| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Antivirenprogramme gelöscht/ausgehebelt, Bluescreen, Festplatte unbrauchbar!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
23.02.2009, 14:27
| #1 |
 |  Antivirenprogramme gelöscht/ausgehebelt, Bluescreen, Festplatte unbrauchbar! Hallo! Mit meinem PC ist vor Kurzem etwas sehr Merkwürdiges passiert, ich bin mir nicht sicher, was dahinter steckt, hoffe Ihr könnt mir helfen. Da verschiedene Sachen auf einmal passiert sind, konnte ich über Google leider keine Tipps in Erfahrung bringen. Ich hoffe, die Überschrift ist einigermaßen aussagekräftig. Ich habe zwei HDDs im PC, eine zum Booten und für Programme, eine zur Speicherung. Ich gehe über einen Router ins Netz, kein Wlan. Mein System ist XP Prof. SP2. Was geschah...: Nach ein paar Stunden kam ich zu meinem PC und stellte fest, dass mehrere Fehlermeldungen auf dem Desktop erschienen waren. - Symantec AV meldete, dass die Virendefinitionsdateien gelöscht wurden. - PG2 meldete, dass die .exe nicht gefunden werden kann. - Mehrere Systemfehlermeldungen hintereinander, dass Daten nicht auf die HDD geschrieben werden konnten. Auf dem Desktop war kein Icon mehr, der PC konnte nur noch per Starttaste ausgeschaltet werden. Bei mehreren Neustarts hintereinander stürzte der PC, teilweise mit Bluescreen, wieder ab und meine zweite HDD, die nur als Speicher und nicht zum Booten oder für Programme dient, wurde nicht mehr erkannt. Ich habe die Festplatte dann vom System getrennt, der PC fuhr wieder hoch, lief aber vorerst instabil. Ich wollte mich dann auf die Fehlersuche begeben und stellte folgendes fest: - Jedes Google-Suchergebnis verwies auf einen Link, der nicht funktionierte. - Der PG2-Programmordner war komplett verschwunden, die .exe wurde lt. Log-file von dem Programm Killbox, dass ich ebenfalls auf der Boot-HDD (C:\) liegen habe, gelöscht. - Mein mwav-escan-Programm war nicht mehr registriert, sodass ich damit keine Fehler mehr beheben konnte. Meine AV-Programme wurden also entweder gelöscht oder ausgehebelt, Google war nicht zu gebrauchen, die zweite Festplatte wurde nicht mehr erkannt. Killbox löscht normalerweise keine .exe von alleine und Symantecs Virendefinitionsdateien werden eigentlich auch nicht einfach so gelöscht. Deshalb vermute ich einen Schädling o.ä. Ein anderes Problem liegt darin, dass der PC zwischendurch mal Probleme mit der Stromversorgung hatte, ein Stecker war etwas wackelig. Es ist nicht hundertprozentig auszuschließen, dass die HDD aufgrund von Stromschwankungen einen Schaden bekommen hat (Partition beschädigt o.ä.), ist in Verbindung mit den anderen Ereignissen aber vielleicht eher unwahrscheinlich. Ich habe die HDD mittlerweile über einen USB-Adapter ans System angeschlossen, sie wird aber nicht erkannt, weder im Bios, noch in der Datenträgerverwaltung oder von einem HDD-Tool. Ich habe dann einmal HijackThis laufen lassen, es wurden keine Fehler entdeckt. Dies ist das Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:57:45, on 22.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\UMonit.exe C:\Programme\PeerGuardian2\pg2.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Seagate\SeaTools for Windows\SeaToolsforWindows.exe C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://securityresponse.symantec.com/avcenter/fix_homepage R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [DiscWizardMonitor.exe] C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\UMonit.exe O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe -- End of file - 7959 bytes Danach habe ich Malwarebytes laufen lassen: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1794 Windows 5.1.2600 Service Pack 2 22.02.2009 20:33:40 mbam-log-2009-02-22 (20-33-40).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 120729 Laufzeit: 20 minute(s), 6 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot. C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\systems.txt (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot. Habe die Dateien dann gelöscht, danach hat Malwarebytes keine Fehler mehr gefunden. Heute habe ich noch CC laufen lassen, es wurden 293,5MB gelöscht, in der Registry gab es einige Fehler. Lt. CC ist jetzt alles clean, auch Malwarebytes hat bei einem erneuten Scan nichts gefunden. Google bzw. der Browser funktionieren wieder. Kann mir jemand erklären, was da gemacht wurde und ob die HDD evtl. noch zu retten ist? Kann eine HDD durch einen Virus derart beschädigt werden, oder hat sie evtl. doch einen Kurzschluss o.ä. abbekommen? Ist das System jetzt wieder sicher oder sollte ich noch etwas unternehmen? Vielen Dank, Steve. |
|
23.02.2009, 16:14
| #2 |
  | Antivirenprogramme gelöscht/ausgehebelt, Bluescreen, Festplatte unbrauchbar! Hi,
__________________es ist eher unwahrscheinlich das ein Trojaner/Virus seine Plattform zerstört, von dem her gehe ich davon aus, das es zu einer Verkettung unglücklicher Zufälle gekommen ist. Sind die Festplatten FAT32 oder NTFS? Zur Sicherheit ComboFix und Prevx: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Prevx: http://www.prevx.com/freescan.asp Bei Funden bitte einen Screenshot posten... chris
__________________ |
|
23.02.2009, 17:13
| #3 | |||
| | Antivirenprogramme gelöscht/ausgehebelt, Bluescreen, Festplatte unbrauchbar! Hi Chris,
__________________erstmal vielen Dank für die Antwort. Zitat:
>>Beide HDDs sind in NTFS formatiert. Zitat:
>>Dies ist das Logfile von Combofix: Code:
ATTFilter ComboFix 09-02-21.01 - **** 2009-02-23 16:42:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2046.1459 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\regedit.com
c:\windows\system32\taskmgr.com
.
