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail&vv=400&lc=1031 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O15 - Trusted Zone: http://www.bdsm-aktuell.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - http://utilities.pcpitstop.com/optimize2/pcpitstop2.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{99C55F99-9FA7-4EFE-9EA1-EC836F566EB6}: NameServer = 213.191.74.19,213.191.74.18 O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe -- End of file - 7447 bytes |
|
03.07.2008, 07:49
| #23 |
| | sysrestore.dll Hallo TieU Wie ich erkennen kann, hast du SUPERAntiSpyware schon drauf. Hast du damit schon einen Scan gemacht? Zeige uns das Log. In deinem HJT-Log kann ich nichts mehr erkennen. |
|
03.07.2008, 10:43
| #24 |
| | sysrestore.dll Hallo blow-in, hier das Log von SUPERAntiSpyware: Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 07/03/2008 at 10:56 AM
Application Version : 4.15.1000
Core Rules Database Version : 3496
Trace Rules Database Version: 1487
Scan type : Complete Scan
Total Scan Time : 00:55:45
Memory items scanned : 548
Memory threats detected : 0
Registry items scanned : 6618
Registry threats detected : 0
File items scanned : 24042
File threats detected : 4
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@euros4click[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@partners.webmasterplan[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@komtrack[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@de.sitestat[1].txt
Was mir Sorgen macht sind die Logs von Avast: Code:
ATTFilter 02.07.2008 13:07:52 3640 Sign of "Win32:Agent-YJY [Trj]" has been found in "C:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP622\A0074084.exe" file.
02.07.2008 12:58:39 3640 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP613\A0073488.dll" file.
02.07.2008 11:36:53 3640 Sign of "Win32:Agent-YJY [Trj]" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\Patch.exe.vir" file.
02.07.2008 11:36:36 3640 Sign of "Other:Malware-gen" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\402a7b1e-21201f4c.vir" file.
02.07.2008 11:34:26 3640 Sign of "Win32:Agent-YJY [Trj]" has been found in "C:\Programme\ACD Systems\ACDSee\8.0\Patch.exe" file.
02.07.2008 11:25:06 3640 Sign of "Other:Malware-gen" has been found in "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\402a7b1e-21201f4c" file.
01.07.2008 22:09:15 1308 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\SYSTEM VOLUME INFORMATION\_RESTORE{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP613\A0073488.DLL" file.
26.06.2008 14:36:49 1280 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\BASSMOD.dll" file.
26.06.2008 13:45:49 1280 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\BASSMOD.dll" file.
23.06.2008 12:34:06 1344 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\SysRestore.dll" file
Code:
ATTFilter -------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 1. Juli 2008 21:01:01
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 1/07/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 901910
-------------------------------------------------------------------------------
Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja
Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 78137
Viren gefunden: 5
Infizierte Objekte gefunden: 12
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:44:25
Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-02282007-091803.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search.zip/plugin.dll Infizierte Objekte: Trojan-Clicker.Win32.Small.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search14.zip/plugin.dll_tobedeleted Infizierte Objekte: Trojan-Clicker.Win32.Small.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search14.zip/uninstall.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.iz übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search14.zip ZIP: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search16.zip/plugin.dll_tobedeleted Infizierte Objekte: Trojan-Clicker.Win32.Small.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search16.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c/TakePrivileges.class Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.ak übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c/SuperMSClassLoader.class Infizierte Objekte: Trojan.Java.ClassLoader.aq übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c/Installer.class Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.ak übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c ZIP: infiziert - 3 übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\402a7b1e-21201f4c Infizierte Objekte: Exploit.Java.Gimsh.a übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{69DD543D-0611-4DEA-A6F0-039F36132066} Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\Avast4.db Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\integ\avast.int Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\selfdef.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt Das Objekt ist gesperrt übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\master.mdf Das Objekt ist gesperrt übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\mastlog.ldf Das Objekt ist gesperrt übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\model.mdf Das Objekt ist gesperrt übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\modellog.ldf Das Objekt ist gesperrt übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\tempdb.mdf Das Objekt ist gesperrt übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\templog.ldf Das Objekt ist gesperrt übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\LOG\ERRORLOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\00000002.ps1 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\00000002.ps2 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\00010017.ci Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\cicat.fid Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\cicat.hsh Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiCL0001.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiP10000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiP20000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiPT0000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiSL0001.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiSP0000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiST0000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiVP0000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\INDEX.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\propstor.bk1 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\propstor.bk2 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP620\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_51c.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_628.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\spnserv.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP620\change.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.
