Zitat:

Zitat von Chris4You

Hi,

im GMER-Log tauchen Treiber von Symantec und den Daemon-Tools auf:

Symantech:
C:\Programme\Symantec\SYMEVENT.SYS, SYMTDI.SYS, ...

und ein Treiber von den Daemon-Tools, der nicht zu finden ist:
spyo.sys

Ok, also nichts Gefährliches!?

Zitat:

Zitat von Chris4You

Wie ist der Stand des Rechners, läuft er wieder (bzw. die sicherheits-SW)?
Avira hat ab- und an mal Probleme, eventuell auch mit Symantec, daher nur einen SW behalten.

Der PC läuft momentan, habe die Stromkabel im PC auch umgesteckt, Stromversorgung ist wieder stabil.

Aber:

PrevxCSI3.0 zeigt mir nach jedem Start an, dass mein System durch die Dateien "download.exe (HighRiskWorm), mexe.com (MediumRiskMalware) und mwavscan.com (MediumRiskMalware)" infiziert ist. Alle drei Dateien gehören glaube ich, zu mwav escan und sollten doch eigentlich ungefährlich sein?!
Soll ich MWAV besser deinstallieren oder kann ich die Meldung ignorieren?

Der FireFox ist leider zu Beginn sehr langsam, wenn ich ihn starte, tut sich ca. 30 Sekunden erstmal garnichts, dann braucht er auch ziemlich lange, um die vorangegangene Sitzung wieder herzustellen. Danach läuft er normal schnell.

Die zusätzliche HDD, die nicht mehr erkannt wird, habe ich erstmal abgeklemmt. Gibt es da noch eine Rettung oder muss ich sie einschicken?

Zitat:

Zitat von Chris4You

Hast Du die Festplatte auf Fehler überprüft (chkdsk Laufwerk: /f /r )?
(Achtung, da das Laufwerk dazu gesperrt werden muss, ist ein Reboot notwendig und je nach Größe der HD geht das eine ganze Weile [1-3h])...

Mache ich am Sonntag.

Zitat:

Zitat von Chris4You

Wir versuchen mal einige Probleme die von Viren/Trojanern verursacht werden gerade zu biegen:
System Reparieren:
Vorher ggf. Backup machen
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
http://www.iobit.com/advancedwindowscareper.html?Str=download
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Führe dann einen Update der Signatur/Reperaturdateien aus.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

chris

Die Professional-Version konnte nur geladen werden, wenn man irgendein Kaufangebot annimmt.
Habe die "nicht-pro"-Version genommen und das System gescannt. Es wurden einige Fehler festgestellt und beseitigt. Immunisieren scheint mit der Standardversion nicht zu gehen.

Wie ist der Stand der Dinge einzuschätzen?

Ich poste am Sonntag das Ergebnis von Chckdsk.

Gruß, Steve.

Hallo!

Habe chkdsk /f /r laufen lassen. Es kam eine Meldung, dass das Dateisegment 21036 nicht gelesen werden kann.
Am Ende von chkdsk /r wurde angezeigt, dass das Laufwerk fehlerfrei ist.

Gruß, Steve.

Hi,

du kannst MWAV deinstallieren...
Im Augenblick kann ich nicht mehr erkennen, wir prüfen noch den Bootblock:

MBR-Rootkit
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Bin die nächsten drei Tage leider unterwegs und nicht erreichbar...

chris

Zitat:

Zitat von Chris4You

Hi,

du kannst MWAV deinstallieren...
Im Augenblick kann ich nicht mehr erkennen, wir prüfen noch den Bootblock:

MBR-Rootkit
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:


In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Bin die nächsten drei Tage leider unterwegs und nicht erreichbar...

chris

Hallo,

mbr.exe hat keine Fehler gefunden, hier das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Sollte ich den Firefox einfach mal neu installieren, damit er nicht mehr so langsam startet?

Gibt es irgendeine Möglichkeit, auf die HDD zuzugreifen, wenn sie nichtmal im Bios erkannt wird? Ansonsten würde ich sie einschicken.
Da sie hörbar und spürbar ganz normal anläuft, vermute ich einen Fehler in der Partition o.ä. Gibt es ein Programm, dass dabei helfen kann?

Gruß, Steve.

Hallo!

Habe gerade einen Scan mit GMER gemacht, es erschien eine Rootkit Warnung.