((((((((((((((((((((((( Dateien erstellt von 2009-01-23 bis 2009-02-23 ))))))))))))))))))))))))))))))
.
2009-02-23 16:33 . 2009-02-23 16:33 <DIR> d-------- c:\programme\Prevx
2009-02-23 16:33 . 2009-02-23 16:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-02-23 16:33 . 2009-02-23 16:33 22,536 --a------ c:\windows\system32\drivers\pxscan.sys
2009-02-23 16:33 . 2009-02-23 16:33 63 --a------ c:\windows\wininit.ini
2009-02-23 12:19 . 2009-02-23 12:20 <DIR> d-------- c:\programme\CCleaner
2009-02-22 20:05 . 2009-02-23 12:20 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-22 20:05 . 2009-02-22 20:05 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2009-02-22 20:05 . 2009-02-22 20:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-22 20:05 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-22 20:05 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-22 14:32 . 2009-02-22 14:32 <DIR> d-------- c:\programme\FILE RECOVERY for Windows
2009-02-20 21:05 . 2004-08-03 23:08 26,496 --a------ c:\windows\system32\drivers\usbstor.bak
2009-02-20 21:05 . 2003-07-25 19:20 4,736 --a------ c:\windows\system32\drivers\GLiIoEye.sys
2009-02-20 21:05 . 2009-02-22 09:57 4 --a------ c:\windows\MP.Tool
2009-02-20 21:04 . 2009-02-22 09:58 <DIR> d-------- c:\programme\Genesys Logic GL_USB_Reader_MPTool
2009-02-20 21:02 . 2006-05-18 17:58 309,760 --a------ c:\windows\system32\DIFxAPI.dll
2009-02-20 21:02 . 2007-06-18 04:40 200,704 -ra------ c:\windows\system32\UMonit.exe
2009-02-20 21:02 . 2007-05-09 07:34 176,128 -ra------ c:\windows\system32\ustor.dll
2009-02-20 21:02 . 2007-03-21 12:03 139,264 -ra------ c:\windows\system32\GeneIcon.dll
2009-02-20 21:02 . 2007-03-21 12:03 1,372 -ra------ c:\windows\system32\IconCfg0.ini
2009-02-20 21:01 . 2009-02-20 21:01 <DIR> d-------- c:\windows\Downloaded Installations
2009-02-20 17:27 . 2009-02-22 15:30 <DIR> d-------- c:\windows\system32\NtmsData
2009-02-14 20:51 . 2009-02-14 20:51 <DIR> d--hs---- C:\found.001
2009-02-14 18:32 . 2009-02-14 18:32 <DIR> d-------- C:\found.000
2009-02-14 18:26 . 2009-02-23 12:20 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-02-14 18:26 . 2009-02-23 14:10 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-14 18:15 . 2009-02-23 16:39 <DIR> d-------- c:\programme\PeerGuardian2
2009-01-31 17:50 . 2009-01-31 17:50 <DIR> d-------- c:\windows\PIF
2009-01-31 16:28 . 2009-01-31 16:28 6,953,327 --a------ c:\windows\REGBK06.ZIP
2009-01-30 16:46 . 2009-01-30 17:06 <DIR> d-------- c:\dokumente und einstellungen\****\PaperOffice
2009-01-30 16:45 . 2009-01-30 16:47 <DIR> d-------- c:\programme\realify Software
2009-01-28 13:53 . 2009-01-28 13:53 0 --ah----- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-01-28 13:53 . 2009-01-28 13:53 0 --ah----- c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-01-28 13:52 . 2008-03-21 13:57 14,640 --------- c:\windows\system32\spmsgXP_2k3.dll
2009-01-28 13:51 . 2009-01-28 13:51 <DIR> d-------- c:\programme\Gemeinsame Dateien\PCSuite
2009-01-28 13:51 . 2009-01-28 13:51 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nokia
2009-01-28 13:50 . 2009-01-28 13:50 <DIR> d-------- c:\programme\PC Connectivity Solution
2009-01-28 13:50 . 2009-01-28 13:50 <DIR> d-------- c:\programme\DIFX
2009-01-28 13:50 . 2008-09-15 07:29 1,112,288 --a------ c:\windows\system32\wdfcoinstaller01007.dll
2009-01-28 13:50 . 2008-09-15 07:56 659,968 --a------ c:\windows\system32\nmwcdcocls.dll
2009-01-28 13:50 . 2008-09-15 07:56 22,016 --a------ c:\windows\system32\drivers\ccdcmbo.sys
2009-01-28 13:50 . 2008-09-15 07:56 17,664 --a------ c:\windows\system32\drivers\ccdcmb.sys
2009-01-28 13:50 . 2008-09-15 07:56 8,064 --a------ c:\windows\system32\drivers\usbser_lowerfltj.sys
2009-01-28 13:50 . 2008-09-15 07:56 8,064 --a------ c:\windows\system32\drivers\usbser_lowerflt.sys
2009-01-26 09:49 . 2009-01-26 10:20 <DIR> d-------- c:\programme\LAB1.DE DirComp
