|
Plagegeister aller Art und deren Bekämpfung: malware defenseWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.01.2010, 15:12 | #1 |
| malware defense Hallo! Ich hab mir wscsvc32.exe zugezogen (habe Windows XP). Avira hat ihn nicht gleich erkannt (5.1. mittags), als die Pseudo-Sicherheitscenter-Fenster kamen hab' ich (allerdings auch nicht sofort) die Verbindung zum Internet gekappt, externe Festplatte und mp3-Player ausgestöpselt und Avira scannen lassen. Ich war und bin auch jetzt nicht als Admin angemeldet. Ergebnis war der wscsvc32.exe (als nicht lesbar, aber nicht erkannt); manuelles in-Quarantäne-setzen über Avira hat nichts gebracht, er war ja schon aktiv. Ich hab' (vllt dummerweise) neu gebootet. Am Nachmittag hab' ich dann doch nochmal Verbindung zum Internet hergestellt, Avira geupdated, seitdem wird er erkannt. Ich hatte kurz den Namen (wscsvc) gegooglet und bin hier gelandet, habe daraufhin HijackThis geladen (Immer noch: Nicht als Admin. Vielleicht verfälscht das ja was.); raus kam dabei das hier: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:34:37, on 5.1.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\USB Disk Win98 Driver\Res.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\DOKUME~1\***\LOKALE~1\Temp\settdebugx.exe C:\DOKUME~1\***\LOKALE~1\Temp\wscsvc32.exe c:\programme\avira\antivir desktop\avcenter.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\***\LOKALE~1\Temp\settdebugx.exe O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 6187 bytes Ich hatte seitdem keine Zeit mich damit auseinanderzusetzen, d.h. der PC war von da an aus. Direkt nach dem Booten heute hat Avira 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\wscsvc32.exe' blockiert und ist seitdem auf 'Zugriff verweigern', 4 mal die Minute passiert das (will irgendwas auf wscsvc32.exe zugreifen.) Ich habe im Moment keine Pseudo-SecurityCenter-Meldungen. Den Inhalt von 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp' hatte ich nach dem Avira-Scan gelöscht, bis auf wscsvc.exe (ließ sich natürlich nicht löschen), settdebugx.exe(ließ sich ebenfalls nicht löschen) und einen der beiden Ordner hsperfdata_user und WPDNSE (einer ließ sich nicht löschen, ich weiß leider nicht mehr welcher; der andere wurde seitdem erstellt, beide scheinen leer). Außerdem befinden sich dort drei Porno-Icons namens 1.ico, 2.ico und 3.ico, die seitdem erstellt wurden, und jusched.log mit dem Inhalt: Tue Jan 05 19:15:44 2010 :: **************** Running jusched **************** Tue Jan 05 19:15:44 2010 :: Either not a Win2000, XP platform or Non-admin user or GetModuleFilename failed or Error Opening JavaUpdate Keys. Thu Jan 07 13:29:38 2010 :: **************** Running jusched **************** Thu Jan 07 13:29:39 2010 :: Either not a Win2000, XP platform or Non-admin user or GetModuleFilename failed or Error Opening JavaUpdate Keys. Soweit ich das verstehe, muss ich letztlich ohnehin formatieren und Betriebssystem etc etc neu aufspielen, wenn ich den Pc wieder regulär benutzen will, dh eben auch zB onlinebanking? Sicher, das wäre beträchtlicher Aufwand, aber vielleicht tät' das der Geschwindigkeit ganz gut... und dreieinhalb Jahre am Stück ohne ist ganz ok ;) Spricht etwas dagegen, eine externe Festplatte anzuschließen (nicht die die schon dranhing als ich den Befall bemerkt habe, da ist nicht genug Platz), Daten die wichtig sind (oofficedateien, pdf, Bilder, Musik, Thunderbird-Postfach, Thunderbird-Adressbuch, Mozilla-Lesezeichen) draufzuziehen, das dann zu tun, und die Externe nach dem Neuaufspielen erstmal zu scannen? Und reicht einfaches Formatieren mit format c: im dos-modus oder müsste ich etwas darüber hinaus tun? Ich lese gerade von MAM, RSIT und GMER - ich kann die natürlich auch noch drüberlaufen lassen, aber 1. Ist das sinnvoll wenn ich vermutlich formatieren will/sollte (wie war das? never trust a system that has been compromised before?) 2. Muss ich dazu in den Admin-Modus? Bei CC und MAM ,zum Installieren oder so? Ich habe den Eindruck, die eingeschränkten Rechte haben mir einige Scherereien erspart. Und, wenn das alles sinnvoll ist - sollte ich vielleicht auch HijackThis nochmal als Admin ausführen? Ich mach' das, wie gesagt, trotzdem gern, wenn mir jemand kurz rückmeldet dass das sinnvoll ist. Vielen Dank im Voraus für Hilfe. |
