| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IEWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.04.2010, 21:30
| #1 |
| |  Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE HEy Leute ;D, ich habe da ein Problem, Vor ein paar Tagen habe ich mir wohl einen Virus eingefangen. Als ich meinen PC startete, kam nach der Anmeldung nur ein Grauer Bildschirm und der "Wartezeiger". Im Taskmanager öffnete sich und schloss sich die ganze zeit ein Prozess, der nach jedem start anders hiess. Doch er find immer mit "d" an ;D. Im Abgesicherten Modus habe ich dann die Datei (Datei hat "änderungsdatum" von 19.7.2009, doch habe im Januar erst PC KOMPLETT neuinstalliert ;D) gelöscht. Darauf liess ich Avira mit "Agressiven Einstellungen" laufen und einige Viren wurden darauf gelöscht. Ich dachte das Problem sei gelöst, doch von nun an öffnete sich dauernd Werbung im Firefox und Internet Explorer. Nach ein Bisschen googlen kam ich auf diese Seite und befolgte einige Tutorials. Mit SuperAntySpyware und Malewarebytes Anti-Malware habe ich, so wie es schien, alle Viren im KomplettScan gefunden und gelöscht. Auch nach neustart und erneutem Scan wurden keine Viren mehr gefunden. Doch als ich dann wieder fleissig am surfen war, öffnete sich wieder Werbung in Firefox, aber nicht mehr selbstständig, sondern nur wenn ich bei Google was gesucht habe und dann auf eine der Ergebnisse drückte. So ca jedes 10mal öffnet sich dadurch irgendeine Suchmaschine die mich dann auf verschiedene andere Seiten schickt  . Edit: Den CCleaner habe ich auch öfters mal benutzt, da Avira mehrere Viren in dem Temp Ordner fand. Diesen Prüfe ich jetzt öfters nach, und schaue ob er leer ist oder ob wieder ein Virus drinne ist ;D Code:
ATTFilter Hier mal HijackThis Log: Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 22:29:49, on 10.04.2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\taskhost.exe C:\Windows\Explorer.EXE C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\Minefield\firefox.exe C:\Program Files\Minefield\plugin-container.exe C:\Windows\system32\Dwm.exe C:\Program Files\Mozilla Thunderbird\thunderbird.exe C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe C:\Windows\system32\DllHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Microsoft Web Test Recorder 10.0 Helper - {DDA57003-0068-4ed2-9D32-4D1EC707D94D} - C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\LManager.exe O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000 O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html O8 - Extra context menu item: RF - Formular speichern - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: RF - Menü anpassen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe O23 - Service: WD SmartWare Drive Manager (WDDMService) - WDC - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe O23 - Service: WD SmartWare Background Service (WDSmartWareBackgroundService) - Memeo - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe -- End of file - 7884 bytes Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-10 22:35:15
Windows 6.1.7600
Running: 4em51k65.exe; Driver: C:\Users\Lukas\AppData\Local\Temp\kglcapow.sys
---- System - GMER 1.0.15 ----
INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83229AF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83229104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832293F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83211634
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83211898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832291DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83229958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832296F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83229F2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8322A1A8
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13BD 832895C9 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 832AE052 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
? System32\Drivers\spae.sys Das System kann den angegebenen Pfad nicht finden. !
.text C:\Windows\system32\DRIVERS\atipmdag.sys section is writeable [0x90C19000, 0x2ECEB2, 0xE8000020]
.text USBPORT.SYS!DllUnload 91778CA0 5 Bytes JMP 86CA31D8
.text aurljiuu.SYS 8F39F000 12 Bytes [44, 48, 21, 83, EE, 46, 21, ...]
.text aurljiuu.SYS 8F39F00D 9 Bytes [27, 21, 83, 48, 4B, 21, 83, ...] {DAA ; AND [EBX-0x7cdeb4b8], EAX; ADD [EAX], AL}
.text aurljiuu.SYS 8F39F017 170 Bytes [00, DE, A7, F3, 83, E6, A5, ...]
.text aurljiuu.SYS 8F39F0C3 8 Bytes [00, 00, 00, 00, 00, 00, 00, ...] {ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL}
.text aurljiuu.SYS 8F39F0CE 4 Bytes [00, 00, 00, 00] {ADD [EAX], AL; ADD [EAX], AL}
.text ...
.text peauth.sys 9C126C9D 28 Bytes [55, FC, CD, 93, 66, CE, 39, ...]
.text peauth.sys 9C126CC1 28 Bytes [55, FC, CD, 93, 66, CE, 39, ...]
