| |
| |||||||
Log-Analyse und Auswertung: Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
11.03.2009, 19:38
| #1 |
 |  Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. Hallo liebe Community, hab mir gestern wohl ein Trojaner/Virus/o.ä. eingefangen. Angefangen hat es damit, dass ich keinen Zugriff mehr auf C: bekam: "RECYCLER\S-2-8-25-100022654-100031522-100016613-1419.com" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen." Außerdem kam ich trotz der Meldung "Verbindung hergestellt" nicht mehr ins Netz. Habe darauf hin am Zweit-Rechner gegoogelt und konnte mit Hilfe meines USB-Sticks und des Tools "Autorun-Eater" den Fehler beheben => "autorun.inf" gelöscht => wieder Festplattenzugriff, wieder Internetzugang. Um sicherzugehen, habe ich dann noch adaware, a-squared und nach Recherche hier im Forum auch CCleaner drüberlaufen lassen und alles entfernt, was gefunden wurde. Trotzdem habe ich in unregelmäßigen Abstand ab und zu bluescreens und muss restarten. Außerdem is der Browser (Firefox 3) irgendwie langsamer als sonst und ich werde manchmal zu falschen Seiten weitergeleitet. Bei meinem google-Mail-Account kann ich mich nicht mehr einloggen (funktioniert am Zweit-Rechner tadellos). Software-Updates (z.B. adaware-Updates) sind auch nicht mehr möglich, da angeblich keine Internetverbindung besteht. Was kann ich noch tun, um das Problem loszuwerden? Zu allem Überfluss war zum Zeitpunkt des Befalls eine externe HDD angeschlossen, auf der der "Autorun Eater" bereits die "autorun.inf" vernichtet hat. Kann ich sie nun wieder bedenkenos an andere PCs anschließen oder besteht noch Gefahr? Was ist mit dem USB Stick? Um euch ein paar Infos zu geben, habe ich auch ein HijackThis-Log gemacht: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:07:30, on 11.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Arcade\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\acer\epm\epm-dm.exe C:\Programme\Autorun Eater\oldmcdonald.exe C:\Programme\Autorun Eater\billy.exe c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Home R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{067B1E40-5BAC-4D06-879B-0FB4451DB6DD}: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter O17 - HKLM\System\CCS\Services\Tcpip\..\{43B7001A-3E8E-4C30-849A-F64E22F8B1BE}: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.166,undsoweiter.255.112.undsoweiter O17 - HKLM\System\CS1\Services\Tcpip\..\{067B1E40-5BAC-4D06-879B-0FB4451DB6DD}: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\icf.exe.exe:ext.exe (file missing) O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe -- End of file - 5436 bytes Bei jedem Systemstart kommt die Meldung: "Error: Die Datei oder das Verzeichnis ist beschädigt und nicht lesbar" Nach Bestätigen mit "OK" komme ich ganz normal auf den Desktop. Ich würde wirklich nur ungern formatieren, v.a. die externe Festplatte... Bitte helft mir, ich weiß echt nicht mehr weiter : ( Timo Geändert von TheFiddler (11.03.2009 um 19:58 Uhr) |
|
11.03.2009, 20:10
| #2 |
| | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. Habe jetzt auf Anraten der automatischen Auswertung auf hijackthis.de folgendes "gefixed" und habe jetzt keine Internetverbindung mehr.
__________________ O17 - HKLM\System\CCS\Services\Tcpip\..\{067B1E40-5BAC-4D06-879B-0FB4451DB6DD}: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter O17 - HKLM\System\CCS\Services\Tcpip\..\{43B7001A-3E8E-4C30-849A-F64E22F8B1BE}: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.166,undsoweiter.255.112.undsoweiter O17 - HKLM\System\CS1\Services\Tcpip\..\{067B1E40-5BAC-4D06-879B-0FB4451DB6DD}: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.undsoweiter,85.255.112.undsoweiter O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\icf.exe.exe:ext.exe (file missing) |
|
11.03.2009, 20:21
| #3 |
  | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. Hallo und
__________________ Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas
__________________ |
|
11.03.2009, 20:28
| #4 |
