| |
| |||||||
Log-Analyse und Auswertung: Hartnäckige Infektion (?)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.03.2009, 21:03
| #1 |
| |  Hartnäckige Infektion (?) Hallo erstmal Am Freitag (also vor 2 Tagen) habe ich mir aus Dummheit einen Virus eingefangen (Verdächtige .exe geöffnet und prompt die Quittung gekriegt  ), naja. Die konkret verursachten Probleme waren:-Das Programm Antivir funktionierte nichtmehr. Neuinstallation war nicht möglich, mit dem Hinweis "Die CRC-Summe in der Datei [...] wurde verändert. Dies könnte von einem Virus verursacht worden sein" -Das Program "Deamon Tools" funktionierte nichtmehr. Eine Neuinstallation war nicht möglich -Das Spiel "Warcraft III" funktionierte nichtmehr. Eine Suche nach der entsprechenden Fehlermeldung auf der Blizzardwebsite ergab, dass eine infektion wahrscheinlich sei. -Beim Booten wurde ca. 10mal ein Fenster mit "Die Anwendung REM hat einen schweren Fehler festgestellt und muss beendet werden usw." geöffnet. Ein solches Programm hatte ich aber nie installiert und war auch nicht in der Softwareliste aufgeführt. -Andere Programme funktionierten unregelmäßig nicht. Ich habe aber nicht alle Programme ausprobiert, es ist also möglich dass ich nicht alle Fehlfunktionen gefunden habe Daraufhin habe ich die Programme "Spybot Search & Destroy", "Spywaredoctor" und "SUPERAntispyware" ausgeführt und suchen lassen. Es wurden auch zahlreiche Infektionen gefunden (ca. 20). Nach Beseitigung dieser fanden zwar alle Programme keine weiteren Infektionen, die Probleme blieben aber bestehen. Daraufhin Installierte ich Windows XP neu, formatierte aber nur die Systempartition (eine komplettformatierung wäre aufgrund der großen zu sichernden Datenmenge äußerst schwierig, weswegen ich eine andere Lösung bevorzugen würde). Die Fehler blieben exakt wie oben beschrieben. Eine erneute Anwendung der o.g. Programme brachte zwar wieder ca 10 Infektionen, aber deren Entfernung immer noch keine Abhilfe. Mittlerweile bin ich am Ende mit meinem C und bitte deswegen höflichst um Hilfe. CCleaner ausgeführt. Malwaredingsda: Code:
ATTFilter Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1813
Windows 5.1.2600 Service Pack 3
01.03.2009 20:51:43
mbam-log-2009-03-01 (20-51-43).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 372328
Laufzeit: 2 hour(s), 6 minute(s), 26 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
D:\System Volume Information\_restore{40E6909E-3B7C-4BEB-87A5-062D7E607BE1}\RP15\A0003049.dll (Hacktool) -> Quarantined and deleted successfully.
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:00:41, on 01.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe C:\WINDOWS\system32\nvsvc32.exe D:\Programme\Spyware Doctor\pctsAuxs.exe D:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\XpertVision\TBPanel.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE D:\Programme\Spyware Doctor\pctsTray.exe D:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe D:\Programme\Steam\Steam.exe D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe D:\Programme\Last.fm\LastFMHelper.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Last.fm\LastFM.exe D:\Programme\Mozilla Thunderbird\thunderbird.exe D:\Programme\Adobe\Reader 9.0\Reader\AcroRd32.exe D:\Programme\SpacialAudio\SAMBC\SAMBC.exe C:\WINDOWS\system32\NOTEPAD.EXE D:\Programme\Malwarebytes' Anti-Malware\mbam.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Last.fm Helper.lnk = D:\Programme\Last.fm\LastFMHelper.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing) -- End of file - 5460 bytes /Edith sagt: Die Logfiles der anderen Virenscanner zu sichern habe ich leider vergessen  |
| Themen zu Hartnäckige Infektion (?) |
| .dll, adobe, alle programme, antivir, beseitigung, bho, bonjour, booten, explorer, fehlermeldung, firefox, gainward, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, malwarebytes' anti-malware, mozilla, mozilla thunderbird, nicht möglich, nvidia, programm, programme, registrierungsschlüssel, rundll, security, superantispyware, virus, virus eingefangen, windows, windows xp |
Baum-Darstellung