|
Log-Analyse und Auswertung: mehrere trojaner in system_volume_informationWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.02.2009, 15:58 | #1 |
| mehrere trojaner in system_volume_information Hallo zusammen. Ich habe vor kurzem einen alten Rechner wieder flott gemacht und unteranderem auch das System neu aufgesetzt auf Laufwerk C: .Nun fand Antivir bei einem Systemmscan auf der 2.Festplatte Laufwerk D: in dem Ordner System_Volume_Information 26 Trojaner und noch einen Trojaner in einem anderen Ordner.Antivir verschob diese Dateien in die Quarantäne von wo aus ich sie dann gelöscht habe.Dann deaktivierte ich die Systemwiederherstellung und startete den Rechner neu.Der darauf folgende Virenscan fand dann keine Infizierungen mehr.Ich wollte nun mal mein HijackThis logfile hier reinstellen und fragen ob da noch was verdächtig ist und diese alten Trojaner sich auf das neu aufgesetzte System geschlichen haben.Danke im vorraus. Logfile of HijackThis v1.99.1 Scan saved at 15:25:07, on 24.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\DeltTray.exe C:\Programme\Razer\razerhid.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DSL-Manager\DslMgr.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\Programme\DSL-Manager\DslMgrSvc.exe C:\Programme\Razer\razertra.exe C:\Programme\Razer\razerofa.exe C:\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.3.1.15.dll O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - [u*l]h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab[/url] O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [u*l]h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab[/url] O17 - HKLM\System\CCS\Services\Tcpip\..\{9E7BB4EA-4703-4345-A1BF-6D5F3334A6C5}: NameServer = 192.168.2.1 O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe und gleich noch der Report vom Virenscan damit ihr wisst welche Malware ich mir eingefangen habe. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 23. Februar 2009 14:41 Es wird nach 1258799 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: SURFER Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 21.02.2009 17:00:29 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:00:29 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 17:00:29 ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 17:00:29 ANTIVIR3.VDF : 7.1.2.59 9728 Bytes 21.02.2009 17:00:29 Engineversion : 8.2.0.87 AEVDF.DLL : 8.1.1.0 106868 Bytes 21.02.2009 17:00:29 AESCRIPT.DLL : 8.1.1.47 348539 Bytes 21.02.2009 17:00:29 AESCN.DLL : 8.1.1.7 127347 Bytes 21.02.2009 17:00:29 AERDL.DLL : 8.1.1.3 438645 Bytes 21.02.2009 17:00:29 AEPACK.DLL : 8.1.3.8 397684 Bytes 21.02.2009 17:00:29 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 21.02.2009 17:00:29 AEHEUR.DLL : 8.1.0.97 1610103 Bytes 21.02.2009 17:00:29 AEHELP.DLL : 8.1.2.0 119159 Bytes 21.02.2009 17:00:29 AEGEN.DLL : 8.1.1.20 336245 Bytes 21.02.2009 17:00:29 AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56 AECORE.DLL : 8.1.6.6 176501 Bytes 21.02.2009 17:00:29 AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 21.02.2009 17:00:29 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Beginn des Suchlaufs: Montag, 23. Februar 2009 14:41 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'razerofa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'razertra.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DslMgrSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DslMgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'razerhid.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'delttray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '32' Prozesse mit '32' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '53' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\WINDOWS\system32\drivers\dtscsi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <Daten und Studio> D:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Daten\software\w*w.torrent.to...WinRAR.v3.71\WinRAR 3.xx Patch.rar [0] Archivtyp: RAR --> WinRAR 3.xx Patch.exe [FUND] Ist das Trojanische Pferd TR/Agent.278016.C [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a10ade3.qua' verschoben! D:\System Volume Information\_restore{264FD519-FAE4-42C0-8C82-B0A39F2D5B23}\RP45\A0150179.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3ade5.qua' verschoben! D:\System Volume Information\_restore{264FD519-FAE4-42C0-8C82-B0A39F2D5B23}\RP45\A0150184.