|
Log-Analyse und Auswertung: unbezwingbarer Trojaner ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.02.2010, 02:13 | #1 |
Gast | unbezwingbarer Trojaner ? bin absoluter nap in sachen trojaner viren etc hab mal das programm tralala benutzt und paste mal hier das resultat rein GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2010-02-04 02:02:42 Windows 5.1.2600 Service Pack 2, v.2096 ---- User code sections - GMER 1.0.14 ---- .text D:\Programme\Mozilla Firefox\firefox.exe[1488] ntdll.dll!LdrLoadDll 77CB2F3F 5 Bytes JMP 004013F0 D:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation) ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTlovhelexta.sys Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTlovhelexta.sys Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTxtapmputfq.dll Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTxbnmdivppp.dat Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTurntaetnqw.dll Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTbdviexiypb.dll Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTvpvivtljnt.dll Reg HKLM\SOFTWARE\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}@scansk 0xAC 0x7C 0xAF 0xB2 ... Reg HKLM\SOFTWARE\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}@scansk 0x21 0x7C 0xFC 0xEE ... Reg HKLM\SOFTWARE\Classes\CLSID\{a6c44b92-8d91-419e-93e7-0a7c8268badf}@Model 93 Reg HKLM\SOFTWARE\Classes\CLSID\{a6c44b92-8d91-419e-93e7-0a7c8268badf}@Therad 30 Reg HKLM\SOFTWARE\Classes\CLSID\{a6c44b92-8d91-419e-93e7-0a7c8268badf}@MData 0x2B 0x8F 0x78 0x29 ... Reg HKLM\SOFTWARE\Classes\CLSID\{eeea1f24-634d-4847-94e0-c2630fe6527d}@Model 122 Reg HKLM\SOFTWARE\Classes\CLSID\{eeea1f24-634d-4847-94e0-c2630fe6527d}@Therad 2 ---- EOF - GMER 1.0.14 ---- was ist mein problem ? es taucht oft so ein xp internet security fenster auf und ich kann das setup von Malwarebytes Anti-Malware nicht starten. ist da iwie ein zusammenhang !! hatte vorher schon Malwarebytes Anti-Malware aufm pc aber konnte es nicht starten, habe es dann deinstalliert und wollts neu installieren, und es klappte iwie nach etlichen versuchen es zu installieren, habe dann nen scan durchgefuehrt und nach dem ich meinen pc nach mehreren stunden wieder angemacht habe gabs dasselbe problem, der xp internet scheiss tauchte wieder auf und Malwarebytes Anti-Malware funzte schon wieder nicht. jedes mal beim oeffnen des setups taucht beim task manager -> prozesse das av.exe auf und nach einigen versuchen das setup zu oeffnen erscheint dann wieder dieses internet security 2010. also kann mir jemand bitte helfen ^^ |
04.02.2010, 07:23 | #2 |
| unbezwingbarer Trojaner ? Hi,
__________________poste noch ein RSIT-Log.... RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris
__________________ |
04.02.2010, 11:42 | #3 |
Gast | unbezwingbarer Trojaner ? wie du wuenscht
__________________hier ist die info info.txt logfile of random's system information tool 1.06 2010-02-04 11:32:00 ======Uninstall list====== -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf 7-Zip 4.42-->"D:\Programme\7-Zip\Uninstall.exe" Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 8.1.7 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003} CCleaner (remove only)-->"D:\Programme\CCleaner\uninst.exe" DivX Web Player-->D:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN Free Audio CD Burner version 1.2-->"C:\Programme\DVDVideoSoft\Free Audio CD Burner\unins000.exe" Free YouTube to MP3 Converter version 3.2-->"D:\Programme\DVDVideoSoft\Free YouTube to MP3 Converter\unins000.exe" Google Chrome-->"C:\Programme\Google\Chrome\Application\4.0.249.78\Installer\setup.exe" --uninstall --system-level Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe ICQ7-->"C:\Programme\InstallShield Installation Information\{88EB38EF-4D2C-436D-ABD3-56B232674062}\ICQ7.exe" -runfromtemp -l0x0009 -removeonly Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF} Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe Microsoft Search Enhancement Pack-->MsiExec.exe /I{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E} Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (3.6)-->D:\Programme\Mozilla Firefox\uninstall\helper.exe NVIDIA Windows 2000/XP Display Drivers-->rundll32.exe C:\WINDOWS\system32\nvinstnt.dll,NvUninstallNT4 nv4_disp.inf OpenOffice.org 3.1-->MsiExec.exe /I{99E862CC-6F69-4D39-99AA-DBF71BF3B585} SiS 900 PCI Fast Ethernet Adapter Driver-->C:\Progra~1\SiSLan\Uninst.exe Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004} Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe" VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B} Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe" Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe" Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall WinRAR archiver-->D:\Programme\WinRAR\uninstall.exe ======Security center information====== AV: Malware Defense (outdated) ======System event log====== Computer Name: CAO-D7CC7538F51 Event Code: 7036 Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Beendet". Record Number: 14536 Source Name: Service Control Manager Time Written: 20100103111927.000000+060 Event Type: Informationen User: Computer Name: CAO-D7CC7538F51 Event Code: 7036 Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Ausgeführt". Record Number: 14535 Source Name: Service Control Manager Time Written: 20100103111927.000000+060 Event Type: Informationen User: Computer Name: CAO-D7CC7538F51 Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "WMI-Leistungsadapter" gesendet. Record Number: 14534 Source Name: Service Control Manager Time Written: 20100103111927.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: CAO-D7CC7538F51 Event Code: 7036 Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt". Record Number: 14533 Source Name: Service Control Manager Time Written: 20100103111927.000000+060 Event Type: Informationen User: Computer Name: CAO-D7CC7538F51 Event Code: 7036 Message: Dienst "Intelligenter Hintergrundübertragungsdienst" befindet sich jetzt im Status "Ausgeführt". Record Number: 14532 Source Name: Service Control Manager Time Written: 20100103111927.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: CAO-D7CC7538F51 Event Code: 102 Message: wuaueng.dll (372) SUS20ClientDataStore: Das Datenbankmodul hat eine neue Instanz gestartet (0). Record Number: 1826 Source Name: ESENT Time Written: 20090816114745.000000+120 Event Type: Informationen User: Computer Name: CAO-D7CC7538F51 Event Code: 100 Message: wuauclt (372) Das Datenbankmodul 5.01.2600.2096 ist gestartet. Record Number: 1825 Source Name: ESENT Time Written: 20090816114745.000000+120 Event Type: Informationen User: Computer Name: CAO-D7CC7538F51 Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 1824 Source Name: SecurityCenter Time Written: 20090816114744.000000+120 Event Type: User: Computer Name: CAO-D7CC7538F51 Event Code: 0 Message: Record Number: 1823 Source Name: ICQ Service Time Written: 20090816114740.000000+120 Event Type: Informationen User: Computer Name: CAO-D7CC7538F51 Event Code: 1108 Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Service work was interrupted due to the following reason(s): USER_INTERRUPT (Mask: 0x04) Record Number: 1822 Source Name: .NET Runtime Optimization Service Time Written: 20090816000634.000000+120 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 6 Stepping 2, AuthenticAMD "PROCESSOR_REVISION"=0602 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP -----------------EOF----------------- und hier noch das log Logfile of random's system information tool 1.06 (written by random/random) Run by Nan at 2010-02-04 11:31:50 Microsoft