07.01.2010, 16:27 | #2 |
| malware defense Hi,
__________________die Typen Malwaredateien sind erkennbar, wenn Du Glück hast ist nur Defens und TDSS drauf... Bereinigung für Rootkit "H8SRTd" Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!) Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls MAM bereits installiert ist, weiter mit Avenger... Anleitung Avenger (by swandog46) 1.) Ladet das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Drivers to delete: H8SRTd.sys 4.) Um Avenger zu starten klicke auf -> Execute Dann bestätigt mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board. Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten: Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. chris
__________________ Geändert von Chris4You (07.01.2010 um 16:35 Uhr) |
09.01.2010, 16:09 | #3 |
| malware defense Hallo.
__________________Danke für die Antwort! Ich bin zur Zeit etwas im Stress und nicht am PC, daher die lange Antwortlaufzeit - das ändert nichts dran dass ich sehr froh bin über Hilfestellung. Ich habe jetzt Avenger wie beschrieben laufenlassen, ohne Ergebnis: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\H8SRTd.sys" not found! Deletion of driver "H8SRTd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Nach dem Neustart kam sofort wieder das "security Center" (das Avira vorher blockiert hatte). Ich hab' daraufhin nochmal gebootet, diesmal kam die Meldung von Avira schneller. Avira erkennt inzwischen auch den settdebugx.exe im selben Verzeichnis und blockt jetzt beide; allerdings sind die letzten Ereignisse 16:03 settdebugx 16:03 wscsvc32 16:03 settdebugx 16:03 wscsvc32 15:06 settdebugx 15:06 wscsvc32 14:32 settdebugx 14:32 wscsvc32 14:28 settdebugx 14:28 settdebugx 14:28 Dienst gestartet im Vergleich zu vorher 4 mal pro Minute wscsvc32. Jetzt eben lief noch MAM, sagt Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3526 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 9.1.2010 16:03:08 mbam-log-2010-01-09 (16-03-08).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 194581 Laufzeit: 1 hour(s), 24 minute(s), 32 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\cleanup (Trojan.Banker) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\settdebugx.exe (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wscsvc32.exe (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZEJ91487\eHff518f04V03004f35002R6238f589102Tb412db68Q00000047901807F0020000aJ0d000601l0007318U391c0c450[1] (Trojan.Vundo) -> Quarantined and deleted successfully. Nach dem Posten Neustart... |
09.01.2010, 16:26 | #4 |
| malware defense Reboot erfolgreich, als Ahnungsloser erkenn' ich keine Merkwürdigkeiten. Avira Guard meldet keine Aktivitäten, im Temp sind wscsvc32 und settdebugx nicht mehr sichtbar. Ich lass' gerade Avira scannen, dann nochmal MAM und HijackThis und werd' die Logs posten sobald ich sie hab'. |
09.01.2010, 17:07 | #5 |
| malware defense Hi, Okay, bitte auch noch ein GMER-Log... Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
09.01.2010, 17:37 | #6 |
| Avira-Scan ok, Avira sagt Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 9. Januar 2010 16:20 Es wird nach 1512108 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : *** Versionsinformationen: BUILD.DAT : 9.0.0.418 21723 Bytes 2.12.2009 16:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.2.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.2.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.1.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 6.11.2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:16:55 VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 14:16:55 VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 14:16:55 VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 14:16:55 VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 14:16:55 VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 14:16:55 VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 14:16:55 VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 14:16:55 VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 14:16:55 VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 