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3ade8.qua' verschoben! D:\System Volume Information\_restore{264FD519-FAE4-42C0-8C82-B0A39F2D5B23}\RP45\A0150198.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3adf0.qua' verschoben! D:\System Volume Information\_restore{264FD519-FAE4-42C0-8C82-B0A39F2D5B23}\RP46\A0152151.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3ae3f.qua' verschoben! D:\System Volume Information\_restore{264FD519-FAE4-42C0-8C82-B0A39F2D5B23}\RP46\A0152153.EXE [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3ae44.qua' verschoben! D:\System Volume Information\_restore{264FD519-FAE4-42C0-8C82-B0A39F2D5B23}\RP46\A0152161.EXE [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3ae47.qua' verschoben! D:\System Volume Information\_restore{43DD8C90-A04D-42CC-9515-49284ABF8D73}\RP252\A0032422.exe [FUND] Ist das Trojanische Pferd TR/Small.24064.C [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2ae5d.qua' verschoben! D:\System Volume Information\_restore{4D18E1A9-F1C7-43CB-8A39-01AEC1728CE5}\RP67\A0015122.exe [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.WK [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2ae8c.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115909.exe [FUND] Ist das Trojanische Pferd TR/Packed.22775 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af11.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115910.exe [FUND] Ist das Trojanische Pferd TR/Packed.22775 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af15.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115931.EXE [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af25.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115958.EXE [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af29.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115959.EXE [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af2c.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115976.EXE [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af2f.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115987.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af39.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115990.exe [FUND] Ist das Trojanische Pferd TR/Packed.22775 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af3d.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0116002.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af42.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0116024.EXE [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af51.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0116025.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485197e2.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0116052.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af55.qua' verschoben! D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0116055.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485197e6.qua' verschoben! D:\System Volume Information\_restore{AC5B44C8-F182-412C-A1BC-3E36EB368DB6}\RP12\A0001170.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2af73.qua' verschoben! D:\System Volume Information\_restore{AC5B44C8-F182-412C-A1BC-3E36EB368DB6}\RP12\A0001173.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2af74.qua' verschoben! D:\System Volume Information\_restore{FBD6D4B6-747A-4735-97FC-D2134BB68681}\RP18\A0001630.exe [FUND] Ist das Trojanische Pferd TR/Packed.22775 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2afa7.qua' verschoben! D:\System Volume Information\_restore{FBD6D4B6-747A-4735-97FC-D2134BB68681}\RP18\A0001631.exe [FUND] Ist das Trojanische Pferd TR/Packed.22775 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2afa8.qua' verschoben! D:\System Volume Information\_restore{FBD6D4B6-747A-4735-97FC-D2134BB68681}\RP18\A0001632.exe [FUND] Ist das Trojanische Pferd TR/Packed.22775 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48509719.qua' verschoben! Ende des Suchlaufs: Montag, 23. Februar 2009 15:15 Benötigte Zeit: 34:06 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 3647 Verzeichnisse wurden überprüft 174196 Dateien wurden geprüft 27 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 27 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 174166 Dateien ohne Befall 2102 Archive wurden durchsucht 3 Warnungen 27 Hinweise ps.: auch im abgesicherten Modus findet Antivir nichts mehr ausser 3 Warnungen. Geändert von Maddin1976 (24.02.2009 um 16:51 Uhr) |
