|
Log-Analyse und Auswertung: Trojaner mit schickem DesktophintergrundWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.08.2008, 13:58 | #1 |
| Trojaner mit schickem Desktophintergrund Einen schönen guten Morgen wünsche ich. Ich habe seit gestern Abend (oder war es schon heute morgen? naja, egal) ein kleines Problem mit einem Trojaner, der wohl meint, dass mein Desktophintergrund nicht schön genug sei, und der mir deshalb eine schöne Meldung als Desktophintergrundanzeigt, von wegen mein Computer sei mit Spyware infiziert. Ich denke, es handelt sich um den gleichen Kandidaten, den sich auch der Herr in DIESEM thread hier im Forum zugelegt hat. Nunja, wie dem auch sei, ich war natürlich anderer Meinung als der Trojaner und fand meinen alten Hintergrund durchaus ansprechend, weswegen ich zunächst einmal versucht habe, den Kollegen mit Hilfe von SUPERAntispyware (Free Edition) zu entfernen. Das Programm hat auch prompt etwas gefunden: Code:
ATTFilter SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 08/25/2008 at 11:49 AM Application Version : 4.0.1154 Core Rules Database Version : 3463 Trace Rules Database Version: 1454 Scan type : Complete Scan Total Scan Time : 00:03:47 Memory items scanned : 557 Memory threats detected : 1 Registry items scanned : 6743 Registry threats detected : 1 File items scanned : 501 File threats detected : 1 Trojan.Dropper/SVCHost-Fake C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE [SVCHOST.EXE] C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE Auch das Updaten von SUPERAntiSpyware funktioniert seitdem nicht (angeblich wird es von meiner Firewall (die XP-Standard-Firewall) blockiert, obwohl ich den Zugriff natürlich freigegeben habe). Klar, dass mir das gegen den Strich geht. Deshalb habe ich jetzt einmal ein HJT-Log mitgebracht, und ich würde mich freuen, wenn das mal jemand anschauen und auswerten könnte, um mir bei meinem Problem zu helfen. Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 14:48:44, on 25.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\WINDOWS\Dit.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Virtual CD v9\System\VC9Play.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Trillian\trillian.exe C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe C:\Programme\Virtual CD v9\System\VC9Tray.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Virtual CD v9\System\VC9SecS.exe C:\Programme\Windows Media Player\WMPNetwk.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\alg.exe C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe C:\Programme\Opera\Opera.exe C:\Dokumente und Einstellungen\***\Desktop\Programme\HijackThis.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\WINDOWS\system32\notepad.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe, O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [VC9Player] C:\Programme\Virtual CD v9\System\VC9Play.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - Startup: Index.cmd O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de/ O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102259683185 O17 - HKLM\System\CCS\Services\Tcpip\..\{453F0208-2439-4F71-ACFC-078A2C35DDD2}: NameServer = 62.109.123.7 213.191.92.86 O18 - Protocol: haufereader - (no CLSID) - (no file) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Programme\Virtual CD v9\System\VC9SecS.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Code:
ATTFilter --------[ EVEREST Home Edition (c) 2003, 2004 Lavalys, Inc. ]----------------------------------------------------------- Version EVEREST v1.51.195/de Homepage http://www.lavalys.com/ Berichtsart Berichts-Assistent Computer ****** Ersteller ***** Betriebssystem Microsoft Windows XP Home Edition 5.1.2600 (WinXP Retail) Datum 2008-08-25 Zeit 14:52 --------[ Übersicht ]--------------------------------------------------------------------------------------------------- Computer: Betriebssystem Microsoft Windows XP Home Edition OS Service Pack Service Pack 2 Internet Explorer 6.0.2900.2180 (IE 6.0 SP2) DirectX 4.09.00.0904 (DirectX 9.0c) Computername ZOSELPC (BASTIPC) Benutzername Basti Motherboard: CPU Typ Intel Pentium 4E, 3400 MHz (17 x 200) Motherboard Name Unbekannt Motherboard Chipsatz Intel Grantsdale i915P Arbeitsspeicher 1024 MB (DDR SDRAM) BIOS Typ Award (11/25/04) Anschlüsse (COM und LPT) Kommunikationsanschluss (COM1) Anschlüsse (COM und LPT) ECP-Druckeranschluss (LPT1) Anzeige: Grafikkarte NVIDIA GeForce 7950 GX2 (512 MB) Grafikkarte NVIDIA GeForce 7950 GX2 (512 MB) Monitor Plug und Play-Monitor [NoDB] (160254407) Multimedia: Soundkarte Intel 82801FB ICH6 - High Definition Audio Controller [B-1] Datenträger: IDE Controller Intel(R) 82801FB Ultra ATA Storage Controllers - 2652 IDE Controller Intel(R) 82801FB/FBM Ultra ATA Storage Controllers - 266F SCSI/RAID Controller H+H Virtual CD 9 SCSI Controller SCSI/RAID Controller SCSI/RAID Host Controller Festplatte WDC WD2500JD-00HBC0 (232 GB, IDE) Festplatte HP Photosmart 2575 USB Device Festplatte Generic CF Card CF USB Device Festplatte Generic MS Card MS USB Device Festplatte Generic SD Card MMC/SD USB Device Festplatte Generic SM/XD Card SM USB Device Optisches Laufwerk IDE DVD-ROM 16X (16x DVD-ROM) Optisches Laufwerk PIONEER DVD RW DVR-108 (DVD+R9:4x, DVD+RW:16x/4x, DVD-RW:16x/4x, DVD-ROM:16x, CD:32x/24x/40x DVD+RW/DVD-RW) Optisches Laufwerk QK7821G OEF412A SCSI CdRom Device Optisches Laufwerk VXDV DVD-RAM DVDR S95 SCSI CdRom Device Optisches Laufwerk VXDV DVD-ROM DVDR S90 SCSI CdRom Device Optisches Laufwerk VXDV DVD-ROM DVDR S90 SCSI CdRom Device S.M.A.R.T. Festplatten-Status Unbekannt Partitionen: C: (NTFS) 120001 MB (10356 MB frei) D: (NTFS) 114470 MB (3865 MB frei) E: (FAT32) 3992 MB (1304 MB frei) Eingabegeräte: Tastatur Standardtastatur (101/102 Tasten) oder Microsoft Natural Keyboard (PS/2) Maus HID-konforme Maus Netzwerk: Netzwerkkarte Hamachi Network Interface (5.221.176.223) Netzwerkkarte VIA Rhine III Fast Ethernet Adapter (169.254.175.134) Netzwerkkarte WAN (PPP/SLIP) Interface (85.176.167.203) Modem Creatix V.92 Data Fax Modem Peripheriegeräte: Drucker Fax Drucker HP Photosmart 2570 series Drucker HP remote printers Drucker Microsoft Office Document Image Writer Drucker Microsoft XPS Document Writer Drucker PDFCreator USB1 Controller Intel 82801FB ICH6 - USB Universal Host Controller [B-1] USB1 Controller Intel 82801FB ICH6 - USB Universal Host Controller [B-1] USB1 Controller Intel 82801FB ICH6 - USB Universal Host Controller [B-1] USB1 Controller Intel 82801FB ICH6 - USB Universal Host Controller [B-1] USB2 Controller Intel 82801FB ICH6 - Enhanced USB2 Controller [B-1] USB-Geräte HP Photosmart 2570 USB-Geräte Photosmart 2570 series (DOT4USB) USB-Geräte USB-Druckerunterstützung USB-Geräte USB-HID (Human Interface Device) USB-Geräte USB-Massenspeichergerät USB-Geräte USB-Massenspeichergerät USB-Geräte USB-Verbundgerät Probleme und Hinweise: Problem Auf Laufwerk C: ist nur noch 9% Speicher frei. Problem Auf Laufwerk D: ist nur noch 3% Speicher frei. |
25.08.2008, 14:57 | #2 | |
/// AVZ-Toolkit Guru | Trojaner mit schickem Desktophintergrund Halli hallo Gambit
__________________Zuerst mal ein riesen Lob an diesen vorbildlichen Post! Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab: Fixe mit HJT folgenden Eintrag: Zitat:
Solltest du sie finden lade sie auf VT und poste das Ergebnis.
Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden. Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen! ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Räume danach bitte mit CCleaner auf (Punkt 1&2) und poste danach ein AVZ log. Systemanalyse
__________________ |
25.08.2008, 16:31 | #3 |
| Trojaner mit schickem Desktophintergrund Hallo, und danke für die zügige antwort. der eintrag "index.cmd", welcher dir solche sorgen bereitet sollte eigentlich unbedenklich sein, da es lediglich eine von mir erstellte datei zum automatischen löschen von temporären datein und verlauf ist. der code ist denkbar einfach:
__________________Code:
ATTFilter RD /S /Q "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files" RD /S /Q "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf" den rest werde ich jetzt allerdings schritt für schritt durchgehen, wenn ich fertig bin komm ich wieder angetänzelt und poste es hier |
25.08.2008, 16:50 | #4 |
| Trojaner mit schickem Desktophintergrund hmm...könnte mir bitte jemand Blacklight bei einem gängigen Filehoster hochladen? Mein Trojaner möchte nicht, dass ich auf die downloadseite gehe... |
25.08.2008, 16:51 | #5 | |
/// AVZ-Toolkit Guru | Trojaner mit schickem DesktophintergrundZitat:
PS: Blacklight kommt sofort.. Hier: http://upload.trojaner-board.de/dl.php?fid=1219679547 Passwort ist: infected Falls das bei CF das Gleiche sein sollte: Combofix Passwort ist wieder infected
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Geändert von undoreal (25.08.2008 um 17:14 Uhr) |
25.08.2008, 17:13 | #6 |
| Trojaner mit schickem Desktophintergrund Blacklight hat nichts gefunden: Code:
ATTFilter 08/25/08 18:01:23 [Info]: BlackLight Engine 1.0.70 initialized 08/25/08 18:01:23 [Info]: OS: 5.1 build 2600 (Service Pack 2) 08/25/08 18:01:24 [Note]: 7019 4 08/25/08 18:01:24 [Note]: 7005 0 08/25/08 18:01:26 [Note]: 7006 0 08/25/08 18:01:26 [Note]: 7011 736 08/25/08 18:01:26 [Note]: 7035 0 08/25/08 18:01:26 [Note]: 7026 0 08/25/08 18:01:26 [Note]: 7026 0 08/25/08 18:01:30 [Note]: FSRAW library version 1.7.1024 08/25/08 18:02:18 [Note]: 2000 1012 08/25/08 18:02:18 [Note]: 2000 1012 08/25/08 18:02:18 [Note]: 2000 1012 08/25/08 18:09:48 [Note]: 7007 0 |
25.08.2008, 19:20 | #7 |
| Trojaner mit schickem Desktophintergrund So, ich habe alle programme beendet, dann habe ich cclearer durchlaufen lassen, bis keine fehler mehr in der registry waren, dann habe ich combofix gestartet, das hat den pc dann hinterher neugestartet, dann hab ich noch einmal cclearer rüberlaufen lassen und dann hab ich das AVZ Toolkit gestartet und nach den anweisungen durchlaufen lassen. Dann habe ich das log auf Rapidshare hochgeladen. Hier isses. was soll ich nun tun? |
26.08.2008, 09:21 | #8 |
| Trojaner mit schickem Desktophintergrund So, ich werd das ganze jetzt mal bumpen, außerdem gibt es wirklich was neues zu berichten, denn mittlerweile wird bei mir ab und an der Start-Bildschirm von Windows XP angezeit, der mit dem lustigen Ladebalken, gefolgt von dem mit dem schicken hellblauen Hintergrund bei der Benutzerauswahl, gefolgt von dem mit dem wunderschönen dunkelblauen Hintergrund mit weißer Schrift drauf, auch Bluescreen genannt. Dann drück ich einfach die any-key und kann normal weitermachen, aber nerven tut es schon. Zudem wird jedesmal beim Hochfahren mein Style wieder in den ekelhaft abgelutschten XP-Style geändert und es wird ein "Windows Installer" gestartet, der vergeblich versucht etwas zu installieren, was er aber nicht kann, weil er dazu angeblich die Windows-XP CD benötigt. Das Ding kenn ich noch von dem einen Mal, als ich ne komische Version von .net Framework installiert hab, da hat es auch immer solche mucken gegeben. Mitlerweile ist mein PC glaube ich so versifft, dass ich ihn spätestens Morgen Mittag erstmal platt machen werde, es sei denn, jemand kann mir bis dahin helfen den mist zu beheben. wenn nicht ist es auch nicht sooo schlimm, alle relevanten daten hab ich schon gesichert. |
