Internet läuft, Browser gehen nicht...

Chris4You · 06.09.2010, 20:47

Hi,

sieht gut aus, muss aber morgen noch mal drüber, da Akku vom notebook leer...

chris

Freshed · 06.09.2010, 20:54

Servus Chris,

danke schon mal für das schnelle Feedback.
Dann bin ich mal auf den hoffentlich abschließenden Bericht gespannt.

Schönen Abend noch

Chris4You · 07.09.2010, 07:17

Hi,

zur Sicherheit noch zwei Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\drivers\cpuz133_x32.sys
C:\WINDOWS\System32\MEMIO.SYS

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Etwas aufräumen:
Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:

ATTFilter

:OTL
DRV - (chdrvr03) -- C:\WINDOWS\System32\DRIVERS\chdrvr03.sys File not found
DRV - (chdrvr02) -- C:\WINDOWS\System32\DRIVERS\chdrvr02.sys File not found
DRV - (chdrvr01) -- C:\WINDOWS\System32\DRIVERS\chdrvr01.sys File not found
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
:Commands
[emptytemp]
[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

chris

Freshed · 07.09.2010, 18:38

Servus Chris,

also hier die Scans/Logs:

CPUZ:

Zitat:

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
cpuz133_x32.sys
Submission date:
2010-09-07 17:07:28 (UTC)
Current status:
queued queued analysing finished
Result:
0/ 43 (0.0%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.09.07.01 2010.09.07 -
AntiVir 8.2.4.50 2010.09.07 -
Antiy-AVL 2.0.3.7 2010.09.07 -
Authentium 5.2.0.5 2010.09.07 -
Avast 4.8.1351.0 2010.09.07 -
Avast5 5.0.594.0 2010.09.07 -
AVG 9.0.0.851 2010.09.07 -
BitDefender 7.2 2010.09.07 -
CAT-QuickHeal 11.00 2010.09.07 -
ClamAV 0.96.2.0-git 2010.09.07 -
Comodo 6002 2010.09.07 -
DrWeb 5.0.2.03300 2010.09.07 -
Emsisoft 5.0.0.37 2010.09.07 -
eSafe 7.0.17.0 2010.09.07 -
eTrust-Vet 36.1.7839 2010.09.06 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.07 -
Fortinet 4.1.143.0 2010.09.07 -
GData 21 2010.09.07 -
Ikarus T3.1.1.88.0 2010.09.07 -
Jiangmin 13.0.900 2010.09.07 -
K7AntiVirus 9.63.2463 2010.09.07 -
Kaspersky 7.0.0.125 2010.09.07 -
McAfee 5.400.0.1158 2010.09.07 -
McAfee-GW-Edition 2010.1B 2010.09.07 -
Microsoft 1.6103 2010.09.07 -
NOD32 5432 2010.09.07 -
Norman 6.06.05 2010.09.07 -
nProtect 2010-09-07.02 2010.09.07 -
Panda 10.0.2.7 2010.09.07 -
PCTools 7.0.3.5 2010.09.07 -
Prevx 3.0 2010.09.07 -
Rising 22.64.01.04 2010.09.07 -
Sophos 4.57.0 2010.09.07 -
Sunbelt 6842 2010.09.07 -
SUPERAntiSpyware 4.40.0.1006 2010.09.07 -
Symantec 20101.1.1.7 2010.09.07 -
TheHacker 6.5.2.1.367 2010.09.07 -
TrendMicro 9.120.0.1004 2010.09.07 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.07 -
VBA32 3.12.14.0 2010.09.07 -
ViRobot 2010.8.25.4006 2010.09.07 -
VirusBuster 12.64.21.0 2010.09.07 -
Additional information
Show all
MD5 : 13a0d3f9d5f39adaca0a8d3bb327eb31
SHA1 : 0fd700fee341148661616ecd8af8eca5e9fa60e3
SHA256: c7f64b27cd3be5af1c8454680529ea493dfbb09e634eec7e316445ad73499ae0
ssdeep: 384:hLYGHQSPT3mKRnd4Bz6kYJLWBkFbx6jua:hLYg7VdMzgLvFbxmd
File size : 20968 bytes
First seen: 2010-07-02 20:39:34
Last seen : 2010-09-07 17:07:28
TrID:
Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Windows (R) Win 7 DDK provider
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Windows (R) Win 7 DDK driver
description..: CPUID Driver
original name: cpuz.sys
internal name: cpuz.sys
file version.: 6.1.7600.16385 built by: WinDDK
comments.....: n/a
signers......: CPUID
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 11:38 PM 3/30/2010
verified.....: -
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x603E
timedatestamp....: 0x4BB26F39 (Tue Mar 30 21:38:01 2010)
machinetype......: 0x14c (I386)