| /// Helfer-Team  | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. moin, kleine Frage: Warum fixt du einfach mal so Einträge aus deinem HJT-Log  Die Online-Auswertung ist nicht Unfehlbar! Wenn du nicht genau weißt, was du da genau fixt, musst du eventuell mit den Folgen leben. Wenn du das Programm startest, kannst du auf dem Button "View the list of Backups" die Änderungen über "Restore" rückgängig machen. Mache anschließend nochmal ein frisches HJT-Logfile! Noch eine Frage: Wieso hast du die IP-Adresse an den jeweiligen Enden mit "undsoweiter" "unbrauchbar" gemacht. Jedenfalls bringt es uns wenig, wenn wir nur Bruchteile sehn... Naja, die ersten 3 IP-Teile weisen auf Odessa hin. D.h. ,dass dein gesamter Internetverkehr über die Ukraine umgeleitet wird und somit alles, was du bspw. an Passwörter eingibst, mitgeloggt wird!! Wenn du Online-Banking o.ä. wie Ebay etc. machst solltest du schnellstens von einem sauberen PC aus deine Zugangsdaten ändern! Gruß Handball10 [EDIT] Oh, da war John schneller. Hab wohl zu lange zum schreiben gebraucht  [/EDIT] |
|
11.03.2009, 20:48
| #5 |
| | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. Sorry, handball10, habs restored, und jetzt auch wieder Internetzugang, danke! Nun besteht immer noch das Problem aus meinem ersten Post. Ich benutze kein Online-Banking und in ebay hab ich von dem befallenen Rechner nicht eingeloggt. Hier das neue Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:44:38, on 11.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\a-squared Free\a2service.exe C:\Acer\eManager\anbmServ.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Arcade\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\acer\epm\epm-dm.exe c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{067B1E40-5BAC-4D06-879B-0FB4451DB6DD}: NameServer = 85.255.112.193,85.255.112.174 O17 - HKLM\System\CCS\Services\Tcpip\..\{43B7001A-3E8E-4C30-849A-F64E22F8B1BE}: NameServer = 85.255.112.193,85.255.112.174 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.193,85.255.112.174 O17 - HKLM\System\CS1\Services\Tcpip\..\{067B1E40-5BAC-4D06-879B-0FB4451DB6DD}: NameServer = 85.255.112.193,85.255.112.174 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.193,85.255.112.174 O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\icf.exe.exe:ext.exe (file missing) O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe -- End of file - 5279 bytes Soll ich den von john.doe empfohlenen "combofix" nun trotzdem durchführen? |
|
11.03.2009, 20:54
| #6 |
| | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. Nö, ich poste nur, weil ich ja sonst nichts besseres zu tun habe.  ciao, andreas
__________________ --> Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. |
|
11.03.2009, 21:13
| #7 |
| | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. Entschuldige meine Planlosigkeit, John! Was muss ich jetzt tun? Bin ich jetzt clean? Hier das Log-File: ComboFix 09-03-10.03 - Andrea 2009-03-11 21:05:47.1 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1022.768 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Andrea\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokume~1\Andrea\LOKALE~1\Temp\tmp1.tmp c:\dokume~1\Andrea\LOKALE~1\Temp\tmp2.tmp c:\windows\system32\drivers\gaopdxxiuyxmftilrlovdkrwkpaswdhabwexvk.sys c:\windows\system32\drivers\npf.sys c:\windows\system32\gaopdxoptmpfulneslbxxyvbnhpfumpixdqwmi.dll c:\windows\system32\packet.dll c:\windows\system32\pthreadVC.dll c:\windows\system32\wpcap.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_gaopdxserv.sys -------\Legacy_ICF -------\Service_ICF -------\Service_NPF ((((((((((((((((((((((( Dateien erstellt von 2009-02-11 bis 2009-03-11 )))))))))))))))))))))))))))))) . 2009-03-11 21:09 . 2009-03-11 21:09 <DIR> d--hs---- C:\FOUND.000 2009-03-11 19:44 . 2009-03-11 19:44 34,816 --a------ c:\windows\system32\drivers\gaopdxvimpulqgkoewqbomtkltqylyfyfsgodx.sys 2009-03-11 19:07 . 2009-03-11 19:07 <DIR> d-------- c:\programme\Trend Micro 2009-03-11 18:27 . 2009-03-11 18:27 <DIR> d-------- c:\programme\CCleaner 2009-03-11 00:14 . 2009-03-11 00:14 <DIR> d-------- c:\programme\a-squared Free 2009-03-10 23:54 . 2009-03-10 23:54 <DIR> d-------- c:\programme\Lavasoft 2009-03-10 23:22 . 2009-03-10 23:22 <DIR> d-------- c:\programme\Autorun Eater 2009-03-10 22:53 . 2009-03-10 23:03 34,816 --a------ c:\windows\system32\drivers\gaopdxaukirflngwuhtabeyxmycpkboeitprqx.sys 2009-03-10 22:47 . 2009-03-10 22:47 0 --a------ c:\windows\system32\8104297.jun 2009-03-10 22:46 . 2009-03-10 22:46 <DIR> d-------- c:\programme\Browser Hijack Recover 2009-03-10 22:13 . 2009-03-11 21:04 4 --a------ c:\windows\system32\gaopdxcounter 2009-03-10 21:02 . 2009-03-10 21:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro 2009-03-10 21:00 . 2009-03-10 21:00 <DIR> d-------- c:\dokumente und einstellungen\Andrea\Anwendungsdaten\DAEMON Tools Pro 2009-03-10 21:00 . 