---- User code sections - GMER 1.0.15 ----
.text C:\Windows\system32\svchost.exe[1088] ntdll.dll!NtProtectVirtualMemory 778F5360 5 Bytes JMP 0027000A
.text C:\Windows\system32\svchost.exe[1088] ntdll.dll!NtWriteVirtualMemory 778F5EE0 5 Bytes JMP 0028000A
.text C:\Windows\system32\svchost.exe[1088] ntdll.dll!KiUserExceptionDispatcher 778F6448 5 Bytes JMP 0026000A
.text C:\Windows\Explorer.EXE[2516] ntdll.dll!NtProtectVirtualMemory 778F5360 5 Bytes JMP 0060000A
.text C:\Windows\Explorer.EXE[2516] ntdll.dll!NtWriteVirtualMemory 778F5EE0 5 Bytes JMP 0061000A
.text C:\Windows\Explorer.EXE[2516] ntdll.dll!KiUserExceptionDispatcher 778F6448 5 Bytes JMP 005F000A
.text C:\Program Files\Minefield\firefox.exe[3284] ntdll.dll!NtProtectVirtualMemory 778F5360 5 Bytes JMP 0049000A
.text C:\Program Files\Minefield\firefox.exe[3284] ntdll.dll!NtWriteVirtualMemory 778F5EE0 5 Bytes JMP 004A000A
.text C:\Program Files\Minefield\firefox.exe[3284] ntdll.dll!KiUserExceptionDispatcher 778F6448 5 Bytes JMP 0047000A
.text C:\Program Files\Minefield\plugin-container.exe[5484] USER32.dll!TrackPopupMenu 77564B3B 5 Bytes JMP 62EC8D5D C:\Program Files\Minefield\xul.dll (Mozilla Foundation)
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [83E3E042] \SystemRoot\System32\Drivers\spae.sys
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [83E3E6D6] \SystemRoot\System32\Drivers\spae.sys
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [83E3E800] \SystemRoot\System32\Drivers\spae.sys
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [83E3E13E] \SystemRoot\System32\Drivers\spae.sys
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortNotification] 00147880
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortQuerySystemTime] 78800C75
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortReadPortUchar] 06750015
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortStallExecution] C25DC033
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortWritePortUchar] 458B0008
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortWritePortUlong] 6A006A08
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 50056A24
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 005AB7E8
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortGetScatterGatherList] 0001B800
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortGetParentBusType] C25D0000
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortRequestCallback] CCCC0008
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortWritePortBufferUshort] CCCCCCCC
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortGetUnCachedExtension] CCCCCCCC
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortCompleteRequest] CCCCCCCC
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortCopyMemory] 53EC8B55
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortEtwTraceLog] 800C5D8B
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] 7500117B
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 127B806A
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 80647500
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 7500137B
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortInitialize] 157B805E
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortGetDeviceBase] 56587500
IAT \SystemRoot\System32\Drivers\aurljiuu.SYS[ataport.SYS!AtaPortDeviceStateChange] 8008758B
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 864891F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{B4958845-4A56-4E6F-9471-27C052E3158C} 869D01F8
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 VMkbd.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 VMkbd.sys
Device \Driver\volmgr \Device\VolMgrControl 857DE1F8
Device \Driver\usbohci \Device\USBPDO-0 86CA61F8
Device \Driver\usbohci \Device\USBPDO-1 86CA61F8
Device \Driver\usbehci \Device\USBPDO-2 86CA71F8
Device \Driver\usbohci \Device\USBPDO-3 86CA61F8
Device \Driver\usbohci \Device\USBPDO-4 86CA61F8
Device \Driver\usbehci \Device\USBPDO-5 86CA71F8