2009-01-23 14:15 . 2009-01-23 14:16 6,849,883 --a------ c:\windows\REGBK05.ZIP
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-23 15:40 --------- d-----w c:\programme\Symantec AntiVirus
2009-02-23 14:35 --------- d-----w c:\programme\eMule
2009-02-20 20:02 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-20 20:01 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-02-10 19:27 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\FileZilla
2009-01-28 13:16 --------- d-----w c:\dokumente und einstellungen\Tims\Anwendungsdaten\Nokia
2009-01-28 12:50 --------- d-----w c:\programme\Nokia
2009-01-28 12:48 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-01-26 11:44 --------- d-----w c:\programme\Java
2009-01-26 08:43 74,752 ----a-w c:\windows\ST6UNST.EXE
2009-01-26 08:43 389,120 ------w c:\windows\Setup1.exe
2009-01-23 13:44 --------- d-----w c:\dokumente und einstellungen\Tims\Anwendungsdaten\dvdcss
2009-01-17 12:37 --------- d-----w c:\programme\Linksys KiSS PC-Link
2009-01-12 17:37 140,216 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-01-12 17:35 201,352 ----a-w c:\windows\system32\PnkBstrB.exe
2008-12-08 12:11 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-11-28 09:04 6,854,481 ----a-w c:\windows\REGBK04.ZIP
2008-11-15 17:41 22,328 ----a-w c:\dokumente und einstellungen\Tims\Anwendungsdaten\PnkBstrK.sys
.
------- Sigcheck -------
2002-08-29 01:58 332928 244a2f9816bc9b593957281ef577d976 c:\windows\$NtServicePackUninstall$\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c c:\windows\ServicePackFiles\i386\TCPIP.SYS
2008-02-07 11:42 359040 27a5959c94ee173a063ca06bd14f021a c:\windows\system32\dllcache\TCPIP.SYS
2008-02-07 11:42 359040 27a5959c94ee173a063ca06bd14f021a c:\windows\system32\drivers\TCPIP.SYS
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\oodishi]
@="{14A94384-BBED-47ed-86C0-6BF63FD892D0}"
[HKEY_CLASSES_ROOT\CLSID\{14A94384-BBED-47ed-86C0-6BF63FD892D0}]
2007-11-29 00:11 111872 --a------ c:\programme\OO Software\DiskImage\oodishi.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PeerGuardian"="c:\programme\PeerGuardian2\pg2.exe" [2005-09-18 1421824]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-07-19 52896]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-11-27 126048]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe" [2007-06-14 149024]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-08 136600]
"DiscWizardMonitor.exe"="c:\programme\Seagate\DiscWizard\DiscWizardMonitor.exe" [2007-06-14 1195056]
"AcronisTimounterMonitor"="c:\programme\Seagate\DiscWizard\TimounterMonitor.exe" [2007-06-14 1966560]
"UMonit"="c:\windows\system32\UMonit.exe" [2007-06-18 200704]
"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 c:\windows\KHALMNPR.Exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=c:\windows\pss\HP Image Zone Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-10-23 14:18 202024 c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 19:27 312320 c:\programme\FreePDF_XP\fpassist.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2004-05-12 14:18 241664 c:\programme\HP\hpcoretech\hpcmpmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2004-02-12 13:38 49152 c:\programme\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-09-20 08:51 1836328 c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 14:57 153136 c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
--a------ 2008-12-03 12:47 1205760 c:\programme\Nokia\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
--------- 2006-07-13 07:12 729088 c:\programme\Analog Devices\SoundMAX\SMax4.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 oodisr;O&O DiskImage Snapshot/Restore Driver;c:\windows\system32\drivers\oodisr.sys [2007-11-29 93192]
R0 oodisrh;oodisrh;c:\windows\system32\drivers\oodisrh.sys [2007-11-29 28168]