2009-03-10 21:00 717,296 --a------ c:\windows\system32\drivers\sptd.sys 2009-03-08 14:24 . 2009-03-08 14:24 <DIR> d-------- c:\windows\system32\LogFiles 2009-03-08 01:08 . 2009-03-08 01:08 <DIR> d-------- c:\dokumente und einstellungen\Andrea\Anwendungsdaten\OpenOffice.org 2009-03-07 19:03 . 2009-03-07 19:03 <DIR> d-------- C:\Filme Timo 2009-03-05 17:57 . 2004-08-04 05:00 26,496 --a------ c:\windows\system32\dllcache\usbstor.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-19 16:07 --------- d-----w c:\dokumente und einstellungen\Andrea\Anwendungsdaten\AdobeUM 2009-01-06 14:57 499,712 ----a-w c:\windows\system32\msvcp71.dll 2009-01-06 14:57 348,160 ----a-w c:\windows\system32\msvcr71.dll 2008-12-28 13:18 21,840 ----a-w c:\windows\system32\SIntfNT.dll 2008-12-28 13:18 17,212 ----a-w c:\windows\system32\SIntf32.dll 2008-12-28 13:18 12,067 ----a-w c:\windows\system32\SIntf16.dll 2008-12-27 20:47 2,829 ----a-w c:\windows\DIIUnin.pif 2008-12-27 20:47 102,400 ----a-w c:\windows\DIIUnin.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [X] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-02-07 155648] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-02-07 126976] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 98394] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 688218] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "PCMService"="c:\programme\Arcade\PCMService.exe" [2005-03-09 49152] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-01-06 185872] "epm-dm"="c:\acer\epm\epm-dm.exe" [2005-03-28 188416] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2007-05-11 4096] R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2007-05-11 78208] R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2007-05-11 7296] R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2007-05-11 4010] . Inhalt des "geplante Tasks" Ordners 2009-03-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [] . . ------- Zusätzlicher Suchlauf ------- . mWindow Title = uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/ FF - ProfilePath - c:\dokumente und einstellungen\Andrea\Anwendungsdaten\Mozilla\Firefox\Profiles\6jm0utt4.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - true. ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-11 21:09:49 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys] "imagepath"="\systemroot\system32\drivers\gaopdxefyrxoyoxovkjkdxlvjlqeohddqunmwo.sys" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys] @DACL=(02 0000) "start"=dword:00000001 "type"=dword:00000001 "group"="file system" "imagepath"=expand:"\\systemroot\\system32\\drivers\\gaopdxefyrxoyoxovkjkdxlvjlqeohddqunmwo.sys" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(968) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\windows\system32\Ati2evxx.exe c:\programme\a-squared Free\a2service.exe c:\acer\eManager\anbmServ.exe c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-03-11 21:10:50 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-03-11 20:10:50 Vor Suchlauf: 18 Verzeichnis(se), 87,099,473,920 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 87,070,441,472 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect 150 |
|
11.03.2009, 21:38
| #8 | |||
| | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.Zitat:
Zitat:
 Zitat:
Scripten mit Combofix
Code:
ATTFilter KILLALL::
File::
c:\windows\Tasks\Ad-Aware Update (Weekly).job
c:\windows\system32\drivers\gaopdxvimpulqgkoewqbomtkltqylyfyfsgodx.sys
c:\windows\system32\drivers\gaopdxaukirflngwuhtabeyxmycpkboeitprqx.sys
c:\windows\system32\8104297.jun
c:\windows\system32\gaopdxcounter
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"=-
"MSPY2002"=-
"PHIME2002ASync"=-
"PHIME2002A"=-
"TkBellExe"=-
RegLockDel::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]
DirLook::
C:\FOUND.000
C:\Filme Timo
c:\windows\system32\LogFiles
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
11.03.2009, 21:47
| #9 |
| | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. Ich hab's mit der rechten Maustaste draufgezogen, dann kam "Öffnen mit", ich hoffe es hat geklappt. Unten die (hoffentlich) neue Log-File: Völlig verängstigt, Timo & Andrea ComboFix 09-03-10.03 - Andrea 2009-03-11 21:42:40.2 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1022.719 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Andrea\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Andrea\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE :: c:\windows\system32\8104297.jun c:\windows\system32\drivers\gaopdxaukirflngwuhtabeyxmycpkboeitprqx.sys c:\windows\system32\drivers\gaopdxvimpulqgkoewqbomtkltqylyfyfsgodx.sys c:\windows\system32\gaopdxcounter c:\windows\Tasks\Ad-Aware Update (Weekly).job . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\8104297.jun c:\windows\system32\drivers\gaopdxaukirflngwuhtabeyxmycpkboeitprqx.sys c:\windows\system32\drivers\gaopdxvimpulqgkoewqbomtkltqylyfyfsgodx.sys c:\windows\system32\gaopdxcounter c:\windows\Tasks\Ad-Aware Update (Weekly).job . ((((((((((((((((((((((( Dateien erstellt von 2009-02-11 bis 2009-03-11 )))))))))))))))))))))))))))))) . 2009-03-11 21:09 . 2009-03-11 21:09 <DIR> d--hs---- C:\FOUND.000 2009-03-11 19:07 . 2009-03-11 19:07 <DIR> d-------- c:\programme\Trend Micro 2009-03-11 18:27 . 2009-03-11 18:27 <DIR> d-------- c:\programme\CCleaner 2009-03-11 00:14 . 2009-03-11 00:14 <DIR> d-------- c:\programme\a-squared Free 2009-03-10 23:54 . 2009-03-10 23:54 <DIR> d-------- c:\programme\Lavasoft 2009-03-10 23:22 . 2009-03-10 23:22 <DIR> d-------- c:\programme\Autorun Eater 2009-03-10 22:46 . 2009-03-10 22:46 <DIR> d-------- c:\programme\Browser Hijack Recover 2009-03-10 21:02 . 2009-03-10 21:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro 2009-03-10 21:00 . 2009-03-10 21:00 <DIR> d-------- c:\dokumente und einstellungen\Andrea\Anwendungsdaten\DAEMON Tools Pro 2009-03-10 21:00 . 2009-03-10 21:00 717,296 --a------ c:\windows\system32\drivers\sptd.sys 2009-03-08 14:24 . 2009-03-08 14:24 <DIR> d-------- c:\windows\system32\LogFiles 2009-03-08 01:08 . 2009-03-08 01:08 <DIR> d-------- c:\dokumente und einstellungen\Andrea\Anwendungsdaten\OpenOffice.org 2009-03-07 19:03 . 2009-03-07 19:03 <DIR> d-------- C:\Filme Timo 2009-03-05 17:57 . 2004-08-04 05:00 26,496 --a------ c:\windows\system32\dllcache\usbstor.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-19 16:07 --------- d-----w c:\dokumente und einstellungen\Andrea\Anwendungsdaten\AdobeUM 2009-01-06 14:57 499,712 ----a-w c:\windows\system32\msvcp71.dll 2009-01-06 14:57 348,160 ----a-w c:\windows\system32\msvcr71.dll 2008-12-28 13:18 21,840 ----a-w c:\windows\system32\SIntfNT.dll 2008-12-28 13:18 17,212 ----a-w c:\windows\system32\SIntf32.dll 2008-12-28 13:18 12,067 ----a-w c:\windows\system32\SIntf16.dll 2008-12-27 20:47 2,829 ----a-w c:\windows\DIIUnin.pif 2008-12-27 20:47 102,400 ----a-w c:\windows\DIIUnin.exe . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of C:\Filme Timo ---- 2008-10-24 16:53 731340800 --a------ c:\filme timo\Willkommen.bei.den.Schtis.DVDSCR.MD.German.XViD-NTG\ntg-schtis_xvid.avi 2008-09-04 11:03 8460 --a------ c:\filme timo\The.Dark.Knight.DVDSCREENER.Line.Dubbed.German.XviD-VCF\vcf-dark.nfo 2008-09-03 21:38 732327936 --a------ c:\filme timo\The.Dark.Knight.DVDSCREENER.Line.Dubbed.German.XviD-VCF\vcf-dark-b.avi 2008-09-03 21:37 735055872 --a------ c:\filme timo\The.Dark.Knight.DVDSCREENER.Line.Dubbed.German.XviD-VCF\vcf-dark-a.avi 2007-10-14 01:29 626200576 --a------ c:\filme timo\Ratatouille.DVDRip.Line.Dubbed.German.iNTERNAL.XviD-VCF\vcf-rat_b.avi 2007-10-14 01:10 627058688 --a------ c:\filme timo\Ratatouille.DVDRip.Line.Dubbed.German.iNTERNAL.XviD-VCF\vcf-rat_a.avi ---- Directory of C:\FOUND.000 ---- 2009-03-11 21:09 65536 --------- c:\found.000\FILE0028.CHK 2009-03-11 21:09 65536 --------- c:\found.000\FILE0002.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0029.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0027.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0025.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0024.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0023.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0022.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0021.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0020.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0019.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0018.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0017.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0016.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0015.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0014.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0013.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0012.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0011.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0010.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0009.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0008.