|
Plagegeister aller Art und deren Bekämpfung: malware! Hilfe!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.01.2010, 17:38 | #16 |
| malware! Hilfe! Hi, Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Poste dann noch bitte ein neues GMER -Log... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
13.01.2010, 19:12 | #17 |
| malware! Hilfe! soo, zur abwechslung mal ein kurzes script , hoffe mal, dass das ein gutes zeichen ist
__________________GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-13 19:10:55 Windows 5.1.2600 Service Pack 3 Running: 2hmtic6g.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kwtoypow.sys ---- System - GMER 1.0.15 ---- SSDT F7E9A106 ZwCreateKey SSDT F7E9A0FC ZwCreateThread SSDT F7E9A10B ZwDeleteKey SSDT F7E9A115 ZwDeleteValueKey SSDT F7E9A11A ZwLoadKey SSDT F7E9A0E8 ZwOpenProcess SSDT F7E9A0ED ZwOpenThread SSDT F7E9A124 ZwReplaceKey SSDT F7E9A11F ZwRestoreKey SSDT F7E9A110 ZwSetValueKey SSDT F7E9A0F7 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF60EB340, 0x10843F, 0xF8000020] .text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF9D5300, 0x237860, 0xF8000020] ---- EOF - GMER 1.0.15 ---- |
13.01.2010, 20:20 | #18 |
| malware! Hilfe! Hi,
__________________das sieht gut aus, der Sicherheitshalber beide Treiber bei Virustotal prüfen: C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable C:\WINDOWS\System32\nv4_disp.dll Das kann noch ein Rest der Infektion sein, oder ein Programmierfehler... Poste die Logs von Virustotal... chris
__________________ |
13.01.2010, 20:37 | #19 |
| malware! Hilfe! hier C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable Datei nv4_mini.sys empfangen 2010.01.13 19:27:09 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit ist zwischen 70 und 100 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.48 2010.01.13 - AhnLab-V3 5.0.0.2 2010.01.13 - AntiVir 7.9.1.134 2010.01.13 - Antiy-AVL 2.0.3.7 2010.01.12 - Authentium 5.2.0.5 2010.01.13 - Avast 4.8.1351.0 2010.01.13 - AVG 9.0.0.725 2010.01.13 - BitDefender 7.2 2010.01.13 - CAT-QuickHeal 10.00 2010.01.13 - ClamAV 0.94.1 2010.01.13 - Comodo 3570 2010.01.13 - DrWeb 5.0.1.12222 2010.01.13 - eSafe 7.0.17.0 2010.01.13 - eTrust-Vet 35.2.7235 2010.01.13 - F-Prot 4.5.1.85 2010.01.12 - F-Secure 9.0.15370.0 2010.01.13 - Fortinet 4.0.14.0 2010.01.13 - GData 19 2010.01.13 - Ikarus T3.1.1.80.0 2010.01.13 - Jiangmin 13.0.900 2010.01.13 - K7AntiVirus 7.10.946 2010.01.13 - Kaspersky 7.0.0.125 2010.01.13 - McAfee 5859 2010.01.12 - McAfee+Artemis 5859 2010.01.12 - McAfee-GW-Edition 6.8.5 2010.01.13 - Microsoft 1.5302 2010.01.13 - NOD32 4768 2010.01.13 - Norman 6.04.03 2010.01.13 - nProtect 2009.1.8.0 2010.01.13 - Panda 10.0.2.2 2010.01.13 - PCTools 7.0.3.5 2010.01.13 - Prevx 3.0 2010.01.13 - Rising 22.30.02.06 2010.01.13 - Sophos 4.49.0 2010.01.13 - Sunbelt 3.2.1858.2 2010.01.13 - Symantec 20091.2.0.41 2010.01.13 - TheHacker 6.5.0.3.149 2010.01.13 - TrendMicro 9.120.0.1004 2010.01.13 - VBA32 3.12.12.1 2010.01.13 - ViRobot 2010.1.13.2134 2010.01.13 - VirusBuster 5.0.21.0 