| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: nach Virus Desktop schwarzWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
11.09.2010, 21:07
| #16 |
 |  nach Virus Desktop schwarz und hier von malwarebyte: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4595 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 11.09.2010 22:06:26 mbam-log-2010-09-11 (22-06-26).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 318162 Laufzeit: 1 Stunde(n), 5 Minute(n), 16 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 10 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\wnxmal (Rogue.SecuritySuite) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\a5x3tq (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\Franzi\AppData\Local\cnuygikyr\nllsimquqiw.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully. C:\Users\Franzi\AppData\Local\eaaygqwhe\ndwaajnuqiw.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully. C:\Users\Franzi\AppData\Local\Temp\BC5D.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully. C:\Users\Franzi\AppData\Local\Temp\cxysr.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully. C:\Users\Franzi\AppData\Local\Temp\BBA2.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully. C:\Users\Franzi\AppData\Local\Temp\BBF0.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully. C:\Users\Franzi\AppData\Local\Temp\sxcfgslr.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully. C:\Users\Franzi\AppData\Roaming\eaaygqwhe\ndwaajnuqiw.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully. C:\Windows\System32\drivers\ovfmoi.sys (Rootkit.Agent) -> Quarantined and deleted successfully. C:\Users\Franzi\AppData\Roaming\ohydy.exe (Worm.Palevo) -> Quarantined and deleted successfully. |
|
11.09.2010, 21:14
| #17 |
| /// Malware-holic   | nach Virus Desktop schwarz ok, mach mal n neustart und nen Malwarebytes quick scan, log posten, und sag mir mal ob dein desktop wieder richtig is
__________________ |
|
12.09.2010, 07:55
| #18 |
| | nach Virus Desktop schwarz Guten Morgen,
__________________Quickscan erledigt. Hier daslogfile: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4595 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 12.09.2010 08:53:25 mbam-log-2010-09-12 (08-53-25).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 138690 Laufzeit: 8 Minute(n), 10 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Windows\system32\Drivers\ovfmoi.sys (Rootkit.Agent) -> Quarantined and deleted successfully. Bildschirm ist allerdings immer noch schwarz wie die Nacht.... Woran könnte das denn liegen? |
|
12.09.2010, 09:03
| #19 |
| | nach Virus Desktop schwarz Also die letzte infizierte Datei: "C:\Windows\system32\Drivers\ovfmoi.sys (Rootkit.Agent) -> Quarantined and deleted successfully." ist irgendwie nicht gelöscht wurden. Ich habe es jetzt noch zweimal gescannt und nach jedem neustart findet er das selbe Problem wieder. Ich habe es schon von Hand versucht. Ich lösche die Datei, sie verschwindet und zwei sekunden später ist sie wieder da...  |
|
12.09.2010, 10:26
| #20 |
| /// Malware-holic | nach Virus Desktop schwarz immer mit der ruhe download den avenger: Avenger führe ihn wie beschrieben aus, unter windows 7 mit rechtsklick, als admin starten. füge das folgende script ein. Drivers to disable: ovfmoi Drivers to delete: ovfmoi files to delete: C:\Windows\system32\Drivers\ovfmoi.sys Führe das script wie beschrieben aus, der pc sollte neu starten und das log des avenger sollte geöffnet werden. poste dessen inhalt. |
|
12.09.2010, 10:58
| #21 |
| | nach Virus Desktop schwarz So hier das logfile von Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "ovfmoi" disabled successfully. Driver "ovfmoi" deleted successfully. File "C:\Windows\system32\Drivers\ovfmoi.sys" deleted successfully. Completed script processing. ******************* Finished! Terminate. Habe vorhin noch mit GMER einen Scan gemacht, da hats das Logfile gegeben: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-12 11:36:29
Windows 6.1.7600
Running: s26i6f9e.exe; Driver: C:\Users\Franzi\AppData\Local\Temp\pgryipog.sys
---- System - GMER 1.0.15 ----
SSDT 9150D83C ZwCreateThread
SSDT 9150D828 ZwOpenProcess
SSDT 9150D82D ZwOpenThread
SSDT 9150D837 ZwTerminateProcess
INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83247AF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83247104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832473F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832302D8
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8322F898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832471DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83247958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832476F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83247F2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832481A8
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82E60599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82E84F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!RtlSidHashLookup + 34C 82E8C85C 4 Bytes [3C, D8, 50, 91] {CMP AL, 0xd8; PUSH EAX; XCHG ECX, EAX}
.text ntkrnlpa.exe!RtlSidHashLookup + 4E8 82E8C9F8 4 Bytes [28, D8, 50, 91] {SUB AL, BL; PUSH EAX; XCHG ECX, EAX}
.text ntkrnlpa.exe!RtlSidHashLookup + 508 82E8CA18 4 Bytes [2D, D8, 50, 91]
.text ntkrnlpa.exe!RtlSidHashLookup + 7B8 82E8CCC8 4 Bytes [37, D8, 50, 91] {AAA ; FCOM DWORD [EAX-0x6f]}
? System32\drivers\mnweaqh.sys Das System kann den angegebenen Pfad nicht finden. !
