| |
| |||||||
Log-Analyse und Auswertung: Malware defense. Rootkit scanner ErgebnisseWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
26.12.2009, 14:09
| #1 |
 |  Malware defense. Rootkit scanner Ergebnisse Frohe Weihnachten! Bei mir tauchen permanent Windows Security Alerts auf. Habe den GMER Rootkit Scanner laufen lassen. Habe absolut keine Ahnung, was ich machen kann, um das wieder los zu werden. Danke schonmal für die Hilfe. Hier die Ergebnisse: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2009-12-26 01:31:43 Windows 5.1.2600 Service Pack 3 Running: lfrs63ls.exe; Driver: C:\DOKUME~1\Pc\LOKALE~1\Temp\afnyqpoc.sys ---- System - GMER 1.0.15 ---- Code 8A313410 ZwEnumerateKey Code 8A313B68 ZwFlushInstructionCache Code 8A4AB0D6 IofCallDriver Code 8A3010EE IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 8A4AB0DB .text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 8A3010F3 PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6814 5 Bytes JMP 8A313B6C PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FF2 5 Bytes JMP 8A313414 ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.) Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio) ---- Modules - GMER 1.0.15 ---- Module \systemroot\system32\drivers\H8SRTttpnbaklii.sys (*** hidden *** ) EE317000-EE334000 (118784 bytes) ---- Processes - GMER 1.0.15 ---- Library \\?\globalroot\systemroot\system32\H8SRTujomurujot.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [200] 0x00910000 ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\H8SRTttpnbaklii.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTttpnbaklii.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTttpnbaklii.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmrdbqgkvhl.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTytoiqhosdr.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTujomurujot.dll Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTttpnbaklii.sys Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTttpnbaklii.sys Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmrdbqgkvhl.dll Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTytoiqhosdr.dat Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTujomurujot.dll ---- Files - GMER 1.0.15 ---- File C:\Dokumente und Einstellungen\Pc\Lokale Einstellungen\Temp\H8SRT5263.tmp 343040 bytes executable File C:\WINDOWS\system32\drivers\H8SRTttpnbaklii.sys 40960 bytes executable <-- ROOTKIT !!! File C:\WINDOWS\system32\H8SRTmrdbqgkvhl.dll 23040 bytes executable File C:\WINDOWS\system32\H8SRTujomurujot.dll 36864 bytes executable File C:\WINDOWS\system32\H8SRTytoiqhosdr.dat 202 bytes File C:\WINDOWS\Temp\H8SRT63b8.tmp 214 bytes ---- EOF - GMER 1.0.15 ---- Nochmals Danke im Voraus. |
|
26.12.2009, 15:53
| #2 |
| | Malware defense. Rootkit scanner Ergebnisse Brauche Eure Hilfe. Bitte um kurze Info, was ich tun muss, um das Problem los zu werden. Danke!
__________________ |
|
26.12.2009, 17:34
| #3 |
| | Malware defense. Rootkit scanner Ergebnisse Malwarebytes Antimalware runterziehen und rennen lassen.
__________________Bitte vor dem malware-Scan: trenne den PC vom Netz, schalte den Virenscanner aus. Schalte alle anderen Malware-Scanner aus. |
|
26.12.2009, 17:50
| #4 |
| | Malware defense. Rootkit scanner Ergebnisse Danke für die Info. Kann das Programm installieren, es startet aber nicht. Ging mir schon bei Antivir so. Gibt es einen Trick, es trotzdem laufen zu lassen? |
|
26.12.2009, 22:30
| #5 |
| | Malware defense. Rootkit scanner Ergebnisse Kann Malware nicht laufen lassen: Programm installiert, lässt sich aber nicht starten. Was kann ich tun? Gibt es noch eine andere Art, die Malware loszuwerden? Bin für Hinweise dankbar. |
|
26.12.2009, 23:08
| #6 |
| | Malware defense. Rootkit scanner Ergebnisse Brauche dringend Eure Unterstützung. Bitte um Durchsicht des HijackThis Logs auf mein Malware-Problem und mögliche weitere Probleme. Danke! Hier die Auswertung des HijackThis Logs als weitere Info: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:03:14, on 26.12.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16945) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\WLTRYSVC.EXE C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hewlett-Packard\IAM\bin\asghost.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE C:\Programme\PDF Complete\pdfsvc.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\PDF Complete\pdfsty.exe C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe C:\WINDOWS\system32\WLTRAY.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\Skype\Phone\Skype.exe C:\DOKUME~1\Pc\LOKALE~1\Temp\richtx64.exe C:\Programme\Malware Defense\mdefense.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\DOKUME~1\Pc\LOKALE~1\Temp\wscsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\Programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Skype\Toolbars\Shared\SkypeNames.exe C:\Dokumente und Einstellungen\Pc\Eigene Dateien\Downloads\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [PDF Complete] "C:\Programme\PDF Complete\pdfsty.exe" O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [Cingular Communication Manager] "C:\Programme\Cingular\Communication Manager\CingularCCM.exe" -a O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe" O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [richtx64.exe] C:\DOKUME~1\Pc\LOKALE~1\Temp\richtx64.exe O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: CCC.lnk = ? O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://88.117.177.133/activex/AxisCamControl.