Windows XP Professional Service Pack 2, v.2096 System drive C: has 481 MB (12%) free of 4 GB Total RAM: 511 MB (26% free) ======Scheduled tasks folder====== C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {855F3B16-6D32-4FE6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2010-01-03 1019128] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Adobe ARM"=C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288] "Adobe Reader Speed Launcher"=D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2009-10-03 39792] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ICQ"=D:\Programme\ICQ7.0\ICQ.exe [2010-01-12 133368] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ip6fw] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ipnat] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\xmlprov] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:Remoteunterstützung" "D:\Programme\ICQ6.0\ICQ.exe"="D:\Programme\ICQ6.0\ICQ.exe:*:Enabled:ICQ Library" "D:\proGramMs\utorrent.exe"="D:\proGramMs\utorrent.exe:*:Enabled:µTorrent" "C:\Programme\messenger\msmsgs.exe"="C:\Programme\messenger\msmsgs.exe:*:Enabled:Windows Messenger" "D:\Programme\Mozilla Firefox\firefox.exe"="D:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox" "C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "D:\Programme\ICQ6.5\ICQ.exe"="D:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe"="C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe:*:Enabled:Crawler Spyware Terminator" "D:\Programme\ICQ7.0\ICQ.exe"="D:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7" "D:\Programme\ICQ7.0\aolload.exe"="D:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:Remoteunterstützung" "C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "D:\Programme\Vogel Verlag\Fahren Lernen\Vogel.FahrenLernenMax.exe"="D:\Programme\Vogel Verlag\Fahren Lernen\Vogel.FahrenLernenMax.exe:*:Enabled:Fahren Lernen" "D:\Programme\ICQ7.0\ICQ.exe"="D:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7" "D:\Programme\ICQ7.0\aolload.exe"="D:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe" ======File associations====== .exe - open - "C:\Dokumente und Einstellungen\Nan\Lokale Einstellungen\Anwendungsdaten\av.exe" /START "%1" %* ======List of files/folders created in the last 3 months====== 2010-02-04 11:31:51 ----DC---- C:\Programme\trend micro 2010-02-04 11:31:50 ----DC---- C:\rsit 2010-02-04 01:45:09 ----AC---- C:\WINDOWS\gmer_uninstall.cmd 2010-02-04 01:45:09 ----AC---- C:\WINDOWS\gmer.exe 2010-02-04 01:45:09 ----AC---- C:\WINDOWS\gmer.dll 2010-01-26 22:23:01 ----AC---- C:\WINDOWS\system32\stu2.exe 2010-01-25 23:14:15 ----AC---- C:\debug.txt 2010-01-13 16:41:48 ----AC---- C:\mbam-error.txt 2010-01-11 10:13:03 ----DC---- C:\Dokumente und Einstellungen\Nan\Anwendungsdaten\Malwarebytes 2010-01-11 10:11:21 ----DC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-01-11 09:50:13 ----SHDC---- C:\Config.Msi 2009-11-06 20:52:33 ----DC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks 2009-11-06 20:51:07 ----DC---- C:\WINDOWS\system32\TVUAx ======List of files/folders modified in the last 3 months====== 2010-02-04 11:31:51 ----RDC---- C:\Programme 2010-02-04 11:30:29 ----DC---- C:\WINDOWS\Prefetch 2010-02-04 11:30:10 ----DC---- C:\WINDOWS\system32\CatRoot2 2010-02-04 03:11:23 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-02-04 01:45:09 ----DC---- C:\WINDOWS\system32\drivers 2010-02-04 01:45:09 ----DC---- C:\WINDOWS 2010-02-04 01:27:10 ----DC---- C:\WINDOWS\Temp 2010-02-04 01:23:46 ----DC---- C:\WINDOWS\system32 2010-02-04 01:23:46 ----AC---- C:\WINDOWS\system32\PerfStringBackup.INI 2010-02-03 23:19:06 ----DC---- C:\WINDOWS\security 2010-02-03 22:57:10 ----DC---- C:\Dokumente und Einstellungen\Nan\Anwendungsdaten\foobar2000 2010-02-03 11:48:50 ----DC---- C:\Programme\ICQ6Toolbar 2010-02-03 