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0007.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0006.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0005.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0004.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0003.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0001.CHK 2009-03-11 21:09 32768 --------- c:\found.000\FILE0000.CHK 2009-03-11 21:09 163840 --------- c:\found.000\FILE0026.CHK ---- Directory of c:\windows\system32\LogFiles ---- (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-02-07 155648] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-02-07 126976] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 98394] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 688218] "PCMService"="c:\programme\Arcade\PCMService.exe" [2005-03-09 49152] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968] "epm-dm"="c:\acer\epm\epm-dm.exe" [2005-03-28 188416] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2007-05-11 4096] R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2007-05-11 78208] R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2007-05-11 7296] R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2007-05-11 4010] . . ------- Zusätzlicher Suchlauf ------- . mWindow Title = uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/ FF - ProfilePath - c:\dokumente und einstellungen\Andrea\Anwendungsdaten\Mozilla\Firefox\Profiles\6jm0utt4.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - true. ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-11 21:44:31 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(904) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\SYSTEM32\ATI2EVXX.EXE c:\programme\INTEL\WIRELESS\BIN\EVTENG.EXE c:\programme\INTEL\WIRELESS\BIN\S24EVMON.EXE c:\windows\SYSTEM32\ATI2EVXX.EXE c:\programme\A-SQUARED FREE\A2SERVICE.EXE c:\acer\EMANAGER\ANBMSERV.EXE c:\programme\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE c:\programme\INTEL\WIRELESS\BIN\REGSRVC.EXE c:\windows\SYSTEM32\WDFMGR.EXE c:\windows\SYSTEM32\WSCNTFY.EXE . ************************************************************************** . Zeit der Fertigstellung: 2009-03-11 21:45:27 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-03-11 20:45:26 ComboFix2.txt 2009-03-11 20:10:52 Vor Suchlauf: 18 Verzeichnis(se), 87.052.255.232 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 87,038,820,352 Bytes frei 161 |
|
11.03.2009, 22:00
| #10 |
| | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. 1.) Deinstalliere:
2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter c:\windows\system32\drivers\osaio.sys
c:\windows\system32\drivers\osanbm.sys
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
11.03.2009, 22:29
| #11 |
| | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. Ok, zuerst zur osaio.sys: existiert einmal in: C:\WINDOWS\system32\drivers Datei osaio.sys empfangen 2009.03.11 22:15:16 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/39 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 44 und 63 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.11 - AhnLab-V3 5.0.0.2 2009.03.11 - AntiVir 7.9.0.109 2009.03.11 - Authentium 5.1.0.4 2009.03.11 - Avast 4.8.1335.0 2009.03.11 - AVG 8.0.0.237 2009.03.11 - BitDefender 7.2 2009.03.11 - CAT-QuickHeal 10.00 2009.03.11 - ClamAV 0.94.1 2009.03.11 - Comodo 1049 2009.03.11 - DrWeb 4.44.0.09170 2009.03.11 - eSafe 7.0.17.0 2009.03.11 - eTrust-Vet 31.6.6388 2009.03.09 - F-Prot 4.4.4.56 2009.03.11 - F-Secure 8.0.14470.0 2009.03.11 - Fortinet 3.117.0.0 2009.03.11 - GData 19 2009.03.11 - Ikarus T3.1.1.45.0 2009.03.11 - K7AntiVirus 7.10.667 2009.03.11 - Kaspersky 7.0.0.125 2009.03.11 - McAfee 5550 2009.03.11 - McAfee+Artemis 5550 2009.03.11 - Microsoft 1.4405 2009.03.11 - NOD32 3928 2009.03.11 - Norman 6.00.06 2009.03.11 - nProtect 2009.1.8.0 2009.03.11 - Panda 10.0.0.10 2009.03.11 - PCTools 4.4.2.0 2009.03.11 - Prevx1 V2 2009.03.11 - Rising 21.20.22.00 2009.03.11 - SecureWeb-Gateway 6.7.6 2009.03.11 - Sophos 4.39.0 2009.03.11 - Sunbelt 3.2.1858.2 2009.03.11 - Symantec 1.4.4.12 2009.03.11 - TheHacker 6.3.3.0.279 2009.03.11 - TrendMicro 8.700.0.1004 2009.03.11 - VBA32 3.12.10.1 2009.03.11 - ViRobot 2009.3.11.1645 2009.03.11 - VirusBuster 4.5.11.0 2009.03.11 - weitere Informationen File size: 7296 bytes MD5...: 9d1177c2a8de936b33d85ff75e8cbf1a SHA1..: 78b5669f240d58d74f75e44f03c71ea4641dd102 SHA256: 82525e25441c4f3a3de6a8d2dfd6121592c25a99a9e506f05f158cdc3c17ab51 