R0 oodivd;O&O DiskImage Virtual Disk Driver;c:\windows\system32\drivers\oodivd.sys [2007-11-29 127496]
R0 oodivdh;oodivdh;c:\windows\system32\drivers\oodivdh.sys [2007-11-29 26632]
R0 OODrvled;OODrvled;c:\windows\system32\drivers\OODrvled.sys [2004-09-22 15488]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [2009-02-23 22536]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [2009-02-23 4150840]
R2 GLiIoEye;GLiIoEye;c:\windows\system32\drivers\GLiIoEye.sys [2009-02-20 4736]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-02-20 99376]
S3 SavRoam;SAVRoam;c:\programme\Symantec AntiVirus\SavRoam.exe [2006-11-27 120416]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - CSISCANNER
*NewlyCreated* - PGFILTER
*NewlyCreated* - PXSCAN
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-PCSuiteTrayApplication - c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Tims\Anwendungsdaten\Mozilla\Firefox\Profiles\mjric7o4.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - hxxp://www.gmx.de
FF - component: c:\programme\Nokia\Nokia PC Suite 7\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
FF - plugin: c:\programme\VLC 0.9.6\npvlc.dll
FF - plugin: c:\programme\VLC\npvlc.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-23 16:43:15
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
UMonit = c:\windows\system32\UMonit.exe?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-23 16:44:05
ComboFix-quarantined-files.txt 2009-02-23 15:44:03
Vor Suchlauf: 15 Verzeichnis(se), 50.313.134.080 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 50,330,525,696 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /usepmtimer
225
Zitat:
[IMG]  [/IMG]Was muss ich jetzt tun? Gruß, Steve. |
|
23.02.2009, 17:38
| #4 |
| | Antivirenprogramme gelöscht/ausgehebelt, Bluescreen, Festplatte unbrauchbar! Hi, habe gerade keine Zeit, aber: Auf Deinem Rechner läuft ein Rootkit, daher möglichst nichts mehr machen... Wenn ich Ruhe habe schaue ich die Logs genauer durch: Service: PGFILTER -> http://www.prevx.com/filenames/X2878115405529633358-0/PGFILTER2ESYS.html chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
23.02.2009, 17:51
| #5 |
| | Antivirenprogramme gelöscht/ausgehebelt, Bluescreen, Festplatte unbrauchbar! OK, ich lasse dann erstmal alles so, wie es ist. Steve. |
|
23.02.2009, 20:09
| #6 |
| | Antivirenprogramme gelöscht/ausgehebelt, Bluescreen, Festplatte unbrauchbar! Hi, mal sehen was Avira dazu sagt: virustotal Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\system32\gdpdfplug.dll
c:\windows\system32\DIFxAPI.dll
c:\windows\system32\UMonit.exe
c:\windows\system32\ustor.dll
c:\windows\system32\GeneIcon.dll
c:\windows\system32\IconCfg0.ini
c:\windows\system32\deploytk.dll
c:\windows\REGBK04.ZIP
Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Falls es nichts findet: Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Falls das File gdpdfplug.dll bei Virustotal erkannt wurde und Avira bzw. Gmer nichts gefunden haben: Avenger <http://filepony.de/download-the_avenger/> Input script manually (anhaken) kopiere in: View/edit script Code:
ATTFilter Files to delete:
c:\windows\system32\gdpdfplug.dll
Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! Poste das Log von Avenger... MAM updaten und danach einen Fullscan und alles beseitigen lassen! chris
__________________ --> Antivirenprogramme gelöscht/ausgehebelt, Bluescreen, Festplatte unbrauchbar! |
|
| Themen zu Antivirenprogramme gelöscht/ausgehebelt, Bluescreen, Festplatte unbrauchbar! |
| antivirus, auf einmal, bho, bluescree, bluescreen, booten, browser, cdburnerxp, datenträgerverwaltung, desktop, fake.dropped.malware, festplatte, firefox, google, gservice, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, nicht gefunden, nicht sicher, plug-in, problem, registrierungsschlüssel, registry, rundll, schädling, senden, software, solution, symantec, system, windows, windows xp, wlan. |
Hybrid-Darstellung