01:02:30 ----DC---- C:\Dokumente und Einstellungen\Nan\Anwendungsdaten\ICQ 2010-02-03 00:55:52 ----DC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ 2010-02-02 20:12:50 ----HDC---- C:\Programme\InstallShield Installation Information 2010-01-29 12:46:25 ----DC---- C:\WINDOWS\system32\Macromed 2010-01-29 12:42:29 ----SHDC---- C:\WINDOWS\Installer 2010-01-26 22:23:01 ----AC---- C:\WINDOWS\system32\userinit.exe 2010-01-11 18:22:43 ----DC---- C:\Programme\Gemeinsame Dateien 2010-01-11 12:28:18 ----ADC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2010-01-11 12:20:31 ----DC---- C:\WINDOWS\srchasst 2010-01-11 09:50:26 ----DC---- C:\WINDOWS\WinSxS 2010-01-11 09:50:15 ----DC---- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2009-12-10 16:29:39 ----RSDC---- C:\WINDOWS\assembly 2009-12-10 16:27:35 ----RSDC---- C:\WINDOWS\Fonts 2009-11-21 06:57:53 ----DC---- C:\WINDOWS\SxsCaPendDel ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2004-03-12 37760] R3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2002-03-06 389135] R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2002-08-31 992618] R3 SISNIC;SiS PCI Fast Ethernet Adapter Driver; C:\WINDOWS\system32\DRIVERS\sisnic.sys [2002-04-16 32256] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-03-11 57600] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-03-11 17024] S3 gmer;gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [2010-02-04 85969] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-03-12 31616] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-03-12 26624] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2010-01-03 246520] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-02 153376] R2 NVSvc;NVIDIA Driver Helper Service; C:\WINDOWS\system32\nvsvc32.exe [2002-08-31 61440] R2 SeaPort;SeaPort; C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656] R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912] S2 gupdate1ca48c62a0fb250;Google Update Service (gupdate1ca48c62a0fb250); C:\Programme\Google\Update\GoogleUpdate.exe [2009-10-09 133104] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] -----------------EOF----------------- danke fuer die hilfe ne !!11!1!1!! |
04.02.2010, 13:33 | #4 |
| unbezwingbarer Trojaner ? Hi, sieht nicht ganz so gut aus, kann sein das neben TDDS noch die userinit befallen ist... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\stu2.exe C:\WINDOWS\system32\userinit.exe
Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Falls MAM bereits installiert ist, weiter mit Avenger... Anleitung Avenger (by swandog46) 1.) Ladet das Tool Avenger und speichere es auf dem Desktop: (Alternativ umbennant von hier:http://www.file-upload.net/download-2170195/av_en_ger_le.exe.html) 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Drivers to delete: H8SRTd.sys 4.) Um Avenger zu starten klicke auf -> Execute Dann bestätigt mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board. Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten: Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
04.02.2010, 14:09 | #5 |
Gast | unbezwingbarer Trojaner ? kurze bemerkung kann Malwarebytes immer noch nich installieren es taucht immer dieses xp internet security teil auf |
04.02.2010, 14:14 | #6 | |
| unbezwingbarer Trojaner ? Hi, okay, habe ich übersehen. Das Problem wenn die av.exe entfernt wird, dann ist keine Exe mehr ausführbar, das müssen wir wie folgt lösen. Gehe ins Windowsverzeichnis und kopiere die regedit.exe auf regedit.com um und versuche sie zu starten... geht das? Das Problem liegt hier: Zitat:
chris
__________________ --> unbezwingbarer Trojaner ? |
04.02.2010, 14:16 | #7 |
