| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Firefxox stürzt abWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
21.08.2008, 12:04
| #1 |
 |  Firefxox stürzt ab Hallo Folgendes ist mein Problem. Mein Antivir hat mir vor einigen Wochen zwei Funde angezeigt. Die Datei 'C:\System Volume Information\_restore{8DFBE6CF-40D9-4FE3-A620-FC39C1C22F9A}\RP192\A0023492.bat' enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.CKF' [trojan] Die Datei 'C:\System Volume Information\_restore{8DFBE6CF-40D9-4FE3-A620-FC39C1C22F9A}\RP179\A0022108.EXE' enthielt einen Virus oder unerwünschtes Programm 'BDS/Small.ejf' [backdoor]. Antivir hat zwar angezeigt, dass beide gelöscht wurden, bei erneuten Systemprüfungen wurden jedoch immer wieder zwei nicht löschbare Dateien gefunden. Seit kurzem stürzt Firefox öfters ab, worauf Fehlermeldungen angezeigt werden wie: - Nicht genügend virtueler Speicher. Die Auslagerungsdatei wird vergrößert. Speicheranforderungen können während dieses Vorgangs abgelehnt werden. - Die Ausnahme "unknown software exception" (0xc00000fd) ist in der Anwendung an der Stelle 0x01fe7295 aufgetreten. - explorer.exe Fehler Anwendung konnte nicht richtig initialisiert werde (0x000012d) Ich würde mich freuen, wenn mir jemand Anweisungen für weitere Schritte geben könnte oder sagen kann, ob diese Meldungen normal oder ungewöhnlich sind. Ich kann das nicht so ganz einschätzen. Mein Hijacklog: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:46:12, on 21.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\ATK0100\HControl.exe C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ASUS\ASUS Live Update\ALU.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe C:\Programme\ASUS\Splendid\ACMON.exe C:\Programme\ASUS\PowerForPhone\PowerForPhone.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Program Files\ASUS\WLAN Card Utilities\Center.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ACEngSvr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ASUS\Net4Switch\Net4Switch.exe C:\Programme\ASUS\Asus MultiFrame\MultiFrame.exe C:\Programme\ASUS\Asus ChkMail\ChkMail.exe c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\OpenOffice.org 2.1\program\soffice.exe C:\Programme\OpenOffice.org 2.1\program\soffice.BIN C:\WINDOWS\ATK0100\ATKOSD.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx/net.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe O4 - HKLM\..\Run: [PowerForPhone] C:\Programme\ASUS\PowerForPhone\PowerForPhone.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Net4Switch] C:\Programme\ASUS\Net4Switch\Net4Switch.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe O4 - Global Startup: MultiFrame.lnk = ? O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\ASUS\Asus ChkMail\ChkMail.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe -- End of file - 8272 bytes |
|
21.08.2008, 13:23
| #2 | |
  | Firefxox stürzt ab Hi,
__________________wenn da was läuft, dann ist es gut versteckt... Malwarebytes Antimalware. Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/. Poste das Log.... ???Hattest Du Rootkitrevealer am laufen? (das sysprep.cmd)??? Rootkitscan: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Und für den BootBlock: MBR-Rootkit Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
Poste Alle Logs im Thread; chris
__________________ |
|
22.08.2008, 10:10
| #3 |
| | Firefxox stürzt ab Hallo und vielen Dank für die Hilfe,
__________________Ich hatte Maleware Bites schon auf meinem Rechner, vielleicht ist das sysprep.cmd Hier ist der Scan: Malwarebytes' Anti-Malware 1.08 Datenbank Version: 506 Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 80738 Scan Dauer: 30 minute(s), 22 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) Das hier sind die beiden Dateien, die Antivir als verdächtig anzeigt: C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Kanst du bitte nochmal erklären, wie ich das MBR starte. Es liegt jetzt auf meinem Desktop. Ich verstehe nicht, wo ich mbr eingeben muss. Bei start,ausführen, cmd kommt ein windows/system32/cmd.exe fenster in dem ich nicht viel machen kann. Danke Wald |
|
22.08.2008, 10:18
| #4 | |
| | Firefxox stürzt ab Hi, verschiebe die Datei in ein Verzeichnis (z. B. C:\temp). Innerhalb des comandwindows wechselst Du dann das Verzeichnis über cd \temp (cd=change directory) dann einfach mbr eingeben... (jeden angegebenen Befehl per Enter-Taste freigeben (oder auch Retunr, Datenfreigabe etc. genannt)... Poste dann die Ausgabe bzw. ob die Ausgabe der Erwartung entsprach: Zitat:
chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
22.08.2008, 19:50
| #5 |
| | Firefxox stürzt ab hallo, ok die Ausgabe im meinem Fenster stimmt mit der hier überein. Wie führe ich den scan durch? Mit doppelklick auf mbr.exe geschieht nichts, auch nicht mit rechtsklick<ausführen, muss ich irgendetwas anderes machen? |
|
22.08.2008, 21:56
| #6 |
| | Firefxox stürzt ab Hi, wenn das da steht: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK dann ist der scann bereits erfolgreich durchgeführt worden und es wurde kein MBR-Virus gefunden... chris
__________________ --> Firefxox stürzt ab |
|
23.08.2008, 15:47
| #7 |
| | Firefxox stürzt ab Ok, danke. Kann es irgendeinen anderen Grund für die beiden Dateien geben, die sich weder öffnen noch löschen lassen? Vielen Dank für die Hilfe, Wald |
|
25.08.2008, 12:11
| #8 |
| | Firefxox stürzt ab Hi, welche Dateien meinst Du: C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Das sind Systemdateien (und damit vom System gesperrt bzw. in Benutzung), Pagefile ist das Swapfile (ausgelagerter Speicher) und hiberfil.sys ist für den Hibernate (Ruhezustand) ... Oder meinst Du diese: Die Datei 'C:\System Volume Information\_restore{8DFBE6CF-40D9-4FE3-A620-FC39C1C22F9A}\RP192\A0023492.bat' enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.CKF' [trojan] Die Datei 'C:\System Volume Information\_restore{8DFBE6CF-40D9-4FE3-A620-FC39C1C22F9A}\RP179\A0022108.EXE' enthielt einen Virus oder unerwünschtes Programm 'BDS/Small.ejf' [backdoor]. Die Dateien sind in der Systemwiederherstellung und müssen am Schluß bereinigt werden (keine akute Gefahr, allerdings wenn Du eine Systemwiederherstellung machst, dann sind die "Viecher" wieder lebendig ;o) Da die Systemüberprüfung einige Tage her ist, bitte MAM updaten und nochmal die gesamte Festplatte prüfen lassen, dann folgendes: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird chris chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Firefxox stürzt ab |
| add-on, adobe, antivir, asus, avira, backdoor, bho, control center, download, firefox, hijackthis, hkus\s-1-5-18, hotkey, immer wieder, internet, internet explorer, microsoft, programm, programme, software, stürzt ab, symantec, system, system volume information, toolbars, trojan, virus, windows, windows xp, wlan |
Linear-Darstellung
