| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Datei aus windows/system32/drivers entfernenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
08.07.2010, 21:28
| #1 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Datei aus windows/system32/drivers entfernen Ich seh die Datei auch via OTL. Aber was soll das: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
08.07.2010, 22:39
| #2 | |
 | Datei aus windows/system32/drivers entfernenZitat:
Hier das Log. Code:
ATTFilter ComboFix 10-07-03.06 - sag-ich-nicht 04.07.2010 11:08:45.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.544 [GMT 2:00]
ausgeführt von:: d:\dokumente und einstellungen\sag-ich-nicht\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: d:\dokumente und einstellungen\sag-ich-nicht\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {11638345-E4FC-4BEE-BB73-EC754659C5F6}
FW: Avira FireWall *enabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
FILE ::
"d:\dokumente und einstellungen\LocalService\Anwendungsdaten\qcopjv.dat"
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
d:\dokumente und einstellungen\LocalService\Anwendungsdaten\qcopjv.dat
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-04 bis 2010-07-04 ))))))))))))))))))))))))))))))
.
2010-07-03 22:36 . 2010-06-01 16:39 311296 ----a-w- d:\windows\system32\TubeFinder.exe
2010-07-03 22:36 . 2009-06-19 17:51 9728 ----a-w- d:\windows\system32\PCCLPFR.DLL
2010-07-03 22:36 . 2009-06-19 17:51 141312 ----a-w- d:\windows\system32\MSCMCFR.DLL
2010-07-03 22:36 . 2009-06-19 17:51 119568 ----a-w- d:\windows\system32\VB6FR.DLL
2010-07-03 22:36 . 2010-07-03 22:36 -------- d-----w- d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\FreeFLVConverter
2010-07-03 22:36 . 2010-07-03 22:36 -------- d-----w- d:\programme\Free FLV Converter
2010-07-03 22:36 . 2009-06-19 17:51 32768 ----a-w- d:\windows\system32\CMDLGFR.DLL
2010-06-29 22:26 . 2010-06-30 06:33 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-06-29 22:26 . 2010-06-29 22:28 -------- d-----w- d:\programme\Spybot - Search & Destroy
2010-06-26 15:17 . 2010-06-26 15:17 -------- d-----w- d:\dokumente und einstellungen\LocalService\Anwendungsdaten\Avira
2010-06-26 14:54 . 2010-07-04 09:13 772096 ----a-w- d:\windows\system32\drivers\ymntgf.sys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-04 08:14 . 2010-07-03 21:27 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-07-04 01:10 . 2009-08-02 13:06 -------- d-----w- d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\vlc
2010-07-03 22:31 . 2009-09-30 13:19 -------- d-----w- d:\programme\JDownloader 0.87
2010-06-30 19:17 . 2008-09-03 19:34 -------- d-----w- d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\FileZilla
2010-06-26 13:26 . 2010-01-03 14:11 -------- d-----w- d:\programme\TeamSpeak 3 Client
2010-06-19 20:25 . 2008-07-09 10:03 -------- d-----w- d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\dvdcss
2010-06-07 22:00 . 2008-04-18 15:10 -------- d-----w- d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\uTorrent
2010-05-08 12:10 . 2004-08-04 12:00 75194 ----a-w- d:\windows\system32\perfc007.dat
2010-05-08 12:10 . 2004-08-04 12:00 415800 ----a-w- d:\windows\system32\perfh007.dat
2010-05-06 15:24 . 2010-05-06 15:21 19554 ----a-w- d:\windows\hpoins01.dat
2010-04-05 11:11 . 2010-04-05 11:11 146 ----a-w- d:\dokumente und einstellungen\sag-ich-nicht\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-10-20 05:41 . 2008-07-18 11:06 108336 ----a-w- d:\programme\mswinsck.ocx
2004-08-04 12:00 . 2004-08-04 12:00 16534738 --sh--w- d:\programme\infium.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Timerle"="d:\programme\Timerle\Timerle.exe" [2006-02-19 160899]
"Active Desktop Calendar"="d:\programme\XemiComputers\Active Desktop Calendar\ADC.exe" [2008-03-27 3723264]
"SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 16143872]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2005-12-14 7323648]
"NVRaidService"="d:\windows\system32\nvraidservice.exe" [2005-07-27 126464]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2005-12-14 86016]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-24 282792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
d:\dokumente und einstellungen\sag-ich-nicht\Startmen\Programme\Autostart\
ping.bat [2008-5-6 44]
todo.txt [2010-6-5 169]