Gast | unbezwingbarer Trojaner ? los gehts habe virustotal genutzt ergebnis von C:\WINDOWS\system32\userinit.exe Datei feedback.php_page_3.519004840.20100202_0800 empfangen 2010.02.02 16:23:28 (UTC) Status: Beendet Ergebnis: 10/40 (25.00%) Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.02.02 - AhnLab-V3 5.0.0.2 2010.02.01 - AntiVir 7.9.1.156 2010.02.02 - Antiy-AVL 2.0.3.7 2010.02.02 - Authentium 5.2.0.5 2010.02.02 - Avast 4.8.1351.0 2010.02.02 Win32:Rootkit-gen AVG 9.0.0.730 2010.02.02 - BitDefender 7.2 2010.02.02 - CAT-QuickHeal 10.00 2010.02.02 - ClamAV 0.96.0.0-git 2010.02.02 - Comodo 3794 2010.02.02 TrojWare.Win32.Trojan.Agent.Gen DrWeb 5.0.1.12222 2010.02.02 - eSafe 7.0.17.0 2010.02.02 - eTrust-Vet 35.2.7276 2010.02.02 - F-Prot 4.5.1.85 2010.02.01 - F-Secure 9.0.15370.0 2010.02.02 Packed:W32/RoxorCrypt.A Fortinet 4.0.14.0 2010.02.02 - GData 19 2010.02.02 Win32:Rootkit-gen Ikarus T3.1.1.80.0 2010.02.02 - Jiangmin None 2010.02.02 - K7AntiVirus 7.10.962 2010.02.01 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2010.02.02 - McAfee 5879 2010.02.01 - McAfee+Artemis 5879 2010.02.01 Artemis!BB2D44B7E7E6 McAfee-GW-Edition 6.8.5 2010.02.02 - Microsoft 1.5406 2010.02.02 - NOD32 4828 2010.02.02 a variant of Win32/Kryptik.CBE Norman 6.04.03 2010.02.02 - nProtect 2009.1.8.0 2010.02.02 - Panda 10.0.2.2 2010.02.02 - PCTools 7.0.3.5 2010.02.02 - Prevx 3.0 2010.02.02 - Rising 22.33.01.04 2010.02.02 Packer.Win32.Agent.GEN Sophos 4.50.0 2010.02.02 - Sunbelt 3.2.1858.2 2010.02.02 Trojan-Downloader.Win32.CodecPack (v) TheHacker 6.5.1.0.176 2010.02.02 - TrendMicro 9.120.0.1004 2010.02.02 TROJ_RENOS.BHAM VBA32 3.12.12.1 2010.02.02 - ViRobot 2010.2.2.2168 2010.02.02 - VirusBuster 5.0.21.0 2010.02.02 - weitere Informationen File size: 54784 bytes MD5 : bb2d44b7e7e6fe0662e2bba8ab53270c SHA1 : 0e6a770f458efe58b5d36fb0edf264d9c728205b SHA256: bf45bd008bdf4fdc0a134b6b489f2319159093740d5b69deb639be2faa9cb3a1 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1C0D timedatestamp.....: 0x48196800 (Thu May 1 08:49:36 2008) machinetype.......: 0x14C (Intel I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .tdat 0x1000 0x665D 0x6800 2.48 a1e7995b3c8a1f540554d843a6d032c8 .idat 0x8000 0x28B5 0x2A00 5.50 2527b28b3a0d3cd7ca4561da6406b6bf .eddta 0xB000 0xC409 0x2000 0.27 2ce50646d5c3ce2f54fff9057f066c03 .idada 0x18000 0x136E 0x1400 0.00 32ca18808933aa12e979375d07048a11 ( 1 imports ) > advapi32.dll: RegEnumKeyA, RegQueryValueExA, RegEnumValueW, RegEnumValueA, RegEnumKeyW, RegCreateKeyW, RegReplaceKeyA, RegOpenKeyExA, RegFlushKey, RegGetKeySecurity, RegDeleteValueA, RegLoadKeyA ( 0 exports ) TrID : File type identification Win32 Dynamic Link Library (generic) (55.5%) Clipper DOS Executable (14.7%) Generic Win/DOS Executable (14.6%) DOS Executable Generic (14.6%) VXD Driver (0.2%) ssdeep: 384:5haZFRfkpuI3jYd+qt53VPQS7/Mq2ApERKTy1VMWEr/I3yDTP:UFyMdNbF57VV0TbMHpDT PEiD : - RDS : NSRL Reference Data Set - ergebnis von C:\WINDOWS\system32\stu2.exe Datei stu2.exe empfangen 2010.02.04 12:55:50 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/40 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.02.04 - AhnLab-V3 5.0.0.2 2010.02.04 - AntiVir 7.9.1.158 2010.02.04 - Antiy-AVL 2.0.3.7 2010.02.04 - Authentium 5.2.0.5 2010.02.04 - Avast 4.8.1351.0 2010.02.02 - AVG 9.0.0.730 2010.02.04 - BitDefender 7.2 2010.02.04 - CAT-QuickHeal 10.00 2010.02.04 - ClamAV 0.96.0.0-git 2010.02.04 - Comodo 3817 2010.02.04 - DrWeb 5.0.1.12222 2010.02.04 - eSafe 7.0.17.0 2010.02.03 - eTrust-Vet 35.2.7283 2010.02.04 - F-Prot 4.5.1.85 2010.02.04 - F-Secure 9.0.15370.0 2010.02.04 - Fortinet 4.0.14.0 2010.02.04 - GData 19 2010.02.04 - Ikarus T3.1.1.80.0 2010.02.04 - Jiangmin 13.0.900 2010.02.04 - K7AntiVirus 7.10.966 2010.02.03 - Kaspersky 7.0.0.125 2010.02.04 - McAfee 5881 2010.02.03 - McAfee+Artemis 5881 2010.02.03 - McAfee-GW-Edition 6.8.5 2010.02.04 - Microsoft 1.5406 2010.02.04 - NOD32 4834 2010.02.04 - Norman 6.04.03 2010.02.04 - nProtect 2009.1.8.0 2010.02.04 - Panda 10.0.2.2 2010.02.03 - PCTools 7.0.3.5 2010.02.04 - Prevx 3.0 2010.02.04 - Rising 22.33.03.04 2010.02.04 - Sophos 4.50.0 2010.02.04 - Sunbelt 3.2.1858.2 2010.02.04 - TheHacker 6.5.1.0.180 2010.02.04 - TrendMicro 9.120.0.1004 2010.02.04 - VBA32 3.12.12.1 2010.02.03 - ViRobot 2010.2.4.2172 2010.02.04 - VirusBuster 5.0.21.0 2010.02.03 - weitere Informationen File size: 25088 bytes MD5...: d75069d14e6a7771ea541e6dd17c5dfc SHA1..: f1851fec24edd6f0f04f94a6643b8bedfac8f43d SHA256: f2f56286de2e562e8f9c609dbf2271b23416d5edd061aae173bd387b00cec563 ssdeep: 384:87i2vzfJubKja0XfJqE9sDWCCHoX2TQDBwhrEZTdXBbaLaOGknCeFPCwA7cW jo47:+i2JuOa0dIDDB0rubaLarkRP2u4Ru/I PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4f8b timedatestamp.....: 0x405179b3 (Fri Mar 12 08:49:55 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x4c5c 0x4e00 5.93 193507f3f89f39f5c3101509dbc0745a .data 0x6000 0x14c 0x200 1.86 1c74406ca4fd544acf528db71ae9a9d6 .rsrc 0x7000 0xce0 0xe00 3.76 4ea9a1a7417d8c971bee62bb5b67dbc1 ( 7 imports ) > KERNEL32.dll: Sleep, OpenEventW, SetEvent, GetCurrentProcessId, GetUserDefaultLangID, GetCurrentProcess, GetSystemDirectoryW, GetFileAttributesExW, lstrcmpiW, FormatMessageW, SetCurrentDirectoryW, CreateThread, SetThreadPriority, GetCurrentThread, lstrcmpW, GetLastError, LocalReAlloc, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, WaitForSingleObject, GetStartupInfoA, GetModuleHandleA, DelayLoadFailureHook, ExpandEnvironmentStringsW, SearchPathW, CloseHandle, CreateProcessW, CompareFileTime, LoadLibraryW, GetProcAddress, FreeLibrary, lstrcpyW, lstrcatW, lstrlenW, SetEnvironmentVariableW, GetEnvironmentVariableW, LocalAlloc, LocalFree, GetVersionExW, GetSystemTime > USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, CharNextW, ExitWindowsEx, MessageBoxW, LoadStringW > ADVAPI32.dll: RegOpenKeyExA, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegCreateKeyExW, OpenProcessToken, DeregisterEventSource, RegisterEventSourceW, ReportEventW, RegQueryValueExA, RegSetValueExW > CRYPT32.dll: CryptProtectData > WINSPOOL.DRV: SpoolerInit > ntdll.dll: RtlConvertSidToUnicodeString, NtClose, RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, _wcsicmp, memmove, RtlInitUnicodeString, NtOpenKey, NtQueryInformationToken > msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _c_exit, _exit, _XcptFilter, _cexit, exit, _acmdln ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten. product......: Betriebssystem Microsoft_ Windows_ description..: Userinit-Anmeldeanwendung original name: USERINIT.EXE internal name: userinit file version.: 5.1.2600.2096 (xpsp_sp2_rc1.040311-2315) comments.....: n/a signers......: - signing date.: - verified.....: Unsigned trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) so bin mir nicht sicher aber ist das so richtig ?? das userinit befallen sein soll ist stimmt wohl es tauchte auf einmal im taskmanager -> prozesse auf und hier ist das avenger teil Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\H8SRTd.sys" not found! Deletion of driver "H8SRTd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
04.02.2010, 14:19 | #8 |
| unbezwingbarer Trojaner ? Hi, die stu2.exe ist die richtige userinit.exe, das andere ist der Trojaner... Dazu später... Kein TDSS auch dazu aber später mehr... Ersteinmal zur av.exe. Lies bitte den vorangegangen Post von mir durch... Kennst Du Dich mit dem Regeditor aus? chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
04.02.2010, 14:20 | #9 | |
Gast | unbezwingbarer Trojaner ?Zitat:
nope kenne mich da ueberhaupt nicht aus tut mir leid Geändert von frehsman (04.02.2010 um 14:21 Uhr) Grund: besser so |
04.02.2010, 14:22 | #10 |