25.02.2009, 13:03 | #2 |
/// Helfer-Team | mehrere trojaner in system_volume_information Hallo
__________________Es sollte klar sein, dass die Bereinigung zeitaufwendiger ist als das Neuaufsetzen, deswegen sich bitte gleich überlegen ob man nicht doch Neuaufsetzen will. Neuaufsetzen ist außerdem sicherer als die Bereinigung, selbst ein Computer mit sauberen HijackThis Log kann stark versucht sein. Es ist wichtig, dass du genau das machst was man dir sagt. Es sollten keine zusätzlichen Programme installiert werden, wenn man es dir nicht sagt. Beachte bitte die NUBs. Auch wenn die Symptome nach den ersten abgearbeiteten Punkten verschwinden, heißt es noch lange nicht, dass der PC wirklich sauber ist. Deswegen abwarten bis man dir sagt, dass der PC wirklich sauber ist. Am Besten die Anleitung sich ausdrucken. Alle Programme die in der Anleitung aufgeführt werden, sind Freeware Programme. Es steht bei den meisten Programmen eine Vollversion zur Verfügung, die man bezahlen muss. Bitte nur die Freeversionen nehmen, eine Vollversion ist unnötig! Die Anleitung sollte in genau dieser Reihenfolge abgearbeitet werden. Wichtig: Bitte während der Bereinigung alle externen Medien wie, USB-Sticks, Speicherkarten, externe Festplatten an den PC anschließen. Vista User:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Punkt 1 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Deaktivieren der Systemwiederherstellung Windows XP:
Erklärung Im Verlauf der Infektion wurden auch infizierte Dateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Punkt 2 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Deinstalliere bitte alle Toolbars (ICQ, Google, Askbar...) und unnötige Software wie Spybot S&D, Spyware Doctor, Trojancheck, a-squared free, Zone Alarm, COMODO, eScan und Ad-Aware etc… Außerdem sollte alles von Google (Toolbar, Updater...) entfernt werden. Arbeitsplatz => Software => ausgewähltes komplett entfernen Statt Zone Alarm und COMODO sollte die Windows Firewall benutzt werden: Arbeitsplatz => Systemsteuerung => Netzwerk – und Internetverbindungen => Windows Firewall => Haken bei „aktiv“ setzen davor sollte die Firewall deinstalliert werden. Ist eine Antiviren Suite mit integrierter Fireall installiert, kann diese bleiben. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Punkt 3 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ CCleaner
[CENTER][B][COLOR="Red"] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Punkt 4 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ In Zukunft nicht den MS Internet Explorer, sondern einen alternativen Browser wie z.B. Firefox oder Opera. Der Internet Explorer sollte auschließlich für das Windows Update verwendet werden. Nach der Bereinigung oder dem Neuaufsetzen sollte Firefox sicher konfiguriert werden mit NoScript ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Punkt 5 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Das Service Pack (SP) kann man beim CCleaner oben nachschauen. Sollte bei XP nur das SP1 installiert sein, hat die Bereinigung keinen Sinn mehr und es kann Neuaufgesetzt werden. Sollte bei vista das SP1 fehlen hat ebenfalls keinen Sinn mehr, das System sollte auch Neuaufgesetzt werden. Aktualisieren des Systems: Start => Alle Programme => Windows Update Über die benutzerdefinierte Suche fehlende Updates herunterladen und installieren. Auch den Internet Explorer aktualisieren, Version 8 ist die aktuellste. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Punkt 6 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Konfiguriere die Ordneransicht vernünftig um => Ordneransicht ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Punkt 7 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Nun kannst du Avira noch einmal scannen lassen, davor updaten. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Punkt 8 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gmer
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Punkt 9 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wenn ich dich bitte einen HijackThis Log zuerstellen bitte die neuste Version nehmen
__________________ |
25.02.2009, 14:49 | #3 |
| mehrere trojaner in system_volume_information Na dann werde ich mich mal an die Arbeit machen..Melde mich mit aktuellem Hijackthisfile und hoffentlich sauberem Gmerfile.Danke für die Antwort.
