Problem mit Bagle-Virus! Meine Liste!

Jason87 · 17.01.2010, 10:48

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:46:53, on 17.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe
C:\Programme\WinTV\Ir.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Downloads\HiJackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RegistryDoktorNET] C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-854245398-764733703-725345543-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Freunde')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe

--
End of file - 4687 bytes

Jason87 · 17.01.2010, 11:10

habe das selbe Problem das ich nicht mal eine Systemwiederherstellung machen kann ist echt zum kotzen!!!

Probleme:

Deaktivierung Sicherheitscenter
Systemwiederherstellung funktioniert nicht
-es konnte keine gültige Systempartifition gefunden werden oder so!

Jason87 · 17.01.2010, 11:32

Es wurden Modifikationen entdeckt wegen Rootkit Aktivität!

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-17 11:35:41
Windows 5.1.2600 Service Pack 2
Running: dqsu6uyi.exe; Driver: C:\DOKUME~1\Michael\LOKALE~1\Temp\kgqirpow.sys

---- System - GMER 1.0.15 ----

Code 89A9C0D8 ZwEnumerateKey
Code 89A9CE98 ZwFlushInstructionCache
Code 89A9BD2E IofCallDriver
Code 89A9A05E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EF0BC 5 Bytes JMP 89A9BD33
.text ntkrnlpa.exe!IofCompleteRequest 804EF14C 5 Bytes JMP 89A9A063
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B528C 5 Bytes JMP 89A9CE9C
PAGE ntkrnlpa.exe!ZwEnumerateKey 80622970 5 Bytes JMP 89A9C0DC
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB8FC1360, 0x2BAB3D, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Downloads\dqsu6uyi.exe[164] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00BA000A
.text C:\Programme\Java\jre1.5.0\bin\jusched.exe[348] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00AE000A
.text C:\WINDOWS\RTHDCPL.EXE[360] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 01BA000A
.text C:\WINDOWS\system32\RUNDLL32.EXE[440] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00AF000A
.text C:\Programme\CyberLink\PowerCinema\PCMService.exe[456] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00B9000A
.text ...
.text C:\WINDOWS\system32\svchost.exe[964] ole32.dll!CoCreateInstance 774F6009 5 Bytes JMP 0088000A
.text C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe[1080] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00B2000A
.text C:\WINDOWS\system32\nvsvc32.exe[1140] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 0088000A
.text C:\Programme\Cyberlink\Shared files\RichVideo.exe[1164] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00BA000A
.text C:\WINDOWS\system32\wdfmgr.exe[1608] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 0079000A
.text C:\WINDOWS\system32\spoolsv.exe[1688] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00AF000A
.text ...
.text C:\Programme\Mozilla Firefox\firefox.exe[3412] WS2_32.dll!connect 71A1406A 5 Bytes JMP 02D1000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3412] WS2_32.dll!send 71A1428A 5 Bytes JMP 02D3000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3412] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 02D2000A
.text C:\WINDOWS\system32\wuauclt.exe[3764] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00B0000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] ole32.dll!OleLoadFromStream 774E8C62 5 Bytes JMP 7E2A486D C:\WINDOWS\system32\SHDOCVW.dll (Bibliothek für Shell-Dokumente und -Steuerelemente/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!InternetConnectA 7719308A 5 Bytes JMP 00E2000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!HttpOpenRequestA 77193674 5 Bytes JMP 00E0000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!HttpAddRequestHeadersA 7719407A 5 Bytes JMP 00D0000C
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!InternetConnectW 7719EDC8 5 Bytes JMP 00E1000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!HttpAddRequestHeadersW 7719EEBC 5 Bytes JMP 00DE000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!HttpOpenRequestW 7719F3BE 5 Bytes JMP 00DF000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WS2_32.dll!connect 71A1406A 5 Bytes JMP 02E5000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WS2_32.dll!send 71A1428A 5 Bytes JMP 02E8000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 02E7000A

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys (*** hidden *** ) AF49F000-AF4BC000 (118784 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [724] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1048] 0x007F0000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1216] 0x007F0000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1348] 0x007F0000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1432] 0x007F0000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1440] 0x007F0000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1512] 0x007F0000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [3412] 0x01560000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [4044] 0x00F90000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTrwmtbrnoxv.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmpikkyavym.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTotpqxdwlky.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTvhasxctvbm.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTnnhqdnowyo.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmpikkyavym.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTotpqxdwlky.dat
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTvhasxctvbm.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTnnhqdnowyo.dll

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Freunde\Lokale Einstellungen\Temp\h8srtmainqt.dll 16656 bytes
File C:\Dokumente und Einstellungen\GAMES\Lokale Einstellungen\Temp\h8srtmainqt.dll 16656 bytes
File C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\H8SRTf312.tmp 343040 bytes executable
File C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\h8srtmainqt.dll 16676 bytes
File C:\WINDOWS\system32\drivers\H8SRTrwmtbrnoxv.sys 40448 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\h8srtkrl32mainweq.dll 1167 bytes
File C:\WINDOWS\system32\H8SRTltsntqwpsw.dll 16896 bytes executable
File C:\WINDOWS\system32\H8SRTmpikkyavym.dll 23552 bytes executable
File C:\WINDOWS\system32\H8SRTnnhqdnowyo.dll 40960 bytes executable
File C:\WINDOWS\system32\H8SRTotpqxdwlky.dat 162 bytes
File C:\WINDOWS\system32\h8srtshsyst.dll 524 bytes
File C:\WINDOWS\system32\H8SRTvhasxctvbm.dll 40960 bytes executable
File C:\WINDOWS\Temp\H8SRT4a62.tmp 238 bytes

---- EOF - GMER 1.0.15 ----

Ich bin echt planlos!

Problem mit Bagle-Virus! Meine Liste!

Log-Analyse und Auswertung: Problem mit Bagle-Virus! Meine Liste!