Device \Driver\volmgr \Device\HarddiskVolume1 857DE1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\volmgr \Device\HarddiskVolume2 857DE1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\cdrom \Device\CdRom0 86AEA500
Device \Driver\atapi \Device\Ide\IdePort0 857E01F8
Device \Driver\atapi \Device\Ide\IdePort1 857E01F8
Device \Driver\atapi \Device\Ide\IdePort2 857E01F8
Device \Driver\atapi \Device\Ide\IdePort3 857E01F8
Device \Driver\atapi \Device\Ide\IdePort4 857E01F8
Device \Driver\atapi \Device\Ide\IdePort5 857E01F8
Device \Driver\atapi \Device\Ide\IdeDeviceP4T0L0-4 857E01F8
Device \Driver\msahci \Device\Ide\PciIde0Channel0 857E11F8
Device \Driver\msahci \Device\Ide\PciIde0Channel1 857E11F8
Device \Driver\msahci \Device\Ide\PciIde0Channel2 857E11F8
Device \Driver\msahci \Device\Ide\PciIde0Channel3 857E11F8
Device \Driver\volmgr \Device\HarddiskVolume3 857DE1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\cdrom \Device\CdRom1 86AEA500
Device \Driver\PCI_PNP4064 \Device\00000073 spae.sys
Device \Driver\ACPI_HAL \Device\00000066 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
Device \Driver\volmgr \Device\HarddiskVolume4 857DE1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\volmgr \Device\HarddiskVolume5 857DE1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\NetBT \Device\NetBt_Wins_Export 869D01F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{30DAD6DC-1BA3-4025-ADB0-6065B65F2FB9} 869D01F8
Device \Driver\sptd \Device\155316069 spae.sys
Device \Driver\USBSTOR \Device\00000098 874BE500
Device \Driver\usbohci \Device\USBFDO-0 86CA61F8
Device \Driver\USBSTOR \Device\00000099 874BE500
Device \Driver\usbohci \Device\USBFDO-1 86CA61F8
Device \Driver\usbehci \Device\USBFDO-2 86CA71F8
Device \Driver\usbohci \Device\USBFDO-3 86CA61F8
Device \Driver\usbohci \Device\USBFDO-4 86CA61F8
Device \Driver\usbehci \Device\USBFDO-5 86CA71F8
Device \Driver\aurljiuu \Device\Scsi\aurljiuu1 86D05360
Device \Driver\aurljiuu \Device\Scsi\aurljiuu1Port6Path0Target0Lun0 86D05360
Device -> \Driver\atapi \Device\Harddisk0\DR0 8655FD6B
---- Threads - GMER 1.0.15 ----
Thread System [4:2092] 9E630F2E
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\00158315a310
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7D 0x86 0x7F 0x7A ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xA8 0x06 0xFD 0x8D ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x55 0xE7 0x74 0x32 ...
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\00158315a310 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7D 0x86 0x7F 0x7A ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xA8 0x06 0xFD 0x8D ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x55 0xE7 0x74 0x32 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-2891103275-4188202589-3294146356-1000@RefCount 5
---- Files - GMER 1.0.15 ----
File C:\Windows\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Geändert von lucki007 (10.04.2010 um 21:36 Uhr) |
|
10.04.2010, 21:39
| #2 |
 | Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE Hallo und
__________________ Hm..Also offensichtliche Viren sind nicht zu sehen. Probiere mal nochmal einen vollständigen scan mit Avira & danach einen vollständigen Scan mit Malwarebytes. Und poste das Malwarebytes Logfile bitte. MfG Thomas
__________________ |
|
10.04.2010, 21:44
| #3 |
| | Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE Hier einige Viren die Avira in den letzten Tagen Gefunden hat, ich bin gerade nochmal einen Vollständigen Malwarebytes Scan am machen, und dannach nochmal einen Avira scan ;D
__________________Code:
ATTFilter
Typ: Datei
Quelle: C:\Windows\Temp\vaqa.tmp\svchost.exe
Status: Infiziert
Quarantäne-Objekt: 508bdfa4.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.210
Virendefinitionsdatei: 7.10.06.51
Meldung: Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit: 10.04.2010, 13:02
Typ: Datei
Quelle: C:\Windows\Temp\vaqa.tmp\svchost.exe
Status: Infiziert
Quarantäne-Objekt: 481cfa6f.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.210