? System32\drivers\jarh.sys Das System kann den angegebenen Pfad nicht finden. !
? System32\Drivers\ovfmoi.sys Ein an das System angeschlossenes Gerät funktioniert nicht. !
.reloc C:\Windows\system32\drivers\acedrv11.sys section is executable [0xAEE36300, 0x25D4C, 0xE0000060]
.text peauth.sys AEE73C9D 28 Bytes [C4, A0, BD, 73, ED, CF, 3B, ...]
.text peauth.sys AEE73CC1 28 Bytes [C4, A0, BD, 73, ED, CF, 3B, ...]
PAGE peauth.sys AEE79B9B 72 Bytes [09, B5, 0D, 40, DC, 7B, AE, ...]
PAGE peauth.sys AEE79BEC 111 Bytes [D9, 58, C4, 78, F1, C5, 78, ...]
PAGE peauth.sys AEE79E20 101 Bytes [C9, 6B, 38, 53, 06, EB, FF, ...]
PAGE ...
---- User code sections - GMER 1.0.15 ----
.text C:\Windows\system32\svchost.exe[1140] ntdll.dll!DbgBreakPoint 76EA3574 1 Byte [C3]
.text C:\Windows\system32\svchost.exe[1140] ntdll.dll!NtProtectVirtualMemory 76EB5380 5 Bytes JMP 0041000A
.text C:\Windows\system32\svchost.exe[1140] ntdll.dll!NtWriteVirtualMemory 76EB5F00 5 Bytes JMP 0042000A
.text C:\Windows\system32\svchost.exe[1140] ntdll.dll!KiUserExceptionDispatcher 76EB6448 5 Bytes JMP 0040000A
.text C:\Windows\system32\svchost.exe[1140] ole32.dll!CoCreateInstance 756457FC 5 Bytes JMP 004C000A
.text C:\Windows\system32\svchost.exe[1140] USER32.dll!GetCursorPos 7542C198 5 Bytes JMP 00E9000A
? C:\Windows\System32\svchost.exe[2636] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: OLEAUT32.dll
.text C:\Windows\system32\taskmgr.exe[2880] ntdll.dll!DbgBreakPoint 76EA3574 1 Byte [C3]
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__wgetmainargs] 01A6B6E9
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_exit] 5409E800
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_XcptFilter] 68500000
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!exit] 0F6DEAD8
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_initterm] 00113EE8
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_amsg_exit] F8BD8D00
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__setusermatherr] E81394A3
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!memcpy] 00000C58
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_controlfp] 59756668
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_except_handler4_common] 04C76661
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!?terminate@@YAXXZ] 838FFE24
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__set_app_type] 66F9FFC6
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__p__fmode] 0CE1BA0F
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__p__commode] 85C330F5
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_cexit] 12CEE9FE
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 00458F24
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!CloseHandle] 042444C6
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 8D9C9C92
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetProcAddress] E9302464
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetLastError] 000053DA
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 005BE7E9
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 514EE900
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LoadLibraryExA] 35E90000
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!InterlockedExchange] 9C0001AD
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!Sleep] 892434FF
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] 6604247C
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetModuleHandleA] 0C89CF0F
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] A0B98D24
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetTickCount] F7B8C753
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 24BC8DD7
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] BA86FAAB
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!DeactivateActCtx] BA0F669C
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 879C0AFF
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ActivateActCtx] 0F66242C
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 5304E5BA
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegCloseKey] 8DC7D366
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegOpenKeyExW] 5F73E52C
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!HeapSetInformation] CFD3E1F2
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] FF896652
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrlenW] 35FF6056
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LCMapStringW] [004011C5] C:\Windows\System32\svchost.exe (Hostprozess für Windows-Dienste/Microsoft Corporation)
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegQueryValueExW] 1C24448F
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ReleaseActCtx] 005638E9
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!CreateActCtxW] F6F5F800
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] C4F766D2
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] ED831B48
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ExitProcess] FCEC8302
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetProcessAffinityUpdateMode] 54A0800F
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegDisablePredefinedCacheEx] D0200000
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 81E85024
