| |
| |||||||
Log-Analyse und Auswertung: AV findet ftpsteal[1], frame[1] in ordner content.ie5. Lassen sich nicht entfernen!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
21.04.2010, 23:15
| #1 |
 | ![AV findet ftpsteal[1], frame[1] in ordner content.ie5. Lassen sich nicht entfernen! - Standard](images/icons/icon1.gif){kind=icon} AV findet ftpsteal[1], frame[1] in ordner content.ie5. Lassen sich nicht entfernen! Puhh.... hat ne Weile gedauert. Vor allem "gmer".... Hab das durchlaufen lassen, dann malwarebytes (inkl. Entfernung) und dann superantispyware (auch hier entfernt)... Auf jeden Fall taucht jetzt schon mal keine Warnung von Antivir mehr auf!!!  Hier die logs: GMER: GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-04-21 21:30:49 Windows 5.1.2600 Service Pack 3 Running: lkox0qhb.exe; Driver: E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ugtdypow.sys ---- System - GMER 1.0.15 ---- SSDT BA72937E ZwCreateKey SSDT BA729374 ZwCreateThread SSDT BA729383 ZwDeleteKey SSDT BA72938D ZwDeleteValueKey SSDT BA729392 ZwLoadKey SSDT BA729360 ZwOpenProcess SSDT BA729365 ZwOpenThread SSDT BA72939C ZwReplaceKey SSDT BA729397 ZwRestoreKey SSDT BA729388 ZwSetValueKey SSDT BA72936F ZwTerminateProcess INT 0x06 \??\E:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A592916D INT 0x0E \??\E:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A5928FC2 ---- Kernel code sections - GMER 1.0.15 ---- .text E:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB5433000, 0x22F0B7, 0xE8000020] .text E:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xA56DF400, 0x87EE2, 0xE8000020] .protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA5783620] E:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA5783620] .protectÿÿÿÿhardlockunknown last code section [0xA5783400, 0x5126, 0xE0000020] E:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xA5783400, 0x5126, 0xE0000020] ---- User code sections - GMER 1.0.15 ---- .text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF301 E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 44671E3F E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671DC0 E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671E04 E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 44671D4C E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 44671D86 E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 44671E7A E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016EE E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Files - GMER 1.0.15 ---- File E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@twitter[2].txt 519 bytes File E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@madpennystocks[1].txt 370 bytes ---- EOF - GMER 1.0.15 ---- MALWAREBYTES: Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 3999 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.2180 21.04.2010 23:33:52 mbam-log-2010-04-21 (23-33-52).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 246239 Laufzeit: 42 Minute(n), 35 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: E:\WINDOWS\system32\msxsltsso.dll (Trojan.GootKit) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\gootkitsso (Trojan.GootKit) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: E:\WINDOWS\system32\msxsltsso.dll (Trojan.GootKit) -> Delete on reboot. E:\Qoobox\Quarantine\E\WINDOWS\system32\msxsltsso.dll.vir (Trojan.GootKit) -> Quarantined and deleted successfully. E:\winlogon.bad (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. ... und SUPERANTISPYWARE: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 04/22/2010 at 00:07 AM Application Version : 4.35.1002 Core Rules Database Version : 4835 Trace Rules Database Version: 2647 Scan type : Complete Scan Total Scan Time : 00:24:38 Memory items scanned : 409 Memory threats detected : 0 Registry items scanned : 7754 Registry threats detected : 0 File items scanned : 16630 File threats detected : 10 Adware.Tracking Cookie E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@list[1].txt E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@yadro[2].txt E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@in.getclicky[2].txt E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@rambler[2].txt E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@in.getclicky[1].txt E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@yadro[1].txt E:\Dokumente und Einstellungen\LocalService\Cookies\system@atdmt[1].txt E:\Dokumente und Einstellungen\LocalService\Cookies\system@msnaccountservices.112.2o7[1].txt E:\WINDOWS\system32\config\systemprofile\Cookies\system@in.getclicky[1].txt E:\WINDOWS\system32\config\systemprofile\Cookies\system@doubleclick[1].txt Bin gespannt, was Du dazu sagst... |
|
| Themen zu AV findet ftpsteal[1], frame[1] in ordner content.ie5. Lassen sich nicht entfernen! |
| 32-bit, ad-aware, adobe, antivir, antivir guard, avg, avira, bonjour, content.ie5, desktop, entfernen, firefox, frame, ftpsteal, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, magix, microsoft security, mozilla, rundll, security, security update, software, suchlauf, system, temp, viren, warnung, windows, windows xp |
![AV findet ftpsteal[1], frame[1] in ordner content.ie5. Lassen sich nicht entfernen!](iconimages/log-analyse-auswertung/av-findet-ftpsteal-1-frame-1-ordner-content-ie5-lassen-entfernen_ltr.gif)
Hybrid-Darstellung