Virendefinitionsdatei: 7.10.06.51
Meldung: Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit: 10.04.2010, 13:02
Typ: Datei
Quelle: C:\Windows\Temp\vaqa.tmp\svchost.exe
Status: Infiziert
Quarantäne-Objekt: 482ae3ee.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.210
Virendefinitionsdatei: 7.10.06.51
Meldung: Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit: 10.04.2010, 11:18
Typ: Datei
Quelle: C:\Windows\Temp\vaqa.tmp\svchost.exe
Status: Infiziert
Quarantäne-Objekt: 50bdc625.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.210
Virendefinitionsdatei: 7.10.06.51
Meldung: Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit: 10.04.2010, 11:18
Typ: Datei
Quelle: C:\Windows\Temp\hki838.exe
Status: Infiziert
Quarantäne-Objekt: 4899e30c.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.210
Virendefinitionsdatei: 7.10.06.51
Meldung: Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit: 10.04.2010, 11:15
Typ: Datei
Quelle: C:\Windows\Temp\vaqa.tmp\svchost.exe
Status: Infiziert
Quarantäne-Objekt: 481c9f51.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.210
Virendefinitionsdatei: 7.10.06.51
Meldung: Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit: 10.04.2010, 10:59
Typ: Datei
Quelle: C:\Windows\Temp\vaqa.tmp\svchost.exe
Status: Infiziert
Quarantäne-Objekt: 508bba9a.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.210
Virendefinitionsdatei: 7.10.06.51
Meldung: Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit: 10.04.2010, 10:59
Typ: Datei
Quelle: C:\Windows\Temp\cbsFF6A.tmp
Status: Infiziert
Quarantäne-Objekt: 48e09a87.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.210
Virendefinitionsdatei: 7.10.06.51
Meldung: Ist das Trojanische Pferd TR/ATRAPS.Gen2
Datum/Uhrzeit: 09.04.2010, 16:36
Typ: Datei
Quelle: C:\Users\Lukas\AppData\Local\Temp\..Hackhoundserver.exe
Status: Infiziert
Quarantäne-Objekt: 481685e6.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.210
Virendefinitionsdatei: 7.10.06.51
Meldung: Ist das Trojanische Pferd TR/Agent.318976
Datum/Uhrzeit: 09.04.2010, 14:44
Typ: Datei
Quelle: C:\Users\Lukas\AppData\Local\Mozilla\Firefox\Profiles\qkzwdvwi.default\Cache\_CACHE_001_
Status: Infiziert
Quarantäne-Objekt: 4f23e6d4.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.204
Virendefinitionsdatei: 7.10.06.10
Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
Datum/Uhrzeit: 08.04.2010, 23:16
Typ: Datei
Quelle: C:\Users\Lukas\AppData\Local\Temp\nstA7B5.tmp\out2.exe
Status: Infiziert
Quarantäne-Objekt: 48bce3f8.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.204
Virendefinitionsdatei: 7.10.06.10
Meldung: Ist das Trojanische Pferd TR/Dldr.Genome.aldh
Datum/Uhrzeit: 08.04.2010, 22:53
Typ: Datei
Quelle: C:\Users\Lukas\Desktop\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Exe v.1\nc.exe
Status: Infiziert
Quarantäne-Objekt: 025000a8.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: C:\Users\Lukas\Desktop\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Exe v.2\reconnecter.exe
Status: Infiziert
Quarantäne-Objekt: 0c8e040d.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Hupigon.153170
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: C:\Users\Lukas\Desktop\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Batch v.1\nc.exe
Status: Infiziert
Quarantäne-Objekt: 76e5600d.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: C:\Users\Lukas\Desktop\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Batch v.2\nc.exe
Status: Infiziert
Quarantäne-Objekt: 5a1119c1.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: J:\Backup1\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Exe v.2\reconnecter.exe
Status: Infiziert
Quarantäne-Objekt: 5eca20e1.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Hupigon.153170
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: J:\Backup1\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Batch v.1\nc.exe
Status: Infiziert
