|
Log-Analyse und Auswertung: Problem mit Bagle-Virus! Meine Liste!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.01.2010, 10:48 | #1 |
| Problem mit Bagle-Virus! Meine Liste! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:46:53, on 17.01.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Cyberlink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\CyberLink\PowerCinema\PCMService.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe C:\Programme\WinTV\Ir.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Downloads\HiJackThis.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RegistryDoktorNET] C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-854245398-764733703-725345543-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Freunde') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe -- End of file - 4687 bytes |
17.01.2010, 11:10 | #2 |
| Problem mit Bagle-Virus! Meine Liste! habe das selbe Problem das ich nicht mal eine Systemwiederherstellung machen kann ist echt zum kotzen!!!
__________________Probleme: Deaktivierung Sicherheitscenter Systemwiederherstellung funktioniert nicht -es konnte keine gültige Systempartifition gefunden werden oder so! |
17.01.2010, 11:32 | #3 |
| Problem mit Bagle-Virus! Meine Liste! Es wurden Modifikationen entdeckt wegen Rootkit Aktivität!
__________________GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-17 11:35:41 Windows 5.1.2600 Service Pack 2 Running: dqsu6uyi.exe; Driver: C:\DOKUME~1\Michael\LOKALE~1\Temp\kgqirpow.sys ---- System - GMER 1.0.15 ---- Code 89A9C0D8 ZwEnumerateKey Code 89A9CE98 ZwFlushInstructionCache Code 89A9BD2E IofCallDriver Code 89A9A05E IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!IofCallDriver 804EF0BC 5 Bytes JMP 89A9BD33 .text ntkrnlpa.exe!IofCompleteRequest 804EF14C 5 Bytes JMP 89A9A063 PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B528C 5 Bytes JMP 89A9CE9C PAGE ntkrnlpa.exe!ZwEnumerateKey 80622970 5 Bytes JMP 89A9C0DC .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB8FC1360, 0x2BAB3D, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Downloads\dqsu6uyi.exe[164] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00BA000A .text C:\Programme\Java\jre1.5.0\bin\jusched.exe[348] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00AE000A .text C:\WINDOWS\RTHDCPL.EXE[360] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 01BA000A .text C:\WINDOWS\system32\RUNDLL32.EXE[440] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00AF000A .text C:\Programme\CyberLink\PowerCinema\PCMService.exe[456] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00B9000A .text ... .text C:\WINDOWS\system32\svchost.exe[964] ole32.dll!CoCreateInstance 774F6009 5 Bytes JMP 0088000A .text C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe[1080] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00B2000A .text C:\WINDOWS\system32\nvsvc32.exe[1140] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 0088000A .text C:\Programme\Cyberlink\Shared files\RichVideo.exe[1164] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00BA000A .text C:\WINDOWS\system32\wdfmgr.exe[1608] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 0079000A .text C:\WINDOWS\system32\spoolsv.exe[1688] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00AF000A .text ... .text C:\Programme\Mozilla Firefox\firefox.exe[3412] WS2_32.dll!connect 71A1406A 5 Bytes JMP 02D1000A .text C:\Programme\Mozilla Firefox\firefox.exe[3412] WS2_32.dll!send 71A1428A 5 Bytes JMP 02D3000A .text C:\Programme\Mozilla Firefox\firefox.exe[3412] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 02D2000A .text C:\WINDOWS\system32\wuauclt.exe[3764] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00B0000A .text C:\Programme\Internet Explorer\iexplore.exe[4044] ole32.dll!OleLoadFromStream 774E8C62 5 Bytes JMP 7E2A486D C:\WINDOWS\system32\SHDOCVW.dll (Bibliothek für Shell-Dokumente und -Steuerelemente/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!InternetConnectA 7719308A 5 Bytes JMP 00E2000A .text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!HttpOpenRequestA 77193674 5 Bytes JMP 00E0000A .text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!HttpAddRequestHeadersA 7719407A 5 Bytes JMP 00D0000C .text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!InternetConnectW 7719EDC8 5 Bytes JMP 00E1000A .text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!HttpAddRequestHeadersW 7719EEBC 5 Bytes JMP 00DE000A .text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!HttpOpenRequestW 7719F3BE 5 Bytes JMP 00DF000A .text C:\Programme\Internet Explorer\iexplore.exe[4044] WS2_32.dll!connect 71A1406A 5 Bytes JMP 02E5000A .text C:\Programme\Internet Explorer\iexplore.exe[4044] WS2_32.dll!send 71A1428A 5 Bytes JMP 02E8000A .text C:\Programme\Internet Explorer\iexplore.exe[4044] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 02E7000A ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Modules - GMER 1.0.15 ---- Module \systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys (*** hidden *** ) AF49F000-AF4BC000 (118784 bytes) ---- Processes - GMER 1.0.15 ---- Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [724] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1048] 0x007F0000 Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1216] 0x007F0000 Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1348] 0x007F0000 Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1432] 0x007F0000 Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1440] 0x007F0000 Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1512] 0x007F0000 Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [3412] 0x01560000 Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [4044] 0x00F90000 ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\H8SRTrwmtbrnoxv.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmpikkyavym.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTotpqxdwlky.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTvhasxctvbm.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTnnhqdnowyo.dll Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmpikkyavym.dll Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTotpqxdwlky.dat Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTvhasxctvbm.dll Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTnnhqdnowyo.dll ---- Files - GMER 1.0.15 ---- File C:\Dokumente und Einstellungen\Freunde\Lokale Einstellungen\Temp\h8srtmainqt.dll 16656 bytes File C:\Dokumente und Einstellungen\GAMES\Lokale Einstellungen\Temp\h8srtmainqt.dll 16656 bytes File C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\H8SRTf312.tmp 343040 bytes executable File C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\h8srtmainqt.dll 16676 bytes File C:\WINDOWS\system32\drivers\H8SRTrwmtbrnoxv.sys 40448 bytes executable <-- ROOTKIT !!! File C:\WINDOWS\system32\h8srtkrl32mainweq.dll 1167 bytes File C:\WINDOWS\system32\H8SRTltsntqwpsw.dll 16896 bytes executable File C:\WINDOWS\system32\H8SRTmpikkyavym.dll 23552 bytes executable File C:\WINDOWS\system32\H8SRTnnhqdnowyo.dll 40960 bytes executable File C:\WINDOWS\system32\H8SRTotpqxdwlky.dat 162 bytes File C:\WINDOWS\system32\h8srtshsyst.dll 524 bytes File C:\WINDOWS\system32\H8SRTvhasxctvbm.dll 40960 bytes executable File C:\WINDOWS\Temp\H8SRT4a62.tmp 238 bytes ---- EOF - GMER 1.0.15 ---- Ich bin echt planlos! |
Themen zu Problem mit Bagle-Virus! Meine Liste! |
adobe, antivir, antivir guard, avg, avgnt, avgnt.exe, avira, bho, desktop, dll, einstellungen, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, nvidia, problem, programme, rundll, sdra64.exe, system, userinit.exe, windows, windows xp |