Virenscanner funktionieren nicht mehr , Mozilla spinnt - H8RST Files gefunden

trizzle · 21.01.2010, 23:06

Erstmal einen Guten Abend allen zusammen!

Also das Ganze fing vorgestern Nacht an , als ich mein youtube Browser fenster schloß. Aufeinmal hatte ich ein Fenster mit einer Viren Warnung , die dem Windows Security Center ähnlich sah, was allerdings kaum sein kann , da ich da alles abgeschaltet habe. Mein AntiVir sprang auch sofort an und hörte gar nich mehr auf zu Piepsen. Als dann ein automatischer Install des Programms anfing hab ich den Rechner erstmal abgeschoßen , da ich keine andere Möglichkeit sah , dies zu Unterbrechen.

Beim wieder hochfahren ging dann AntiVir nicht mehr auch nach mehrmaliger Neuinstallation. Bin dann recht schnell auf eure Seite gestoßen und hab gesehen , dass der Trojaner sich grad wohl fleissig ausbreitet.
Hab mir dann auch gleich mal Malwarebytes gezogen und durch umbennenen es sogar geschafft zu installieren , aber sobald ichs starten wollte war Ende.

Als nächstes hab ichs mit Sophos Anti Rootkit versucht und auch mehrere Hidden gefunden. Die in der Überschrift schon erwähnten H8RST Files. In der Regestry und auf C. Hab dann versucht , das Ganze mit Hilfe von Kill Box selber zu entfernen, aber irgendwie war das nich wirklich von Erfolg gekrönt.

Hab mir dann , das AVZ Antiviral Toolkit gezogen und der erste Scan hat sagenhafte 25 Stunden gebraucht. Hatte ja damit gerechnet , dass es lang dauert , aber so lang. Naja egal im Anhang sind die beiden Log-Files und jetzt hoffe ich ja auf Hilfe, wie ich den vermaledeiten Plagegeist vollends los werde.

Schon mal vielen Dank im voraus , ohne eure Seite wüsst ich noch nichmal , was mich gerade erschlagen hat. Und natürlich in der Hoffnung auf baldige Antwort mit dem ein oder anderen Tipp, wie ich das Vieh wieder los werd.

mfg Trizzle

trizzle · 22.01.2010, 04:16

nach weiterem Umschauen hier im Forum , ist mir ein Thread aufgefallen, den ich bisher wohl übersehen habe , in dem die Lösung meines Problems schon beschrieben wird.

http://www.trojaner-board.de/82004-m...lft-mir-2.html

Habe mir wie auf Seite 2 beschrieben den Avenger gezogen und ihn das 2-zeilige Skript ausführen lassen , da es sich ja exakt um den Trojaner handelt, den ich mithilfe von Sophos schon gefunden hatte.

Ergebnis ist , das sich Malwarebytes starten ließ. Habs sofort geupdatet und atm läuft grad der Komplettscan!

Hier schonmal das Log-File von Avenger , das von Malwarebyts folgt sobald der Scan abgeschloßen ist

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRTepcbbtjida.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "H8SRTd.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

trizzle · 22.01.2010, 07:09

so ... hier jetzt das Malwarebytes Log-File :

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3612
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

22.01.2010 06:59:24
mbam-log-2010-01-22 (06-59-24).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 359633
Laufzeit: 1 hour(s), 20 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 21

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Program Files\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\!KillBox\H8SRTepcbbtjida.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\!KillBox\H8SRTepcbbtjida.sys( 12) (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\!KillBox\H8SRTepcbbtjida.sys( 22) (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\!KillBox\H8SRTppmrivxrpp.dll (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\!KillBox\H8SRTppmrivxrpp.dll( 13) (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\!KillBox\H8SRTppmrivxrpp.dll( 23) (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\!KillBox\H8SRTyrlerivqtf.dll (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\!KillBox\H8SRTyrlerivqtf.dll( 14) (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\!KillBox\H8SRTyrlerivqtf.dll( 24) (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\Program Files\Malware Defense\mdext.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Program Files\Malware Defense\uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\H8SRTppmrivxrpp.dll (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\Windows\System32\H8SRTqbdpxcqwos.dll (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\Windows\System32\H8SRTyrlerivqtf.dll (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\H8SRTepcbbtjida.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\md.db (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Windows\System32\h8srtkrl32mainweq.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\h8srtshsyst.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\H8SRTwfjenmmauj.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\H8SRTgopiibsvoq.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\H8SRTd53d.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

alles erfolgreich entfernen lassen . Hab grad auch nochmal CCleaner drüber gejagt und werd mir jetzt wieder ne aktuelle Version von AntiVir antun.
Sieht alles so weit so gut aus oder?

