|
Plagegeister aller Art und deren Bekämpfung: Keine Systemwiederherstellung/Internet durch VirusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.10.2010, 19:41 | #1 |
| Keine Systemwiederherstellung/Internet durch Virus Hallo, bin am verzweifeln,hab mir einen Virus eingefangen,der mir die Systemwiederherstellung,Internet,etc. verweigert. Wenn ich das IE Symbol ankliche kommt immer ein Fenster"Microsoft Security Essential Alert" und bei der Systemwiederherstellung kommt "Die Systemwiederherstellung wurde aufgrund einer Gruppenrichtlinie deaktiviert.Wenden sie sich an den Domänadministrator." Hab GMER drüber laufen lassen und er hat folgendes gefunden: GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit quick scan 2010-10-09 20:19:29 Windows 5.1.2600 Service Pack 3 Running: nv5zyprf.exe; Driver: C:\DOKUME~1\Chris\LOKALE~1\Temp\ufwyraow.sys ---- System - GMER 1.0.15 ---- SSDT spfc.sys ZwEnumerateKey [0xF7734DA4] <-- ROOTKIT !!! SSDT spfc.sys ZwEnumerateValueKey [0xF7735132] <-- ROOTKIT !!! ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8660AC10 Device \FileSystem\Ntfs \Ntfs 867DA1F8 Device \FileSystem\Fastfat \Fat 86335500 AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \Driver\Tcpip \Device\Ip 86498260 Device \Driver\Tcpip \Device\Tcp 86498260 Device \Driver\Tcpip \Device\Udp 86498260 Device \Driver\Tcpip \Device\RawIp 86498260 Device -> \Driver\atapi \Device\Harddisk0\DR0 8667FEC5 ---- Services - GMER 1.0.15 ---- Service (*** hidden *** ) [BOOT]lqhsfd <-- ROOTKIT !!! ---- Files - GMER 1.0.15 ---- File C:\WINXP\system32\drivers\atapi.sys suspicious modification ---- EOF - GMER 1.0.15 ---- Wie bekomme ich den Virus jetzt von meinem PC ? |
09.10.2010, 19:49 | #2 |
/// Malware-holic | Keine Systemwiederherstellung/Internet durch Virus schreibst du von nem andern pc aus? wenn ja, nen usb stick oder ähnliches zur hand?
__________________ |
09.10.2010, 19:53 | #3 |
| Keine Systemwiederherstellung/Internet durch Virus Schreib vom Notebook aus mit meinem Desktop PC komm ich ja nicht mehr online :-(
__________________USB Stick hab ich zur Hand |
09.10.2010, 19:55 | #4 |
/// Malware-holic | Keine Systemwiederherstellung/Internet durch Virus ok dann folgendes bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix bitte combofix wie folgt speichern. rechtsklick auf den download link, ziehl speichern unter, lösche den namen combofix.exe und schreibe 2345.com dann die datei speichern, auf den andern pc rüber ziehen und combofix ausführen, danach sollte das internet wieder funktionieren und du kannst das log posten. eventuell musst du combofix im abgesicherten modus ohne netzwerk laufen lassen, dazu den pc neu starten und dann ein paar mal f8 drücken, so sollte er zu erreichen sein. |
09.10.2010, 20:23 | #5 |
| Keine Systemwiederherstellung/Internet durch Virus Hab combofix ganz normal heruntergeladen,auf den USB Stick gezogen und auf meinem Desktop PC gelegt(alles ohne umbenennen).Gestartet und nach kurzer Zeit hat der PC einen Neustart gemacht. Danach ist combofix automatisch gestartet und hat sich die Wiederherstellungskonsole von Microsoft heruntergeladen....nun führt er einen Scan durch...geb Bescheid wenn er durchgelaufen ist. |
09.10.2010, 20:28 | #6 |
/// Malware-holic | Keine Systemwiederherstellung/Internet durch Virus na ist auch gut. manchmal muss mans umbenennen |
09.10.2010, 20:47 | #7 |
| Keine Systemwiederherstellung/Internet durch Virus So fertig...Internet und Systemwiederherstellung funktionieren wieder...im Log steht aber noch etwas von Treiber infiziert. Hier das Log File: Combofix Logfile: Code:
ATTFilter ComboFix 10-10-09.01 - Chris 09.10.2010 21:20:49.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.762 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Chris\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Administrator\Anwendungsdaten\hotfix.exe c:\dokumente und einstellungen\Chris\Anwendungsdaten\hotfix.exe c:\winxp\Fonts\8tbCh8g.com c:\winxp\system32\drivers\lqhsfd.sys c:\winxp\system32\m14qjbek.dll c:\winxp\system32\sshnas21.dll c:\winxp\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job c:\winxp\system32\DRIVERS\uagp35.sys . . . ist infiziert!! . . . Failed to find a valid replacement. . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SSHNAS -------\Service_SSHNAS -------\Legacy_lqhsfd -------\Service_lqhsfd ((((((((((((((((((((((( Dateien erstellt von 2010-09-09 bis 2010-10-09 )))))))))))))))))))))))))))))) . 2010-10-09 17:05 . 2010-10-09 17:05 -------- d-----w- c:\programme\Trend Micro 2010-10-09 16:39 . 2010-10-09 16:39 2256 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\444.bat 2010-10-09 16:39 . 2010-10-09 16:39 191 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\asdsada.bat 2010-10-09 16:17 . 2010-10-09 16:17 -------- d--h--w- c:\winxp\PIF 2010-10-09 16:01 . 2010-10-09 16:01 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\PrivacIE 2010-10-09 16:01 . 2010-10-09 16:01 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2010-10-09 15:59 . 2010-10-09 15:59 2256 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\444.bat 2010-10-09 15:59 . 2010-10-09 15:59 129 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\asdsada.bat 2010-10-09 15:59 . 2010-10-09 16:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Webroot Shared 2010-10-09 15:45 . 2010-10-09 15:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-10-09 15:45 . 2010-10-09 15:45 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-10-09 14:50 . 2010-10-09 19:03 -------- d-----w- c:\programme\nbpro 2010-10-08 16:29 . 2010-10-08 16:29 -------- d-----w- c:\programme\Seagate 2010-10-08 16:28 . 2010-10-08 16:28 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2010-10-04 18:34 . 2010-10-04 18:53 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\mIRC 2010-10-04 14:51 . 2010-10-04 14:51 -------- d-----w- c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Identities 2010-10-03 18:21 . 2010-10-03 18:23 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\GrabIt 2010-09-25 22:45 . 2010-09-30 21:40 193072 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2010-09-25 10:41 . 2010-09-25 10:41 -------- d-----w- c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\WBFSManager 2010-09-25 10:40 . 2010-09-25 10:40 -------- d-----w- c:\programme\WBFS 2010-09-21 18:37 . 2010-09-21 18:37 932288 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\9882\AdobeARM.exe 2010-09-21 18:37 . 2010-09-21 18:37 70584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\9882\AdobeExtractFiles.dll 2010-09-21 18:37 . 2010-09-21 18:37 338856 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\9882\ReaderUpdater.exe 2010-09-21 18:37 . 2010-09-21 18:37 338856 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\9882\AcrobatUpdater.exe 2010-09-18 13:53 . 2010-09-18 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks 2010-09-18 13:53 . 2010-09-18 13:53 -------- d-----w- c:\winxp\system32\TVUAx . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-10-09 13:34 . 2010-08-13 17:33 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Vso 2010-10-07 06:03 . 2008-04-14 09:00 80104 ----a-w- c:\winxp\system32\perfc007.dat 2010-10-07 06:03 . 2008-04-14 09:00 448470 ----a-w- c:\winxp\system32\perfh007.dat 2010-10-01 20:37 . 2010-08-07 10:19 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Skype 2010-10-01 17:42 . 2010-08-07 10:20 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\skypePM 2010-09-25 17:43 . 2010-08-07 10:19 -------- d-----r- c:\programme\Skype 2010-09-04 21:26 . 2010-09-04 21:25 -------- d-----w- c:\programme\RegCleaner 2010-09-01 14:33 . 2010-08-16 16:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton 2010-08-31 20:54 . 2010-08-31 20:54 0 ----a-w- c:\winxp\nsreg.dat 2010-08-29 19:03 . 2010-08-29 17:29 -------- d-----w- c:\programme\Nokia 2010-08-29 17:49 . 2010-08-29 17:38 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Nokia 2010-08-29 17:41 . 2010-08-29 17:38 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\PC Suite 2010-08-29 17:41 . 2010-08-29 17:41 0 ---ha-w- c:\winxp\system32\drivers\Msft_Kernel_ccdcmb_01009.Wdf 2010-08-29 17:41 . 2010-08-29 17:41 0 ---ha-w- c:\winxp\system32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf 2010-08-29 17:38 . 