Quarantäne-Objekt: 44e563b8.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: C:\Users\Lukas\Desktop\Alle Ordner\Fritz!Box Reconnect\Zusatz\Cmdow\cmdow.exe
Status: Infiziert
Quarantäne-Objekt: 47a24db1.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232.1
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: J:\Backup1\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Batch v.2\nc.exe
Status: Infiziert
Quarantäne-Objekt: 69bf4cf5.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: J:\Backup1\Alle Ordner\Fritz!Box Reconnect\Zusatz\Cmdow\cmdow.exe
Status: Infiziert
Quarantäne-Objekt: 644a3f86.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232.1
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: J:\Backup1\Alle Ordner\Fritz!Box Reconnect\(A)Simpler-Reconnect\Exe v.1\nc.exe
Status: Infiziert
Quarantäne-Objekt: 15a70ca5.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: J:\Backup1\Alle Ordner\Fritz!Box Reconnect\(C)Final Reconnect incl. VOIP-Check\Version 2 by pueblobo\EasyUPnP\TCPclient.dll
Status: Infiziert
Quarantäne-Objekt: 2622126e.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Ist das Trojanische Pferd TR/Swisyn.xyu
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: C:\Users\Lukas\Desktop\Alle Ordner\Fritz!Box Reconnect\(C)Final Reconnect incl. VOIP-Check\Version 2 by pueblobo\EasyUPnP\TCPclient.dll
Status: Infiziert
Quarantäne-Objekt: 4e547da0.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Ist das Trojanische Pferd TR/Swisyn.xyu
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: C:\Users\Lukas\Desktop\Alle Ordner\WarRock Hacker\6014CPG\keygen\keygen.exe
Status: Infiziert
Quarantäne-Objekt: 362e741c.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Ist das Trojanische Pferd TR/Bumat!rts.A.159
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: J:\Backup1\Alle Ordner\Reconnecter\nc.exe
Status: Infiziert
Quarantäne-Objekt: 05b77072.qua
Wiederhergestellt: JA
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Datum/Uhrzeit: 26.03.2010, 12:57
Typ: Datei
Quelle: C:\Users\Lukas\AppData\Roaming\Microsoft\winlogs32.exe
Status: Infiziert
Quarantäne-Objekt: 4c1731f3.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.01.196
Virendefinitionsdatei: 7.10.05.225
Meldung: Ist das Trojanische Pferd TR/ATRAPS.Gen
Datum/Uhrzeit: 26.03.2010, 10:08
|
|
10.04.2010, 21:44
| #4 |
  | Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE Hi, das sieht eher nach einem Rootkit (TDSS) aus: File C:\Windows\system32\drivers\atapi.sys suspicious modification... TDSS-Killer Download und Anweisung unter: http://www.trojaner-board.de/82358-t...tml#post640150 Entpacke alle Dateien! Start.bat erstellen: Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein: Code:
ATTFilter @ECHO OFF
TDSSKiller.exe -l report.txt -v
DEL %0
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt. chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
10.04.2010, 21:59
| #5 |
| | Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE Danke schonmal für die Antworten. Also, ich habe das mit dem TDSS Killer gemacht ;D Hier der Log: Code:
ATTFilter 22:51:30:392 5048 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
22:51:30:392 5048 ================================================================================
22:51:30:392 5048 SystemInfo:
22:51:30:392 5048 OS Version: 6.1.7600 ServicePack: 0.0
22:51:30:392 5048 Product type: Workstation
22:51:30:392 5048 ComputerName: LUKAS-PC
22:51:30:396 5048 UserName: Lukas
22:51:30:397 5048 Windows directory: C:\Windows
22:51:30:397 5048 Processor architecture: Intel x86
22:51:30:397 5048 Number of processors: 2
22:51:30:397 5048 Page size: 0x1000
22:51:30:507 5048 Boot type: Normal boot
22:51:30:508 5048 ================================================================================
22:51:30:551 5048 UnloadDriverW: NtUnloadDriver error 2
22:51:30:551 5048 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
22:51:31:349 5048 wfopen_ex: Trying to open file C:\Windows\system32\config\system
22:51:31:349 5048 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:51:31:349 5048 wfopen_ex: Trying to KLMD file open