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 9C00000D
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObjectEx] 2824448F
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LocalFree] 2474FF50
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!HeapFree] 00458F2C
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 2489669C
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] E8000053
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 0000510A
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] C450E9D5
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 74FF0001
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlCopySid] 458F0424
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 60579C00
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlInitializeCriticalSection] 24648D9C
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSetProcessIsCritical] 5318E934
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 8B660000
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 56B1E900
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventWrite] 7E270000
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventEnabled] C421E9B1
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventRegister] C3300001
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 005A4AE9
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] D6F7C5D3
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 00090AE8
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 242C8700
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] EAB60F66
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 4AE8F960
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] D0000014
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 89DC88E0
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 83D084E8
IAT C:\Windows\System32\svchost.exe[2636] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerListen] E99C02ED
IAT C:\Windows\System32\rundll32.exe[3488] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [74F15E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[3488] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [74F15E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[3488] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [74F15E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[3488] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [74F15E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[3488] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [74F15E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[3488] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [74F15E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8680E0A0
Device \Driver\ACPI_HAL \Device\00000051 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume6 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume7 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume8 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
Device -> \Driver\atapi \Device\Harddisk0\DR0 86666EC5
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\ovfmoi@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\services\ovfmoi@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\services\ovfmoi@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\services\ovfmoi@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\services\ovfmoi@Type 1
Reg HKLM\SYSTEM\ControlSet002\services\ovfmoi@Start 0
Reg HKLM\SYSTEM\ControlSet002\services\ovfmoi@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\services\ovfmoi@Group Boot Bus Extender
---- Files - GMER 1.0.15 ----
File C:\Windows\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Nach Neustart ist der Bildschirm immer noch schwarz, aber die Datei ist weg. In dem Logfile von GMER ist diese datei auch zu sehen, aber daneben auch noch zwei andere aus dem selben Ordner. Könnten das auch solche Dateien sein? |
|
12.09.2010, 11:00
| #22 |
| /// Malware-holic | nach Virus Desktop schwarz bitte mache nur die von mir genannten scans. jetzt versuch combofix, programm sollte laufen jetzt. poste das log. |
|
12.09.2010, 11:42
| #23 |
| | nach Virus Desktop schwarz combofix funktionert. hat auch gescannt, jetzt hängt er aber schon seit mind. 20 min bei folgender mitteilung: System file is infected!! Attempting to restore C:\windows\System32\wininit.exe Ist es normal, dass es solange braucht? |
|
12.09.2010, 11:49
| #24 |
| | nach Virus Desktop schwarz oh schon gut... jetzt kams dann endlich. und hier ist das logfile: Combofix Logfile: Code:
ATTFilter ComboFix 10-09-11.01 - Franzi 12.09.2010 12:05:29.1.4 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1031.18.3549.2503 [GMT 2:00]
ausgeführt von:: F:\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\cleanup.exe
C:\zip.exe
c:\windows\System32\wininit.exe . . . ist infiziert!!
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-12 bis 2010-09-12 ))))))))))))))))))))))))))))))
.
2010-09-12 10:42 . 2010-09-12 10:42 -------- d-----w- c:\users\Franzi\AppData\Local\temp
2010-09-11 17:59 . 2009-08-04 15:48 2744800 ----a-w- c:\windows\system32\drivers\RTKVHDA.sys
2010-09-11 17:59 . 2009-08-04 15:17 1265696 ----a-w- c:\windows\system32\RtkPgExt.dll
2010-09-11 17:59 . 2009-08-04 15:17 326176 ----a-w- c:\windows\system32\RtkApoApi.dll