Was sollte/muss ich jetzt noch tun ?
Also mal abgesehen von nem kompletten Scan mit AntiVir.

Chris4You · 22.01.2010, 07:22

Hi,

gute Arbeit!

Avira wie schon beschrieben, ggf. die Systemwiederherstellung plätten und mit GMER noch mal prüfen ob das Teil wirklich weg ist...

Du hattest schonmal versucht ihn über die Killbox zu entfernen?

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris

trizzle · 22.01.2010, 07:47

Danke

Alles Dank der überaus nützlichen Infos , die man hier im Forum so findet, wenn man nur richtig sucht

Dafür schon mal ein Riesen-Lob an euch ! Und vielen Dank für die Mühe die ihr euch hier gebt... weiß gar nich was ich gemacht hät ohne eure Seite!

AntiVir Scan läuft und hat zu meinem Bedauern auch schon 9 Funde

TR/Spy.40960.248 heißt der Letzte ... also wohl andere Baustelle. Naja mal schauen wie´s aussieht wenn der Scan fertig ist ...

Joar wie im Eingangspost geschrieben , hab ichs nach dem Scan mit Sophos mit KillBox relativ erfolglos probiert. Wollt eigentlich erst den Avenger nehmen , aber bin nich auf die Seite gekommen. Was daran lag , dass sie halt durch den Trojaner gesperrt wurde, wie ich jetzt nachträglich gemerkt hab. Die namentlich veränderte Version konnt ich mir ja einwandfrei ziehen! Allerdings hät mir der Avenger zu dem Zeitpunkt eh noch nix gebracht , da ich ja nichmal gewusst hätte was ich bei Script reinschreiben soll...

Werd , wenn der AntiVir Scan fertig ist alles weitere Umsetzen , was du mir grad netterweise empfohlen hast und mich dann hier wieder mit Ergebnissen melden , sobald ich alles erledigt habe

Also bis später

trizzle · 22.01.2010, 08:57

AntiVir ist grad fertig geworden, hier schonmal das Log . Den Rest werd ich jetzt in Angriff nehmen !

Was mich allerdings etwas beunruhigt , dass er jetzt wieder H8SRT Dateien gefunden hat ^^ dachte Malwarebyte hätte die alle entfernt

Code:

ATTFilter


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 22. Januar 2010  07:17

Es wird nach 1628331 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : USER-PC

Versionsinformationen:
BUILD.DAT      : 9.0.0.418     21723 Bytes  02.12.2009 16:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 06:15:07
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 06:15:15
VBASE003.VDF   : 7.10.3.2       2048 Bytes  20.01.2010 06:15:15
VBASE004.VDF   : 7.10.3.3       2048 Bytes  20.01.2010 06:15:15
VBASE005.VDF   : 7.10.3.4       2048 Bytes  20.01.2010 06:15:15
VBASE006.VDF   : 7.10.3.5       2048 Bytes  20.01.2010 06:15:15
VBASE007.VDF   : 7.10.3.6       2048 Bytes  20.01.2010 06:15:15
VBASE008.VDF   : 7.10.3.7       2048 Bytes  20.01.2010 06:15:15
VBASE009.VDF   : 7.10.3.8       2048 Bytes  20.01.2010 06:15:15
VBASE010.VDF   : 7.10.3.9       2048 Bytes  20.01.2010 06:15:15
VBASE011.VDF   : 7.10.3.10      2048 Bytes  20.01.2010 06:15:15
VBASE012.VDF   : 7.10.3.11      2048 Bytes  20.01.2010 06:15:15
VBASE013.VDF   : 7.10.3.12      2048 Bytes  20.01.2010 06:15:16
VBASE014.VDF   : 7.10.3.13      2048 Bytes  20.01.2010 06:15:16
VBASE015.VDF   : 7.10.3.14      2048 Bytes  20.01.2010 06:15:16
VBASE016.VDF   : 7.10.3.15      2048 Bytes  20.01.2010 06:15:16
VBASE017.VDF   : 7.10.3.16      2048 Bytes  20.01.2010 06:15:16
VBASE018.VDF   : 7.10.3.17      2048 Bytes  20.01.2010 06:15:16
VBASE019.VDF   : 7.10.3.18      2048 Bytes  20.01.2010 06:15:16
VBASE020.VDF   : 7.10.3.19      2048 Bytes  20.01.2010 06:15:16
VBASE021.VDF   : 7.10.3.20      2048 Bytes  20.01.2010 06:15:16
VBASE022.VDF   : 7.10.3.21      2048 Bytes  20.01.2010 06:15:16
VBASE023.VDF   : 7.10.3.22      2048 Bytes  20.01.2010 06:15:16
VBASE024.VDF   : 7.10.3.23      2048 Bytes  20.01.2010 06:15:16
VBASE025.VDF   : 7.10.3.24      2048 Bytes  20.01.2010 06:15:16
VBASE026.VDF   : 7.10.3.25      2048 Bytes  20.01.2010 06:15:16
VBASE027.VDF   : 7.10.3.26      2048 Bytes  20.01.2010 06:15:17
VBASE028.VDF   : 7.10.3.27      2048 Bytes  20.01.2010 06:15:17
VBASE029.VDF   : 7.10.3.28      2048 Bytes  20.01.2010 06:15:17
VBASE030.VDF   : 7.10.3.29      2048 Bytes  20.01.2010 06:15:17
VBASE031.VDF   : 7.10.3.38    122880 Bytes  21.01.2010 06:15:17
Engineversion  : 8.2.1.146
AEVDF.DLL      : 8.1.1.2      106867 Bytes  08.11.2009 06:38:52
AESCRIPT.DLL   : 8.1.3.9      659834 Bytes  22.01.2010 06:15:22
AESCN.DLL      : 8.1.3.1      127348 Bytes  22.01.2010 06:15:21
AESBX.DLL      : 8.1.1.1      246132 Bytes  08.11.2009 06:38:44
AERDL.DLL      : 8.1.3.4      479605 Bytes  22.01.2010 06:15:21
AEPACK.DLL     : 8.2.0.5      422262 Bytes  22.01.2010 06:15:21
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  08.11.2009 06:38:38
AEHEUR.DLL     : 8.1.0.195   2232695 Bytes  22.01.2010 06:15:20
AEHELP.DLL     : 8.1.10.0     237942 Bytes  22.01.2010 06:15:18
AEGEN.DLL      : 8.1.1.83     369014 Bytes  22.01.2010 06:15:18
AEEMU.DLL      : 8.1.1.0      393587 Bytes  08.11.2009 06:38:26
AECORE.DLL     : 8.1.9.5      184693 Bytes  22.01.2010 06:15:17
AEBB.DLL       : 8.1.0.3       53618 Bytes  08.11.2009 06:38:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: h:\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, G:, H:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 22. Januar 2010  07:17