[CODE]GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-05-11 19:23:29
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT 899D1128 ZwAlertResumeThread
SSDT 89AA8308 ZwAlertThread
SSDT 8950D318 ZwAllocateVirtualMemory
SSDT 899ED770 ZwConnectPort
SSDT spij.sys ZwCreateKey [0xBA6AB0E0]
SSDT 89A787F0 ZwCreateMutant
SSDT 8926E3B0 ZwCreateThread
SSDT \??\C:\Programme\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xAC8AC350]
SSDT spij.sys ZwEnumerateKey [0xBA6C8CA2]
SSDT spij.sys ZwEnumerateValueKey [0xBA6C9030]
SSDT 89A39C40 ZwFreeVirtualMemory
SSDT 89A485F8 ZwImpersonateAnonymousToken
SSDT 89A1EC80 ZwImpersonateThread
SSDT 899D7348 ZwMapViewOfSection
SSDT 89A710E8 ZwOpenEvent
SSDT spij.sys ZwOpenKey [0xBA6AB0C0]
SSDT 89A236C8 ZwOpenProcessToken
SSDT 89A78670 ZwOpenThreadToken
SSDT spij.sys ZwQueryKey [0xBA6C9108]
SSDT 894E8318 ZwQueryValueKey
SSDT 89AAACF0 ZwResumeThread
SSDT 89AA8540 ZwSetContextThread
SSDT 89A4B6E0 ZwSetInformationProcess
SSDT 89ADA730 ZwSetInformationThread
SSDT \??\C:\Programme\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xAC8AC580]
SSDT 89A357B0 ZwSuspendProcess
SSDT 89AA81B8 ZwSuspendThread
SSDT 89C18ED8 ZwTerminateProcess
SSDT 899C40E8 ZwTerminateThread
SSDT 89A5B3F0 ZwUnmapViewOfSection
SSDT 8950A318 ZwWriteVirtualMemory

INT 0x63 ? 89DCABF8
INT 0x73 ? 89DCABF8
INT 0x83 ? 89DCABF8

Code 88D0018F pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

? spij.sys Das System kann die angegebene Datei nicht finden. !
? OODrvled.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B92C362C 5 Bytes JMP 89B761D8
.text afhodnji.SYS AEC4A384 1 Byte [ 20 ]
.text afhodnji.SYS AEC4A386 35 Bytes [ 00, 68, 00, 00, 00, 00, 00, ... ]
.text afhodnji.SYS AEC4A3AA 24 Bytes [ 00, 00, 20, 00, 00, E0, 00, ... ]
.text afhodnji.SYS AEC4A3C4 3 Bytes [ 00, 00, 00 ]
.text afhodnji.SYS AEC4A3C9 1 Byte [ 00 ]
.text ...
.text tcpip.sys!IPTransmit + 10B7 AC696CFA 6 Bytes CALL 88D00172
.text tcpip.sys!IPTransmit + 24D9 AC69811C 6 Bytes CALL 88D00172
.text tcpip.sys!IPTransmit + 4662 AC69A2A5 6 Bytes CALL 88D00172
.text wanarp.sys B95B43FD 7 Bytes CALL 88D0017F

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6AC040] spij.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6AC13C] spij.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6AC0BE] spij.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6AC7FC] spij.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6AC6D2] spij.sys
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!KfAcquireSpinLock] 0A64D90F
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!READ_PORT_UCHAR] 046FD406
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!KeGetCurrentIrql] 1672C31D
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!KfRaiseIrql] 1879CE14
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!KfLowerIrql] 3248ED2B
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!HalGetInterruptVector] 3C43E022
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!HalTranslateBusAddress] 2E5EF739
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!KeStallExecutionProcessor] 2055FA30
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!KfReleaseSpinLock] EC01B79A
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] E20ABA93
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!READ_PORT_USHORT] F017AD88
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] FE1CA081
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[HAL.dll!WRITE_PORT_UCHAR] D42D83BE
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[WMILIB.SYS!WmiSystemControl] C83B99AC
IAT \SystemRoot\System32\Drivers\afhodnji.SYS[WMILIB.SYS!WmiCompleteRequest] C63094A5
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] 88CFF4DB
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] 88CFF4D1

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 89DC91F8

AttachedDevice \FileSystem\Ntfs \Ntfs OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs oodisrh.sys (O&O DiskImage Snapshot/Restore Helper Driver (Win32)/O&O Software GmbH)
AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

Device \FileSystem\Fastfat \FatCdrom 87DB81F8
Device \Driver\nvata \Device\0000008e 89DCA1F8

AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device \Driver\NetBT \Device\NetBT_Tcpip_{38DC89EC-D67E-4E92-A289-72ED6F1D5964} 899A5500
Device \Driver\usbohci \Device\USBPDO-0 89B751F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89DCB1F8
Device \Driver\dmio \Device\DmControl\DmConfig 89DCB1F8
Device \Driver\dmio \Device\DmControl\DmPnP 89DCB1F8
Device \Driver\dmio \Device\DmControl\DmInfo 89DCB1F8
Device \Driver\usbehci \Device\USBPDO-1 89B661F8

AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device \Driver\Ftdisk \Device\HarddiskVolume1 89D5B1F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)

Device \Driver\Ftdisk \Device\HarddiskVolume2 89D5B1F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)

Device \Driver\Cdrom \Device\CdRom0 89B5A1F8
Device \Driver\sptd \Device\2440972596 spij.sys
Device \Driver\Cdrom \Device\CdRom1 89B5A1F8
Device \Driver\atapi \Device\Ide\IdePort0 89D5A1F8
Device \Driver\atapi \Device\Ide\IdePort1 89D5A1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 899A5500
Device \Driver\NetBT \Device\NetbiosSmb 899A5500

AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device \Driver\PCI_PNP7596 \Device\0000006a spij.sys
Device \Driver\usbohci \Device\USBFDO-0 89B751F8
Device \Driver\nvata \Device\NvAta0 89DCA1F8
Device \Driver\usbehci \Device\USBFDO-1 89B661F8

Device \Driver\nvata \Device\NvAta1 89DCA1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8994F500
Device \Driver\nvata \Device\NvAta2 89DCA1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8994F500
Device \Driver\Ftdisk \Device\FtControl 89D5B1F8
Device \Driver\nvata \Device\0000008a 89DCA1F8
Device \Driver\nvata \Device\0000008b 89DCA1F8
Device \Driver\afhodnji \Device\Scsi\afhodnji1 89AE61F8
Device \Driver\afhodnji \Device\Scsi\afhodnji1Port5Path0Target0Lun0 89AE61F8
Device \FileSystem\Fastfat \Fat 87DB81F8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat oodisrh.sys (O&O DiskImage Snapshot/Restore Helper Driver (Win32)/O&O Software GmbH)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

Device \FileSystem\Cdfs \Cdfs 88DC51F8
---- Processes - GMER 1.0.14 ----

Library C:\Programme\Nokia\Nokia (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1984] 0x03DC0000
Library C:\Programme\Nokia\Nokia (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1984] 0x03E60000
Library C:\Programme\Nokia\Nokia (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1984] 0x02910000
Library C:\Programme\Nokia\Nokia (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1984] 0x05290000

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF0 0x65 0xDC 0x09 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xFA 0x6D 0x4F 0xC2 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x1A 0x54 0x3A 0x76 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF0 0x65 0xDC 0x09 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xFA 0x6D 0x4F 0xC2 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x1A 0x54 0x3A 0x76 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODLED02.00.00.02WSSV 48BDFE62DF68BA6CC84FEA4A890E79CCC0CBA26DB4E9779C6E6C3603135CB0942A2841A2854ADD460FB5F04A8B4A7A063A608F314A9A5CAE13A020EB1765D9A7241592E2256181C1863CFA 94ADFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79335D575E7D6A3B9808A2D97226D213B555A9 C6AECB7A5D140770D9EC92E1DE6E9FD45F6143CDB4676A5C6ACD88D1CA50603E63CD00C70E0786A59ED412AE3D80DC538C08607626941AFC066ABC04760DE70C9C5F359B998B37A1866E30 0D2540A4F292641234DA6B666F3044FD49B3B253B903789B828046F4F00B6AF30697D4A546DCD859271350C7EBE5066676A283864444B484A6E2F2A8F32AF208BA539673B3D9385983D15A 1A7B275232F5A6F1C57B90A06546A68322E0E4203BDC611485747BC9D992DCD11EFEF53DC1C467A5B9819DBED8B3F49A133F420380B48A0D3796B84A472F41B679285BCF1CF3D37AF04F22 051C54BA11126CCA9D6F1C5C79C8FA8C69314B4C3A32FC6208E62898FEDCB0DCDE9124287419198CE643842A00DB5975CC4BE992C4365A9A56F09C2DF752448C28BEAF350585C818CAD86F 0A80F9397609EDA36B6F56EC97202C1D475C8A0077B44D9A17361DD604A7B5F4550B0C79952D94A4708945B7F1BC2B8AE2D6A3A9E5C80D194FB083EDEA5
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

---- EOF - GMER 1.0.14 ----
[/CODE]

Prevx hat nichts angezeigt, Malwarebytes und Symantec Antivirus auch nicht.
Habe ich tatsächlich ein Rootkit auf dem PC und wie kann ich es beseitigen?

