| |
| |||||||
Log-Analyse und Auswertung: IE-Explorer öffnet Werbefenster, Suche nach Windows Update ist gesperrtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.07.2010, 07:48
| #1 |
| |  IE-Explorer öffnet Werbefenster, Suche nach Windows Update ist gesperrt Liebe Fachleute, mein PC ist offenbar verseucht. Als ich auf einer Webshop-Seite war, alarmierte mich AVG und behauptete, alles abgeblockt zu haben. Hier die Funde von AVG: Code:
ATTFilter Residenten Schutz
Infektion;"Objekt";"Ergebnis";"Erkennungszeit";"Objekttyp";"Vorgang"
Trojaner: Downloader.Generic9.CHAU;"c:\System Volume Information\_restore{9AA07485-C5C2-44AD-B51D-AE99BEDF596B}\RP752\A0170016.dll";"Objekt ist nicht verfügbar.";"09.07.2010, 19:50:44";"Datei";"C:\WINDOWS\Explorer.EXE"
Trojaner: Downloader.Generic9.CHAU;"c:\System Volume Information\_restore{9AA07485-C5C2-44AD-B51D-AE99BEDF596B}\RP752\A0170016.dll";"In Virenquarantäne verschoben";"09.07.2010, 19:21:37";"Datei";"C:\Programme\Spyware Doctor\pctsSvc.exe"
Virus gefunden: JS/Agent;"c:\Dokumente und Einstellungen\Lutz P\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TTM06Z0B\s_commerce[1].js";"Objekt ist nicht verfügbar.";"07.07.2010, 17:15:12";"Datei";"C:\WINDOWS\Explorer.EXE"
Virus gefunden: JS/Agent;"c:\Dokumente und Einstellungen\Lutz P\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TTM06Z0B\s_commerce[1].js";"In Virenquarantäne verschoben";"07.07.2010, 17:14:36";"Datei";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojaner: Cryptic.AHC;"c:\System Volume Information\_restore{9AA07485-C5C2-44AD-B51D-AE99BEDF596B}\RP729\A0154124.exe";"In Virenquarantäne verschoben";"05.07.2010, 22:12:48";"Datei";"C:\Programme\Lavasoft\Ad-Aware\AAWService.exe"
Code:
ATTFilter "C:\RECYCLER\S-1-5-21-329068152-1960408961-839522115-1003\Dc7.dll";"Trojaner: Downloader.Generic9.CHAU";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\7fc10cf1-4b355ea6:\sunos\Globales.class";"Trojaner: Java/Obfuscated.C";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\7fc10cf1-4b355ea6";"Trojaner: Java/Obfuscated.C";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\Lutz P\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\5203bee5-3b003c13:\quote\Twitters.class";"Trojaner: Java/Downloader.V";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\Lutz P\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\5203bee5-3b003c13:\quote\Skypeqd.class";"Trojaner: Java/Downloader.W";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\Lutz P\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\5203bee5-3b003c13:\quote\Mailvue.class";"Virus identifiziert: Exploit.Java";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\Lutz P\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\5203bee5-3b003c13";"Virus identifiziert: Exploit.Java";"In Virenquarantäne verschoben"
Ich habe daraufhin so ziemlich alles an Virenprogrammen und AntiSpyware versucht, was zu finden war. Jedes Programm hat was anderes gefunden - und angeblich auch beseitigt. Irgendeines dieser Programme hat dann den Winlogon-Eintrag der Registry gelöscht, woraufhin ich eine ganze Weile brauchte, um den Rechner überhaupt wieder zum Leben zu erwecken. Nach Durchlesen und Ausführen Eurer Empfehlungen (CCleaner, malwarebytes usw.) wurden weitere Infizierungen entdeckt und behoben. Trotzdem bleibt das Problem. Malwarebytes fand Folgendes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4305
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12.07.2010 18:15:18
mbam-log-2010-07-12 (18-15-18).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 151921
Laufzeit: 5 Minute(n), 19 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\Lutz P\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
Das Log von GMER: GMER Logfile: GMER Logfile: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-07-16 07:33:56
Windows 5.1.2600 Service Pack 3
Running: 784urpqy.exe; Driver: C:\Temp\pgtdapow.sys
---- System - GMER 1.0.15 ----
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwCreateKey [0xF7844A1C]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xF7859CDC]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xF7859ECE]
SSDT BA292214 ZwCreateThread
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteKey [0xF7844C10]
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteValueKey [0xF7844CB6]
SSDT BA292232 ZwLoadKey
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwOpenKey [0xF784490C]
SSDT BA292200 ZwOpenProcess
SSDT BA292205 ZwOpenThread
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xF7879D30]
SSDT BA29223C ZwReplaceKey
SSDT BA292237 ZwRestoreKey
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwSetValueKey [0xF7844E52]
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwTerminateProcess [0xF7846B30]
---- Kernel code sections - GMER 1.0.15 ----
.rsrc C:\WINDOWS\system32\DRIVERS\ipsec.sys entry point in ".rsrc" section [0xAC64A614]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\svchost.exe[1332] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 01A7000A
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Tcp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Udp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\RawIp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools)
Device -> \Driver\atapi \Device\Harddisk0\DR0 89E7DEC5
---- Services - GMER 1.0.15 ----
Service C:\Programme\Microsoft (*** hidden *** ) [DISABLED] MSSQLSERVER <-- ROOTKIT !!!
Service C:\Programme\Microsoft (*** hidden *** ) [DISABLED] SQLSERVERAGENT <-- ROOTKIT !!!
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\DRIVERS\ipsec.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
--- --- --- --- --- --- Tja, und jetzt (nein: eigentlich schon lange) bin ich mit meinem dürftigen PC-Latein am Ende. Könnt Ihr mir helfen? Ich habe einen anderen Thread in diesem Forum mit fast identischem Problem gesehen, wo Eure tolle Hilfe wohl geklappt hat. Danke und viele Grüße, Lutz Geändert von LutzP (16.07.2010 um 08:19 Uhr) |
| Themen zu IE-Explorer öffnet Werbefenster, Suche nach Windows Update ist gesperrt |
| .dll, ad-aware, antispyware, avg, einstellungen, gesperrt, hijack.homepage, homepage, iexplore.exe, internet, internet explorer, malwarebytes' anti-malware, microsoft, programme, registry, scan, security, software, spyware, suche, svchost.exe, system, udp, virenquarantäne, werbefenster, windows, öffnet |
Baum-Darstellung