|
Log-Analyse und Auswertung: Laptop im Schneckentempo - mit LogfileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.08.2009, 16:32 | #16 |
| Laptop im Schneckentempo - mit Logfile Hier noch der Screenshot aus PrevX http://www.pic-upload.de/view-2743124/prevx.jpg.html |
06.08.2009, 06:37 | #17 |
| Laptop im Schneckentempo - mit Logfile Hi,
__________________Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\optikkopie\system\pbackup.exe C:\Programme\HomeCinema\YouCam\LTCLR13n.dll c:\Programme\Prisma\ser...\Prisma Datensicherung.lnk <- Pfad ergänzen bzw. Datei suchen
Danach bitte die Systemwiederherstellung plätten wie folgt: Systemwiederherstellung löschen BSI-Faltblattt (http://www.bsi.de/literat/faltbl/F24VirenundCo.htm) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Einge der versteckten Dateien tummeln sich im temporären Verzeichnis für den Internetexplorer, daher CCleaner anwenden: Anleitung & Download: http://www.trojaner-board.de/51464-anleitung-ccleaner.html Der Rest läuft wohl über ein Backupverzeichnis, oder (C:\RRbackups), das sollte (wenn Du das bestätigen kannst), Okay sein... Allgemeine Optimierung: Ggf. vorher Backup machen Lade Dir "Advanced Windowscare Professional" von folgender Adresse: http://www.iobit.com/advancedwindowscareper.html?Str=download Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Führe dann einen Update der Signatur/Reperaturdateien aus. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Damit werden einige Einträge wieder gerade gebogen, die von Trojaneren/Viren verbogen worden sind... Was mir bisher noch nie passiert ist, dass GMER keinen (direkten) Zugriff auf die Laufwerke erhält, das gefällt mir nicht... chris
__________________ |
06.08.2009, 08:26 | #18 |
| Laptop im Schneckentempo - mit Logfile c:\optikkopie\system\pbackup.exe
__________________Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.08.06 Trojan-Spy.Banker!IK AhnLab-V3 5.0.0.2 2009.08.05 - AntiVir 7.9.0.240 2009.08.05 - Antiy-AVL 2.0.3.7 2009.08.05 - Authentium 5.1.2.4 2009.08.06 - Avast 4.8.1335.0 2009.08.06 - AVG 8.5.0.406 2009.08.05 - BitDefender 7.2 2009.08.06 - CAT-QuickHeal 10.00 2009.08.06 - ClamAV 0.94.1 2009.08.06 - Comodo 1883 2009.08.06 - DrWeb 5.0.0.12182 2009.08.06 - eSafe 7.0.17.0 2009.08.05 Suspicious File eTrust-Vet 31.6.6661 2009.08.06 - F-Prot 4.4.4.56 2009.08.05 - F-Secure 8.0.14470.0 2009.08.06 - Fortinet 3.120.0.0 2009.08.06 - GData 19 2009.08.06 - Ikarus T3.1.1.64.0 2009.08.06 Trojan-Spy.Banker Jiangmin 11.0.800 2009.08.06 - K7AntiVirus 7.10.811 2009.08.05 - Kaspersky 7.0.0.125 2009.08.06 - McAfee 5699 2009.08.05 - McAfee+Artemis 5699 2009.08.05 - McAfee-GW-Edition 6.8.5 2009.08.06 - Microsoft 1.4903 2009.08.06 - NOD32 4310 2009.08.05 - Norman 6.01.09 2009.08.05 - nProtect 2009.1.8.0 2009.08.06 - Panda 10.0.0.14 2009.08.05 - PCTools 4.4.2.0 2009.08.05 - Prevx 3.0 2009.08.06 High Risk System Back Door Rising 21.41.31.00 2009.08.06 - Sophos 4.44.0 2009.08.06 - Sunbelt 3.2.1858.2 2009.08.05 - Symantec 1.4.4.12 2009.08.06 - TheHacker 6.3.4.3.377 2009.08.05 - TrendMicro 8.950.0.1094 2009.08.06 - VBA32 3.12.10.9 2009.08.06 - ViRobot 2009.8.6.1870 2009.08.06 - VirusBuster 4.6.5.0 2009.08.05 - weitere Informationen File size: 229888 bytes MD5...: 7390dc8e73aa4f210a326b6d224e015c SHA1..: 405a2bf859141337782b79ede120d60315d6dd25 SHA256: 48d6013217fa4c59abb8ca8a3ce342c3f09c7a00f1042a7cb331a6b1cf1bc299 ssdeep: 6144:qPKjjhZGLJHPYc4SGBPrDD79guSi3RXpcXQ+1y+:qijjhKHgcGBDDD79c2Z Ib1y PEiD..: - TrID..: File type identification UPX compressed Win32 Executable (38.5%) Win32 EXE Yoda's Crypter (33.4%) Win32 Executable Generic (10.7%) Win32 Dynamic Link Library (generic) (9.5%) Win16/32 Executable Delphi generic (2.6%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x9bc00 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x65000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x66000 0x36000 0x35e00 7.93 2f72a9b76b370e8b463ba5c442b13a75 .rsrc 0x9c000 0x2000 0x2000 4.36 2d8b599f013e0eb1ff66b5f98bb561ed ( 8 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess > advapi32.dll: RegCloseKey > comctl32.dll: ImageList_Add > gdi32.dll: SaveDC > oleaut32.dll: VariantCopy > shell32.dll: SHGetMalloc > user32.dll: GetDC > version.dll: VerQueryValueA ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX packers (F-Prot): UPX Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E79388D90061706F821C03F994BB8300F2607770' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E79388D90061706F821C03F994BB8300F2607770</a> |
06.08.2009, 08:31 | #19 |
| Laptop im Schneckentempo - mit Logfile C:\Programme\HomeCinema\YouCam\LTCLR13n.dll Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.08.06 - AhnLab-V3 5.0.0.2 2009.08.05 - AntiVir 7.9.0.240 2009.08.05 - Antiy-AVL 2.0.3.7 2009.08.05 - Authentium 5.1.2.4 2009.08.06 - Avast 4.8.1335.0 2009.08.06 - AVG 8.5.0.406 2009.08.05 - BitDefender 7.2 2009.08.06 - CAT-QuickHeal 10.00 2009.08.06 - ClamAV 0.94.1 2009.08.06 - Comodo 1883 2009.08.06 - DrWeb 5.0.0.12182 2009.08.06 - eSafe 7.0.17.0 2009.08.05 - eTrust-Vet 31.6.6661 2009.08.06 - F-Prot 4.4.4.56 2009.08.05 - F-Secure 8.0.14470.0 2009.08.06 - Fortinet 3.120.0.0 2009.08.06 - GData 19 2009.08.06 - Ikarus T3.1.1.64.0 2009.08.06 - Jiangmin 11.0.800 2009.08.06 - K7AntiVirus 7.10.811 2009.08.05 - Kaspersky 7.0.0.125 2009.08.06 - McAfee 5699 2009.08.05 - McAfee+Artemis 5699 2009.08.05 - McAfee-GW-Edition 6.8.5 2009.08.06 - Microsoft 1.4903 2009.08.06 - NOD32 4310 2009.08.05 - Norman 6.01.09 2009.08.05 - nProtect 2009.1.8.0 2009.08.06 - Panda 10.0.0.14 2009.08.05 - PCTools 4.4.2.0 2009.08.05 - Prevx 3.0 2009.08.06 - Rising 21.41.31.00 2009.08.06 - Sophos 4.44.0 2009.08.06 - Sunbelt 3.2.1858.2 2009.08.05 - Symantec 1.4.4.12 2009.08.06 - TheHacker 6.3.4.3.377 2009.08.05 - TrendMicro 8.950.0.1094 2009.08.06 - VBA32 3.12.10.9 2009.08.06 - ViRobot 2009.8.6.1870 2009.08.06 - VirusBuster 4.6.5.0 2009.08.05 - weitere Informationen File size: 1699112 bytes MD5...: 4ce2bed4685248ac4f50877bb0448d28 SHA1..: 0e3326c56a0d1074608c1ad172223d17342e9d17 SHA256: 9ecef133ab0b3f04abb3a2d9cc788aaafa02a691f778090c639ebfb9f8e906e7 ssdeep: 24576:KpZg9scjWj/old9HJwhCY/FdmNT1IaXnBBBd6KwnGWlc549vfbCCard5Fz :/BZwhCI0zhgLCCAd5Fz PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1c6a0 timedatestamp.....: 0x3f099845 (Mon Jul 07 15:56:53 2003) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x25690 0x25800 6.65 4780edfb4ecd0791ff841c1b864b3b7c .rdata 0x27000 0x1f2c 0x2000 5.42 8f37215ba88661bf59f45650270e44cb .data 0x29000 0x8c14 0x3e00 2.41 f43aa58486f351c4c0dc41a763d0a48a .rsrc 0x32000 0x16ed60 0x16ee00 6.71 756f7aece5b9ba09ec7608239f1ce7d4 .reloc 0x1a1000 0x2ea6 0x3000 4.53 c4b0afe4f4adce073426d16d4038e78e ( 4 imports ) > KERNEL32.dll: TlsFree, IsBadReadPtr, lstrcpyA, lstrlenA, LockResource, SizeofResource, LoadResource, FindResourceA, MulDiv, CloseHandle, ReadFile, SetFilePointer, GetLastError, CreateFileA, GetStartupInfoA, GetModuleFileNameA, GetFileType, GetLocaleInfoW, SetEndOfFile, RtlUnwind, GetCommandLineA, GetVersion, GetProcAddress, GetModuleHandleA, RaiseException, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, ExitProcess, HeapFree, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, IsBadWritePtr, SetLastError, TlsGetValue, SetHandleCount, GetStdHandle, GetLocaleInfoA, WriteFile, GetCPInfo, GetACP, GetOEMCP, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, WideCharToMultiByte, HeapDestroy, HeapCreate, VirtualFree, FlushFileBuffers, InterlockedDecrement, InterlockedIncrement, HeapAlloc, VirtualAlloc, SetStdHandle, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, LoadLibraryA > USER32.dll: SetWindowTextA, GetWindowLongA, EndDialog, GetDlgItem, SendMessageA, EnableWindow, DialogBoxParamA, SetWindowLongA > comdlg32.dll: GetOpenFileNameA > LTKRN13N.dll: -, -, -, - ( 10 exports ) DllMain, L_ClrConvert, L_ClrConvertDirect, L_ClrConvertDirectToBitmap, L_ClrConvertToBitmap, L_ClrDlg, L_ClrFree, L_ClrInit, L_ClrIsValid, L_ClrSetConversionParams PDFiD.: - RDS...: NSRL Reference Data Set |
06.08.2009, 08:34 | #20 |
| Laptop im Schneckentempo - mit Logfile c:\Programme\Prisma\ser...\Prisma Datensicherung.lnk Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.08.06 Trojan-Spy.Banker!IK AhnLab-V3 5.0.0.2 2009.08.05 - AntiVir 7.9.0.240 2009.08.05 - Antiy-AVL 2.0.3.7 2009.08.05 - Authentium 5.1.2.4 2009.08.06 - Avast 4.8.1335.0 2009.08.06 - AVG 8.5.0.406 2009.08.05 - BitDefender 7.2 2009.08.06 - CAT-QuickHeal 10.00 2009.08.06 - ClamAV 0.94.1 2009.08.06 - Comodo 1883 2009.08.06 - DrWeb 5.0.0.12182 2009.08.06 - eSafe 7.0.17.0 2009.08.05 Suspicious File eTrust-Vet 31.6.6661 2009.08.06 - F-Prot 4.4.4.56 2009.08.05 - F-Secure 8.0.14470.0 2009.08.06 - Fortinet 3.120.0.0 2009.08.06 - GData 19 2009.08.06 - Ikarus T3.1.1.64.0 2009.08.06 Trojan-Spy.Banker Jiangmin 11.0.800 2009.08.06 - K7AntiVirus 7.10.811 2009.08.05 - Kaspersky 7.0.0.125 2009.08.06 - McAfee 5699 2009.08.05 - McAfee+Artemis 5699 2009.08.05 - McAfee-GW-Edition 6.8.5 2009.08.06 - Microsoft 1.4903 2009.08.06 - NOD32 4310 2009.08.05 - Norman 6.01.09 2009.08.05 - nProtect 2009.1.8.0 2009.08.06 - Panda 10.0.0.14 2009.08.05 - PCTools 4.4.2.0 2009.08.05 - Prevx 3.0 2009.08.06 High Risk System Back Door Rising 21.41.31.00 2009.08.06 - Sophos 4.44.0 2009.08.06 - Sunbelt 3.2.1858.2 2009.08.05 - Symantec 1.4.4.12 2009.08.06 - TheHacker 6.3.4.3.377 2009.08.05 - TrendMicro 8.950.0.1094 2009.08.06 - VBA32 3.12.10.9 2009.08.06 - ViRobot 2009.8.6.1870 2009.08.06 - VirusBuster 4.6.5.0 2009.08.05 - weitere Informationen File size: 229888 bytes MD5...: 7390dc8e73aa4f210a326b6d224e015c SHA1..: 405a2bf859141337782b79ede120d60315d6dd25 SHA256: 48d6013217fa4c59abb8ca8a3ce342c3f09c7a00f1042a7cb331a6b1cf1bc299 ssdeep: 6144:qPKjjhZGLJHPYc4SGBPrDD79guSi3RXpcXQ+1y+:qijjhKHgcGBDDD79c2Z Ib1y PEiD..: - TrID..: File type identification UPX compressed Win32 Executable (38.5%) Win32 EXE Yoda's Crypter (33.4%) Win32 Executable Generic (10.7%) Win32 Dynamic Link Library (generic) (9.5%) Win16/32 Executable Delphi generic (2.6%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x9bc00 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x65000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x66000 0x36000 0x35e00 7.93 2f72a9b76b370e8b463ba5c442b13a75 .rsrc 0x9c000 0x2000 0x2000 4.36 2d8b599f013e0eb1ff66b5f98bb561ed ( 8 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess > advapi32.dll: RegCloseKey > comctl32.dll: ImageList_Add > gdi32.dll: SaveDC > oleaut32.dll: VariantCopy > shell32.dll: SHGetMalloc > user32.dll: GetDC > version.dll: VerQueryValueA ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX packers (F-Prot): UPX Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E79388D90061706F821C03F994BB8300F2607770' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E79388D90061706F821C03F994BB8300F2607770</a> |
06.08.2009, 09:52 | #21 |
| Laptop im Schneckentempo - mit Logfile Hi, die Files Code:
ATTFilter c:\Programme\Prisma\ser...\Prisma Datensicherung.lnk und c:\optikkopie\system\pbackup.exe hänge jeweils ein .vir an -> pbackup.exe.vir und Prisma Datensicherung.lnk.vir Was macht der Rechner? chris
__________________ --> Laptop im Schneckentempo - mit Logfile |
07.08.2009, 09:47 | #22 |