In dem Ordner C:\Dokumente und Einstellungen\Tims\Lokale Einstellungen\temp befindet sich eine Datei namens Z@R279.tmp. Ist die Datei gefährlich? Virustotal hat nichts gefunden, sie lässt sich nicht löschen, auch nicht mit Killbox.

Bitte um Hilfe, Gruß,

Steve.

Hijackthis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40, on 2009-05-11
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\UMonit.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\eMule\emule.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Prevx\prevx.exe
C:\Dokumente und Einstellungen\Tims\Desktop\gmer.exe
C:\Dokumente und Einstellungen\Tims\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Home Page Reset - Symantec Corp.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DiscWizardMonitor.exe] C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\UMonit.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\RunOnce: [PCSuite.exe] C:\Programme\Nokia\Nokia PC Suite 7\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe -onlytray -install -startgcw
O4 - HKCU\..\RunOnce: [PcSync2.exe] C:\Programme\Nokia\Nokia PC Suite 7\Nokia PC Suite 7\Nokia PC Suite 7\PcSync2.exe /NoDialog
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

--
End of file - 7947 bytes

Hi,

wo genau soll die Rootkitwarnung kommen...?
(Es scheint so, dass es mit den code-tags nicht ganz geklappt hat, da ist was abgeschnitten???)

chris

Zitat:

Zitat von Chris4You

Hi,

wo genau soll die Rootkitwarnung kommen...?
(Es scheint so, dass es mit den code-tags nicht ganz geklappt hat, da ist was abgeschnitten???)

chris

Wenn GMER durchgelaufen ist, kommt die Meldung "Warning! System modification caused by Rootkit activity".

Diese vier Einträge sind rot hinterlegt:

Library C:\Programme\Nokia\Nokia (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1984] 0x03DC0000
Library C:\Programme\Nokia\Nokia (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1984] 0x03E60000
Library C:\Programme\Nokia\Nokia (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1984] 0x02910000
Library C:\Programme\Nokia\Nokia (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1984] 0x05290000


Wo scheint es denn, dass etwas abgeschnitten wurde? Habe das Gmer-Log in zwei Posts aufgeteilt, da es nicht in eins passte. Soll ich es nochmal posten?

Gruß, Steve.

Hi,

da hängt sich was von Nokia in den Explorer rein, hast Du was von Nokia installiert (mit Explorer-Integration)?
Halte ich eigentlich für unwahrscheinlich, das es was gefährliches ist...

chris

ich habe die nokia pc suite installiert, gleicher fall, der nokia phone browser wird in den explorer integriert...

Hallo,

die PC Suite habe ich auch installiert. Sind diese Einträge denn der Grund, warum GMER eine Rootkit-Warnung auswirft?
Ist im HijackThis irgendetwas ungewöhnlich?

Was haltet Ihr von der Datei "Z@R279.tmp"? Ich glaube nicht, dass sie schon früher im tmp-Ordner war und löschen lässt sie sich nicht.

Gruß, Steve.

Hi,

lass sie mal bei Virustotal.com prüfen...
Mit unlocker kannst Du Dir anzeigen lassen, wer das File sperrt und ggf. das Lock brechen lassen...
Unlocker: http://winfuture.de/news,26748.html

Zur PC-Suite von Noki: Hat die eine Integration in den Explorer, d.h. wird das Handy im Explorer angezeigt und kannst Du dann Daten transferieren. Wenn ja, wird die Suite Hooks in den Explorer einbringen um das machen zu können...

chris

Hallo,

Virustotal hat keinen Schädling gefunden, habe die Datei mit Unlocker gelöscht. Das Löschen scheint bisher keine negativen Auswirkungen zu haben.

Über die PC-Suite kann ich mein Handy tatsächlich im Explorer anzeigen lassen, stellen die "Hooks" denn ein Sicherheitsrisiko dar?

Gruß, Steve.

Hi,

ein entschlossenes JaEin.
Ja sie sind ein Sicherheitsleck und Nein, ohne sie würde es keine solche Integration geben... Besonderst beliebt ist bei Malware der mount-Schlüssel...

Also kein spezifisches "Leck" sondern ein Systemimmanentes...

chris