WINRISER.lnk - d:\programme\winRISER\WINRISER.EXE [2009-3-25 230400]
d:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Ashampoo Magical Defrag.lnk - d:\programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe [2008-4-19 4112497]
hp psc 1000 series.lnk - d:\programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-9 147456]
hpoddt01.exe.lnk - d:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-9 28672]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"QuickTime Task"="d:\programme\QuickTime\qttask.exe" -atboottime
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\uTorrent\\uTorrent.exe"=
R0 si3112r;Silicon Image SiI 3512 SATARaid Controller;d:\windows\system32\drivers\SI3112r.sys [17.04.2008 21:34 102400]
R0 SiWinAcc;SiWinAcc;d:\windows\system32\drivers\SiWinAcc.sys [17.04.2008 21:34 10368]
R1 Asapi;Asapi;d:\windows\system32\drivers\asapi.sys [09.05.2008 18:10 10240]
R1 avfwot;avfwot;d:\windows\system32\drivers\avfwot.sys [22.03.2009 13:12 102856]
R2 acedrv11;acedrv11;d:\windows\system32\drivers\ACEDRV11.sys [23.01.2008 10:19 501560]
R2 AntiVirFirewallService;Avira Firewall;d:\programme\Avira\AntiVir Desktop\avfwsvc.exe [22.03.2009 13:12 536232]
R2 AntiVirMailService;Avira AntiVir MailGuard;d:\programme\Avira\AntiVir Desktop\avmailc.exe [22.03.2009 13:12 337064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [22.03.2009 13:12 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;d:\programme\Avira\AntiVir Desktop\avwebgrd.exe [22.03.2009 13:12 405672]
R3 avfwim;AvFw Packet Filter Miniport;d:\windows\system32\drivers\avfwim.sys [22.03.2009 13:12 79432]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;d:\windows\system32\drivers\ScreamingBAudio.sys [26.11.2009 1:06 34384]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - ymntgf
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D0024F10-D307-B008-D2D0-EAB0A030D4AA}]
2004-08-04 12:00 16534738 --sh--w- d:\programme\infium.exe
.
Inhalt des "geplante Tasks" Ordners
2010-06-06 d:\windows\Tasks\FRU Task 2003-04-10 00:56ewlett-Packard2003-04-10 00:56p psc 1200 series272A572217594EBCF1CEE215E352B92AD073FDE4273159453.job
- d:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 15:56]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mSearch Bar = d:\programme\Copernic 2000 Pro\Search Bar.htm
uInternet Connection Wizard,ShellNext = hxxp://www.avira.de/premium-aktivierung
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Alles mit FDM herunterladen - file://d:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://d:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://d:\programme\Free Download Manager\dllink.htm
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Search Using Copernic - file://d:\programme\Copernic 2000 Pro\Search Extension.htm
IE: Videos mit FDM herunterladen - file://d:\programme\Free Download Manager\dlfvideo.htm
LSP: d:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\Mozilla\Firefox\Profiles\qmwtpzc4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:blank
FF - component: d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\Mozilla\Firefox\Profiles\qmwtpzc4.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-04 11:12
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ymntgf]
.
Zeit der Fertigstellung: 2010-07-04 11:14:24
ComboFix-quarantined-files.txt 2010-07-04 09:14
ComboFix2.txt 2010-07-04 08:50
Vor Suchlauf: 7 Verzeichnis(se), 70.081.921.024 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 70.067.982.336 Bytes frei
Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - F566256914B062217B2B4F45BFF6BB87
An den genauen Wortlaut kann ich mich nicht mehr erinnern, müsste ich nochmal reproduzieren. Müsste aber sowas wie "Keine Schreibrechte auf dem Datenträger" gewesen sein. Wie immer die das auch formulieren. Habe nie behauptet, dass ich ne besondere Leuchte bin, wollte damit nur erklären, warum ich ComboFix & Co auf eigene Faust schon versucht habe. ymntgf.sys - 754 KB / 26.06.2010.16:55 |
|
| Themen zu Datei aus windows/system32/drivers entfernen |
| antivir, auswertung, avira, behandlung, combofix, entfernen, ergebnis, festplatte, firewall, google, icmp flooding, langsam, linux, live cd, löschen, nicht mehr, port 25, schließen, spam, spybot, unknown boot code, verbindungen, windows\system32\drivers, überprüfung, ymntgf.sys |
Hybrid-Darstellung