SHA512: ae5d8960fc47dd2c3a29d81ee8021e5ace27ea87017caf96affc9c6b541425e7 c1ce4f2c632f162520572d8d383418a37c7407db5d25845df52c64c3099b16e5 ssdeep: 96:I44YafOGpje9XUnHCQVlLfIvffhd1BSuacMBaVofLQqQUXU:8YdGpPnHfVVfI vf5pSuYOMU PEiD..: - TrID..: File type identification Win32 Executable Generic (58.4%) Clipper DOS Executable (13.8%) Generic Win/DOS Executable (13.7%) DOS Executable Generic (13.7%) VXD Driver (0.2%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x11a4 timedatestamp.....: 0x42c39636 (Thu Jun 30 06:50:30 2005) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x480 0xe18 0xe80 6.28 135a69427eebb8c495baf0a99f32d550 .rdata 0x1300 0x144 0x180 3.19 f1b4852992923c814442a78afb95d6f5 .data 0x1480 0x4 0x80 0.26 8a65a8f2c1c961d9edecdac3bad497bb INIT 0x1500 0x220 0x280 4.51 d4e690a132508388d8cd611730313d2e .rsrc 0x1780 0x3e8 0x400 3.39 7f2190aca05c54aec10c5b7d00876a4b .reloc 0x1b80 0x9e 0x100 3.08 1ac1ab98e222210237b2aaa2bfaa857c ( 2 imports ) > ntoskrnl.exe: IoDeleteDevice, IoDeleteSymbolicLink, RtlInitUnicodeString, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, ExAllocatePoolWithTag, ExFreePool, _except_handler3, strncmp, MmUnmapIoSpace, KeInitializeSpinLock, MmMapIoSpace > HAL.dll: KfReleaseSpinLock, KeStallExecutionProcessor, WRITE_PORT_UCHAR, READ_PORT_UCHAR, HalGetBusData, KfAcquireSpinLock ( 0 exports ) CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9d1177c2a8de936b33d85ff75e8cbf1a' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9d1177c2a8de936b33d85ff75e8cbf1a</a> dann noch einmal in: C:\Acer\eManager Datei osaio.sys empfangen 2009.03.11 22:12:57 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/39 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 38 und 54 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.11 - AhnLab-V3 5.0.0.2 2009.03.11 - AntiVir 7.9.0.109 2009.03.11 - Authentium 5.1.0.4 2009.03.11 - Avast 4.8.1335.0 2009.03.11 - AVG 8.0.0.237 2009.03.11 - BitDefender 7.2 2009.03.11 - CAT-QuickHeal 10.00 2009.03.11 - ClamAV 0.94.1 2009.03.11 - Comodo 1049 2009.03.11 - DrWeb 4.44.0.09170 2009.03.11 - eSafe 7.0.17.0 2009.03.11 - eTrust-Vet 31.6.6388 2009.03.09 - F-Prot 4.4.4.56 2009.03.11 - F-Secure 8.0.14470.0 2009.03.11 - Fortinet 3.117.0.0 2009.03.11 - GData 19 2009.03.11 - Ikarus T3.1.1.45.0 2009.03.11 - K7AntiVirus 7.10.667 2009.03.11 - Kaspersky 7.0.0.125 2009.03.11 - McAfee 5550 2009.03.11 - McAfee+Artemis 5550 2009.03.11 - Microsoft 1.4405 2009.03.11 - NOD32 3928 2009.03.11 - Norman 6.00.06 2009.03.11 - nProtect 2009.1.8.0 2009.03.11 - Panda 10.0.0.10 2009.03.11 - PCTools 4.4.2.0 2009.03.11 - Prevx1 V2 2009.03.11 - Rising 21.20.22.00 2009.03.11 - SecureWeb-Gateway 6.7.6 2009.03.11 - Sophos 4.39.0 2009.03.11 - Sunbelt 3.2.1858.2 2009.03.11 - Symantec 1.4.4.12 2009.03.11 - TheHacker 6.3.3.0.279 2009.03.11 - TrendMicro 8.700.0.1004 2009.03.11 - VBA32 3.12.10.1 2009.03.11 - ViRobot 2009.3.11.1645 2009.03.11 - VirusBuster 4.5.11.0 2009.03.11 - weitere Informationen File size: 7296 bytes MD5...: 9d1177c2a8de936b33d85ff75e8cbf1a SHA1..: 78b5669f240d58d74f75e44f03c71ea4641dd102 SHA256: 82525e25441c4f3a3de6a8d2dfd6121592c25a99a9e506f05f158cdc3c17ab51 SHA512: ae5d8960fc47dd2c3a29d81ee8021e5ace27ea87017caf96affc9c6b541425e7 c1ce4f2c632f162520572d8d383418a37c7407db5d25845df52c64c3099b16e5 ssdeep: 96:I44YafOGpje9XUnHCQVlLfIvffhd1BSuacMBaVofLQqQUXU:8YdGpPnHfVVfI vf5pSuYOMU PEiD..: - TrID..: File type identification Win32 Executable Generic (58.4%) Clipper DOS Executable (13.8%) Generic Win/DOS Executable (13.7%) DOS Executable Generic (13.7%) VXD Driver (0.2%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x11a4 timedatestamp.....: 0x42c39636 (Thu Jun 30 06:50:30 2005) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x480 0xe18 0xe80 6.28 135a69427eebb8c495baf0a99f32d550 .rdata 0x1300 0x144 0x180 3.19 f1b4852992923c814442a78afb95d6f5 .data 0x1480 0x4 0x80 0.26 8a65a8f2c1c961d9edecdac3bad497bb INIT 0x1500 0x220 0x280 4.51 d4e690a132508388d8cd611730313d2e .rsrc 0x1780 0x3e8 0x400 3.39 7f2190aca05c54aec10c5b7d00876a4b .reloc 0x1b80 0x9e 0x100 3.08 1ac1ab98e222210237b2aaa2bfaa857c ( 2 imports ) > ntoskrnl.exe: IoDeleteDevice, IoDeleteSymbolicLink, RtlInitUnicodeString, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, ExAllocatePoolWithTag, ExFreePool, _except_handler3, strncmp, MmUnmapIoSpace, KeInitializeSpinLock, MmMapIoSpace > HAL.dll: KfReleaseSpinLock, KeStallExecutionProcessor, WRITE_PORT_UCHAR, READ_PORT_UCHAR, HalGetBusData, KfAcquireSpinLock ( 0 exports ) CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9d1177c2a8de936b33d85ff75e8cbf1a' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9d1177c2a8de936b33d85ff75e8cbf1a</a> Jetzt zur osanbm.sys, existiert einmal in: C:\WINDOWS\system32\drivers Datei osanbm.sys empfangen 2009.03.11 22:21:08 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/39 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.11 - AhnLab-V3 5.0.0.2 2009.03.11 - AntiVir 7.9.0.109 2009.03.11 - Authentium 5.1.0.4 2009.03.11 - Avast 4.8.1335.0 2009.03.11 - AVG 8.0.0.237 2009.03.11 - BitDefender 7.2 2009.03.11 - CAT-QuickHeal 10.00 2009.03.11 - ClamAV 0.94.1 2009.03.11 - Comodo 1049 2009.03.11 - DrWeb 4.44.0.09170 2009.03.11 - eSafe 7.0.17.0 2009.03.11 - eTrust-Vet 31.6.6388 2009.03.09 - F-Prot 4.4.4.56 2009.03.11 - F-Secure 8.0.14470.0 2009.03.11 - Fortinet 3.117.0.0 2009.03.11 - GData 19 2009.03.11 - Ikarus T3.1.1.45.0 2009.03.11 - K7AntiVirus 7.10.667 2009.03.11 - Kaspersky 7.0.0.125 2009.03.11 - McAfee 5550 2009.03.11 - McAfee+Artemis 5550 2009.03.11 - Microsoft 1.4405 2009.03.11 - NOD32 3928 2009.03.11 - Norman 6.00.06 2009.03.11 - nProtect 2009.1.8.0 2009.03.11 - Panda 10.0.0.10 2009.03.11 - PCTools 4.4.2.0 2009.03.11 - Prevx1 V2 2009.03.11 - Rising 21.20.22.00 2009.03.11 - SecureWeb-Gateway 6.7.6 2009.03.11 - Sophos 4.39.0 2009.03.11 - Sunbelt 3.2.1858.2 2009.03.11 - Symantec 1.4.4.12 2009.03.11 - TheHacker 6.3.3.0.279 2009.03.11 - TrendMicro 8.700.0.1004 2009.03.11 - VBA32 3.12.10.1 2009.03.11 - ViRobot 2009.3.11.1645 2009.03.11 - VirusBuster 4.5.11.0 2009.03.11 - weitere Informationen File size: 4010 bytes MD5...: 3245bee5176697faf0744a2e1288dc77 SHA1..: 9879330af12e858665ab90b20356e67ee46ac90d SHA256: 8b043a0b5b6ae88f04e1c5ff59f81eaa7469f2d467db09d81747ccc8799837fa SHA512: faf3428aa80ad38f8e67d162465b4d19b7c582cf0300a379ac2640f9d13e0756 0074f8c69579966a76e4a2fd3c84e150300e036222e99b050236acc434b43d28 ssdeep: 96:EvUFKVq/4lEWcOz8G5Ig0kbbZL72fOOcxl:73xuz8GJbR722OUl PEiD..: - TrID..: File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x306 timedatestamp.....: 0x41e76190 (Fri Jan 14 06:07:12 2005) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x2c0 0x4f6 0x500 6.23 18e3eef8f2eb120cb7da3869926e51b5 .rdata 0x7c0 0x84 0xa0 2.12 c15b68261e7949927a81b545d59c4387 .data 0x860 0x8 0x20 0.00 70bc8f4b72a86921468bf8e8441dce51 INIT 0x880 0x126 0x140 4.34 96cf43d8468eab73a66dc197f54de76a .rsrc 0x9c0 0x3a0 0x3a0 3.37 bc21f3877fd5e638c24c4ac0a530d05f .reloc 0xd60 0x5c 0x60 3.94 98e5b3161bdf5db6ebce8fb48c8678f4 ( 1 imports ) > ntoskrnl.exe: DbgPrint, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, MmUnmapIoSpace, RtlCompareMemory, MmMapIoSpace ( 0 exports ) und noch einmal in: C:\Acer\eManager Datei osanbm.sys empfangen 2009.03.11 22:23:03 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/39 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 44 und 63 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.11 - AhnLab-V3 5.0.0.2 2009.03.11 - AntiVir 7.9.0.109 2009.03.11 - Authentium 5.1.0.4 2009.03.11 - Avast 4.8.1335.0 2009.03.11 - AVG 8.0.0.237 2009.03.11 - BitDefender 7.2 2009.03.11 - CAT-QuickHeal 10.00 2009.03.11 - ClamAV 0.94.1 2009.03.11 - Comodo 1049 2009.03.11 - DrWeb 4.44.0.09170 2009.03.11 - eSafe 7.0.17.0 2009.03.11 - eTrust-Vet 31.6.6388 2009.03.09 - F-Prot 4.4.4.56 2009.03.11 - F-Secure 8.0.14470.0 2009.03.11 - Fortinet 3.117.0.0 2009.03.11 - GData 19 2009.03.11 - Ikarus T3.1.1.45.0 2009.03.11 - K7AntiVirus 7.10.667 2009.03.11 - Kaspersky 7.0.0.125 2009.03.11 - McAfee 5550 2009.03.11 - McAfee+Artemis 5550 2009.03.11 - Microsoft 1.4405 2009.03.11 - NOD32 3928 2009.03.11 - Norman 6.00.06 2009.03.11 - nProtect 2009.1.8.0 2009.03.11 - Panda 10.0.0.10 2009.03.11 - PCTools 4.4.2.0 2009.03.11 - Prevx1 V2 2009.03.11 - Rising 21.20.22.00 2009.03.11 - SecureWeb-Gateway 6.7.6 2009.03.11 - Sophos 4.39.0 2009.03.11 - Sunbelt 3.2.1858.2 2009.03.11 - Symantec 1.4.4.12 2009.03.11 - TheHacker 6.3.3.0.279 2009.03.11 - TrendMicro 8.700.0.1004 2009.03.11 - VBA32 3.12.10.1 2009.03.11 - ViRobot 2009.3.11.1645 2009.03.11 - VirusBuster 4.5.11.0 2009.03.11 - weitere Informationen File size: 4010 bytes MD5...: 3245bee5176697faf0744a2e1288dc77 SHA1..: 9879330af12e858665ab90b20356e67ee46ac90d SHA256: 8b043a0b5b6ae88f04e1c5ff59f81eaa7469f2d467db09d81747ccc8799837fa SHA512: faf3428aa80ad38f8e67d162465b4d19b7c582cf0300a379ac2640f9d13e0756 0074f8c69579966a76e4a2fd3c84e150300e036222e99b050236acc434b43d28 ssdeep: 