22:51:31:349 5048 wfopen_ex: File opened ok (Flags 2)
22:51:31:359 5048 wfopen_ex: Trying to open file C:\Windows\system32\config\software
22:51:31:359 5048 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:51:31:359 5048 wfopen_ex: Trying to KLMD file open
22:51:31:359 5048 wfopen_ex: File opened ok (Flags 2)
22:51:31:377 5048 Initialize success
22:51:31:377 5048
22:51:31:378 5048 Scanning Services ...
22:51:34:445 5048 Raw services enum returned 532 services
22:51:34:461 5048
22:51:34:464 5048 Scanning Kernel memory ...
22:51:34:464 5048 Devices to scan: 2
22:51:34:464 5048
22:51:34:464 5048 Driver Name: USBSTOR
22:51:34:464 5048 IRP_MJ_CREATE : 874BE500
22:51:34:464 5048 IRP_MJ_CREATE_NAMED_PIPE : 832F7537
22:51:34:464 5048 IRP_MJ_CLOSE : 874BE500
22:51:34:464 5048 IRP_MJ_READ : 874BE500
22:51:34:464 5048 IRP_MJ_WRITE : 874BE500
22:51:34:464 5048 IRP_MJ_QUERY_INFORMATION : 832F7537
22:51:34:465 5048 IRP_MJ_SET_INFORMATION : 832F7537
22:51:34:465 5048 IRP_MJ_QUERY_EA : 832F7537
22:51:34:465 5048 IRP_MJ_SET_EA : 832F7537
22:51:34:465 5048 IRP_MJ_FLUSH_BUFFERS : 832F7537
22:51:34:465 5048 IRP_MJ_QUERY_VOLUME_INFORMATION : 832F7537
22:51:34:465 5048 IRP_MJ_SET_VOLUME_INFORMATION : 832F7537
22:51:34:465 5048 IRP_MJ_DIRECTORY_CONTROL : 832F7537
22:51:34:465 5048 IRP_MJ_FILE_SYSTEM_CONTROL : 832F7537
22:51:34:465 5048 IRP_MJ_DEVICE_CONTROL : 874BE500
22:51:34:465 5048 IRP_MJ_INTERNAL_DEVICE_CONTROL : 874BE500
22:51:34:465 5048 IRP_MJ_SHUTDOWN : 832F7537
22:51:34:465 5048 IRP_MJ_LOCK_CONTROL : 832F7537
22:51:34:465 5048 IRP_MJ_CLEANUP : 832F7537
22:51:34:465 5048 IRP_MJ_CREATE_MAILSLOT : 832F7537
22:51:34:465 5048 IRP_MJ_QUERY_SECURITY : 832F7537
22:51:34:465 5048 IRP_MJ_SET_SECURITY : 832F7537
22:51:34:465 5048 IRP_MJ_POWER : 874BE500
22:51:34:465 5048 IRP_MJ_SYSTEM_CONTROL : 874BE500
22:51:34:465 5048 IRP_MJ_DEVICE_CHANGE : 832F7537
22:51:34:465 5048 IRP_MJ_QUERY_QUOTA : 832F7537
22:51:34:465 5048 IRP_MJ_SET_QUOTA : 832F7537
22:51:34:474 5048 C:\Windows\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:51:34:474 5048
22:51:34:474 5048 Driver Name: atapi
22:51:34:474 5048 IRP_MJ_CREATE : 8655FD6B
22:51:34:475 5048 IRP_MJ_CREATE_NAMED_PIPE : 8655FD6B
22:51:34:475 5048 IRP_MJ_CLOSE : 8655FD6B
22:51:34:475 5048 IRP_MJ_READ : 8655FD6B
22:51:34:475 5048 IRP_MJ_WRITE : 8655FD6B
22:51:34:475 5048 IRP_MJ_QUERY_INFORMATION : 8655FD6B
22:51:34:475 5048 IRP_MJ_SET_INFORMATION : 8655FD6B
22:51:34:475 5048 IRP_MJ_QUERY_EA : 8655FD6B
22:51:34:475 5048 IRP_MJ_SET_EA : 8655FD6B
22:51:34:475 5048 IRP_MJ_FLUSH_BUFFERS : 8655FD6B
22:51:34:475 5048 IRP_MJ_QUERY_VOLUME_INFORMATION : 8655FD6B
22:51:34:475 5048 IRP_MJ_SET_VOLUME_INFORMATION : 8655FD6B
22:51:34:475 5048 IRP_MJ_DIRECTORY_CONTROL : 8655FD6B
22:51:34:475 5048 IRP_MJ_FILE_SYSTEM_CONTROL : 8655FD6B
22:51:34:475 5048 IRP_MJ_DEVICE_CONTROL : 8655FD6B
22:51:34:475 5048 IRP_MJ_INTERNAL_DEVICE_CONTROL : 8655FD6B
22:51:34:475 5048 IRP_MJ_SHUTDOWN : 8655FD6B
22:51:34:475 5048 IRP_MJ_LOCK_CONTROL : 8655FD6B
22:51:34:475 5048 IRP_MJ_CLEANUP : 8655FD6B
22:51:34:475 5048 IRP_MJ_CREATE_MAILSLOT : 8655FD6B
22:51:34:475 5048 IRP_MJ_QUERY_SECURITY : 8655FD6B
22:51:34:475 5048 IRP_MJ_SET_SECURITY : 8655FD6B
22:51:34:475 5048 IRP_MJ_POWER : 8655FD6B
22:51:34:475 5048 IRP_MJ_SYSTEM_CONTROL : 8655FD6B
22:51:34:475 5048 IRP_MJ_DEVICE_CHANGE : 8655FD6B
22:51:34:475 5048 IRP_MJ_QUERY_QUOTA : 8655FD6B
22:51:34:475 5048 IRP_MJ_SET_QUOTA : 8655FD6B
22:51:34:475 5048 Driver "atapi" infected by TDSS rootkit!
22:51:34:480 5048 C:\Windows\system32\DRIVERS\atapi.sys - Verdict: 1
22:51:34:480 5048 File "C:\Windows\system32\DRIVERS\atapi.sys" infected by TDSS rootkit ... 22:51:34:480 5048 Processing driver file: C:\Windows\system32\DRIVERS\atapi.sys
22:51:34:772 5048 vfvi6
22:51:34:835 5048 dsvbh1
22:51:35:234 5048 fdfb1
22:51:35:234 5048 Backup copy found, using it..
22:51:35:302 5048 will be cured on next reboot
22:51:35:302 5048 Reboot required for cure complete..