| Laptop im Schneckentempo - mit Logfile Hi again, danke fuer Deine weiteren Tips. Erst konnte ich manches nicht durchfuehren, doch nachdem 'Advanced Windowscare Professional' gelaufen war, lief endlich Checkdisk wieder und ich kam auch wieder in den abgesicherten Modus - juchu. Dort habe ich die volle Phalanx an Viren,- Spy- und Malwareproggies nochmal drueberlaufen lassen und es wurde nochmal einiges gefunden und entfernt. Nun funktioniert auch GMER, und das Logfile ist untenan. Die beiden Dateien habe ich umbenannt, jedoch wurden sie von keinem der Programme entfernt...tauchten aber auch nicht mehr in der Liste der befallenen Dateien auf. Ansonsten laeuft der Rechner gefuehlsmaessig viel schneller, wenn auch meiner Meinung nicht so schnell, wie das System laeufen sollte... (fast 2 min fuer vollen Bootvorgang, und es ist weder viel installiert noch viel im Autostart) doch Programme starten ausreichend schnell und alles laeuft fluessig, womit ich mal zufrieden bin - es sei denn, Du findest in dem Logfile unten noch eine Hiobsbotschaft oder hast noch mehr Tips auf Lager, was ich einfach mal prophilaktisch versuchen koennte. Ich sag auf jeden Fall mal VIELEN VIELEN DANK fuer all die Tips, Geduld und Log-Leserei Olly GMER 1.0.15.15011 [j83xfxw1.exe] - http://www.gmer.net Rootkit scan 2009-08-07 08:39:11 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xA34451DA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xA34457AE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xA34471EA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xA3446B9C] SSDT A33A2FC6 ZwCreateKey SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xA3448B7C] SSDT A33A2FBC ZwCreateThread SSDT A33A2FCB ZwDeleteKey SSDT A33A2FD5 ZwDeleteValueKey SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xA3446EAC] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xA3449084] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xA34450A8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xA3445110] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xA3446D5E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xA3448620] SSDT A33A2FDA ZwLoadKey SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xA34469F8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xA3444AB2] SSDT A33A2FA8 ZwOpenProcess SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xA3448BA6] SSDT A33A2FAD ZwOpenThread SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xA3445178] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xA3444E7C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xA3444C5A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xA3448888] SSDT A33A2FE4 ZwReplaceKey SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xA3447A74] SSDT A33A2FDF ZwRestoreKey SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xA3448F56] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xA34443D0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xA344708C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xA34456AC] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xA344871A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xA3448BD0] SSDT A33A2FD0 ZwSetValueKey SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xA3448CB4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xA3448DE0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xA344854C] SSDT A33A2FB7 ZwTerminateProcess SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xA34454F0] Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF84 5 Bytes JMP A345C626 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) .text ntkrnlpa.exe!IoIsOperationSynchronous 804EF912 5 Bytes JMP A345C9E0 