| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: System hängt, Avira & Malwarebytes crash nach Trojanerfund durch AviraWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.03.2010, 21:55
| #16 |
| /// Helfer-Team  |  System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira Zum Taskmanager: Editor öffnen, folgenden Text reinkopieren: Code:
ATTFilter reg ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
Konntest du die svchost.exe schon hochladen? |
|
14.03.2010, 22:02
| #17 |
 | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira An der angegebenen Stelle gab es keine svchost.exe, aber an 4 anderen Stellen:
__________________1. Windows/system32/dllcache: http://www.virustotal.com/de/analisi...ef0-1268599462 In dem Ergebnis sah ich was von esafe win32.TrojanHorse 2. Windows/system32: http://www.virustotal.com/de/analisi...ef0-1268599641 In dem Ergebnis sah ich was von esafe win32.TrojanHorse 3. Windows ... servicpackfiles: http://www.virustotal.com/de/analisi...ef0-1268599977 In dem Ergebnis sah ich was von esafe win32.TrojanHorse 4. Windows ... NTservicepack http://www.virustotal.com/de/analisi...bf5-1268600137 Ein neues Ergebnis von GMER (ohne AV guard und Absturz) habe ich eigentlich auch, aber es lässt sich zwar in den Editor pasten, die Datei aber nicht speichern: Bei Wahl von Speichern unter kommt nur das Uhrglas dann ist der Editor blockiert.  Jetzt hat's doch noch gaaaaanzzzz langsaaaam geklappt: Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-14 21:47:32
Windows 5.1.2600 Service Pack 3
Running: htuqx7mx.exe; Driver: C:\DOKUME~1\Winfried\LOKALE~1\Temp\kwrdqaow.sys
---- System - GMER 1.0.15 ----
SSDT A1B20356 ZwCreateKey
SSDT A1B2034C ZwCreateThread
SSDT A1B2035B ZwDeleteKey
SSDT A1B20365 ZwDeleteValueKey
SSDT A1B2036A ZwLoadKey
SSDT A1B20338 ZwOpenProcess
SSDT A1B2033D ZwOpenThread
SSDT A1B20374 ZwReplaceKey
SSDT A1B2036F ZwRestoreKey
SSDT A1B20360 ZwSetValueKey
SSDT A1B20347 ZwTerminateProcess
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00DB28B1
.text C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!send 71A14C27 5 Bytes JMP 00DB273D
.text C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00DB282F
.text C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00DB2775
.text C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00DB27AD
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 013128B1
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!send 71A14C27 5 Bytes JMP 0131273D
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 0131282F
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01312775
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 013127AD
.text C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 011828B1
.text C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!send 71A14C27 5 Bytes JMP 0118273D
.text C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 0118282F
.text C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01182775
.text C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 011827AD
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 019C28B1
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!send 71A14C27 5 Bytes JMP 019C273D
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 019C282F
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!recv 71A1676F 5 Bytes JMP 019C2775
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 019C27AD
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01E528B1
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!send 71A14C27 5 Bytes JMP 01E5273D
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01E5282F
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01E52775
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01E527AD
.text C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01A928B1
.text C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!send 71A14C27 5 Bytes JMP 01A9273D
.text C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01A9282F
.text C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01A92775
.text C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01A927AD
.text C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00CC28B1
.text C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!send 71A14C27 5 Bytes JMP 00CC273D
.text C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00CC282F
.text C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00CC2775
.text C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00CC27AD
.text C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00FC28B1
.text C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!send 71A14C27 5 Bytes JMP 00FC273D
.text C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00FC282F
.text C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00FC2775
.text C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00FC27AD
---- Devices - GMER 1.0.15 ----
Device \Driver\ACPI \Device\0000009c 86437850
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
Device \Driver\ACPI \Device\0000009f 86437850
Device \Driver\ACPI \Device\00000050 86437850
Device \Driver\ACPI \Device\00000051 86437850
Device \Driver\ACPI \Device\00000052 86437850
Device \Driver\ACPI \Device\00000053 86437850
Device \Driver\ACPI \Device\00000060 86437850
Device \Driver\ACPI \Device\00000062 86437850
Device \Driver\ACPI \Device\00000057 86437850
Device \Driver\ACPI \Device\00000072 86437850
Device \Driver\ACPI \Device\00000059 86437850
Device \Driver\ACPI \Device\00000073 86437850
Device \Driver\ACPI \Device\00000066 86437850
Device \Driver\ACPI \Device\00000075 86437850
Device \Driver\ACPI \Device\00000069 86437850
Device \Driver\ACPI \Device\00000076 86437850
Device \Driver\ACPI \Device\0000004a 86437850
Device \Driver\ACPI \Device\00000077 86437850
Device \Driver\ACPI \Device\00000078 86437850
Device \Driver\ACPI \Device\0000004b 86437850
Device \Driver\ACPI \Device\0000004c 86437850
Device \Driver\ACPI \Device\0000004d 86437850
Device \Driver\ACPI \Device\00000094 86437850
Device \Driver\ACPI \Device\0000004e 86437850
Device \Driver\ACPI \Device\0000005b 86437850
Device \Driver\ACPI \Device\0000004f 86437850
Device \Driver\ACPI \Device\0000005c 86437850
Device \Driver\ACPI \Device\00000096 86437850
Device \Driver\ACPI \Device\0000005d 86437850
Device \Driver\ACPI \Device\0000006a 86437850
Device \Driver\ACPI \Device\0000005e 86437850
Device \Driver\ACPI \Device\00000098 86437850
Device \Driver\ACPI \Device\0000006b 86437850
Device \Driver\ACPI \Device\0000005f 86437850
Device \Driver\ACPI \Device\0000006f 86437850
Device \Driver\ACPI \Device\0000008a 86437850
Device \Driver\ACPI \Device\0000008b 86437850
Device \Driver\ACPI \Device\0000009a 86437850
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 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
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION 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
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
---- EOF - GMER 1.0.15 ----
Winfried Geändert von wgh52 (14.03.2010 um 22:15 Uhr) |
|
14.03.2010, 22:20
| #18 |
| /// Helfer-Team | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira Kannst du cmd öffnen? (Start->Ausführen->"cmd")
__________________bitte nacheinander eingeben, mit Enter zwischen jeder Zeile: Code:
ATTFilter cd \
cd WINDOWS
cd system32
cd drivers
dir
ComboFix anwenden: * combofix.exe herunterladen und auf dem Desktop speichern (als cofi.exe) - Noch nicht ausführen! * Mit CrapCleaner alle temporären Dateien löschen * Antivirenprogramme deaktivieren, Firewall deaktivieren. * Während ComboFix scannt, bitte nicht die Maus bewegen oder die Tastatur benutzen. Dies könnte CF zum Absturz bringen. * Der Rechner muss ans Internet angeschlossen sein, damit CF eine Wiederherstellungskonsole herunterladen kann! * Doppelklick auf cofi.exe * Alle Dialoge mit "Yes" bzw. "Ja" beantworten. * In dem blauen Fenster dann "1" eingeben und auf Enter. * Nun scannt CF, startet neu und erstellt ein Logfile. * Den Inhalt des Logfiles dann hier posten.
__________________ |
|
14.03.2010, 22:30
| #19 |
| | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira CMD gemacht: kein svchost.exe jetzt kommt Cofi: Nach "Ja" Antwort kam das blaue Fenster mit ein paar Hinweisen, aber der Scan startete automatisch, ohne mir die chance für eine Eingabe zu geben. Also die Stufen liefen durch. Jetzt laufen massenweise Dateinamen mit ihren Ordnern durch den blauen Bildschirm. Weiss nicht was das jetzt ist.... Logfile sehe ich (noch) nicht. Gruss, Winfried Geändert von wgh52 (14.03.2010 um 22:46 Uhr) |
|
14.03.2010, 23:44
| #20 |
| | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira Nun, zu guter Letzt kam doch ein CoFi Logfile (mit 373 k leider zu lang...): Ich habe Dir einen Rapidshare Link per PN gesandt. Vielen Dank für die Hilfe! Ich wäre sonst verloren mit diesem Mist! Gruss, Winfried Geändert von wgh52 (14.03.2010 um 23:53 Uhr) |
|
15.03.2010, 13:30
| #21 |
| /// Helfer-Team | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira Hallo, Logfile ist angekommen. Ergebnis: Rootkit im MasterBootRecord! ComboFix scheint das Problem gelöst zu haben, dennoch: mbr.exe - Wiederherstellung des ursprünglichen MasterBootRecord * mbr.exe herunterladen und unter C:\ speichern * cmd starten (Start -> Ausführen -> "cmd"), eingeben: (zwischen jeder Zeile "Enter" drücken) Code:
ATTFilter cd c:\
mbr.exe -f
__________________ --> System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira |
|
15.03.2010, 15:02
| #22 |
| | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira Danke für die Arbeit! Momentan funktioniert der PC teilweise, ich habe nach einigen Minuten bis ca. 1 Stunde system hangs mit eingefrorenem Bildschirm, wohl je nachdem was/wieviel ich mache, muss dann abschalten und neu booten. Manchmal manchmal wird die Firewall deaktiviert. Malwarebytes und Avira haben keine Infektion gefunden. MBR.exe war erfolgreich: Code:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x85c7e5a0
NDIS: Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller -> SendCompleteHandler -> 0x85999330
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0950A600
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.original MBR restored successfully !
Code:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x85c7e5a0
NDIS: Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller -> SendCompleteHandler -> 0x85999330
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x0950A600
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619 !
Use "Recovery Console" command "fixmbr" to clear infection !
Soll ich beim boot die Recovery Console wie o.a. benutzen oder was rätst Du? Gruss, Winfried |
|
15.03.2010, 15:22
| #23 |
| /// Helfer-Team | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira Rechner booten, Recovery Console starten. Dann wie im Log angegeben fixmbr eingeben, *Enter*. Wenn der Rechner wieder oben ist, nochmal "MBR.exe -f" laufen lassen und Ergebnis posten. Dann bitte noch folgende Datei bei Virustotal auswerten lassen: c:\windows\system32\dllcache\moviemk.exe Link posten. Rootkitscan mit Blacklight * fsbl.exe auf dem Desktop speichern * mit CrapCleaner Temporäre Dateien löschen * Alle anderen Programme schließen, fsbl.exe ausführen * Nacheinander "I accept", "Next" und "Scan" anklicken * Nach Ende des Scans beenden ("Close") und das Log fsbl-(Datum).txt posten (befindet sich auf dem Desktop) Geändert von StLB (15.03.2010 um 15:38 Uhr) |
|
15.03.2010, 16:16
| #24 | |
| |  System hängt, Avira & Malwarebytes crash nach Trojanerfund durch AviraZitat:
Soll ich chkdsk im CMD Window laufen lassen? Das wird auf dem blue-screen geraten. Gruss, Winfried |
|
15.03.2010, 19:06
| #25 |
| /// Helfer-Team | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira Hast du eine Windows-CD? Boote mal von CD (im BIOS von HardDisk auf CD umstellen), und starte nach Laden der Daten mit "R" die Recovery-Konsole. Laufwerk C: auswählen (meistens mit "1") und Kennwort eingeben. Dann hast du sowas ähnliches wie ein CMD-Fenster. Dort dann versuchen mbrfix zu starten. |
|
15.03.2010, 21:22
| #26 | |
| | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch AviraZitat:
C:}mbrfix mochte er nicht - unbekannter Befehl C:\}MBR.exe -f mochte er nicht - unbekannter Befehl C:\}c: mbr.exe -f meckerte er nicht an, quittierte mit C:}_ Scheint also funktioniert zu haben oder? WindowsXP hat normal von HD gebootet und dann habe ich im CMD Window mbr.exe -f gestartet. Ergebnis: Findet immernoch malicious code... Also nochmal von CD gebootet und help gelesen. Befehl heisst "FIXMBR" nicht mbrfix !!!  Neuer MBR geschrieben - Schwitz - WinXP bootet, Willkommen, Desktop ist da, Avira startet... Jetzt nochmal mbr.exe -f gestartet. Ergebnis: Findet immernoch malicious code... Code:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950A600
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619 !
http://www.virustotal.com/de/analisi...4e5-1268683934 FSBL hat nichts gefunden. Kommen wir eigentlich weiter? Ich bin etwas am verzweifeln... Aber so bleiben kann's ja auch nicht und das System neu aufsetzen wäre wegen Software und Daten der Wahnsinn! Bitte hilf weiter! Danke! Gruss, Winfried Geändert von wgh52 (15.03.2010 um 21:39 Uhr) |
|
15.03.2010, 22:57
| #27 | |
| /// Helfer-Team | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch AviraZitat:
 Code:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950A600
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619 !