2010-08-29 17:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite 2010-08-29 17:30 . 2010-08-29 17:30 -------- d-----w- c:\programme\Gemeinsame Dateien\PCSuite 2010-08-29 17:30 . 2010-08-29 17:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Nokia 2010-08-29 17:30 . 2010-08-29 17:30 -------- d-----w- c:\programme\DIFX 2010-08-29 17:29 . 2010-08-29 17:29 -------- d-----w- c:\programme\PC Connectivity Solution 2010-08-29 17:28 . 2010-08-29 17:28 95232 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\pcswpcsi.exe 2010-08-29 17:28 . 2010-08-29 17:28 8192 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstCCD.exe 2010-08-29 17:28 . 2010-08-29 17:28 61440 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCSFEMsi.exe 2010-08-29 17:28 . 2010-08-29 17:28 10240 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCS.exe 2010-08-29 17:28 . 2010-08-29 17:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations 2010-08-29 17:25 . 2010-08-29 17:25 -------- d-----w- c:\programme\ODEON 2010-08-29 17:23 . 2010-08-29 17:28 36426336 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Nokia_PC_Suite_ger_web.exe 2010-08-18 05:58 . 2010-08-18 05:58 499712 ----a-w- c:\winxp\system32\msvcp71.dll 2010-08-18 05:58 . 2010-08-18 05:58 348160 ----a-w- c:\winxp\system32\msvcr71.dll 2010-08-17 13:17 . 2008-04-14 09:00 58880 ----a-w- c:\winxp\system32\spoolsv.exe 2010-08-16 18:27 . 2010-08-16 16:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller 2010-08-16 16:36 . 2010-08-16 16:36 -------- d-----w- c:\programme\Windows Sidebar 2010-08-16 16:29 . 2010-08-16 15:45 -------- d-----w- c:\programme\Sandboxie 2010-08-15 12:12 . 2010-08-03 21:05 12112 ----a-w- c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-08-14 19:44 . 2010-08-03 21:13 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\dvdcss 2010-08-13 17:32 . 2010-08-13 17:32 47360 ----a-w- c:\winxp\system32\drivers\Pcouffin.sys 2010-08-13 17:32 . 2010-08-13 17:32 -------- d-----w- c:\programme\vso 2010-08-12 19:03 . 2010-08-11 20:18 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\DAEMON Tools Lite 2010-08-12 18:02 . 2010-08-12 18:02 -------- d-----w- c:\programme\MSBuild 2010-08-12 18:02 . 2010-08-12 18:02 -------- d-----w- c:\programme\Reference Assemblies 2010-08-11 20:19 . 2010-08-11 20:18 -------- d-----w- c:\programme\DAEMON Tools Lite 2010-08-11 20:19 . 2010-08-11 20:19 691696 ----a-w- c:\winxp\system32\drivers\sptd.sys 2010-08-11 20:18 . 2010-08-11 20:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite 2010-08-10 21:38 . 2010-08-10 21:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-08-07 10:20 . 2010-08-07 10:20 56 ---ha-w- c:\winxp\system32\ezsidmv.dat 2010-08-04 17:16 . 2010-08-03 15:49 86315 ----a-w- c:\winxp\pchealth\helpctr\OfflineCache\index.dat 2010-08-03 16:28 . 2010-08-03 16:28 12499 ----a-w- c:\winxp\system32\Seagate.bin 2010-08-03 15:45 . 2010-08-03 15:45 21740 ----a-w- c:\winxp\system32\emptyregdb.dat 2010-07-23 06:13 . 2009-08-03 19:10 590848 ----a-w- c:\winxp\system32\rpcrt4.dll 2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\winxp\system32\xpsp4res.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-09-21 18:37 932288 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-06-20 02:04 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] 2007-06-27 17:03 152872 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2008-04-14 09:00 15360 ----a-w- c:\winxp\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] 2010-04-01 09:16 357696 ----a-w- c:\programme\DAEMON Tools Lite\DTLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2007-03-01 13:57 153136 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray] 2010-05-14 08:32 1479680 ----a-w- c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Programme\\ODEON\\JAF\\JCOP.EXE"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= S2 wwEngineSvc;Window Washer Engine;c:\programme\Webroot\Washer\WasherSvc.exe --> c:\programme\Webroot\Washer\WasherSvc.exe [?] S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\winxp\system32\drivers\nmwcdnsu.sys [29.08.2010 19:29 137344] S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\winxp\system32\drivers\nmwcdnsuc.sys [29.08.2010 19:29 8320] S4 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [11.08.2010 22:19 691696] . Inhalt des "geplante Tasks" Ordners 2010-10-08 c:\winxp\Tasks\User_Feed_Synchronization-{0F438854-21BB-493A-A7AB-77DC92619632}.job - c:\winxp\system32\msfeedssync.exe [2008-04-14 17:29] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ FF - ProfilePath - c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\rxf6lqh6.