[[ 6 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x2040, 0x2200, 6.04, 42feb67ba0c33bf33a829807e805e745
.rdata, 0x4000, 0x2EC, 0x400, 3.56, 01c42071e1aaf650ae4970932ec3621f
.data, 0x5000, 0x1C0, 0x200, 0.20, 8eace0f42ff989c42a1bd953f30db495
INIT, 0x6000, 0x3FC, 0x400, 5.36, 4fa6351efbbc2c77d4d4d49c1e0b2270
.rsrc, 0x7000, 0x3D0, 0x400, 3.29, baec7dd7d34d2405c692b6eac3497aac
.reloc, 0x8000, 0x22E, 0x400, 3.54, b3d7159ad00b1e91ec3b340c44b36495

[[ 2 import(s) ]]
ntoskrnl.exe: ExFreePoolWithTag, ExAllocatePoolWithTag, RtlFreeUnicodeString, ObfDereferenceObject, MmIsAddressValid, IoGetDeviceObjectPointer, RtlAnsiStringToUnicodeString, IofCompleteRequest, MmMapIoSpace, ProbeForWrite, IoCreateSymbolicLink, IoCreateDevice, KeTickCount, KeBugCheckEx, MmUnmapIoSpace, RtlInitUnicodeString, IoDeleteSymbolicLink, IoDeleteDevice, PsGetVersion, KeInitializeEvent, IoBuildDeviceIoControlRequest, IofCallDriver, RtlInitAnsiString, KeWaitForSingleObject, RtlUnwind
HAL.dll: READ_PORT_USHORT, READ_PORT_ULONG, WRITE_PORT_UCHAR, WRITE_PORT_USHORT, WRITE_PORT_ULONG, HalGetBusDataByOffset, HalSetBusDataByOffset, KeStallExecutionProcessor, READ_PORT_UCHAR

VT Community

0

This file has never been reviewed by any VT Community member. Be the first one to comment on it!

VirusTotal Team

MEMIO:

Zitat:

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
MEMIO.SYS
Submission date:
2010-09-07 17:09:46 (UTC)
Current status:
queued (#2) queued analysing finished
Result:
0/ 43 (0.0%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.09.07.01 2010.09.07 -
AntiVir 8.2.4.50 2010.09.07 -
Antiy-AVL 2.0.3.7 2010.09.07 -
Authentium 5.2.0.5 2010.09.07 -
Avast 4.8.1351.0 2010.09.07 -
Avast5 5.0.594.0 2010.09.07 -
AVG 9.0.0.851 2010.09.07 -
BitDefender 7.2 2010.09.07 -
CAT-QuickHeal 11.00 2010.09.07 -
ClamAV 0.96.2.0-git 2010.09.07 -
Comodo 6002 2010.09.07 -
DrWeb 5.0.2.03300 2010.09.07 -
Emsisoft 5.0.0.37 2010.09.07 -
eSafe 7.0.17.0 2010.09.07 -
eTrust-Vet 36.1.7839 2010.09.06 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.07 -
Fortinet 4.1.143.0 2010.09.07 -
GData 21 2010.09.07 -
Ikarus T3.1.1.88.0 2010.09.07 -
Jiangmin 13.0.900 2010.09.07 -
K7AntiVirus 9.63.2463 2010.09.07 -
Kaspersky 7.0.0.125 2010.09.07 -
McAfee 5.400.0.1158 2010.09.07 -
McAfee-GW-Edition 2010.1B 2010.09.07 -
Microsoft 1.6103 2010.09.07 -
NOD32 5432 2010.09.07 -
Norman 6.06.05 2010.09.07 -
nProtect 2010-09-07.02 2010.09.07 -
Panda 10.0.2.7 2010.09.07 -
PCTools 7.0.3.5 2010.09.07 -
Prevx 3.0 2010.09.07 -
Rising 22.64.01.04 2010.09.07 -
Sophos 4.57.0 2010.09.07 -
Sunbelt 6842 2010.09.07 -
SUPERAntiSpyware 4.40.0.1006 2010.09.07 -
Symantec 20101.1.1.7 2010.09.07 -
TheHacker 6.5.2.1.367 2010.09.07 -
TrendMicro 9.120.0.1004 2010.09.07 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.07 -
VBA32 3.12.14.0 2010.09.07 -
ViRobot 2010.8.25.4006 2010.09.07 -
VirusBuster 12.64.21.0 2010.09.07 -
Additional information
Show all
MD5 : 8a4cb9438571814b128b6dc30d698064
SHA1 : d62d435a5d9b799e36d05fc32237397602b3dd8c
SHA256: 2ce7dc464723c427c88e6ffb086330719dfe57f9ef0fe31ae9e0d8d0c910c388
ssdeep: 96:10rzOx7yxqQvQlwSBEhE9v1eNbsh+8i1T:Wrz87yxq/5EiA/BT
File size : 4300 bytes
First seen: 2008-02-24 12:29:21
Last seen : 2010-09-07 17:09:46
TrID:
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x536
timedatestamp....: 0x39A3F999 (Wed Aug 23 16:19:37 2000)
machinetype......: 0x14c (I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x260, 0x3D4, 0x3E0, 5.56, cff4fa2b6a2447cdaafb75c219574d08
INIT, 0x640, 0x1C8, 0x1E0, 4.69, f74ffb39ec6562bc6e4dd88d6efb84a0
.reloc, 0x820, 0x62, 0x80, 2.84, 83b34193848d7c2bab1ad0d9fee784a4