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O20 - AppInit_DLLs: APSHook.dll O20 - Winlogon Notify: OneCard - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe O23 - Service: Radia Management Agent (rma) - Unknown owner - C:/Novadigm/ManagementAgent/nvdkit.exe O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Roxio MyDVD Basic v9\Digital Home 9\RoxioUPnPRenderer9.exe O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Roxio MyDVD Basic v9\Digital Home 9\RoxioUpnpService9.exe O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE -- End of file - 14496 bytes |
|
27.12.2009, 13:49
| #7 |
| | Malware defense. Rootkit scanner Ergebnisse Bitte um kurze Info, was ich tun muss. Danke! |
|
27.12.2009, 16:46
| #8 |
| | Malware defense. Rootkit scanner Ergebnisse Bitte um kurze Info zu der Auswertung. Danke. |
|
27.12.2009, 17:05
| #9 |
  | Malware defense. Rootkit scanner Ergebnisse Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code:
ATTFilter files to delete:
C:\WINDOWS\system32\drivers\H8SRTttpnbaklii.sys
C:\Dokumente und Einstellungen\Pc\Lokale Einstellungen\Temp\H8SRT5263.tmp
C:\WINDOWS\system32\H8SRTmrdbqgkvhl.dll
C:\WINDOWS\system32\H8SRTujomurujot.dll
C:\WINDOWS\system32\H8SRTytoiqhosdr.dat
C:\WINDOWS\Temp\H8SRT63b8.tmp
C:\DOKUME~1\Pc\LOKALE~1\Temp\richtx64.exe
C:\Programme\Malware Defense\mdefense.exe
drivers to delete:
H8SRTd.sys
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!  Geändert von Angel21 (27.12.2009 um 17:17 Uhr) |
|
27.12.2009, 19:55
| #10 |
| | Malware defense. Rootkit scanner Ergebnisse Habe ein ähnliches Problem und den Avenger report schon eingefügt: http://www.trojaner-board.de/80840-malware-trojaner.html#post489531 |
|
27.12.2009, 20:28
| #11 |
| | Malware defense. Rootkit scanner Ergebnisse Hier mein Avenger-Report. Danke für die Hilfe. Muss ich noch was tun? Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRTttpnbaklii.sys
Start Type: 4 (Disabled)
Rootkit scan completed.
File "C:\WINDOWS\system32\drivers\H8SRTttpnbaklii.sys" deleted successfully.
File "C:\Dokumente und Einstellungen\Pc\Lokale Einstellungen\Temp\H8SRT5263.tmp" deleted successfully.
File "C:\WINDOWS\system32\H8SRTmrdbqgkvhl.dll" deleted successfully.
File "C:\WINDOWS\system32\H8SRTujomurujot.dll" deleted successfully.
File "C:\WINDOWS\system32\H8SRTytoiqhosdr.dat" deleted successfully.
File "C:\WINDOWS\Temp\H8SRT63b8.tmp" deleted successfully.
File "C:\DOKUME~1\Pc\LOKALE~1\Temp\richtx64.exe" deleted successfully.
File "C:\Programme\Malware Defense\mdefense.exe" deleted successfully.
Driver "H8SRTd.sys" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
|
|
27.12.2009, 20:33
| #12 |
| | Malware defense. Rootkit scanner Ergebnisse Gmer Rootkit Scan erneut durchführen. Das neue Log hier her.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
28.12.2009, 00:50
| #13 |
| | Malware defense. Rootkit scanner Ergebnisse Hier kommt der neue GMER Rootkit Scan. Nochmals Danke für die Hilfe. Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-28 00:21:10
Windows 5.1.2600 Service Pack 3
Running: lfrs63ls.exe; Driver: C:\DOKUME~1\Pc\LOKALE~1\Temp\afnyqpoc.sys
---- System - GMER 1.0.15 ----
SSDT F7B5D41E ZwCreateKey
SSDT F7B5D414 ZwCreateThread
SSDT F7B5D423 ZwDeleteKey
SSDT F7B5D42D ZwDeleteValueKey
SSDT F7B5D432 ZwLoadKey
SSDT F7B5D400 ZwOpenProcess
SSDT F7B5D405 ZwOpenThread
SSDT F7B5D43C ZwReplaceKey
SSDT F7B5D437 ZwRestoreKey
SSDT F7B5D428 ZwSetValueKey
SSDT F7B5D40F ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? fedahb.sys Das System kann die angegebene Datei nicht finden. !
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio)
---- EOF - GMER 1.0.15 ----
|
|
28.12.2009, 13:53
| #14 |
| | Malware defense. Rootkit scanner Ergebnisse Nene, das war noch nit alles an Bereinigung Deinstalliere/Lösche Malwarebytes komplett von deinem System. Lade es dir erneut herunter und lass Malwarebytes laufen. Das Log hier her. Alles was Malwarebytes beanstandet hatte bitte entfernen.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
28.12.2009, 14:41
| #15 |
| | Malware defense. Rootkit scanner Ergebnisse Hallo, hatte ein ähnliches Problem. Avira und auch Search and Destroy konnten nicht ausgeführt werden. Malwarebytes lies sich nicht installieren. Damit Du Malwarebytes starten kannst: Nach dem Download speichere die Setup-Datei unter einem anderen Namen ab!!! Dann sollte es gehen. Nachdem die ersten Schritte der Behebung getan waren, lief bei mir auch Avira und Spybot wieder. Habe dann viel Aufräumarbeit mit diversen Tools (CCleaner, Mawarebytes, Spybot und halt Avira in agressiver Einstellung) gemacht. Vielleicht hilft Dir das schonmal fürs Erste weiter? |
|
| Themen zu Malware defense. Rootkit scanner Ergebnisse |
| .dll, 0 bytes, bytes, c:\windows, c:\windows\temp, driver, einstellungen, explorer.exe, filter, gen, gmer, h8srt, ics, malware, not, registry, rootkit, rootkit scanner, scan, scanner, security, services, start, system, system32, temp, touchpad, windows, windows security, windows security alerts, windows\temp |
Linear-Darstellung