22:51:35:351 5048 Cure on reboot scheduled successfully
22:51:35:351 5048
22:51:35:353 5048 Completed
22:51:35:353 5048
22:51:35:354 5048 Results:
22:51:35:354 5048 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
22:51:35:355 5048 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
22:51:35:355 5048 File objects infected / cured / cured on reboot: 1 / 0 / 1
22:51:35:356 5048
22:51:35:356 5048 fclose_ex: Trying to close file C:\Windows\system32\config\system
22:51:35:357 5048 fclose_ex: Trying to close file C:\Windows\system32\config\software
22:51:35:357 5048 UnloadDriverW: NtUnloadDriver error 1
22:51:35:361 5048 KLMD(ARK) unloaded successfully
Edit: Nur um Nachzuprüfen habe ich das ganze nochmal wiederholt, es scheint als wäre er weggeputzt worden: Code:
ATTFilter 23:00:05:384 3144 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
23:00:05:385 3144 ================================================================================
23:00:05:385 3144 SystemInfo:
23:00:05:385 3144 OS Version: 6.1.7600 ServicePack: 0.0
23:00:05:385 3144 Product type: Workstation
23:00:05:385 3144 ComputerName: LUKAS-PC
23:00:05:387 3144 UserName: Lukas
23:00:05:387 3144 Windows directory: C:\Windows
23:00:05:387 3144 Processor architecture: Intel x86
23:00:05:387 3144 Number of processors: 2
23:00:05:387 3144 Page size: 0x1000
23:00:05:389 3144 Boot type: Normal boot
23:00:05:389 3144 ================================================================================
23:00:05:393 3144 UnloadDriverW: NtUnloadDriver error 2
23:00:05:393 3144 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
23:00:12:096 3144 wfopen_ex: Trying to open file C:\Windows\system32\config\system
23:00:12:096 3144 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
23:00:12:096 3144 wfopen_ex: Trying to KLMD file open
23:00:12:096 3144 wfopen_ex: File opened ok (Flags 2)
23:00:12:146 3144 wfopen_ex: Trying to open file C:\Windows\system32\config\software
23:00:12:146 3144 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
23:00:12:146 3144 wfopen_ex: Trying to KLMD file open
23:00:12:146 3144 wfopen_ex: File opened ok (Flags 2)
23:00:12:164 3144 Initialize success
23:00:12:164 3144
23:00:12:165 3144 Scanning Services ...
23:00:16:666 3144 Raw services enum returned 531 services
23:00:16:682 3144
23:00:16:682 3144 Scanning Kernel memory ...
23:00:16:683 3144 Devices to scan: 2
23:00:16:683 3144
23:00:16:684 3144 Driver Name: USBSTOR
23:00:16:684 3144 IRP_MJ_CREATE : 8698C500
23:00:16:684 3144 IRP_MJ_CREATE_NAMED_PIPE : 83302537
23:00:16:684 3144 IRP_MJ_CLOSE : 8698C500
23:00:16:684 3144 IRP_MJ_READ : 8698C500
23:00:16:684 3144 IRP_MJ_WRITE : 8698C500
23:00:16:684 3144 IRP_MJ_QUERY_INFORMATION : 83302537
23:00:16:684 3144 IRP_MJ_SET_INFORMATION : 83302537
23:00:16:684 3144 IRP_MJ_QUERY_EA : 83302537
23:00:16:684 3144 IRP_MJ_SET_EA : 83302537
23:00:16:684 3144 IRP_MJ_FLUSH_BUFFERS : 83302537
23:00:16:684 3144 IRP_MJ_QUERY_VOLUME_INFORMATION : 83302537
23:00:16:684 3144 IRP_MJ_SET_VOLUME_INFORMATION : 83302537
23:00:16:684 3144 IRP_MJ_DIRECTORY_CONTROL : 83302537
23:00:16:684 3144 IRP_MJ_FILE_SYSTEM_CONTROL : 83302537
23:00:16:684 3144 IRP_MJ_DEVICE_CONTROL : 8698C500
23:00:16:684 3144 IRP_MJ_INTERNAL_DEVICE_CONTROL : 8698C500
23:00:16:684 3144 IRP_MJ_SHUTDOWN : 83302537
23:00:16:684 3144 IRP_MJ_LOCK_CONTROL : 83302537
23:00:16:684 3144 IRP_MJ_CLEANUP : 83302537