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) .text ntkrnlpa.exe!ZwCallbackReturn + 2C40 805044DC 4 Bytes JMP 7CA34471 .text ntkrnlpa.exe!ZwCallbackReturn + 2FB8 80504854 12 Bytes [B4, 8C, 44, A3, E0, 8D, 44, ...] ---- User code sections - GMER 1.0.15 ---- ? C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[728] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; .text C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[728] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD } ? C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[1108] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; .text C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[1108] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD } ? C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[2632] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; .text C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[2632] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD } .text C:\WINDOWS\system32\SearchIndexer.exe[4036] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation) ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [B97FA670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [B97FA670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINDOWS\Explorer.EXE[780] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [02EC2EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\WINDOWS\Explorer.EXE[780] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [02EC2C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\WINDOWS\Explorer.EXE[780] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [02EC2C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\WINDOWS\Explorer.EXE[780] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [02EC2C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 02: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 03: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 04: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 05: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 06: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 07: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 08: copy of MBR Disk \Device\Harddisk0\DR0 sector 09: copy of MBR Disk \Device\Harddisk0\DR0 sector 10: copy of MBR Disk \Device\Harddisk0\DR0 sector 11: copy of MBR Disk \Device\Harddisk0\DR0 sector 12: copy of MBR Disk \Device\Harddisk0\DR0 sector 13: copy of MBR Disk \Device\Harddisk0\DR0 sector 14: copy of MBR Disk \Device\Harddisk0\DR0 sector 15: copy of MBR Disk \Device\Harddisk0\DR0 sector 16: copy of MBR Disk \Device\Harddisk0\DR0 sector 17: copy of MBR Disk \Device\Harddisk0\DR0 sector 18: copy of MBR Disk \Device\Harddisk0\DR0 sector 19: copy of MBR Disk \Device\Harddisk0\DR0 sector 20: copy of MBR Disk \Device\Harddisk0\DR0 sector 21: copy of MBR Disk \Device\Harddisk0\DR0 sector 22: copy of MBR Disk \Device\Harddisk0\DR0 sector 23: copy of MBR Disk \Device\Harddisk0\DR0 sector 24: copy of MBR Disk \Device\Harddisk0\DR0 sector 25: copy of MBR Disk \Device\Harddisk0\DR0 sector 26: copy of MBR Disk \Device\Harddisk0\DR0 sector 27: copy of MBR Disk \Device\Harddisk0\DR0 sector 28: copy of MBR Disk \Device\Harddisk0\DR0 sector 29: copy of MBR Disk \Device\Harddisk0\DR0 sector 30: copy of MBR Disk \Device\Harddisk0\DR0 sector 31: copy of MBR Disk \Device\Harddisk0\DR0 sector 32: copy of MBR Disk \Device\Harddisk0\DR0 sector 33: copy of MBR Disk \Device\Harddisk0\DR0 sector 34: copy of MBR Disk \Device\Harddisk0\DR0 sector 35: copy of MBR Disk \Device\Harddisk0\DR0 sector 36: copy of MBR Disk \Device\Harddisk0\DR0 sector 37: copy of MBR Disk \Device\Harddisk0\DR0 sector 38: copy of MBR Disk \Device\Harddisk0\DR0 sector 39: copy of MBR Disk \Device\Harddisk0\DR0 