2010-09-11 17:59 . 2009-08-04 15:17 2898464 ----a-w- c:\windows\system32\RtkAPO.dll
2010-09-11 17:59 . 2009-07-21 20:01 266240 ----a-w- c:\windows\system32\FMAPO.dll
2010-09-11 17:59 . 2009-04-16 08:14 142848 ----a-w- c:\windows\system32\AERTACap.dll
2010-09-11 17:59 . 2009-03-31 12:07 125952 ----a-w- c:\windows\system32\AERTARen.dll
2010-09-11 17:59 . 2009-03-09 03:32 290304 ----a-w- c:\windows\system32\RP3DHT32.dll
2010-09-11 17:59 . 2009-03-09 03:30 290304 ----a-w- c:\windows\system32\RP3DAA32.dll
2010-09-11 10:24 . 2010-09-11 10:24 729600 ----a-w- c:\windows\system32\dlo5ACE.dll
2010-09-11 09:00 . 2010-09-11 09:00 -------- d-----w- c:\users\Franzi\AppData\Roaming\Malwarebytes
2010-09-11 08:59 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-11 08:59 . 2010-09-11 08:59 -------- d-----w- c:\programdata\Malwarebytes
2010-09-11 08:59 . 2010-09-11 08:59 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-11 08:59 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-11 08:52 . 2010-09-11 08:52 -------- d-----w- c:\program files\CCleaner
2010-09-11 08:17 . 2010-09-11 20:06 -------- d-----w- c:\users\Franzi\AppData\Local\cnuygikyr
2010-09-11 08:17 . 2010-09-11 20:06 -------- d-----w- c:\users\Franzi\AppData\Roaming\eaaygqwhe
2010-09-11 08:17 . 2010-09-11 20:06 -------- d-----w- c:\users\Franzi\AppData\Local\eaaygqwhe
2010-08-29 11:11 . 2010-08-30 16:07 -------- d-----w- c:\program files\uTorrent
2010-08-29 11:11 . 2010-09-11 17:43 -------- d-----w- c:\program files\softonic-de3
2010-08-29 11:11 . 2010-08-29 11:11 -------- d-----w- c:\program files\Conduit
2010-08-29 11:11 . 2010-09-11 08:21 -------- d-----w- c:\users\Franzi\AppData\Roaming\uTorrent
2010-08-29 10:34 . 2010-08-29 10:34 -------- d-----w- c:\windows\Sun
2010-08-24 17:16 . 2010-04-07 07:10 571904 ----a-w- c:\windows\system32\oleaut32.dll
2010-08-22 16:07 . 2010-08-22 16:07 -------- d-----w- c:\users\Franzi\AppData\Roaming\vlc
2010-08-22 16:05 . 2010-08-22 16:05 -------- d-----w- c:\program files\VideoLAN
2010-08-22 08:28 . 2010-08-22 08:28 -------- d-----w- c:\users\Franzi\AppData\Roaming\TSR
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-12 10:42 . 2010-05-04 15:03 -------- d-----w- c:\program files\Common Files\Akamai
2010-09-12 10:08 . 2009-07-14 08:47 669780 ----a-w- c:\windows\system32\perfh007.dat
2010-09-12 10:08 . 2009-07-14 08:47 136208 ----a-w- c:\windows\system32\perfc007.dat
2010-09-12 09:50 . 2010-09-12 09:50 574 ----a-w- C:\cleanup.bat
2010-09-12 09:50 . 2010-09-12 09:50 0 ----a-w- C:\backup.reg
2010-09-11 20:14 . 2009-06-29 15:27 -------- d--h--w- c:\program files\Temp
2010-09-11 10:24 . 2010-09-11 10:24 0 ----a-w- c:\windows\system32\dlo5ACE.tmp
2010-09-11 08:17 . 2010-07-20 20:01 -------- d-----w- c:\users\Franzi\AppData\Roaming\C2EC17786274D80DF27A2E69F8A4852F
2010-09-10 13:29 . 2010-01-20 13:43 -------- d-----w- c:\users\Franzi\AppData\Roaming\UseNeXT
2010-09-10 12:03 . 2010-02-12 14:38 -------- d-----w- c:\program files\Electronic Arts
2010-09-10 12:03 . 2009-06-29 15:27 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-08-22 07:48 . 2010-02-18 19:03 -------- d-----w- c:\program files\The Sims Resource
2010-08-21 07:04 . 2010-01-20 13:43 -------- d-----w- c:\program files\UseNeXT
2010-08-17 18:39 . 2010-02-12 21:49 -------- d-----w- c:\program files\Common Files\Adobe AIR
2010-08-17 18:38 . 2010-02-12 21:49 53632 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-08-15 01:03 . 2010-01-20 12:47 -------- d-----w- c:\program files\Microsoft Works
2010-08-15 01:02 . 2010-01-20 14:10 -------- d-----w- c:\programdata\Microsoft Help
2010-07-29 06:30 . 2010-08-14 05:10 197632 ----a-w- c:\windows\system32\ir32_32.dll
2010-07-29 06:30 . 2010-08-14 05:10 82944 ----a-w- c:\windows\system32\iccvid.dll
2010-07-23 13:42 . 2010-01-24 09:09 -------- d-----w- c:\program files\Common Files\Adobe
2010-07-20 05:56 . 2010-01-20 14:32 -------- d-----w- c:\users\Franzi\AppData\Roaming\Skype
2010-07-20 05:49 . 2010-07-20 05:49 -------- d-----w- c:\program files\Common Files\Skype
2010-07-20 05:12 . 2010-01-20 14:35 -------- d-----w- c:\users\Franzi\AppData\Roaming\skypePM
2010-07-18 07:28 . 2010-03-31 14:59 -------- d-----w- c:\users\Franzi\AppData\Roaming\MudTV
2010-07-17 06:38 . 2010-07-17 06:42 53632 ----a-w- c:\users\Franzi\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-06-30 06:25 . 2010-08-14 05:10 978432 ----a-w- c:\windows\system32\wininet.dll
2010-06-22 02:47 . 2010-08-14 05:10 310784 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-22 02:47 . 2010-08-14 05:10 307200 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-06-22 02:47 . 2010-08-14 05:10 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-06-19 06:33 . 2010-08-14 05:10 3955080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-06-19 06:33 . 2010-08-14 05:10 3899784 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-06-19 06:23 . 2010-08-14 05:10 37376 ----a-w- c:\windows\system32\rtutils.dll
2010-06-19 04:07 . 2010-08-14 05:10 2326016 ----a-w- c:\windows\system32\win32k.sys
2010-06-16 05:48 . 2010-08-14 05:10 224256 ----a-w- c:\windows\system32\schannel.dll
2010-06-15 18:01 . 2010-06-15 18:01 72504 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.