14:16:55 VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 14:16:55 VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 14:16:55 VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 14:16:56 VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 14:16:56 VBASE015.VDF : 7.10.1.178 195584 Bytes 7.12.2009 11:59:40 VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 08:20:23 VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 10:59:23 VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 22:07:30 VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 15:18:56 VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 12:58:28 VBASE021.VDF : 7.10.2.131 201216 Bytes 7.1.2010 13:16:48 VBASE022.VDF : 7.10.2.132 2048 Bytes 7.1.2010 13:16:48 VBASE023.VDF : 7.10.2.133 2048 Bytes 7.1.2010 13:16:48 VBASE024.VDF : 7.10.2.134 2048 Bytes 7.1.2010 13:16:48 VBASE025.VDF : 7.10.2.135 2048 Bytes 7.1.2010 13:16:48 VBASE026.VDF : 7.10.2.136 2048 Bytes 7.1.2010 13:16:49 VBASE027.VDF : 7.10.2.137 2048 Bytes 7.1.2010 13:16:49 VBASE028.VDF : 7.10.2.138 2048 Bytes 7.1.2010 13:16:49 VBASE029.VDF : 7.10.2.139 2048 Bytes 7.1.2010 13:16:49 VBASE030.VDF : 7.10.2.140 2048 Bytes 7.1.2010 13:16:49 VBASE031.VDF : 7.10.2.151 146944 Bytes 8.1.2010 17:39:09 Engineversion : 8.2.1.134 AEVDF.DLL : 8.1.1.2 106867 Bytes 8.11.2009 06:38:52 AESCRIPT.DLL : 8.1.3.7 594296 Bytes 5.1.2010 12:59:13 AESCN.DLL : 8.1.3.0 127348 Bytes 11.12.2009 14:37:23 AESBX.DLL : 8.1.1.1 246132 Bytes 8.11.2009 06:38:44 AERDL.DLL : 8.1.3.4 479605 Bytes 2.12.2009 14:17:00 AEPACK.DLL : 8.2.0.4 422263 Bytes 5.1.2010 12:59:12 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 8.11.2009 06:38:38 AEHEUR.DLL : 8.1.0.194 2228599 Bytes 8.1.2010 17:39:38 AEHELP.DLL : 8.1.9.0 237943 Bytes 17.12.2009 19:45:38 AEGEN.DLL : 8.1.1.83 369014 Bytes 5.1.2010 12:59:06 AEEMU.DLL : 8.1.1.0 393587 Bytes 8.11.2009 06:38:26 AECORE.DLL : 8.1.9.1 180598 Bytes 11.12.2009 14:37:23 AEBB.DLL : 8.1.0.3 53618 Bytes 8.11.2009 06:38:20 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 26.8.2009 14:13:59 AVREP.DLL : 8.0.0.3 155905 Bytes 20.1.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 7.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.3.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.1.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.1.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2.2.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 7.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.5.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Samstag, 9. Januar 2010 16:20 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '65227' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'THUNDE~1.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LogitechDesktopMessenger.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Res.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'eabservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '34' Prozesse mit '34' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '56' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Samstag, 9. Januar 2010 17:27 Benötigte Zeit: 1:06:45 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 9850 Verzeichnisse wurden überprüft 254387 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 254384 Dateien ohne Befall 1651 Archive wurden durchsucht 3 Warnungen 2 Hinweise 65227 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Soll ich nochmal mit Systemdatein-Integritätsprüfung und hoher Protokollierung scannen? Das war mir vorher nicht aufgefallen. In C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp befinden sich jetzt zusätzlich neu: -Ordner svifk.tmp (mit der Datei svig0.tmp) -Ordner plugtmp (scheinbar leer) |
09.01.2010, 17:46 | #7 |
| aktueller HiJackThis Log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:40:53, on 9.1.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Dokumente und Einstellungen\Benjá\Desktop\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Benjá') O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" (User 'Benjá') O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (User 'Benjá') O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [settdebugx.exe] C:\DOKUME~1\BENJ~1\LOKALE~1\Temp\settdebugx.exe (User 'Benjá') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 6072 bytes |