__________________ |
25.02.2009, 15:45 | #5 |
| mehrere trojaner in system_volume_information Einen Rootkit fand ja Antivir schon und den hab ich gelöscht.Na mal schauen.Hier die Dokumentationen der von dir empfohlenen Programme : Ccleaner : Adobe Flash Player 10 Plugin Adobe Flash Player ActiveX Adobe Reader 9 - Deutsch Anno 1701 ATI - Dienstprogramm zur Deinstallation der Software ATI Control Panel ATI Display Driver ATI HYDRAVISION Audacity 1.2.6 Avira AntiVir Personal - Free Antivirus BitComet 1.08 Call of Duty(R) 2 CCleaner (remove only) DivX Codec DivX Converter DivX Player DivX Plus DirectShow Filters DivX Web Player DSL-Manager eMule EPSON-Drucker-Software Hamachi 1.0.3.0 HijackThis 1.99.1 HLSW v1.3.1 ICQ6.5 Java 2 Runtime Environment, SE v1.4.2_05 Java SATARaid Malwarebytes' Anti-Malware Microsoft .NET Framework Client Profile Microsoft .NET Framework Client Profile Language Pack - DEU Microsoft Compression Client Pack 1.0 for Windows XP Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Mozilla Firefox (3.0.6) MSXML 4.0 SP2 (KB927978) MSXML 4.0 SP2 (KB954430) NVIDIA Drivers NVIDIA Ethernet Driver Razer TeamSpeak 2 RC2 TeamSpeak 2 Server RC2 TuneUp Utilities 2008 Uniblue DriverScanner 2009 Uniblue RegistryBooster 2 Uniblue SpeedUpMyPC 2009 VLC media player 0.9.6 Windows Genuine Advantage Validation Tool (KB892130) Windows Internet Explorer 7 Windows Media Format 11 runtime Windows Media Player 11 Windows XP Service Pack 3 WinRAR Archivierer Gmer : GMER 1.0.14.14116 - http://www.gmer.net Rootkit scan 2009-02-25 15:39:03 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT sptd.sys ZwCreateKey [0xF75250D0] SSDT F7C1513C ZwCreateThread SSDT sptd.sys ZwEnumerateKey [0xF752AFB2] SSDT sptd.sys ZwEnumerateValueKey [0xF752B340] SSDT sptd.sys ZwOpenKey [0xF75250B0] SSDT F7C15128 ZwOpenProcess SSDT F7C1512D ZwOpenThread SSDT sptd.sys ZwQueryKey [0xF752B418] SSDT sptd.sys ZwQueryValueKey [0xF752B298] SSDT sptd.sys ZwSetValueKey [0xF752B4AA] SSDT F7C15137 ZwTerminateProcess SSDT F7C15132 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload F6E638AC 5 Bytes JMP 86B02770 ? System32\Drivers\apcfczdz.SYS Das System kann die angegebene Datei nicht finden. ! .text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 EE01A4F0 42 Bytes [ AA, 30, C8, 33, 4C, 25, 9D, ... ] .text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 2B EE01A51B 5 Bytes CALL FB0DFC15 ? C:\WINDOWS\System32\Drivers\dtscsi.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F753C06C] sptd.sys IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F753C018] sptd.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F755E9AE] sptd.sys IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F753C06C] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7525AD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7525C1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7525B9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7526748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F752661E] sptd.sys ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 86F641E8 AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.) Device \Driver\usbohci \Device\USBPDO-0 86B05790 Device \Driver\usbohci \Device\USBPDO-1 86B05790 Device \Driver\dmio \Device\DmControl\DmIoDaemon 86FD21E8 Device \Driver\dmio \Device\DmControl\DmConfig 86FD21E8 Device \Driver\dmio \Device\DmControl\DmPnP 86FD21E8 Device \Driver\dmio \Device\DmControl\DmInfo 86FD21E8 Device \Driver\usbehci \Device\USBPDO-2 86B04790 Device \Driver\Ftdisk \Device\HarddiskVolume1 86F671E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 86F671E8 Device \Driver\NetBT \Device\NetBt_Wins_Export 869EC1E8 Device \Driver\NetBT \Device\NetBT_Tcpip_{9E7BB4EA-4703-4345-A1BF-6D5F3334A6C5} 869EC1E8 Device \Driver\NetBT \Device\NetbiosSmb 869EC1E8 Device \Driver\PCI_NTPNP9622 \Device\0000004d sptd.sys Device \Driver\PCI_NTPNP9622 \Device\0000004e sptd.sys Device \Driver\usbohci \Device\USBFDO-0 86B05790 Device \Driver\usbohci \Device\USBFDO-1 86B05790 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 869B6500 Device \Driver\usbehci \Device\USBFDO-2 86B04790 Device \FileSystem\MRxSmb \Device\LanmanRedirector 869B6500 Device \Driver\Ftdisk \Device\FtControl 86F671E8 Device \Driver\apcfczdz \Device\Scsi\apcfczdz1Port2Path0Target1Lun0 