------- Sigcheck -------
[-] 2009-07-13 . ADD2ADE1C2B285AB8378D2DAAF991481 . 17920 . . [6.1.7600.16385] . . c:\windows\System32\drivers\asyncmac.sys
[-] 2009-07-13 . 505506526A9D467307B3C393DEDAF858 . 6144 . . [6.1.7600.16385] . . c:\windows\System32\drivers\beep.sys
[-] 2009-07-13 . F9756A98D69098DCA8945D62858A812C . 4608 . . [6.1.7600.16385] . . c:\windows\System32\drivers\null.sys
[-] 2009-07-14 . 598E1280E7FF3744F4B8329366CC5635 . 102400 . . [6.1.7600.16385] . . c:\windows\System32\browser.dll
[-] 2009-07-14 . F42309C4191C506B71DB5D1126D26318 . 22528 . . [6.1.7600.16385] . . c:\windows\System32\lsass.exe
[-] 2009-07-14 . 7CCCFCA7510684768DA22092D1FA4DB2 . 280576 . . [6.1.7600.16385] . . c:\windows\System32\netman.dll
[-] 2009-07-14 . 53F476476F55A27F580661BDE09C4EC4 . 589312 . . [7.5.7600.16385] . . c:\windows\System32\qmgr.dll
[-] 2009-07-14 . B82CD39E336973359D7C9BF911E8E84F . 376320 . . [6.1.7600.16385] . . c:\windows\System32\rpcss.dll
[-] 2009-07-14 . 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 . 259072 . . [6.1.7600.16385] . . c:\windows\System32\services.exe
[-] 2009-07-14 . 49B6DD6AB3715B7A67965F17194E98A9 . 316416 . . [6.1.7600.16385] . . c:\windows\System32\spoolsv.exe
[-] 2009-10-28 . 37CDB7E72EB66BA85A87CBE37E7F03FD . 285696 . . [6.1.7600.16385] . . c:\windows\System32\winlogon.exe
[-] 2009-07-14 . B0DA80FF42A0819D162A86612896AAF2 . 47104 . . [7.3.7600.16385] . . c:\windows\System32\wuauclt.exe
[-] 2009-07-14 . B62AA1BB1F63839051441D2C6DD7B775 . 530432 . . [5.82] . . c:\windows\System32\comctl32.dll
[-] 2009-07-14 . 9C231178CE4FB385F4B54B0A9080B8A4 . 135680 . . [6.1.7600.16385] . . c:\windows\System32\cryptsvc.dll
[-] 2009-07-14 . F6916EFC29D9953D5D0DF06882AE8E16 . 271360 . . [2001.12.8530.16385] . . c:\windows\System32\es.dll
[-] 2009-07-14 . 5DF8132ADF721329234403189FC94E16 . 118272 . . [6.1.7600.16385] . . c:\windows\System32\imm32.dll
[-] 2009-12-08 . 0369BA73CE6D918745579B24339765E8 . 857088 . . [6.1.7600.16385] . . c:\windows\System32\kernel32.dll
[-] 2009-07-14 . 5987EA8A82C53359BCD2C29D6588583E . 22016 . . [6.1.7600.16385] . . c:\windows\System32\linkinfo.dll
[-] 2009-07-14 . 4F154D2C9C6DF951FD6E5AABBAE6B5EE . 26624 . . [6.1.7600.16385] . . c:\windows\System32\lpk.dll
[-] 2010-06-30 . BDFD710842C8A25DD27254D91DE60AC6 . 5971456 . . [8.00.7600.16385] . . c:\windows\System32\mshtml.dll
[-] 2009-07-14 . E46D48A7FE961401F1CBF85531CDF05D . 690688 . . [7.0.7600.16385] . . c:\windows\System32\msvcrt.dll
[-] 2009-07-14 . 11A41F17527ED75D6B758FDD7F4FD00D . 232448 . . [6.1.7600.16385] . . c:\windows\System32\mswsock.dll
[-] 2009-07-14 . EAA75D9000B71F10EEC04D2AE6C60E81 . 563712 . . [6.1.7600.16385] . . c:\windows\System32\netlogon.dll
[-] 2009-07-14 . 08DFDBD2FD4EA951DC46B1C7661ED35A . 145408 . . [6.1.7600.16385] . . c:\windows\System32\powrprof.dll
[-] 2009-07-14 . 26073302DAEA83CC5B944C546D6B47D2 . 175616 . . [6.1.7600.16385] . . c:\windows\System32\scecli.dll
[-] 2009-07-14 . 40CAEEE0EAF1B8569F7C8DF6420F2CB9 . 2560 . . [6.1.7600.16385] . . c:\windows\System32\sfc.dll