09.01.2010, 18:54 | #8 |
| malware defense Hi, da ist noch was faul: Code:
ATTFilter O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [settdebugx.exe] C:\DOKUME~1\BENJ~1\LOKALE~1\Temp\settdebugx.exe (User 'Benjá') chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
09.01.2010, 19:12 | #9 |
| malware defense Hallo! Werd' ich tun. Ich hatte gerade noch MAM laufen: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3526 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 9.1.2010 19:07:39 mbam-log-2010-01-09 (19-07-33).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 151526 Laufzeit: 56 minute(s), 44 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\settdebugx.exe (Trojan.FakeAlert) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ->Ich werd' zuerst MAM dieses eine zu entfernen versuchen lassen, dann wie geschrieben mit HiJack den Genannten fixen und HiJack- und GMER-Log reinstellen... |
09.01.2010, 20:21 | #10 |
| malware defense Nach MAM-Fix war die Zeile im HJ-Log weg. Ich hoff' das ist positiv...? Die HJ-Log sieht jetzt so aus: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:13:45, on 9.1.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Yahoo! Search Marketing Deutschland R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = meinAOL | HP O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User '***') O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" (User '***') O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (User '***') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 5929 bytes GMER: GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover Rootkit scan 2010-01-09 20:15:31 Windows 5.1.2600 Service Pack 3 Running: 7zig29p2.exe; Driver: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\uwtcyaob.sys ---- System - GMER 1.0.15 ---- SSDT F7B6ACB6 ZwCreateKey SSDT F7B6ACAC ZwCreateThread SSDT F7B6ACBB ZwDeleteKey SSDT F7B6ACC5 ZwDeleteValueKey SSDT sptd.sys ZwEnumerateKey [0xF737E84E] SSDT sptd.sys ZwEnumerateValueKey [0xF737EBEE] SSDT F7B6ACCA ZwLoadKey SSDT sptd.sys ZwOpenKey [0xF7379090] SSDT F7B6AC98 ZwOpenProcess SSDT F7B6AC9D ZwOpenThread SSDT sptd.sys ZwQueryKey [0xF737ECC6] SSDT sptd.sys ZwQueryValueKey [0xF737EB46] SSDT F7B6ACD4 ZwReplaceKey SSDT F7B6ACCF ZwRestoreKey SSDT F7B6ACC0 ZwSetValueKey SSDT F7B6ACA7 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2480 80501CB8 4 Bytes CALL 4C3113F4 ? kkqhg.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload F68ED8AC 5 Bytes JMP 852178D0 ? System32\Drivers\azntbvuo.SYS Das System kann den angegebenen Pfad nicht finden. ! .text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xB8A57400, 0x7960C, 0xE8000020] .protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB8AF9420] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB8AF9420] .protectÿÿÿÿhardlockunknown last code section [0xB8AF9200, 0x5049, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xB8AF9200, 0x5049, 0xE0000020] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7379ABA] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7379C00] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7379B82] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F737A72E] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F737A604] sptd.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F738CA9A] sptd.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 853D21D8 Device \FileSystem\Fastfat \FatCdrom 850B75C8 Device \Driver\NetBT \Device\NetBT_Tcpip_{182B11AE-3700-4646-A2DB-68ABFEFC3F91} 84DCD1D8 AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company) Device \Driver\usbohci \Device\USBPDO-0 852241D8 Device \Driver\usbohci \Device\USBPDO-1 852241D8 Device \Driver\usbehci \Device\USBPDO-2 851C91D8 Device \Driver\Ftdisk \Device\HarddiskVolume1 853681D8 Device \Driver\Cdrom \Device\CdRom0 851BD1D8 Device \Driver\Cdrom \Device\CdRom1 851BD1D8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F72D4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort0 [F72D4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort1 [F72D4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e [F72D4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\NetBT \Device\NetBt_Wins_Export 84DCD1D8 Device \Driver\00000046 \Device\0000004b sptd.sys Device \Driver\NetBT \Device\NetbiosSmb 84DCD1D8 Device \Driver\NetBT \Device\NetBT_Tcpip_{3379C93A-B4F3-441F-AF9B-1BBF14B3096F} 84DCD1D8 Device \Driver\usbohci \Device\USBFDO-0 852241D8 Device \Driver\usbohci \Device\USBFDO-1 852241D8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 84DAD1D8 Device \Driver\usbehci \Device\USBFDO-2 851C91D8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 84DAD1D8 Device \Driver\Ftdisk \Device\FtControl 853681D8 Device \Driver\azntbvuo \Device\Scsi\azntbvuo1 851061D8 Device \Driver\azntbvuo \Device\Scsi\azntbvuo1Port2Path0Target0Lun0 851061D8 Device \FileSystem\Fastfat \Fat 850B75C8 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs 84F6D1D8 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 931196666 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1898634765 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xE0 0x2B 0x27 0x35 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x89 0xB1 0x58 0x4F ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x86 0x3F 0x7F 0x8D ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xE0 0x2B 0x27 0x35 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x89 0xB1 0x58 0x4F ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x80 0x37 0x31 0x41 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xE0 0x2B 0x27 0x35 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x89 0xB1 0x58 0x4F ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x86 0x3F 0x7F 0x8D ... ---- EOF - GMER 1.0.15 ---- -> bei sptd.sys hat auch von Avira vorher gewarnt, konnte den aber nicht erkennen. Macht es denn zum Daten sichern Sinn, Linux zu installieren, damit ein Win-Trojaner nicht auf eine dazu angeschlossenen externe Platte zugreifen kann? |
09.01.2010, 20:50 | #11 |
| malware defense ...schönen Samstag Abend, erstmal. Und danke für die Hilfe bisher. Bis morgen gibt's Wichtigeres. Bis dann! |
09.01.2010, 21:06 | #12 |
| malware defense Hi, ist eine Idee, dann ist aber eine Live-Cd die einfachere Wahl... Normalerweise gehört die Datei sptd.sys zu Daemontools bzw. Alcohol180, wird aber bei deren deinstallation nicht mit entfernt, daher: Daemon-Tools deinstallieren und dandach die sptd.sys entfernen lassen, dann bitte ein neues GMER-Log... Zur vollautomatischen Deinstallation von SPTD.SYS kannst Du ein SPTD Entfernungstool (http://www.duplexsecure.com/en/downloads) nutzen. Beachte die unterschiedlichen Versionen für 32bit und 64bit Systeme. Starte die Datei und wählen Uninstall aus. Anschließend neu booten. Eventuell muss dann Nero neu installiert bzw. repariert werden. So, nun zu GMER: Hast Du was von der Fa. "Aladdin Knowledge Systems" installiert? Sonst ist die hardlock.sys ev. ein Wurm... prüfen... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\drivers\hardlock.sys C:\WINDOWS\System32\Drivers\azntbvuo.SYS
Hast Du ein Fullbackup? Ich möchte gerne wegen der atapi.sys gerne ComboFix verwenden, der hat mir aber letztens einen Rechner total zerschossen (nicht mehr bootbar), da er sich mit Malware "gefetzt" hat...? chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
11.01.2010, 16:30 | #13 |
| malware defense Hi! Live-CD heißt, eine CD, von der aus ich Linux starte? Dh. Knoppix? Wobei mir einfällt, dass mir Knoppicilin empfohlen wurde- evtl. auch um die externe Platte zu prüfen, bevor ich sie nach dem Neuaufsetzen wieder unter Win anschließe. Um zusätzliche Meinungen bin ich dankbar Die 32- bzw 64bit-Frage überfordert mich. Geht's dabei um Win-Systeme? Nero benutze ich ohnehin nicht, das wird also kein Problem darstellen. Mit Produkten von Aladdin Knowledge bin ich mir nicht sicher; möglich dass ich ein Lizenzdongle von denen hatte; derzeit nutze ich nichts von ihnen. C:\WINDOWS\system32\drivers\hardlock.sys scheint nichts zu sein: http://www.virustotal.com/de/analisis/0f63b84b36e25ba208dfa6ad467eeaa20575519eff1ed62f3a35010cb7cdb9d8-1261883971 C:\WINDOWS\System32\Drivers\azntbvuo.SYS finde ich nicht. Nein, ich habe kein Fullbackup. Deshalb will ich, wie gesagt, auch einfach möglichst sicher sein dass ich keine Malware mit-sichere, wenn ich über eine externe HD meine Daten in Sicherheit bringe. Dann werd' ich wohl ohnehin das System neu aufsetzen. Alles andere kann mir ja, soweit ich das verstehe, keine halbwegs vernünftige Sicherheit bieten für Onlinebanking oä... |