23:00:16:684 3144 IRP_MJ_CREATE_MAILSLOT : 83302537
23:00:16:684 3144 IRP_MJ_QUERY_SECURITY : 83302537
23:00:16:684 3144 IRP_MJ_SET_SECURITY : 83302537
23:00:16:684 3144 IRP_MJ_POWER : 8698C500
23:00:16:684 3144 IRP_MJ_SYSTEM_CONTROL : 8698C500
23:00:16:684 3144 IRP_MJ_DEVICE_CHANGE : 83302537
23:00:16:684 3144 IRP_MJ_QUERY_QUOTA : 83302537
23:00:16:684 3144 IRP_MJ_SET_QUOTA : 83302537
23:00:16:729 3144 C:\Windows\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
23:00:16:729 3144
23:00:16:729 3144 Driver Name: atapi
23:00:16:729 3144 IRP_MJ_CREATE : 8A6778C4
23:00:16:729 3144 IRP_MJ_CREATE_NAMED_PIPE : 83302537
23:00:16:729 3144 IRP_MJ_CLOSE : 8A6778C4
23:00:16:729 3144 IRP_MJ_READ : 83302537
23:00:16:729 3144 IRP_MJ_WRITE : 83302537
23:00:16:729 3144 IRP_MJ_QUERY_INFORMATION : 83302537
23:00:16:729 3144 IRP_MJ_SET_INFORMATION : 83302537
23:00:16:729 3144 IRP_MJ_QUERY_EA : 83302537
23:00:16:729 3144 IRP_MJ_SET_EA : 83302537
23:00:16:729 3144 IRP_MJ_FLUSH_BUFFERS : 83302537
23:00:16:729 3144 IRP_MJ_QUERY_VOLUME_INFORMATION : 83302537
23:00:16:729 3144 IRP_MJ_SET_VOLUME_INFORMATION : 83302537
23:00:16:729 3144 IRP_MJ_DIRECTORY_CONTROL : 83302537
23:00:16:729 3144 IRP_MJ_FILE_SYSTEM_CONTROL : 83302537
23:00:16:729 3144 IRP_MJ_DEVICE_CONTROL : 8A66347C
23:00:16:729 3144 IRP_MJ_INTERNAL_DEVICE_CONTROL : 8A66344E
23:00:16:729 3144 IRP_MJ_SHUTDOWN : 83302537
23:00:16:729 3144 IRP_MJ_LOCK_CONTROL : 83302537
23:00:16:729 3144 IRP_MJ_CLEANUP : 83302537
23:00:16:729 3144 IRP_MJ_CREATE_MAILSLOT : 83302537
23:00:16:729 3144 IRP_MJ_QUERY_SECURITY : 83302537
23:00:16:729 3144 IRP_MJ_SET_SECURITY : 83302537
23:00:16:729 3144 IRP_MJ_POWER : 8A6634AA
23:00:16:729 3144 IRP_MJ_SYSTEM_CONTROL : 8A672DB2
23:00:16:729 3144 IRP_MJ_DEVICE_CHANGE : 83302537
23:00:16:730 3144 IRP_MJ_QUERY_QUOTA : 83302537
23:00:16:730 3144 IRP_MJ_SET_QUOTA : 83302537
23:00:16:737 3144 C:\Windows\system32\drivers\atapi.sys - Verdict: 1
23:00:16:737 3144
23:00:16:738 3144 Completed
23:00:16:739 3144
23:00:16:739 3144 Results:
23:00:16:740 3144 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
23:00:16:741 3144 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
23:00:16:742 3144 File objects infected / cured / cured on reboot: 0 / 0 / 0
23:00:16:743 3144
23:00:16:743 3144 fclose_ex: Trying to close file C:\Windows\system32\config\system
23:00:16:745 3144 fclose_ex: Trying to close file C:\Windows\system32\config\software
23:00:16:748 3144 KLMD(ARK) unloaded successfully
|
|
10.04.2010, 22:23
| #6 |
| | Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE Hi, sicherheitshalber noch mal MAM updaten und von der Line lassen (Fullscan), für den Fall, dass sich unter der Tarnkappe des Rootkits noch was verborgen hat.. (ist aber eher unwahrscheinlich)... chris
__________________ --> Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE |
|
| Themen zu Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE |
| 0 bytes, antivir, antivir guard, avira, bho, bildschirm, controlset002, desktop, firefox, gefunden.., google, grauer bildschirm, helper, hijack, hijackthis, hijackthis log, internet, keine viren, launch, local\temp, locker, mozilla, mozilla thunderbird, notification, ntdll.dll, plug-in, problem, prozess, scan, software, studio, suchmaschine, system, taskmanager, temp ordner, usb, usbport.sys, viren, virus, visual studio, werbung, windows |
Linear-Darstellung