Danke für Deine weitere Hilfe Liebe Grüße TieU |
|
04.07.2008, 07:58
| #25 |
| | sysrestore.dll Hallo TieU Deaktiviere als erstes deine Systemwiederherstellung und starte den Rechner neu. Lösche den Quarantäneordner von Avast. Papierkorb leeren. CCleaner instalieren und nach Anleitung ausführen. Die Registry mehrmals Fehler beheben lassen, bis keine mehr gemeldet werden. Dann mache noch ein neues HijackThis Log und poste es. |
|
04.07.2008, 09:02
| #26 |
| | sysrestore.dll Hallo blow-in, die Deaktivierung der Systemwiederherstellung ging problemlos, ebenso wie das Leeren des Papierkorbs. Der Inhalt der Quarantäneordners von Avast lies sich nicht mit dem Windows-Explorer löschen, sondern funktionierte nur über die Löschfunktion von Avast. CCleaner lief mehrfach, incl. Registrysäuberung - Fehler stellt CCleaner nicht mehr fest. Bevor ich HijackThis laufen lies guckte ich nochmals in den Quarantäneordner von Avast und fand in der dortigen index.xml diesen Inhalt. Code:
ATTFilter <?xml version="1.0" encoding="UTF-8" ?>
- <aswObject>
<NewId>00000010</NewId>
<Size>1090872</Size>
- <ChestEntry>
<ChestId>0000000D</ChestId>
<FileTime>1208139733</FileTime>
<OrigFileName>kernel32.dll</OrigFileName>
<OrigFolder>C:\WINDOWS\system32</OrigFolder>
<Comment />
<Category>System</Category>
<TransferTime>1215157437</TransferTime>
<FileSize>1063424</FileSize>
</ChestEntry>
- <ChestEntry>
<ChestId>0000000E</ChestId>
<FileTime>1030622400</FileTime>
<OrigFileName>winsock.dll</OrigFileName>
<OrigFolder>C:\WINDOWS\system32</OrigFolder>
<Comment />
<Category>System</Category>
<TransferTime>1215157437</TransferTime>
<FileSize>2864</FileSize>
</ChestEntry>
- <ChestEntry>
<ChestId>0000000F</ChestId>
<FileTime>1208139752</FileTime>
<OrigFileName>wsock32.dll</OrigFileName>
<OrigFolder>C:\WINDOWS\system32</OrigFolder>
<Comment />
<Category>System</Category>
<TransferTime>1215157437</TransferTime>
<FileSize>24576</FileSize>
</ChestEntry>
</aswObject
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:49:06, on 04.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\SentinelSuperProServer\spnsrvnt.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2&DI=108&XAPID=4210??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail&vv=400&lc=1031 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O15 - Trusted Zone: http://www.bdsm-aktuell.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - h**p://www.pcpitstop.com/pcpitstop/PCPitStop.CAB O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - h**p://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - h**p://utilities.pcpitstop.com/optimize2/pcpitstop2.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{64910133-4AD9-4A10-8F13-8DCB1EA89E01}: NameServer = 62.109.123.197 213.191.74.19 O17 - HKLM\System\CCS\Services\Tcpip\..\{99C55F99-9FA7-4EFE-9EA1-EC836F566EB6}: NameServer = 213.191.74.19,213.191.74.18 O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe -- End of file - 7666 bytes Liebe Grüße TieU |
|
04.07.2008, 09:50
| #27 |
| | sysrestore.dll Hallo TieU Führe mit HijackThis eine <To a Systemscan only> durch und Fixe diesen Eintrag O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) Haken vor dieser Zeile und dann auf Fix checked. Wie verhält sich denn dein Rechner jetzt? Du kannst ja noch mal den Scan mit Malwahrebytes verssuchen. Geändert von blow-in (04.07.2008 um 10:15 Uhr) |
|
04.07.2008, 12:17
| #28 |
| | sysrestore.dll Hallo blow-in, den Eintrag habe ich gefixt. Insgesamt scheint sich der Rechner (wieder) normal zu verhalten, die vormals beobachtete CPU-Auslastung von 100% bei Untätigkeit ist zurückgegangen auf das Normalmaß, 3-5%. Die Installation von Malwarebytes stoppte mit der Fehlermeldung: C:\Programme\Malwarebyts' Antimalware\mbamext.dll DLL/OCX konnte nicht registriert werden: RegServ32-Aufruf scheiterte mit Exit-Code 0x5 Konnte jedoch mit "Ignorieren" übergangen/fortgesetzt werden. Ein Scan lieferte keine Infektionsergebnisse. Liebe Grüße TieU |
|
04.07.2008, 13:23
| #30 |
| | sysrestore.dll Hallo blow-in, der Scan mit mbr.exe öffnete kurz ein DOS-Fenster, welches sich sofort wieder geschlossen hat. Heilung trotz der Meldungen von Kaspersky Online und dem Inhalt der index.xml aus dem Quarantäneordner von avast? Das wäre ja Klasse! Also Systemwiederherstellung wieder aktiveren und alles ist wieder in Butter? Liebe Grüße TieU |
|
| Themen zu sysrestore.dll |
| avast, avast!, container, datei, fehlende, forum, gefunde, maßnahme, melde, vorschlag, win, win32, win32:rootkit-gen, winxp |
Linear-Darstellung