11.01.2010, 18:08 | #14 |
| malware defense Hi, Knoppix: http://www.heise.de/software/download/knoppix/35154 -> https://www.datenschutzzentrum.de/sy...ldung/sm98.htm UBCD4WIN (für XP, leider nicht für Vista): Boot-CD erstellen: Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!). Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann. Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u. gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung. Im Groben sieht das so aus; UBCD runterladen, installieren, XP-CD auf die Festplatte kopieren (Speicherplatz beachten, es muss daraus dann nochmal eine ISO-Datei erstellt werden). Erstelle auf Deinem Rechner ein Verzeichnis (C:\XPCD), kopiere dann den gesamten Inhalt der CD da rein (vorher im Explorer einschalten, dass alle versteckten Dateien etc. angezeigt und Systemdateien nicht ausgeblendet werden (damit auch alles kopiert werden kann)). Ist die gesamte XP-CD kopiert, starte UBCD4WinBuilder.exe (Normalerweise im Verzeichnis C:\ubcd4win zu finden), Copyright etc. abnicken, "Search for Windows installation Files" -> No, im darauffolgenden Fenster "Source" ->C:\XPCD, Outputpath wie Du willst oder einfach so lassen, dann entweder für das spätere Brennen eine ISO-Datei erstellen lassen (dann einen Filenamen bei "Create ISO-Image" eingeben!), oder gleich eine leere DVD rein und direkt brennen lassen. "Custom" leer lassen. Dann Build auswählen... Nochmal MS-Copyright abnicken und es geht los. Und nach ca. 0,5-1h haben wir eine Bootfertige Not-CD mit allem was man so braucht ;o)... Dr. Web-Live-CD Lade Dir das Abbild (http://freedrweb.com/livecd) runter (jeweils die neuste Version, z. Z. ftp://ftp.drweb.com/pub/drweb/livecd/20091231042002/) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen... Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt... Weiter Anweisungen: http://www.freedrweb.com/livecd/how_it_works/ Damit können Files allerdings nur "kopiert" werden... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (11.01.2010 um 18:54 Uhr) |
12.01.2010, 13:30 | #15 |
| malware defense ok... so wie ich das jetzt verstehe, hab' ich da 4 Optionen an der Hand um das selbe zu tun. -Knoppicilin und Knoppix -UBCD -Dr. Web-Live-CD -desinfec't Das Vorgehen wäre jeweils: Mit Live-CD Datensicherung machen, dann System neu aufsetzen, von Live-CD das Daten-Backup scannen, falls befallen nochmal Backup davon und säubern, Daten wieder aufspielen und dann ist alles toll. Hab' ich das richtig verstanden? Damit ich nicht Blödsinn mach' jetzt. Die Live-CDs hören sich alle gut an, Knoppi würd' ich zurückstellen zugunsten von desinfec't, scheint ja quasi die Weiterentwicklung zu sein. Aber mit den anderen drei müsste das jeweils gehen? Empfehlung? UBCD, oder? Ich benutz' ja ohnehin XP. Gut, dann muss ich jetzt nur für 'ne Stunde an einen möglichst sauberen Rechner. Und vor dem allem schau' ich dass ich Postfach, Adressbuch und Bookmarks exportier'? ...ich hätte halt eigentlich gern noch die hardlock.sys im Griff vorher (ccleaner belässt sie, obwohl kein Programm mehr installiert ist, das mit Hardwaredongle arbeitet) und die sptd.sys (das selbe; Virustotal meldet nur als Fehler, ich hätte eine leere Datei gesendet, bei mir wird sie mit 625kb angezeigt; und das mit 32/64bit hab' ich noch nicht verstanden, das Tool also noch nicht benutzt). Und was war mit der atapi.sys? Oder lass' ich das alles und vertrau' auf die Live-CD? Aber damit arbeit' ich ja dann erst nach dem Backup? Entschuldigung, wenn ich etwas begriffsstutzig bin, ich bemüh' mich ja... Und danke im Voraus für Bestätigen / nochmal-Korrigieren... |
Themen zu malware defense |
antivir, antivir guard, bho, blockiert, booten, desktop, downloader, druck, ebanking, error, failed, festplatte, firefox, free download, helper, hijack, hijackthis, jusched.exe, launch, logfile, malware, mozilla, plug-in, scan, software, symantec, system, usb, windows, windows xp |