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '95390' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VSSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpswp_clipbook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPHC_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqToaster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPStart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '67' Prozesse mit '67' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'H:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '52' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\!KillBox\H8SRTd53d.tmp
    [FUND]      Ist das Trojanische Pferd TR/Alureon.DF.5
C:\!KillBox\H8SRTd53d.tmp( 11)
    [FUND]      Ist das Trojanische Pferd TR/Alureon.DF.5
C:\!KillBox\H8SRTd53d.tmp( 21)
    [FUND]      Ist das Trojanische Pferd TR/Alureon.DF.5
C:\!KillBox\H8SRTqbdpxcqwos.dll
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.3825
C:\!KillBox\H8SRTqbdpxcqwos.dll( 16)
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.3825
C:\!KillBox\H8SRTqbdpxcqwos.dll( 26)
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.3825
C:\!KillBox\H8SRTwfjenmmauj.dll
    [FUND]      Ist das Trojanische Pferd TR/Spy.40960.248
C:\!KillBox\H8SRTwfjenmmauj.dll( 25)
    [FUND]      Ist das Trojanische Pferd TR/Spy.40960.248
C:\!KillBox\H8SRTwfjenmmauj.dll( 8)
    [FUND]      Ist das Trojanische Pferd TR/Spy.40960.248
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
Beginne mit der Suche in 'F:\'
Beginne mit der Suche in 'G:\'
Beginne mit der Suche in 'H:\'
H:\PacificPoker\bin\casinopoker\bin\casino.exe
    [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.owh
H:\PacificPoker\bin\casinopoker\bin\casinopk.exe
    [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.owh

Beginne mit der Desinfektion:
C:\!KillBox\H8SRTd53d.tmp
    [FUND]      Ist das Trojanische Pferd TR/Alureon.DF.5
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bac599a.qua' verschoben!
C:\!KillBox\H8SRTd53d.tmp( 11)
    [FUND]      Ist das Trojanische Pferd TR/Alureon.DF.5
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fe31f23.qua' verschoben!
C:\!KillBox\H8SRTd53d.tmp( 21)
    [FUND]      Ist das Trojanische Pferd TR/Alureon.DF.5
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ffc171b.qua' verschoben!
C:\!KillBox\H8SRTqbdpxcqwos.dll
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.3825
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ffd0fd3.qua' verschoben!
C:\!KillBox\H8SRTqbdpxcqwos.dll( 16)
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.3825
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ffe078b.qua' verschoben!
C:\!KillBox\H8SRTqbdpxcqwos.dll( 26)
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.3825
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fff3c43.qua' verschoben!
C:\!KillBox\H8SRTwfjenmmauj.dll
    [FUND]      Ist das Trojanische Pferd TR/Spy.40960.248
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ff8343b.qua' verschoben!
C:\!KillBox\H8SRTwfjenmmauj.dll( 25)
    [FUND]      Ist das Trojanische Pferd TR/Spy.40960.248
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c65232b.qua' verschoben!
C:\!KillBox\H8SRTwfjenmmauj.dll( 8)
    [FUND]      Ist das Trojanische Pferd TR/Spy.40960.248
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c66dbe3.qua' verschoben!
H:\PacificPoker\bin\casinopoker\bin\casino.exe
    [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.owh
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcc59c4.qua' verschoben!
H:\PacificPoker\bin\casinopoker\bin\casinopk.exe
    [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.owh
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c18a135.qua' verschoben!