sector 40: copy of MBR Disk \Device\Harddisk0\DR0 sector 41: copy of MBR Disk \Device\Harddisk0\DR0 sector 42: copy of MBR Disk \Device\Harddisk0\DR0 sector 43: copy of MBR Disk \Device\Harddisk0\DR0 sector 44: copy of MBR Disk \Device\Harddisk0\DR0 sector 45: copy of MBR Disk \Device\Harddisk0\DR0 sector 46: copy of MBR Disk \Device\Harddisk0\DR0 sector 47: copy of MBR Disk \Device\Harddisk0\DR0 sector 48: copy of MBR Disk \Device\Harddisk0\DR0 sector 49: copy of MBR Disk \Device\Harddisk0\DR0 sector 50: copy of MBR Disk \Device\Harddisk0\DR0 sector 51: copy of MBR Disk \Device\Harddisk0\DR0 sector 52: copy of MBR Disk \Device\Harddisk0\DR0 sector 53: copy of MBR Disk \Device\Harddisk0\DR0 sector 54: copy of MBR Disk \Device\Harddisk0\DR0 sector 55: copy of MBR Disk \Device\Harddisk0\DR0 sector 56: copy of MBR Disk \Device\Harddisk0\DR0 sector 57: copy of MBR Disk \Device\Harddisk0\DR0 sector 58: copy of MBR Disk \Device\Harddisk0\DR0 sector 59: copy of MBR Disk \Device\Harddisk0\DR0 sector 60: copy of MBR Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 62: copy of MBR Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR ---- EOF - GMER 1.0.15 ---- |
08.08.2009, 12:27 | #23 | |
| Laptop im Schneckentempo - mit Logfile Hi, ein bisschen viele Kopien des MBRs, die GMER da anzeigt, daher: MBR-Rootkit Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
10.08.2009, 13:37 | #24 |
| Laptop im Schneckentempo - mit Logfile Hi again, und danke fuer den erneuten Tip. Der Laptop ist weiterhin eher lahm, aber die MBR Prüfung war wohl erfolglos, soweit ich das sagen kann. Hier er Inhalt vom Log. 'Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK' noch Ideen?? |
10.08.2009, 13:53 | #25 |
| Laptop im Schneckentempo - mit Logfile Hi, was hat den Chkdsk ergeben? Sonst kontrolliere mal welche Prozesse wieviel Rechenzeit verbraten: http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx Kühlerventilatoren etc. laufen aber schon (nicht das die CPU runtergetaktet wird)... http://winfuture.de/news,21574.html chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
10.08.2009, 15:21 | #26 |
| Laptop im Schneckentempo - mit Logfile Hi, also Checkdisk läuft schnell durch ohne irgendwas zu melden. Auch die vorhandenen Ressourcen werden ausgenutzt und nichts heruntergetaktet... Hab auch nochmal die ganzen Scanner drüber laufen lassen und sie finden nichts....das System läuft seit etwa 18 Monaten, vielleicht auch deshalb einfach etwas lahm...was hältst Du davon, die Kiste zu formatieren? Davor natürlich nochmal genau überprüfen, damit auch keine Schädlinge mit rüber genommen werden. Wäre kein großer Act. |
11.08.2009, 09:40 | #27 |
| Laptop im Schneckentempo - mit Logfile Hi, formatieren (Neuaufsetzen) ist eh die beste aller Möglichkeiten. Sicherstellen dass alle erforderlichen Treiber (kann bei Notebooks zum Problem werden!) vorhanden sind bzw. eine passende Betriebssystem (Recover)- CD zur Verfügung steht... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
20.08.2009, 04:20 | #28 |
| Laptop im Schneckentempo - mit Logfile Hi nochmal Chris, wollte mich noch bedanken fuer die vielen Tips ins Tricks, die Du mir gegeben hast. Am Ende habe ich den Laptop formatiert in Win7 aufgesetzt, jetzt laeuft alles spitze. Dank und Gruss, Olly |
Themen zu Laptop im Schneckentempo - mit Logfile |
abgesicherten modus, add-on, antivir, antivir guard, avira, avp, avp.exe, bho, desktop, extrem langsam, festplatte, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, langsam, lenovo, logfile, menu.exe, mozilla, object, plug-in, registry, rojaner gefunden, rundll, senden, server, software, starten., thinkvantage registry monitor service, toolbars, trojaner gefunden, windows, windows xp |