26.08.2008, 09:56 | #9 |
/// AVZ-Toolkit Guru | Trojaner mit schickem Desktophintergrund Poste bitte den Combofix Bericht! der ist sehr wichtig.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
26.08.2008, 10:15 | #10 |
/// AVZ-Toolkit Guru | Trojaner mit schickem Desktophintergrund Folgende Datei mal bitte online auswerten lassen: C:\Dokumente und Einstellungen\Basti\Desktop\inspectr.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\nvtuicpl.cpl C:\Programme\Medion Software\COMMAND.COM C:\Programme\CyberLink\Shared Files\CLRCEngine.dll D:\Treiber\Cardreader USB 2.0\Software\COMMAND.COM Folgendes Skript mit AVZ ausführen (File->Custom Skript): Code:
ATTFilter begin SetAVZGuardStatus(True); SearchRootkit(true, true); TerminateProcessByName('c:\programme\bonjour\mdnsresponder.exe'); QuarantineFile('c:\programme\bonjour\mdnsresponder.exe',''); QuarantineFile('C:\Dokumente und Einstellungen\Basti\Desktop\inspectr.exe d %ld %ld',''); SetServiceStart('nv', 4); QuarantineFile('C:\WINDOWS\system32\Drivers\USBCRFT.SYS',''); QuarantineFile('C:\WINDOWS\system32\drivers\pstrip.sys',''); BC_DeleteFile('C:\WINDOWS\System32\Drivers\a9jjcqof.SYS'); BC_DeleteFile('C:\WINDOWS\system32\blphc9emj0e9bp.scr'); BC_DeleteFile('C:\WINDOWS\system32\oembios.exe'); BC_DeleteFile('C:\WINDOWS\Installer\da3e8.msi'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
26.08.2008, 11:55 | #11 |
| Trojaner mit schickem Desktophintergrund combofix erstellt bei mir leider keine log-datei... die dateien kann ich wie gesagt leider nicht überprüfen, da mir der Trojaner den zugriff auf virustotal.com verweigert. Kann ich die dateien vielleicht in einem archiv hochladen, und du überprüfst sie dann? HIER ist das Archiv. Die Datei inspectr.exe haben jedoch weder ich, noch die Suche gefunden (ja, es werden auch alle dateien angezeigt, und auch die suche erfasst versteckte dateien, trotzdem habe ich nichts gefunden...) das script werde ich dann jetzt mal ausführen. |
26.08.2008, 12:07 | #12 |
| Trojaner mit schickem Desktophintergrund also davon abgesehen, dass ich jetzt keinen grafikkartentreiber mehr habe, hat es das script auch nicht wirklich gebracht. die browser sind immer noch langsam und die seiten der antivirenhersteller sind auch immer noch verweigert. Darf ich mir jetzt erstmal nen neuen Treiber runterladen? |
26.08.2008, 12:25 | #13 | |
/// AVZ-Toolkit Guru | Trojaner mit schickem Desktophintergrund Du kannst auch folgende Datei wieder herstellen (File -> Show Quarantine Folder) dort die Datei markieren und wiederherstellen: Zitat:
Allerdings muss ich dir folgendes sagen: Die Bereinigung gestalltet sich bei dir dermaßen schwierig, auf Grund der ganzen Aktionen die der Schädling dir verbietet. Wir brauchen zum Beispiel auf jeden Fall das CF log. Evtl. solltest du lieber Neuaufsetzen dass ist wesentlich sicherer und geht garantiert schneller..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
26.08.2008, 13:01 | #14 |
| Trojaner mit schickem Desktophintergrund okay, dann mach ich das jetzt. sollte ich vorher noch etwas beachten? |
26.08.2008, 14:00 | #15 | |
/// AVZ-Toolkit Guru | Trojaner mit schickem DesktophintergrundBereinigung nach einer Kompromitierung Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
Themen zu Trojaner mit schickem Desktophintergrund |
auswerten, bho, blockiert, bonjour, computer, document, drivers, excel, festplatte, firefox, google, handel, hijack, hijackthis, home, homepage, infiziert., laufwerk c, laufwerk d:, maus, peripheriegeräte, problem, programm, s.m.a.r.t., scan, software, spyware, system, taskmanager, trojaner, userinit.exe, windows, windows xp, windows\system32\drivers |