2010.01.13 - weitere Informationen File size: 1383450 bytes MD5...: c4b773ad9425eba624b6638100a55a32 SHA1..: d05a64bf647a77ccfbf135b07204d64d99123261 SHA256: 4b8bbd044ee40eca93034b2bb1e1636bdde073c81e2f269d8e8318eaecab5d8f ssdeep: 24576:eFrVSUjYf9R5DaCUTxjGuXN0gucINi+3faZOHPPPGuuuuea+MYfZWqfu+O vlnDJ9:eF4UCP5D2UqN0niefWOHPPPGuuuue3Bu PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x135abc timedatestamp.....: 0x3f729656 (Thu Sep 25 07:16:38 2003) machinetype.......: 0x14c (I386) ( 9 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x340 0x10843f 0x108440 6.47 1f39f4e5f59e49088d153fd9bb9f1a32 _NVTEXT3 0x108780 0xaea 0xb00 5.42 674e5a2a64ef3b5b5ef4a2950f5c3fb0 .rdata 0x109280 0x9f4f 0x9f60 6.48 22c999154c5cb09153cabe5ccadd1454 .data 0x1131e0 0x2203c 0x22040 3.57 5da7b6698516b54d1ad495d1b47de211 PAGE 0x135220 0x512b 0x5140 6.39 9711710267d8e11ef77de3c3c6eea56f PAGE 0x13a360 0x40 0x40 1.66 0c450ab949199e425a55f5b8e625140e INIT 0x13a3a0 0x9a8 0x9c0 5.36 2646a2b03f4db6562c9f4c619d3f743c .rsrc 0x13ad60 0xfa0 0xfa0 3.53 3d5a40b47c515f8de455e34d7d6ec8fa .reloc 0x13bd00 0x5892 0x58a0 6.27 b4055c8018bc9fa85ce107c7c47499ed ( 3 imports ) > VIDEOPRT.SYS: VideoPortGetBusData, VideoPortStartTimer, VideoPortSetTrappedEmulatorPorts, VideoPortGetRegistryParameters, VideoPortSetRegistryParameters, VideoPortFreeDeviceBase, VideoPortGetDeviceBase, VideoPortGetCurrentIrql, VideoPortGetAccessRanges, VideoPortSetBusData, VideoPortGetVgaStatus, VideoPortAllocateBuffer, VideoPortMapMemory, VideoPortUnmapMemory, VideoPortInitialize, VideoPortCompareMemory, VideoPortSynchronizeExecution, VideoPortQueryServices, VideoPortQueueDpc, VideoPortStallExecution, VideoPortInt10, VideoPortReadRegisterUlong, VideoPortReadRegisterUshort, VideoPortReadRegisterUchar, VideoPortWriteRegisterUlong, VideoPortWriteRegisterUshort, VideoPortWriteRegisterUchar, VideoPortGetAssociatedDeviceExtension, VideoPortEnumerateChildren, VideoPortMoveMemory, VideoPortReleaseBuffer, VideoPortZeroMemory > ntoskrnl.exe: MmUnlockPages, MmMapLockedPages, IoAllocateMdl, MmMapLockedPagesSpecifyCache, MmUnmapLockedPages, MmIsAddressValid, ZwUnmapViewOfSection, ZwClose, ZwMapViewOfSection, ObReferenceObjectByHandle, ZwOpenSection, RtlInitUnicodeString, PsCreateSystemThread, ObfDereferenceObject, RtlUnwind, MmProbeAndLockPages, IoFreeMdl, RtlInitAnsiString, RtlAnsiStringToUnicodeString, IoCreateSynchronizationEvent, KeClearEvent, KeSetEvent, KeRestoreFloatingPointState, KeSaveFloatingPointState, ExAllocatePoolWithTag, ExFreePool, PsGetCurrentProcessId, MmUnmapIoSpace, ExAllocatePool, ZwPowerInformation, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, KeDelayExecutionThread, MmFreeContiguousMemorySpecifyCache, MmAllocateContiguousMemorySpecifyCache, RtlTimeToTimeFields, KeInitializeSpinLock, KeGetCurrentThread, MmBuildMdlForNonPagedPool, KeQueryActiveProcessors, MmMapIoSpace, PsGetVersion, KeQuerySystemTime, MmGetPhysicalAddress > HAL.dll: HalTranslateBusAddress, HalSetBusDataByOffset, HalGetBusDataByOffset, KfAcquireSpinLock, KfReleaseSpinLock, KeQueryPerformanceCounter, HalGetBusData ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) sigcheck: publisher....: NVIDIA Corporation copyright....: (C) NVIDIA Corporation. All rights reserved. product......: NVIDIA Compatible Windows 2000 Miniport Driver, Version 46.30 description..: NVIDIA Compatible Windows 2000 Miniport Driver, Version 46.30 original name: nv4_mini.sys internal name: nv4_mini.sys file version.: 6.14.10.4630 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned und hier C:\WINDOWS\System32\nv4_disp.dll Datei nv4_disp.dll empfangen 2010.01.13 19:34:42 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 40 und 57 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.48 2010.01.13 - AhnLab-V3 5.0.0.2 2010.01.13 - AntiVir 7.9.1.134 2010.01.13 - Antiy-AVL 2.0.3.7 2010.01.12 - Authentium 5.2.0.5 2010.01.13 - Avast 4.8.1351.0 2010.01.13 - AVG 9.0.0.725 2010.01.13 - BitDefender 7.2 2010.01.13 - CAT-QuickHeal 10.00 2010.01.13 - ClamAV 0.94.1 2010.01.13 - Comodo 3570 2010.01.13 - DrWeb 5.0.1.12222 2010.01.13 - eSafe 7.0.17.0 2010.01.13 - eTrust-Vet 35.2.7235 2010.01.13 - F-Prot 4.5.1.85 2010.01.13 - F-Secure 9.0.15370.0 2010.01.13 - Fortinet 4.0.14.0 2010.01.13 - GData 19 2010.01.13 - Ikarus T3.1.1.80.0 2010.01.13 - Jiangmin 13.0.900 2010.01.13 - K7AntiVirus 7.10.946 2010.01.13 - Kaspersky 7.0.0.125 2010.01.13 - McAfee 5859 2010.01.12 - McAfee+Artemis 5859 2010.01.12 - McAfee-GW-Edition 6.8.5 2010.01.13 - Microsoft 1.5302 2010.01.13 - NOD32 4768 2010.01.13 - Norman 6.04.03 2010.01.13 - nProtect 2009.1.8.0 2010.01.13 - Panda 10.0.2.2 2010.01.13 - PCTools 7.0.3.5 2010.01.13 - Prevx 3.0 2010.01.13 - Rising 22.30.02.06 2010.01.13 - Sophos 4.49.0 2010.01.13 - Sunbelt 3.2.1858.2 2010.01.13 - Symantec 20091.2.0.41 2010.01.13 - TheHacker 6.5.0.3.149 2010.01.13 - TrendMicro 9.120.0.1004 2010.01.13 - VBA32 3.12.12.1 2010.01.13 - ViRobot 2010.1.13.2134 2010.01.13 - VirusBuster 5.0.21.0 2010.01.13 - weitere Informationen File size: 3911690 bytes MD5...: 3395ca8eaae60d011692a419ad07c7a7 SHA1..: 97f1d8821e089c28613fe7a790308f4f04ef6a7b SHA256: 0e075a4e841adbd899f1f467d80a2333e43920fbcbc3049a78cb0b36252b0697 ssdeep: 49152:rxTMs8k80z8u5C4r0pRPkLmP5Tl8r0Oc+m8KN+is5ePDtefmIewtlDFoSS 8EDi:rxUp0zzr0pSLo5Tem8KN+is5ebY+UDm2 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4646 timedatestamp.....: 0x3f729796 (Thu Sep 25 07:21:58 2003) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x237860 0x237860 7.89 e8e2fdefa2810548f8b149256f507639 .rdata 0x237b60 0xb5dc 0xb5e0 4.71 9be2a2d9f7bde616cecd21b676defe75 .data 0x243140 0x15fcb0 0x15fcc0 2.12 0f62e6745f9330c7f46ec9ed470babe0 .CRT 0x3a2e00 0x38 0x40 3.49 68a7fdc8906c18744b3e1f0a02c8dc54 INIT 0x3a2e40 0x7a0 0x7a0 5.42 cae517b6d49cc5952b14c846468da251 .rsrc 0x3a35e0 0x498 0x4a0 3.35 f4fe449f542d5e8fff8f0e939deec972 .reloc 0x3a3a80 0x17532 0x17540 6.48 85f2410d3eff1c76373f75f119045eae ( 1 imports ) > WIN32K.SYS: EngDebugPrint, EngDeleteSurface, EngUnlockSurface, EngLockSurface, EngAssociateSurface, EngCreateBitmap, XLATEOBJ_cGetPalette, CLIPOBJ_bEnum, CLIPOBJ_cEnumStart, BRUSHOBJ_pvGetRbrush, EngBitBlt, EngAlphaBlend, EngTransparentBlt, EngCopyBits, BRUSHOBJ_pvAllocRbrush, EngAllocMem, EngFreeMem, EngDeviceIoControl, EngCreateWnd, EngDeleteWnd, WNDOBJ_vSetConsumer, EngInitializeSafeSemaphore, EngDeleteSafeSemaphore, EngStretchBlt, EngStrokePath, EngLineTo, EngTextOut, EngCreateEvent, EngSaveFloatingPointState, EngDeleteEvent, EngCreateDeviceSurface, EngWaitForSingleObject, EngGetCurrentProcessId, EngRestoreFloatingPointState, EngMultiByteToUnicodeN, EngCreateDeviceBitmap, EngQueryPerformanceCounter, EngQueryPerformanceFrequency, XLATEOBJ_piVector, XLATEOBJ_iXlate, PATHOBJ_bEnum, PATHOBJ_vEnumStart, EngCreatePalette, EngDeletePalette, EngReleaseSemaphore, PALOBJ_cGetColors, EngAcquireSemaphore, STROBJ_bEnum, STROBJ_vEnumStart, EngCreateSemaphore, EngDeleteSemaphore, EngUnlockDriverObj, EngDeleteDriverObj, EngLockDriverObj, EngCreateDriverObj, WNDOBJ_cEnumStart, WNDOBJ_bEnum, EngControlSprites, PATHOBJ_vGetBounds, EngMovePointer, EngSetPointerShape, EngUnicodeToMultiByteN, EngQueryLocalTime, EngFreeModule, EngFindResource, EngLoadModule, EngSetEvent, EngProbeForReadAndWrite, EngAllocPrivateUserMem, EngFreePrivateUserMem, EngUnloadImage, EngFindImageProcAddress, EngLoadImage, RtlUnwind, RtlRaiseException, RtlUnicodeToMultiByteN ( 0 exports ) RDS...: NSRL Reference Data Set - sigcheck: publisher....: NVIDIA Corporation copyright....: (C) NVIDIA Corporation. All rights reserved. product......: NVIDIA Compatible Windows 2000 Display driver, Version 46.30 description..: NVIDIA Compatible Windows 2000 Display driver, Version 46.30 original name: nv4_disp.dll internal name: nv4_disp.dll file version.: 6.14.10.4630 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned pdfid.: - trid..: Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) |
13.01.2010, 20:50 | #20 |
| malware! Hilfe! Hi, sieht nach Programmierfehler aus... Dann wären wir soweit durch, was macht der Rechner? chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
13.01.2010, 21:00 | #21 |
| malware! Hilfe! ok, d.h.? also momentan läuft er gut. bekomm keine pop-ups mehr, es geht wieder alles schnell und nya antivir funktioniert auch endlich wieder |
13.01.2010, 21:14 | #22 |
| malware! Hilfe! Hi, gut, denke wir haben alles erwischt... Falls gewünscht installiere noch einen verhaltensbasierten Scanner wie Threadfire (der macht manchmal Probleme, harmoniert sonst aber recht gut mit Avira): http://www.threatfire.com/de/ Es gibt auch ähnlich wie bei Avira eine kostenlose Version... Nur gilt auch hier: Gehirn einschalten... versucht eine Anwendung plötzlich versteckte Treiber zu installiern, dann sollte man wohl eher abbrechen statt zulassen auswählen... Ein letzter Scann noch mit Prevx (der kann nichts entfernen [kostenpflichtig], ist aber recht gut mit einer gewissen Neigung zu Fehlalarmen, d.h. die Funde erst immer bei Virustotal prüfen lassen!). Nach dem Scann kannst Du es wieder entfernen, falls nichts gefunden wurde: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |