Hallo liebe Trojaner-Board.de gemeinde,

ich habe einen Rootkit trojaner auf meinem XP32-System und kann Ihn nicht entfernen. (Ich benutze Antivir)


1. Wie habe ich das ding bekommen:
ich habe beim surfen mit firefox ein nettes Popup bekommen "Virus auf ihrem PC entdeckt..."

2. Auswirkungen:
-Nach dem "schließen" hat ich Verknüfungen zu Pornoseiten auf meinem Desktop.
-firefox ist unstartbar (für immer)
-System-crash
-bluescreen beim rebooten

3. Was habe ich gemacht:
- Im Abgesichertenmodus virenscan, infizierte Dateien gelöscht etc.
Infiziert waren:
...\system32\mshlps.dll,
...\system32\sptd.sys,
...\system32\drivers\xintria.sys (auf letztere datei kann ich nicht zugreifen)
...vnl.exe

- Systemwiederherstellung deaktiviert
- CCleaner laufen lassen und zudem alle laufenden Viren im Taskmgr gekillt
und Temporären dateien gelöscht
- System lässt sich wieder starten, jedoch ist der Rootkit trojaner (natürlich) noch vorhanden.
- nun habe ich bei google und hier im board nach Lösungsstrategieen gesucht, jedoch konnten Antivir, F-Secure (das app zur rootkit bekämpfung), AVZ, RootkitRevealer und weitere Tools den Wurm nicht löschen...

4.
- Das Rootkit sitzt in C:\WINDOWS\system32\drivers\xintria.sys
(HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Sevices\xintria
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Sevices\xintria)

Ich kann von Windows aus nicht auf die datei zugreifen.

5.
Mein System lässt sich jetzt zwar booten, es kommen jedoch immer wieder neue Infizierte dateien im System32 Ordner zum Vorschein (z.B sshnas21.dll mit TR/Agent.ftle), dieses meldet mir antivir und löscht diese dann aber auch brav...


WAS KANN ICH NUN TUN???

Da es sich bei meinem system um ein netbook handelt ist der umbau der Festplatte in ein anderes system für mich momentan nicht möglich und das starten mit einem anderen Betriebssystem wäre auch nur über usb möglich.

AVZ LOG: hxxp://uploaded.to/file/b4rh15 (zu groß fürs board)

Gerne poste ich LOGs jeglicher art, sagt mir nur welche.

ich hoffe Ihr könnt mir helfen.
Lg, Jannik

ps. Entschuldigt bitte mein Halbwissen

Hi,

versuchen wir es mal mit MAM:
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

Log erstellen:
OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt

• Poste die Logfiles hier in den Thread

Weitere Rootkits prüfen:
Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

HI Chris,

hier das MAM Log:

Zitat:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3967

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

09.04.2010 10:47:43
mbam-log-2010-04-09 (10-47-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 197824
Laufzeit: 1 Stunde(n), 0 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\Vgimaa.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ms.bin (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\xintria.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

ein extra gabs auch noch :
TEIL 1

Zitat:

OTL Extras logfile created on: 09.04.2010 10:44:16 - Run 1
OTL by OldTimer - Version 3.2.1.1 Folder = C:\Dokumente und Einstellungen\Admin\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 64,00% Memory free
3,00 Gb Paging File | 3,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 72,06 Gb Total Space | 21,76 Gb Free Space | 30,19% Space Free | Partition Type: NTFS
Drive D: | 72,05 Gb Total Space | 12,70 Gb Free Space | 17,63% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: JANNIK
Current User Name: Admin
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"30000:UDP" = 30000:UDP:*:Enabled:winamp
"1900:UDP" = 1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\TmNationsForever\TmForever.exe" = C:\Programme\TmNationsForever\TmForever.exe:*:Enabled:TmForever -- ()
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Programme\Steam\steamapps\jeepee2004\counter-strike\hl.exe" = C:\Programme\Steam\steamapps\jeepee2004\counter-strike\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"C:\Programme\Zattoo\zattood.exe" = C:\Programme\Zattoo\zattood.exe:*:Enabled:zattood -- File not found
"C:\Programme\Steam\steamapps\jeepee2004\dedicated server\hlds.exe" = C:\Programme\Steam\steamapps\jeepee2004\dedicated server\hlds.exe:*:Enabled:HLDS Launcher -- (Valve)
"C:\Programme\ASUS\ASUSUpdate for Eee PC\Update.exe" = C:\Programme\ASUS\ASUSUpdate for Eee PC\Update.exe:*:Enabled:ASUSUpdate -- (ASUSTek Computer Inc.)
"C:\Programme\ASUS\LiveUpdate\LiveUpdate.exe" = C:\Programme\ASUS\LiveUpdate\LiveUpdate.exe:*:Enabled:LiveUpdate -- ()
"C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe" = C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe:*:Enabled: SuperHybridEngine -- (ASUSTeK Computer Inc.)
"C:\Programme\Winamp\winamp.exe" = C:\Programme\Winamp\winamp.exe:*:Enabled:Winamp -- (Nullsoft)
"C:\Programme\Vypress Tonecast\tonecast.exe" = C:\Programme\Vypress Tonecast\tonecast.exe:*:Enabled:Vypress Tonecast -- (VyPRESS Research, LLC)
"C:\Programme\Vypress Tonecast\receiver.exe" = C:\Programme\Vypress Tonecast\receiver.exe:*:Enabled:Tonecast Receiver -- (VyPRESS Research, LLC)
"C:\Programme\Steam\steamapps\jeepee2004\ricochet\hl.exe" = C:\Programme\Steam\steamapps\jeepee2004\ricochet\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*isabled:VLC media player -- ()
"C:\Programme\Steam\steamapps\jeepee2004\dedicated server\hltv.exe" = C:\Programme\Steam\steamapps\jeepee2004\dedicated server\hltv.exe:*:Enabled:HLTV Launcher -- (Valve)
"C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\4000002d500070d45b7622\starcraft.exe" = C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\4000002d500070d45b7622\starcraft.exe:*:Enabled:starcraft -- File not found
"C:\Programme\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" = C:\Programme\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe:*:Enabled:Nokia Ovi Suite 2 -- (Nokia)
"C:\Programme\Gemeinsame Dateien\Nokia\Service Layer\A\nsl_host_process.exe" = C:\Programme\Gemeinsame Dateien\Nokia\Service Layer\A\nsl_host_process.exe:*:Enabled:Nokia Service Layer Host Process -- (Nokia Corporation)
"C:\Programme\TrackMania Nations ESWC\TmNationsESWC.exe" = C:\Programme\TrackMania Nations ESWC\TmNationsESWC.exe:*:Enabled:TmNationsESWC -- ()
"C:\WINDOWS\Explorer.EXE" = C:\WINDOWS\Explorer.EXE:*:enabled:@shell32.dll,-1 -- (Microsoft Corporation)

und reboot...

extra log
TEIL 2

Zitat:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{026BB3F4-17B9-4FCB-B846-2F68B9C09515}" = EasyCODE 8.1.3 Development Suite
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{185AFA7A-F63E-450B-94AA-011CAC18090E}" = E-Cam
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{19F5658D-92E8-4A08-8657-D38ABB1574B2}" = Asus ACPI Driver
"{1A655D51-1423-48A3-B748-8F5A0BE294C8}" = Microsoft Visual J# .NET Redistributable Package 1.1
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{28006915-2739-4EBE-B5E8-49B25D32EB33}" = Atheros Client Installation Program
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{38E5A3B1-ADF1-47E0-8024-76310A30EB36}" = LiveUpdate
"{3FB39BED-37C8-4E60-8E02-315B8C2B07E3}" = USB2.0 UVC Camera Device
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{47BACF74-5A07-48BD-BADB-A769550F0F5A}" = FontResizer
"{4C271126-C295-4828-A901-5910AE0C258B}" = Cisco Systems VPN Client 5.0.03.0530
"{4E1CD3D5-D4EE-4246-AE24-F0FD5A60390D}" = OviMPlatform
"{4FFD1AB4-54F0-4069-88D9-3A55B38F874B}" = Nokia Ovi Suite Software Updater
"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate for Eee PC
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.6
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{60DED9C2-22BF-47A3-B6C8-6B141BA31DFD}" = Ovi Desktop Sync Engine
"{6333FC29-BFE5-4024-AC78-958A1A7555D1}" = EeeSplendid
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7397EDED-F38A-4654-B669-BF61065803D0}" = PC Connectivity Solution
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7B61E24A-FEA1-45db-9623-34F18A21F5EA}" = Vypress Tonecast 1.3
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7ED5371F-F4EA-48F9-B8F7-C8777AD9DF69}" = Borland Turbo C++
"{84814E6B-2581-46EC-926A-823BD1C670F6}" = WIDCOMM Bluetooth Software
"{88F08F98-12BC-4613-81A2-8F9B88CFC73E}" = Super Hybrid Engine
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8FC4F1DD-F7FD-4766-804D-3C8FF1D309AF}" = Ralink RT2860 Wireless LAN Card
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0012-0000-0000-0000000FF1CE}" = Microsoft Office Standard 2007
"{90120000-0012-0000-0000-0000000FF1CE}_STANDARD_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-0012-0000-0000-0000000FF1CE}_STANDARD_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_STANDARD_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_STANDARD_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_STANDARD_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_STANDARD_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_STANDARD_{A0516415-ED61-419A-981D-93596DA74165}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_STANDARD_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_STANDARD_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_STANDARD_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_STANDARD_{26454C26-D259-4543-AA60-3189E09C5F76}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A82000000003}" = Adobe Reader 8.2.1 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{B9C9DB4C-6D77-4AE9-AD1C-C708C23239A0}" = Nokia Connectivity Cable Driver
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C72CA49A-9237-4810-8449-45DA3BD26D64}" = EzMessenger
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DC627AE5-A2B1-4D16-AF56-178D10EC3E81}" = KeyMan V4.0 Build 5
"{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}" = Nokia Ovi Suite
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EB9BD1D5-8DFB-48C4-927B-10BB47CA59B3}" = Microsoft .NET Framework SDK (English) 1.1
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F7E1CA14-B39D-452A-960B-39423DDDD933}" = DriveImage XML (Private Edition)
"{F7FC9307-374E-4017-8E9D-DE1154780480}" = System Requirements Lab for Intel
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Any DVD Converter Professional_is1" = Any DVD Converter Professional 3.5.8
"Ashampoo Burning Studio 2010_is1" = Ashampoo Burning Studio 2010
"AudioCon" = AudioCon
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Avira UnErase Personal" = Avira UnErase Personal
"BatteryInfo" = Notebook BatteryInfo 1.3
"Bridge Builder" = Bridge Builder
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"EPSON Scanner" = EPSON Scan
"EPSON SX410 Series" = Druckerdeinstallation für EPSON SX410 Series
"FlyakiteOSX" = FlyakiteOSX
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HijackThis" = HijackThis 2.0.2
"Hunting Unlimited 2010_is1" = Hunting Unlimited 2010
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Nokia Ovi Suite" = Nokia Ovi Suite
"PokerStars" = PokerStars
"STANDARD" = Microsoft Office Standard 2007
"Steam App 10" = Counter-Strike
"Steam App 5" = Dedicated Server
"Steam App 60" = Ricochet
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TmNations_is1" = TrackMania Nations ESWC 1.7.9
"TmNationsForever_is1" = TmNationsForever Update 2010-03-15
"Trials 2 Second Edition_is1" = Trials 2 Second Edition v1.08
"VLC media player" = VLC media player 1.0.1
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Worms Armageddon" = Worms Armageddon
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XMedia Recode" = XMedia Recode 2.2.1.0

teil 3 (geht nicht als zitat...)

also nochmal alles....

und reboot...

Hi,

es fehlt noch das "normale" OTL-Log....

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00
:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Die Ports würde ich schliessen, wenn Du sie nicht brauchst (Firewalleinstellungen),
Dein Rechner ist damit offen wie ein Scheunentor...:
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

Die APP bei der Firewall rausnehmen:
"C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\4000002d500070d45b7622\starcraft.exe" = C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\4000002d500070d45b7622\starcraft.exe:*:Enabled:starcraft -- File not found

Poste dann noch das GMER-Log...

chris

erstmal danke für die Schnelle Antwort!

"starcraft..." hab ich raus genommen

aber wie schließe ich die Ports:

Zitat:

"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

?

Logs siehe Anhang

gmr kommt gleich, wenn ichs nochschaffe, sonst nach her nach der uni ;-)

Hi,

frage erst mal an der Uni nach, ob Du die Ports brauchst (wenn das ein LapTop ist und Du ihn auch in der Uni bzw. im Heimnetzwerk einsetzen willst)...

Logs kontrolliere ich nach her bin jetzt auch wech...

chris

Hi,

Logs sehen Okay aus...

Lass bitte noch GMER laufen und poste das Log...
(Wenn Du ihn zum Laufen bringst, im abgesicherten Modus probieren (F8 beim Booten))

Windows Dienste/Ports sicher konfigurieren:
http://www.ntsvcfg.de/

chris

HI,
war übers Wochenende weg, deswegen jetzt erst das GMER Log.

Beim scannen ist mehrmals mein pc abgeschmiert,
weiß aber nicht ob das jetzt an GMER liegt, weil er sich ja sowieso immoment nach längerer Laufzeit bzw. nutzung von internetexplorer (firefox ging garnicht und hab ich deinstalliert) etc aufhängt.

LG und schönen sonntag noch!

Hi,

falls Daemontools installiert, bitte deinstallieren,, dann:

TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-t...tml#post640150
Entpacke alle Dateien!

Start.bat erstellen:
Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein:

Code: Alles auswählenAufklappen

ATTFilter

@ECHO OFF
TDSSKiller.exe -l report.txt -v
DEL %0
         

• Speichern als: start.bat

• abspeichern unter : Dateityp: alle Dateien

• speichere die Datei im Ordner wo auch TDSSKiller.exe steht

• Doppelklick start.bat

TDSSKiller.exe wird gestartet und ein Log erzeugen(report.txt).
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt.

chris

deamontools sollte "eigentlich" deinstalliert gewesen sein....

Zitat:

08:37:37:015 4060 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
08:37:37:015 4060 ================================================================================
08:37:37:015 4060 SystemInfo:

08:37:37:015 4060 OS Version: 5.1.2600 ServicePack: 3.0
08:37:37:015 4060 Product type: Workstation
08:37:37:015 4060 ComputerName: JANNIK
08:37:37:015 4060 UserName: Admin
08:37:37:015 4060 Windows directory: C:\WINDOWS
08:37:37:015 4060 Processor architecture: Intel x86
08:37:37:015 4060 Number of processors: 2
08:37:37:015 4060 Page size: 0x1000
08:37:37:015 4060 Boot type: Normal boot
08:37:37:015 4060 ================================================================================
08:37:37:031 4060 UnloadDriverW: NtUnloadDriver error 2
08:37:37:031 4060 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
08:37:37:125 4060 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
08:37:37:125 4060 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
08:37:37:125 4060 wfopen_ex: Trying to KLMD file open
08:37:37:125 4060 wfopen_ex: File opened ok (Flags 2)
08:37:37:125 4060 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
08:37:37:125 4060 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
08:37:37:125 4060 wfopen_ex: Trying to KLMD file open
08:37:37:125 4060 wfopen_ex: File opened ok (Flags 2)
08:37:37:125 4060 Initialize success
08:37:37:125 4060
08:37:37:125 4060 Scanning Services ...
08:37:37:343 4060 Raw services enum returned 357 services
08:37:37:359 4060
08:37:37:359 4060 Scanning Kernel memory ...
08:37:37:359 4060 Devices to scan: 5
08:37:37:359 4060
08:37:37:359 4060 Driver Name: Disk
08:37:37:359 4060 IRP_MJ_CREATE : BA0EEBB0
08:37:37:359 4060 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
08:37:37:359 4060 IRP_MJ_CLOSE : BA0EEBB0
08:37:37:359 4060 IRP_MJ_READ : BA0E8D1F
08:37:37:359 4060 IRP_MJ_WRITE : BA0E8D1F
08:37:37:359 4060 IRP_MJ_QUERY_INFORMATION : 804F4562
08:37:37:359 4060 IRP_MJ_SET_INFORMATION : 804F4562
08:37:37:359 4060 IRP_MJ_QUERY_EA : 804F4562
08:37:37:359 4060 IRP_MJ_SET_EA : 804F4562
08:37:37:359 4060 IRP_MJ_FLUSH_BUFFERS : BA0E92E2
08:37:37:359 4060 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
08:37:37:359 4060 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
08:37:37:359 4060 IRP_MJ_DIRECTORY_CONTROL : 804F4562
08:37:37:359 4060 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
08:37:37:359 4060 IRP_MJ_DEVICE_CONTROL : BA0E93BB
08:37:37:359 4060 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
08:37:37:359 4060 IRP_MJ_SHUTDOWN : BA0E92E2
08:37:37:359 4060 IRP_MJ_LOCK_CONTROL : 804F4562
08:37:37:359 4060 IRP_MJ_CLEANUP : 804F4562
08:37:37:359 4060 IRP_MJ_CREATE_MAILSLOT : 804F4562
08:37:37:359 4060 IRP_MJ_QUERY_SECURITY : 804F4562
08:37:37:359 4060 IRP_MJ_SET_SECURITY : 804F4562
08:37:37:359 4060 IRP_MJ_POWER : BA0EAC82
08:37:37:359 4060 IRP_MJ_SYSTEM_CONTROL : BA0EF99E
08:37:37:359 4060 IRP_MJ_DEVICE_CHANGE : 804F4562
08:37:37:359 4060 IRP_MJ_QUERY_QUOTA : 804F4562
08:37:37:359 4060 IRP_MJ_SET_QUOTA : 804F4562
08:37:37:390 4060 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
08:37:37:390 4060
08:37:37:390 4060 Driver Name: Disk
08:37:37:390 4060 IRP_MJ_CREATE : BA0EEBB0
08:37:37:390 4060 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
08:37:37:390 4060 IRP_MJ_CLOSE : BA0EEBB0
08:37:37:390 4060 IRP_MJ_READ : BA0E8D1F
08:37:37:390 4060 IRP_MJ_WRITE : BA0E8D1F
08:37:37:390 4060 IRP_MJ_QUERY_INFORMATION : 804F4562
08:37:37:390 4060 IRP_MJ_SET_INFORMATION : 804F4562
08:37:37:390 4060 IRP_MJ_QUERY_EA : 804F4562
08:37:37:390 4060 IRP_MJ_SET_EA : 804F4562
08:37:37:390 4060 IRP_MJ_FLUSH_BUFFERS : BA0E92E2
08:37:37:390 4060 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
08:37:37:390 4060 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
08:37:37:390 4060 IRP_MJ_DIRECTORY_CONTROL : 804F4562
08:37:37:390 4060 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
08:37:37:390 4060 IRP_MJ_DEVICE_CONTROL : BA0E93BB
08:37:37:390 4060 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
08:37:37:390 4060 IRP_MJ_SHUTDOWN : BA0E92E2
08:37:37:390 4060 IRP_MJ_LOCK_CONTROL : 804F4562
08:37:37:390 4060 IRP_MJ_CLEANUP : 804F4562
08:37:37:390 4060 IRP_MJ_CREATE_MAILSLOT : 804F4562
08:37:37:390 4060 IRP_MJ_QUERY_SECURITY : 804F4562
08:37:37:390 4060 IRP_MJ_SET_SECURITY : 804F4562
08:37:37:390 4060 IRP_MJ_POWER : BA0EAC82
08:37:37:390 4060 IRP_MJ_SYSTEM_CONTROL : BA0EF99E
08:37:37:390 4060 IRP_MJ_DEVICE_CHANGE : 804F4562
08:37:37:390 4060 IRP_MJ_QUERY_QUOTA : 804F4562
08:37:37:390 4060 IRP_MJ_SET_QUOTA : 804F4562
08:37:37:390 4060 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
08:37:37:390 4060
08:37:37:390 4060 Driver Name: Disk
08:37:37:390 4060 IRP_MJ_CREATE : BA0EEBB0
08:37:37:390 4060 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
08:37:37:390 4060 IRP_MJ_CLOSE : BA0EEBB0
08:37:37:390 4060 IRP_MJ_READ : BA0E8D1F
08:37:37:390 4060 IRP_MJ_WRITE : BA0E8D1F
08:37:37:390 4060 IRP_MJ_QUERY_INFORMATION : 804F4562
08:37:37:390 4060 IRP_MJ_SET_INFORMATION : 804F4562
08:37:37:390 4060 IRP_MJ_QUERY_EA : 804F4562
08:37:37:390 4060 IRP_MJ_SET_EA : 804F4562
08:37:37:390 4060 IRP_MJ_FLUSH_BUFFERS : BA0E92E2
08:37:37:390 4060 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
08:37:37:390 4060 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
08:37:37:390 4060 IRP_MJ_DIRECTORY_CONTROL : 804F4562
08:37:37:390 4060 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
08:37:37:390 4060 IRP_MJ_DEVICE_CONTROL : BA0E93BB
08:37:37:390 4060 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
08:37:37:390 4060 IRP_MJ_SHUTDOWN : BA0E92E2
08:37:37:390 4060 IRP_MJ_LOCK_CONTROL : 804F4562
08:37:37:390 4060 IRP_MJ_CLEANUP : 804F4562
08:37:37:390 4060 IRP_MJ_CREATE_MAILSLOT : 804F4562
08:37:37:390 4060 IRP_MJ_QUERY_SECURITY : 804F4562
08:37:37:390 4060 IRP_MJ_SET_SECURITY : 804F4562
08:37:37:390 4060 IRP_MJ_POWER : BA0EAC82
08:37:37:390 4060 IRP_MJ_SYSTEM_CONTROL : BA0EF99E
08:37:37:390 4060 IRP_MJ_DEVICE_CHANGE : 804F4562
08:37:37:390 4060 IRP_MJ_QUERY_QUOTA : 804F4562
08:37:37:390 4060 IRP_MJ_SET_QUOTA : 804F4562
08:37:37:390 4060 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
08:37:37:390 4060
08:37:37:390 4060 Driver Name: Disk
08:37:37:390 4060 IRP_MJ_CREATE : BA0EEBB0
08:37:37:390 4060 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
08:37:37:390 4060 IRP_MJ_CLOSE : BA0EEBB0
08:37:37:390 4060 IRP_MJ_READ : BA0E8D1F
08:37:37:390 4060 IRP_MJ_WRITE : BA0E8D1F
08:37:37:390 4060 IRP_MJ_QUERY_INFORMATION : 804F4562
08:37:37:390 4060 IRP_MJ_SET_INFORMATION : 804F4562
08:37:37:390 4060 IRP_MJ_QUERY_EA : 804F4562
08:37:37:390 4060 IRP_MJ_SET_EA : 804F4562
08:37:37:390 4060 IRP_MJ_FLUSH_BUFFERS : BA0E92E2
08:37:37:390 4060 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
08:37:37:390 4060 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
08:37:37:390 4060 IRP_MJ_DIRECTORY_CONTROL : 804F4562
08:37:37:390 4060 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
08:37:37:390 4060 IRP_MJ_DEVICE_CONTROL : BA0E93BB
08:37:37:390 4060 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
08:37:37:390 4060 IRP_MJ_SHUTDOWN : BA0E92E2
08:37:37:390 4060 IRP_MJ_LOCK_CONTROL : 804F4562
08:37:37:390 4060 IRP_MJ_CLEANUP : 804F4562
08:37:37:390 4060 IRP_MJ_CREATE_MAILSLOT : 804F4562
08:37:37:390 4060 IRP_MJ_QUERY_SECURITY : 804F4562
08:37:37:390 4060 IRP_MJ_SET_SECURITY : 804F4562
08:37:37:390 4060 IRP_MJ_POWER : BA0EAC82
08:37:37:390 4060 IRP_MJ_SYSTEM_CONTROL : BA0EF99E
08:37:37:390 4060 IRP_MJ_DEVICE_CHANGE : 804F4562
08:37:37:390 4060 IRP_MJ_QUERY_QUOTA : 804F4562
08:37:37:390 4060 IRP_MJ_SET_QUOTA : 804F4562
08:37:37:390 4060 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
08:37:37:390 4060
08:37:37:406 4060 Driver Name: iaStor
08:37:37:406 4060 IRP_MJ_CREATE : 880EBAC8
08:37:37:406 4060 IRP_MJ_CREATE_NAMED_PIPE : 880EBAC8
08:37:37:406 4060 IRP_MJ_CLOSE : 880EBAC8
08:37:37:406 4060 IRP_MJ_READ : 880EBAC8
08:37:37:406 4060 IRP_MJ_WRITE : 880EBAC8
08:37:37:406 4060 IRP_MJ_QUERY_INFORMATION : 880EBAC8
08:37:37:406 4060 IRP_MJ_SET_INFORMATION : 880EBAC8
08:37:37:406 4060 IRP_MJ_QUERY_EA : 880EBAC8
08:37:37:406 4060 IRP_MJ_SET_EA : 880EBAC8
08:37:37:406 4060 IRP_MJ_FLUSH_BUFFERS : 880EBAC8
08:37:37:406 4060 IRP_MJ_QUERY_VOLUME_INFORMATION : 880EBAC8
08:37:37:406 4060 IRP_MJ_SET_VOLUME_INFORMATION : 880EBAC8
08:37:37:406 4060 IRP_MJ_DIRECTORY_CONTROL : 880EBAC8
08:37:37:406 4060 IRP_MJ_FILE_SYSTEM_CONTROL : 880EBAC8
08:37:37:406 4060 IRP_MJ_DEVICE_CONTROL : 880EBAC8
08:37:37:406 4060 IRP_MJ_INTERNAL_DEVICE_CONTROL : 880EBAC8
08:37:37:406 4060 IRP_MJ_SHUTDOWN : 880EBAC8
08:37:37:406 4060 IRP_MJ_LOCK_CONTROL : 880EBAC8
08:37:37:406 4060 IRP_MJ_CLEANUP : 880EBAC8
08:37:37:406 4060 IRP_MJ_CREATE_MAILSLOT : 880EBAC8
08:37:37:406 4060 IRP_MJ_QUERY_SECURITY : 880EBAC8
08:37:37:406 4060 IRP_MJ_SET_SECURITY : 880EBAC8
08:37:37:406 4060 IRP_MJ_POWER : 880EBAC8
08:37:37:406 4060 IRP_MJ_SYSTEM_CONTROL : 880EBAC8
08:37:37:406 4060 IRP_MJ_DEVICE_CHANGE : 880EBAC8
08:37:37:406 4060 IRP_MJ_QUERY_QUOTA : 880EBAC8
08:37:37:406 4060 IRP_MJ_SET_QUOTA : 880EBAC8
08:37:37:406 4060 Driver "iaStor" infected by TDSS rootkit!
08:37:37:406 4060 C:\WINDOWS\system32\drivers\iaStor.sys - Verdict: 1
08:37:37:406 4060 File "C:\WINDOWS\system32\drivers\iaStor.sys" infected by TDSS rootkit ... 08:37:37:406 4060 Processing driver file: C:\WINDOWS\system32\drivers\iaStor.sys
08:37:37:406 4060 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\system32\DriverStore\FileRepository\*) error 3
08:37:37:484 4060 vfvi6
08:37:37:984 4060 dsvbh1
08:37:37:984 4060 fdfb3
08:37:37:984 4060 Backup copy found, using it..
08:37:38:015 4060 will be cured on next reboot
08:37:38:015 4060 Reboot required for cure complete..
08:37:38:031 4060 Cure on reboot scheduled successfully
08:37:38:031 4060
08:37:38:031 4060 Completed
08:37:38:031 4060
08:37:38:031 4060 Results:
08:37:38:031 4060 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
08:37:38:031 4060 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
08:37:38:031 4060 File objects infected / cured / cured on reboot: 1 / 0 / 1
08:37:38:031 4060
08:37:38:031 4060 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
08:37:38:031 4060 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
08:37:38:031 4060 UnloadDriverW: NtUnloadDriver error 1
08:37:38:031 4060 KLMD(ARK) unloaded successfully

Hi,

TDSS-Rootkit...

Code: Alles auswählenAufklappen

ATTFilter

File "C:\WINDOWS\system32\drivers\iaStor.sys" infected by TDSS rootkit
         

TDSS-Killer noch mal durchführen und Log posten, zusätzlich:

Dr. Web (der findet auch den TDSS, hat aber manchmal Probleme damit)
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

das mit DrWeb dauert echt lange, ist auch 2 mal abgestürzt im abgesicherten... lasse das jetzt nochmal durchlaufen und poste das log dann heut abend irgendwann...
wie schauts denn aus mit dem Virus? Haste da ne Ahnung, ob das behebbar ist?

Hab mir jetzt auch schon nen bootfähigen usb stick mit windows 7 drauf vorbereitet, könnte also auch einfach neu Aufsetzten. Ist ein Rootkit damit ausgeschaltet? könnte sich ja auch irgendwo in meiner Sicherung (andere Partition) festgesetzt haben.

was meinst du? oder warten wir erstmal den DrWeb log ab ;-)

bye