| unbezwingbarer Trojaner ? Hi, gut, nächster Schritt: Open-command für exe zurücksetzen Speichere den nachfolgenden Text über den Editor (Start->Ausführen notepad) auf dem Desktop unter dem Namen SetExe.reg (wichtig : nicht unter der Erweiterung "TXT"). Dann mit Doppelklick auf die Datei ausführen, Abfrage abnicken! Code:
ATTFilter REGEDIT4 [HKEY_CLASSES_ROOT\exefile] "EditFlags"=hex:d8,07,00,00 @="Anwendung" [HKEY_CLASSES_ROOT\exefile\shell] @="" [HKEY_CLASSES_ROOT\exefile\shell\open] @="" "EditFlags"=hex:00,00,00,00 [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\exefile\shellex] [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers] [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D}] @="" [HKEY_CLASSES_ROOT\exefile\DefaultIcon] @="%1" chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
04.02.2010, 14:26 | #11 |
Gast | unbezwingbarer Trojaner ? ok habe beim "speichern unter" bei dateityp von textdateien auf alle dateien umgestellt |
04.02.2010, 14:36 | #12 |
| unbezwingbarer Trojaner ? Hi, findest Du die Datei jetzt auf dem Desktop unter ExeReg.reg? Dann Doppelklick drauf, die regedit.com sollte unsichtbar starten und du wirst gefragt ".. zusammenführen..." -> ja.... Der REg.Key wird wieder richtig gesetzt, jetzt kommt es darauf an, ob das Teil die Registry überwacht und den Key wieder zurücksetzt... Dann müssen wir die av.exe mit Avenger abschießen und danach den RegKey wieder gerade biegen und dann kommt der Rest dran... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
04.02.2010, 14:41 | #13 | |
Gast | unbezwingbarer Trojaner ?Zitat:
back to basics wuerd ich sagen wenns dir nichts ausmacht kannst dir auch noch ruhig zeitlassen muss meinen bruder naemlich zum fussball bringen aber bitte nicht zu viel zeit verstreichen lassen danke fuer die hilfe bis jez ne !! Geändert von frehsman (04.02.2010 um 14:53 Uhr) Grund: nur so |
04.02.2010, 15:00 | #14 |
| unbezwingbarer Trojaner ? Hi, hat die Datei wirklich die Endung "reg"? Geht gar kein Fenster auf? Keine Meldung etc? Benenne die regeditor.exe auf regedit.exe um und probiere es noch einmal... Wenn das nicht geht, dann probieren wir das mal mit einer INF-Datei: Du kannst auch diese Datei heruterladen (unhookexec.inf) http://www.mediafire.com/?9zu4hvgey11 Auf den Desktop speichern und dann mit rechte Maustaste/installieren waehlen. oder das hier in den Editor (Start->Zubehör->Editor) kopieren und als unhookexec.inf auf dem Desktop speichern. Code:
ATTFilter [Version] Signature="$Chicago$" Provider=Symantec [DefaultInstall] AddReg=UnhookRegKey [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0 Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete: C:\Dokumente und Einstellungen\Nan\Lokale Einstellungen\Anwendungsdaten\av.exe 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Nach dem Booten ggf. noch mal durchführen... Chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
04.02.2010, 15:10 | #15 |
Gast | unbezwingbarer Trojaner ? habe ya diesen komischen text unter durchfuehren notepad in dem editor unter dem namen SetExe.reg auf dem desktop gesaved. klicke ich nun darauf erscheint eine kleine meldung mit " moechten sie die informationen in ... zu der registrierung hinzufuegen " klicke ich auf ok erscheint ein neues fenster der mir sagt das diese informationen eingetragen wurden. zur regeditor.exe was ist das? meinste diese exe im windows ordner wobei wenn ich darauf klicke der registrierungs editor erscheint. habe die datei ya vor einigen schritten von regedit zu regedit.com umschreiben sollen aber eineen regeditor.exe hab ich noch iwie gar nicht etwas confused du hoffe ich nicht ^^ |
Themen zu unbezwingbarer Trojaner ? |
anti-malware, bytes, code, file, firefox, firefox.exe, internet, internet security, malwarebytes, mozilla, neu, ntdll.dll, problem, programm, programme, prozesse, registry, scan, security, services, setup, software, start, starten., system, system32, trojaner, trojaner ?, ups, viren, xp internet security |