[-] 2009-07-14 . 54A47F6B5E09A77E61649109C6A08866 . 20992 . . [6.1.7600.16385] . . c:\windows\System32\svchost.exe
[-] 2009-07-14 . 2F46B0C70A4ADC8C90CF825DA3B4FEAF . 241664 . . [6.1.7600.16385] . . c:\windows\System32\tapisrv.dll
[-] 2009-07-14 . 34B7E222E81FAFA885F0C5F2CFA56861 . 811520 . . [6.1.7600.16385] . . c:\windows\System32\user32.dll
[-] 2009-07-14 . 6DE80F60D7DE9CE6B8C2DDFDF79EF175 . 26112 . . [6.1.7600.16385] . . c:\windows\System32\userinit.exe
[-] 2010-06-30 . 250267CE6217C1AB4517F22FB7EA13E8 . 978432 . . [8.00.7600.16385] . . c:\windows\System32\wininet.dll
[-] 2009-07-14 . DAAE8A9B8C0ACC7F858454132553C30D . 206336 . . [6.1.7600.16385] . . c:\windows\System32\ws2_32.dll
[-] 2009-07-14 . 808AABDF9337312195CAFF76D1804786 . 4608 . . [6.1.7600.16385] . . c:\windows\System32\ws2help.dll
[-] 2009-07-14 . 4ACB903AD1693858A918907358CBD9E4 . 1412608 . . [6.1.7600.16385] . . c:\windows\System32\ole32.dll
[-] 2009-07-14 . 50BA656134F78AF64E4DD3C8B6FEFD7E . 12288 . . [6.1.7600.16385] . . c:\windows\System32\cngaudit.dll
[-] 2009-07-14 . FD31E3104989B37DE2EF2FA18B7457CD . 96256 . . [6.1.7600.16385] . . c:\windows\System32\wininit.exe
[-] 2009-07-14 . 4A3CDCEF8ED41B221F3DBEF5792FB52D . 8704 . . [6.1.7600.16385] . . c:\windows\System32\ctfmon.exe
[-] 2009-07-14 . CD2E48FA5B29EE2B3B5858056D246EF2 . 328192 . . [6.1.7600.16385] . . c:\windows\System32\shsvcs.dll
[-] 2009-07-14 . CB9A8683F4EF2BF99E123D79950D7935 . 112640 . . [6.1.7600.16385] . . c:\windows\System32\regsvc.dll
[-] 2009-07-14 . 3E8B0C453E25613A1F59762A5C42AA75 . 743424 . . [6.1.7600.16385] . . c:\windows\System32\schedsvc.dll
[-] 2009-07-14 . D887C9FD02AC9FA880F6E5027A43E118 . 162816 . . [6.1.7600.16385] . . c:\windows\System32\ssdpsrv.dll
[-] 2009-07-14 . A01E50A04D7B1960B33E92B9080E6A94 . 543232 . . [6.1.7600.16385] . . c:\windows\System32\termsrv.dll
[-] 2009-07-14 . A45D184DF6A8803DA13A0B329517A64A . 149504 . . [6.1.7600.16385] . . c:\windows\System32\appmgmts.dll
[-] 2009-07-14 . A1E91B5B5273573FC132B683E550B5E6 . 19456 . . [6.1.7600.16385] . . c:\windows\System32\ias.dll
[-] 2009-07-14 01:15 . F8742FC618ECBDA92A406725197E93AE . 924944 . . [4.1.6140] . . c:\windows\System32\mfc40u.dll
[-] 2009-07-14 . 833FBB672460EFCE8011D262175FAD33 . 266752 . . [6.1.7600.16385] . . c:\windows\System32\upnphost.dll
[-] 2009-07-14 . 0E85C11F8850D524B02181C6E02BA9AE . 453632 . . [6.1.7600.16385] . . c:\windows\System32\dsound.dll
[-] 2009-07-14 . 7459301D21C2E21468823F73042D9F87 . 1826816 . . [6.1.7600.16385] . . c:\windows\System32\d3d9.dll
[-] 2009-07-14 . 198552AEFECA69D646867EC8D792DE95 . 531968 . . [6.1.7600.16385] . . c:\windows\System32\ddraw.dll
[-] 2009-07-14 01:16 . C10459DBDC2099C5A8428CB7D87DB85F . 90112 . . [6.1.7600.16385] . . c:\windows\System32\olepro32.dll
[-] 2009-07-14 . EDD2AD141DEBD425D74A52A4D7BE6AC4 . 39424 . . [6.1.7600.16385] . . c:\windows\System32\perfctrs.dll
[-] 2009-07-14 . 702254574E7E52052DE39408457B7149 . 21504 . . [6.1.7600.16385] . . c:\windows\System32\version.dll
c:\windows\explorer.exe ... Fehlt !!