Ende des Suchlaufs: Freitag, 22. Januar 2010  08:53
Benötigte Zeit:  1:35:23 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  30253 Verzeichnisse wurden überprüft
 639306 Dateien wurden geprüft
     11 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     11 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 639293 Dateien ohne Befall
   4957 Archive wurden durchsucht
      2 Warnungen
     13 Hinweise
  95390 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Chris4You · 22.01.2010, 09:26

Hi,

die Funde sind unkrititsch, da sie aus dem Backup von der Killbox stammen:

Zitat:

C:\!KillBox\H8SRTd53d.tmp( 11)
[FUND] Ist das Trojanische Pferd TR/Alureon.DF.5

chris

trizzle · 22.01.2010, 10:20

ja das ist doch mal eine erfreuliche Nachricht

Systemwiederherstellung war bei mir schon vorher deaktiviert ^^ will heißen gibt keine Punkte , die ich da entfernen müsste.

Anbei noch das Log von GMER , damit sollte sich die Sache dann ja jetzt erledigt haben , oder ?

Code:

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-22 10:14:25
Windows 6.0.6002 Service Pack 2
Running: j4xufgh6.exe; Driver: C:\Users\user\AppData\Local\Temp\kxldapob.sys


---- System - GMER 1.0.15 ----

SSDT            C81BFA34                                                                                             ZwCreateThread
SSDT            C81BFA20                                                                                             ZwOpenProcess
SSDT            C81BFA25                                                                                             ZwOpenThread
SSDT            C81BFA2F                                                                                             ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetEvent + 221                                                                        81EF4964 4 Bytes  [34, FA, 1B, C8] {XOR AL, 0xfa; SBB ECX, EAX}
.text           ntkrnlpa.exe!KeSetEvent + 3F1                                                                        81EF4B34 4 Bytes  [20, FA, 1B, C8] {AND DL, BH; SBB ECX, EAX}
.text           ntkrnlpa.exe!KeSetEvent + 40D                                                                        81EF4B50 4 Bytes  [25, FA, 1B, C8]
.text           ntkrnlpa.exe!KeSetEvent + 621                                                                        81EF4D64 4 Bytes  [2F, FA, 1B, C8] {DAS ; CLI ; SBB ECX, EAX}
?               System32\drivers\csit.sys                                                                            Das System kann den angegebenen Pfad nicht finden. !
.text           C:\Windows\system32\DRIVERS\nvlddmkm.sys                                                             section is writeable [0x8BC02340, 0x3E3727, 0xE8000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                [741E7817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                 [7423A86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]             [741EBB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]       [741DF695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                 [741E75E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]              [741DE7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM]  [74218395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream]     [741EDA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]             [741DFFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]              [741DFF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]               [741D71CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM]       [7426CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile]          [7420C8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]             [741DD968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                       [741D6853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                      [741D687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2868] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]         [741E2AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                              Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

Device          \Driver\BTHUSB \Device\00000075                                                                      bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)
Device          \Driver\BTHUSB \Device\00000077                                                                      bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6bdfcfd7                          
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001a6bdfcfd7 (not active ControlSet)      

---- EOF - GMER 1.0.15 ----

Chris4You · 22.01.2010, 11:06

Hi,

Log von GMER sieht sauber aus!

chris

trizzle · 22.01.2010, 11:29

das wollt ich hören

dann nochmal vielen Dank für die ausführliche und gute Hilfe !

Werde ab jetzt sicher öfter mal hier ins Forum schauen... gibt doch einige Interessante Beiträge hier und man weiß ja auch nie wann man´s brauchen kann

Virenscanner funktionieren nicht mehr , Mozilla spinnt - H8RST Files gefunden

Plagegeister aller Art und deren Bekämpfung: Virenscanner funktionieren nicht mehr , Mozilla spinnt - H8RST Files gefunden