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - prefs.js: network.proxy.type - 0 FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\winxp\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-Cmaudio - cmicnfg.cpl MSConfigStartUp-HPUhaHXnfQ - c:\dokume~1\Chris\LOKALE~1\Temp\win16.exe MSConfigStartUp-HPUhaHXnST - c:\dokume~1\Chris\LOKALE~1\Temp\x32muv4.exe MSConfigStartUp-HPUhaHXnvZ - c:\dokume~1\Chris\LOKALE~1\Temp\install.exe MSConfigStartUp-IJKUK66HMN - c:\dokume~1\Chris\LOKALE~1\Temp\Gvl.exe MSConfigStartUp-MPmc - c:\winxp\mdm.exe MSConfigStartUp-MPqvc - c:\winxp\wininst.exe MSConfigStartUp-MPrf - c:\winxp\smss.exe MSConfigStartUp-SandboxieControl - c:\programme\Sandboxie\SbieCtrl.exe MSConfigStartUp-uPc+RmuNjaGuo - c:\winxp\system32\vns7t.dll MSConfigStartUp-Window Washer - c:\programme\Webroot\Washer\wwDisp.exe AddRemove-Window Washer - c:\winxp\Unwash6.exe Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86721EC5]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf7873f28 \Driver\ACPI -> ACPI.sys @ 0xf77e5cb8 \Driver\atapi -> atapi.sys @ 0xf76a4852 IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0626 ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0626 ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac NDIS: -> SendCompleteHandler -> 0x0 PacketIndicateHandler -> 0x0 SendHandler -> 0x0 user & kernel MBR OK ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(656) c:\winxp\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(3144) c:\winxp\system32\webcheck.dll c:\winxp\system32\wpdshserviceobj.dll c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr c:\winxp\system32\portabledevicetypes.dll c:\winxp\system32\portabledeviceapi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\winxp\system32\Ati2evxx.exe c:\winxp\system32\Ati2evxx.exe c:\winxp\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-10-09 21:40:12 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-10-09 19:40 Vor Suchlauf: 1.119.064.064 Bytes frei Nach Suchlauf: 1.132.310.528 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINXP [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - 2CC9750A6226F1CB47F1D91A593AA7AC |
10.10.2010, 11:55 | #8 |
/// Malware-holic | Keine Systemwiederherstellung/Internet durch Virus Lade http://filepony.de/download-defogger/ herunter und speichere es auf Deinem Desktop. Doppelklicke DeFogger, um das Tool zu starten. • Es öffnet sich das Programm-Fenster des Tools. • Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren. • Klicke Ja, um fortzufahren. • Wenn die Nachricht 'Finished!' erscheint, • klicke OK. • DeFogger wird nun einen Reboot erfragen - klicke OK • Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, start programme zubehör editor, kopiere rein: Killall:: Rootkit:: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\444.bat c:\dokumente und einstellungen\Administrator\Anwendungsdaten\444.bat c:\dokumente und einstellungen\Administrator\Anwendungsdaten\asdsada.bat c:\dokumente und einstellungen\Chris\Anwendungsdaten\444.bat c:\dokumente und einstellungen\Chris\Anwendungsdaten\asdsada.bat Driver:: wwEngineSvc Datei speichern unter, typ alle dateien, speicherort, dort wo sich combofix.exe befindet. name cfscript.txt ziehe cfscript auf combofix, programm startet, log posten. |
Themen zu Keine Systemwiederherstellung/Internet durch Virus |
alert, boot, driver, eingefangen, fenster, filter, folge, folgendes, gen, gmer, gruppe, harddisk, internet, lokale, microsoft, microsoft security, microsoft security essential, richtlinie, scan, security, service, services, symbol, system32, systemwiederherstellung, temp, udp, virus, virus eingefangen, winxp |