869A8790 Device \Driver\apcfczdz \Device\Scsi\apcfczdz1 869A8790 Device \Driver\SI3112r \Device\Scsi\SI3112r1 86F651E8 Device \Driver\apcfczdz \Device\Scsi\apcfczdz1Port2Path0Target0Lun0 869A8790 Device \Driver\dtscsi \Device\Scsi\dtscsi1 86A431E8 Device \FileSystem\Cdfs \Cdfs 86ACF700 ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1928722195 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1943992332 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x35 0xE7 0xFB 0x2A ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x1F 0xEE 0xFC 0xAA ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x72 0xF1 0x0B 0xCC ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew 0x83 0x17 0x21 0x16 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x57 0x8D 0xB8 0x4D ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x55 0x05 0x92 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x93 0xC0 0x87 0xE3 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x93 0xC0 0x87 0xE3 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x5F 0x4D 0x67 0x53 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x05 0xA2 0xDB 0x3C ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x85 0x62 0xFE 0xC8 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x35 0xE7 0xFB 0x2A ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x1F 0xEE 0xFC 0xAA ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x72 0xF1 0x0B 0xCC ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew 0x83 0x17 0x21 0x16 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x57 0x8D 0xB8 0x4D ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x55 0x05 0x92 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x93 0xC0 0x87 0xE3 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x93 0xC0 0x87 0xE3 ... ---- EOF - GMER 1.0.14 ---- |
25.02.2009, 15:56 | #6 |
/// Helfer-Team | mehrere trojaner in system_volume_information lade zur Sicherheit diese Dateien bei Virustotal hoch, poste dann alles was dir angezeigt wird: Code:
ATTFilter C:\WINDOWS\system32\drivers\sptd.sys System32\Drivers\apcfczdz.SYS C:\WINDOWS\System32\Drivers\dtscsi.sys Wenn du bei eMule saugst ist es auch kein Wunder, dass du dir was einfängst. HiJackThis ist veraltet, deinstallieren und das neuste isntallieren. Hamachi ist auch veraltet. nach der Bereinigung alles aktualisieren. Java bitte deinstallieren und das neuste installieren Download der Java-Software von Sun Microsystems Malwarebytes' Anti-Malware
__________________ --> mehrere trojaner in system_volume_information Geändert von Jig Saw (25.02.2009 um 16:17 Uhr) |
25.02.2009, 16:21 | #7 |
| mehrere trojaner in system_volume_information emule is ganz selten mal an. .virustotal.com/de scheint nicht zu funktionieren.gibt es alternativen? |
25.02.2009, 16:39 | #8 |
| mehrere trojaner in system_volume_information bekomme bei virustotal ständig diese meldung : "0 bytes size received / Se ha recibido un archivo vacio" was hat das zu bedeuten?die serverauslastung ist im grünen bereich. und die datei c:\windows\system32\apcfczdz.sys kann ich auf meinem rechner gar nicht finden. |
25.02.2009, 17:08 | #9 |
/// Helfer-Team | mehrere trojaner in system_volume_information Konfiguriere die Ordneransicht vernünftig um => Ordneransicht Bei Jotti dürfte es auch nicht funktionieren, aber versuchen kann mans mal Online Malware scan wenn das auch nicht klappt dann mach hier weiter: Avira AntiRootkit Tool
Blacklight scannen lassen
und dann mit Malwarebytes und SUPERAntiSpyware weiter
__________________ A fool with a tool is still a fool |
27.02.2009, 17:14 | #10 |
| mehrere trojaner in system_volume_information hab ihn jetzt doch platt gemacht..trotzdem danke für die vielen nützlichen informationen..werde sie in zukunft anzuwenden wissen.. |
Themen zu mehrere trojaner in system_volume_information |
7 viren, abgesicherten modus, adobe, antivir, antivirus, antivirus scan, avg, avira, bho, explorer, frage, g data, hijack, hijackthis, hijackthis logfile, internet, internet explorer, laufwerk c, laufwerk d:, logfile, malwarebytes' anti-malware, modul, neu aufgesetzt, nt.dll, programme, prozesse, registry, software, studio, suchlauf, symantec, system, system neu, tr/crypt.xpack.ge, trojaner, tuneup.defrag, verweise, virus gefunden, warnung, windows, windows xp |