96:EvUFKVq/4lEWcOz8G5Ig0kbbZL72fOOcxl:73xuz8GJbR722OUl PEiD..: - TrID..: File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x306 timedatestamp.....: 0x41e76190 (Fri Jan 14 06:07:12 2005) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x2c0 0x4f6 0x500 6.23 18e3eef8f2eb120cb7da3869926e51b5 .rdata 0x7c0 0x84 0xa0 2.12 c15b68261e7949927a81b545d59c4387 .data 0x860 0x8 0x20 0.00 70bc8f4b72a86921468bf8e8441dce51 INIT 0x880 0x126 0x140 4.34 96cf43d8468eab73a66dc197f54de76a .rsrc 0x9c0 0x3a0 0x3a0 3.37 bc21f3877fd5e638c24c4ac0a530d05f .reloc 0xd60 0x5c 0x60 3.94 98e5b3161bdf5db6ebce8fb48c8678f4 ( 1 imports ) > ntoskrnl.exe: DbgPrint, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, MmUnmapIoSpace, RtlCompareMemory, MmMapIoSpace ( 0 exports ) ein dickes Danke für deine Mühen! Timo & Andrea |
|
11.03.2009, 22:51
| #12 |
| | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. OK. Das sieht doch schon viel freundlicher aus. 1.) Start => Ausführen => combofix /u => OK 2.) Die Liste abarbeiten, die unter Punkt 2 zu finden ist: http://www.trojaner-board.de/69886-a...-beachten.html 3.) SuperAntiSpyware laufen lassen und Log posten. Den abgesicherten Modus kannst du dir sparen. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
12.03.2009, 01:31
| #13 |
| | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. Ok, es hat ewig gedauert, aber hier meine Logs: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1837 Windows 5.1.2600 Service Pack 2 11.03.2009 23:20:01 mbam-log-2009-03-11 (23-20-01).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|) Durchsuchte Objekte: 134831 Laufzeit: 15 minute(s), 17 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:22:45, on 11.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Arcade\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\acer\epm\epm-dm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe -- End of file - 4056 bytes Acer eManager for Notebook Acer eNetManagement Acer ePowerManagement Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Adobe Reader 6.0 Arcade 3.0 ATI - Dienstprogramm zur Deinstallation der Software ATI Control Panel ATI Display Driver CCleaner (remove only) Conexant AC-Link Audio Diablo II HijackThis 2.0.2 ICQ6.5 Intel(R) PROSet/Wireless Software IrfanView (remove only) Malwarebytes' Anti-Malware mCore mMHouse Mozilla Firefox (3.0.7) mPfMgr mProSafe MSXML 4.0 SP2 (KB925672) mWlsSafe OpenOffice.org 3.0 PowerProducer RealPlayer SoftV92 Data Fax Modem with SmartCP Synaptics Pointing Device Driver Texas Instruments PCIxx21/x515 drivers. Visual C++ 2008 x86 Runtime - (v9.0.30729) Visual C++ 2008 x86 Runtime - v9.0.30729.01 VLC media player 0.9.8a WIDCOMM Bluetooth Software Winamp Windows Driver Package - Intel (NETw5x32) net (11/17/2008 12.2.0.11) Windows Driver Package - Intel (w29n51) net (12/19/2007 9.0.4.39) Windows Media Format Runtime SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 03/12/2009 at 01:22 AM Application Version : 4.25.1014 Core Rules Database Version : 3792 Trace Rules Database Version: 1748 Scan type : Complete Scan Total Scan Time : 01:50:41 Memory items scanned : 384 Memory threats detected : 0 Registry items scanned : 3367 Registry threats detected : 0 File items scanned : 74869 File threats detected : 0 Sieht gut aus, oder? Vielen vielen Dank, John! Oder muss ich noch irgendetwas tun? Gute Nacht Timo & Andrea  |
|
12.03.2009, 17:14
| #14 | |
| | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.Zitat:
 1.) Deinstalliere alle Programme, die wir eingesetzt haben (MalwareBytes kannst du behalten). 2.) Deinstalliere Acrobat Reader (hoffnungslos veraltet) 3.) Installiere (Toolbars immer abwählen, Haken weg):
Code:
ATTFilter O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
12.03.2009, 21:43
| #15 |
| | Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. Hey John, hab alles gemacht, was du geschrieben hast! O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent war nicht mehr dabei, dafür hatte ich: O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present zweimal ô_Ô Vielen vielen Dank nochmal! Timo & Andrea |
|
| Themen zu Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc. |
| .com, bluescree, browser, einloggen, error, explorer, fehler, festplatte, firefox, hijack, hkus\s-1-5-18, home, icq, internet explorer, keine internetverbindung, microsoft, monitor, mozilla, nicht gefunden, notebook, problem, programme, seiten, suche, system, trojaner, windows, windows xp |
Linear-Darstellung