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{60FB86A3-32C0-4A66-B5E0-45CA6EFF6137}]
2010-09-11 10:24 729600 ----a-w- c:\windows\System32\dlo5ACE.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Enhanced Storage]
@="{60FB86A3-32C0-4A66-B5E0-45CA6EFF6137}"
[HKEY_CLASSES_ROOT\CLSID\{60FB86A3-32C0-4A66-B5E0-45CA6EFF6137}]
2010-09-11 10:24 729600 ----a-w- c:\windows\System32\dlo5ACE.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\users\Franzi\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-01-20 135664]
"HPADVISOR"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2009-04-04 1644088]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2010-08-26 1779512]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-12-04 75016]
"HP Remote Software"="c:\program files\Hewlett-Packard\HP Remote\HP REMOTE V1.0.5.exe" [2009-02-06 143360]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"hpsysdrv"="c:\program files\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2009-03-05 915512]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
" Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-07-24 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-07-24 174104]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-07-24 151064]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]
NETGEAR WG111v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG111v3\WG111v3.exe [2007-9-14 1695744]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
[HKLM\~\startupfolder\C:^Users^Franzi^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Franzi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2008-06-11 20:43 640376 ----a-w- c:\program files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]
2008-06-12 00:25 37232 ----a-w- c:\program files\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06 976832 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-06-20 02:04 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
2008-08-14 06:58 611712 ----a-w- c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDAgent]
2009-03-19 08:54 1148200 ----a-w- c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GizmoDriveDelegate]
2010-02-13 21:12 390752 ----a-w- c:\progra~1\Gizmo\gdrive.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2008-10-25 10:44 31072 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-06-15 14:33 141624 ----a-w- c:\program files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2009-07-16 14:35 5458704 ----a-w- c:\program files\Logitech\Logitech Vid\Vid.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2009-10-14 12:36 2793304 ----a-w- c:\program files\Logitech\Logitech WebCam Software\LWS.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-18 20:16 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-05-13 15:57 26192168 ----a-r- c:\program files\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-11 14:21 246504 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2010-08-29 11:18 328568 ----a-w- c:\program files\uTorrent\uTorrent.exe
2;2 wlviqgbn;Gizmo Device Helper;c:\windows\System32\svchost.exe [x]
R0 lsns;lsns;c:\windows\System32\drivers\ylaud.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2009-07-14 20992]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-05 1343400]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-01-31 691696]
S1 GizmoDrv;Gizmo Device Driver; [x]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2009-01-19 277544]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 EFUploadSrv;ExtraFilm upload service;c:\program files\ExtraFilm Designer CH DE\EFUploadSrv.exe [2009-07-09 1716224]
S2 Gizmo Central;Gizmo Central;c:\program files\Gizmo\gservice.exe [2010-02-13 31856]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-04-29 38224]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-08-20 189440]
S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\DRIVERS\wg111v3.sys [2007-04-23 227328]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - MBAMSWISSARMY
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
Akamai REG_MULTI_SZ Akamai
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
wlviqgbn
.
Inhalt des "geplante Tasks" Ordners
2010-09-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2691724045-2314604569-2155052543-1000Core.job
- c:\users\Franzi\AppData\Local\Google\Update\GoogleUpdate.exe [2010-01-20 13:38]
2010-09-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2691724045-2314604569-2155052543-1000UA.job
- c:\users\Franzi\AppData\Local\Google\Update\GoogleUpdate.exe [2010-01-20 13:38]
2010-07-31 c:\windows\Tasks\PCDRScheduledMaintenance-Delay.job
- c:\program files\PC-Doctor for Windows\pcdr5cuiw32.exe [2009-02-02 19:00]
2010-07-31 c:\windows\Tasks\PCDRScheduledMaintenance.job
- c:\program files\PC-Doctor for Windows\pcdr5cuiw32.exe [2009-02-02 19:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = <local>
IE: An vorhandene PDF-Datei anfügen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-jlyposcy - c:\users\Franzi\AppData\Local\cnuygikyr\nllsimquqiw.exe
MSConfigStartUp-nwxwfgps - c:\users\Franzi\AppData\Roaming\eaaygqwhe\ndwaajnuqiw.exe
AddRemove-Die Kunst des Mordens - Karten des Schicksals_is1 - c:\program files\City Interactive\Die Kunst des Mordens - Karten des Schicksals\unins000.exe
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-2691724045-2314604569-2155052543-1000\Software\SecuROM\License information*]
"datasecu"=hex:10,99,ae,34,ac,fb,71,af,3b,33,32,82,0a,0a,c9,ae,bb,b7,11,f4,a9,
0e,f1,f6,4d,57,bf,24,78,04,94,4e,21,ee,d5,40,86,6f,91,18,9b,1c,75,c7,67,8f,\
"rkeysecu"=hex:9a,1a,04,33,4f,ad,6f,c6,5a,87,36,b5,09,48,c8,bc
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2010-09-12 12:46:11
ComboFix-quarantined-files.txt 2010-09-12 10:46
Vor Suchlauf: 13 Verzeichnis(se), 264.493.932.544 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 264.565.809.152 Bytes frei
- - End Of File - - CBFDF63D702C91AB0FC0DD944C051644
|
|
12.09.2010, 14:36
| #25 |
| /// Malware-holic | nach Virus Desktop schwarz • Starte bitte die OTL.exe. • Kopiere nun das Folgende in die Textbox. :OTL SRV - (wlviqgbn) -- C:\Windows\System32\dlo5ACE.dll (aglrqmtrat Corporation) DRV - (catchme) -- C:\Users\Franzi\AppData\Local\Temp\catchme.sys File not found IE - HKLM\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - Reg Error: Key error. File not found O2 - BHO: () - {60FB86A3-32C0-4A66-B5E0-45CA6EFF6137} - C:\Windows\System32\dlo5ACE.dll (aglrqmtrat Corporation) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [combofix] C:\ComboFix\CF14261.cfx File not found O4 - HKLM..\RunOnce: [] File not found O4 - HKLM..\RunOnce: [combofix] C:\ComboFix\CF14261.cfx File not found O4 - HKLM..\RunOnceEx: [flags] Reg Error: Invalid data type. File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: a5x3tq = C:\Users\Franzi\AppData\Local\Temp\202fbh.exe File not found O20 - HKLM Winlogon: TaskMan - (C:\Users\Franzi\AppData\Roaming\ohydy.exe) - C:\Users\Franzi\AppData\Roaming\ohydy.exe (wcwC) O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O33 - MountPoints2\{ca88f6a1-adba-11df-82dc-0026189921df}\Shell\AutoRun\command - "" = K:\WD SmartWare.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found [2010.09.11 10:17:34 | 000,000,000 | ---D | C] -- C:\Users\Franzi\AppData\Local\cnuygikyr [2010.09.11 10:17:33 | 000,000,000 | ---D | C] -- C:\Users\Franzi\AppData\Roaming\eaaygqwhe [2010.09.11 10:17:33 | 000,000,000 | ---D | C] -- C:\Users\Franzi\AppData\Local\eaaygqwhe [2010.09.11 10:17:18 | 000,000,000 | -H-D | C] -- C:\Users\Public\Documents\Server [2010.09.11 10:17:57 | 000,000,000 | ---D | M] -- C:\Users\Franzi\AppData\Roaming\C2EC17786274D80DF27A2E69F8A4852F :Files C:\Windows\System32\dlo5ACE.dll :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten |
|
| Themen zu nach Virus Desktop schwarz |
| ahnungslos, antivir, bildschirm, ccleaner, computer, desktop, desktop schwarz, einfach, foren, gelöscht, gen, homepage, internet, lädt, malwarebytes, maus, msn, nichts, scan, schwarz, startbildschirm, stick, super, task-manager, verschiedene, virus, windows, windows 7 |
Linear-Darstellung