Bitte nochmal ein HijackThis Log posten. Ich habe da einige Koreanische Website gesehen, die wir fixen sollten. (Dazu später) Wie verhält sich der Rechner derzeit? |
|
16.03.2010, 00:01
| #28 |
| | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira OK, wenn Du Hoffnung schöpfst, dann ich erst recht! Hijack This Log (.exe gestartet von Memorystick): Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:50:38, on 15.03.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16981) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\o2flash.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe C:\AddOn\Fujitsu\PSUtility\TrayManager.exe C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\M-AudioTaskBarIcon.exe C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe F:\Malwarebekämpfung\9 Hijack This\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet\ComDlls\bhoCATCH.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\system32\M-AudioTaskBarIcon.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [FjWirSel] C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet\ComDlls\Bhoall.htm O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet\ComDlls\Bholink.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://*.aekyung.kr O15 - Trusted Zone: http://www.myfidelio.net O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1DE9BB01-B121-401D-8877-BCD5ED5B7EE5} (Tpwin Control) - http://www.crezio.com/test/leeyunho/AlwaysOn/AlwaysOn.CAB O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab O16 - DPF: {61E56682-2F9A-400C-A724-BC1E9D962225} (EGateRegiChecker Control) - http://gw.aekyung.kr/comn/library.nsf/ByDesignName/eGateRegiChecker.cab/$FILE/eGateRegiChecker.cab O16 - DPF: {9040F8BC-1F13-4D8D-8F62-1140D49F12F4} (eGateFileManagerV2 Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateFileManager.cab/$FILE/eGateFileManagerV2.cab O16 - DPF: {CAFECAFE-0013-0001-0025-ABCDEFABCDEF} (JInitiator 1.3.1.25) - https://www.myfidelio.net/webhtml/opera_jinit_1012_25.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {DBEC973D-63E4-4063-A3B8-675D497AD7E4} (EGatePrint Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGatePrint.cab/$FILE/eGatePrint.cab O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://microsinc.webex.com/client/T23L/support/ieatgpc.cab O16 - DPF: {F1233514-92E1-4E50-811F-B0F552D041CA} (eGateDocV2 Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateODSV2.files/$FILE/eGateODSV2.CAB O20 - Winlogon Notify: FJWSEL - C:\WINDOWS\SYSTEM32\FJWSWNP.dll O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - C:\WINDOWS\system32\brsvc01a.exe (file missing) O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Media Center 14 Service - J. River, Inc. - C:\Programme\J.River Mediaplayer\JRService.exe O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 7836 bytes Das mit den koreanischen Websites hört sich intererssant an, auf einige haben wir geschäftlich zugegriffen. Gruss, Winfried |
|
16.03.2010, 14:07
| #29 |
| /// Helfer-Team | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch AviraCode:
ATTFilter O15 - Trusted Zone: http://*.aekyung.kr
O15 - Trusted Zone: http://www.myfidelio.net
Normalerweise sind Adressen mit ausländischen Kürzeln verdächtig (z.B. .ru, .pl, ...), aber wenn du sagst, ihr habt wissentlich auf die Websites zugegriffen und Dateien heruntergeladen, dann dürfte das kein Problem darstellen. Funktioniert auch der Taskmanager wieder? |
|
16.03.2010, 15:10
| #30 |
| /// Selecta Jahrusso   | System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira Bezüglich Combofix, dieses Tool ist für DICH tabu ohne eine Freigabe von einem KTler. Geht auch dem Helferteam nicht anders. Die Batch wird die svchost auch nicht finden da die sicher +h ist bzw wird diese sich schützen. Gmer ist sauber also ist nur noch der Eintrag in der Registry vorhanden. Den sollte man vl auch löschen  Eine Systemdatei.exe im drivers Ordner braucht man nicht wirklich online scannen Und nun viel Spass an Board, bei Fragen gerne Via PN 
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
| Themen zu System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira |
| anleitung, avira, dateien, down, folge, fund, hängt, infizierte, infizierte dateien, links, log, log datei, malwarebytes, netzwerk, nicht angezeigt, probleme, ratlos, reboot, scan, shutdown, speicher, startet, system, system hängt, taskmanager, trojanerfund, update, windows, zugriff |
Linear-Darstellung