[[ 2 import(s) ]]
ntoskrnl.exe: RtlInitUnicodeString, IoCreateDevice, IoCreateSymbolicLink, IofCompleteRequest, IoDeleteDevice, MmUnmapIoSpace, IoDeleteSymbolicLink, MmMapIoSpace
HAL.dll: READ_PORT_UCHAR, READ_PORT_ULONG, WRITE_PORT_USHORT, HalTranslateBusAddress, READ_PORT_USHORT, WRITE_PORT_UCHAR, WRITE_PORT_ULONG

VT Community

0

This file has never been reviewed by any VT Community member. Be the first one to comment on it!

VirusTotal Team

OST-Log:

Zitat:

All processes killed
========== OTL ==========
Service chdrvr03 stopped successfully!
Service chdrvr03 deleted successfully!
File C:\WINDOWS\System32\DRIVERS\chdrvr03.sys File not found not found.
Service chdrvr02 stopped successfully!
Service chdrvr02 deleted successfully!
File C:\WINDOWS\System32\DRIVERS\chdrvr02.sys File not found not found.
Service chdrvr01 stopped successfully!
Service chdrvr01 deleted successfully!
File C:\WINDOWS\System32\DRIVERS\chdrvr01.sys File not found not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C55BBCD6-41AD-48AD-9953-3609C48EACC7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C55BBCD6-41AD-48AD-9953-3609C48EACC7}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Captain Widera
->Temp folder emptied: 2087870 bytes
->Temporary Internet Files folder emptied: 9286444 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 33260157 bytes
->Google Chrome cache emptied: 50814986 bytes
->Flash cache emptied: 3184 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 5048252 bytes

User: NetworkService
->Temp folder emptied: 49632 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2676103 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 86001 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 101,00 mb

OTL by OldTimer - Version 3.2.11.0 log created on 09072010_192203

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

So, was sagt der Fachmann dazu?

Und was hab ich da eigentlich grad gefixt?

Chris4You · 07.09.2010, 18:56

Hi,

Treiber die "unsichtbar sind"... was immer etwas "seltsam" ist...

Zitat:

Service chdrvr03 stopped successfully!
Service chdrvr03 deleted successfully!
File C:\WINDOWS\System32\DRIVERS\chdrvr03.sys [b]File not found]/b] not found.
...

Was macht der Rechner so?

chris

Freshed · 07.09.2010, 19:19

Servus,

aso, unsichtbare Treiber... also eigentlich auch unnötige???

Der Laptop läuft wieder recht geschmeidig.
Heute keine Macken festgestellt...

Ist ja eigentlich n gutes Zeichen, oder?

Chris4You · 08.09.2010, 06:36

Hi,

so, zum Abschluß noch SUPERAntiSpyware und die Systemwiederherstellung plätten...

Superantispyware:
Anleitung&Download hier: http://www.trojaner-board.de/51871-a...tispyware.html

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris

Internet läuft, Browser gehen nicht...

Log-Analyse und Auswertung: Internet läuft, Browser gehen nicht...