Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Keine Systemwiederherstellung/Internet durch Virus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.10.2010, 19:41   #1
morpheus!
 
Keine Systemwiederherstellung/Internet durch Virus - Standard

Keine Systemwiederherstellung/Internet durch Virus



Hallo,

bin am verzweifeln,hab mir einen Virus eingefangen,der mir die Systemwiederherstellung,Internet,etc. verweigert.

Wenn ich das IE Symbol ankliche kommt immer ein Fenster"Microsoft Security Essential Alert" und bei der Systemwiederherstellung kommt "Die Systemwiederherstellung wurde aufgrund einer Gruppenrichtlinie deaktiviert.Wenden sie sich an den Domänadministrator."

Hab GMER drüber laufen lassen und er hat folgendes gefunden:

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit quick scan 2010-10-09 20:19:29
Windows 5.1.2600 Service Pack 3
Running: nv5zyprf.exe; Driver: C:\DOKUME~1\Chris\LOKALE~1\Temp\ufwyraow.sys


---- System - GMER 1.0.15 ----

SSDT spfc.sys ZwEnumerateKey [0xF7734DA4] <-- ROOTKIT !!!
SSDT spfc.sys ZwEnumerateValueKey [0xF7735132] <-- ROOTKIT !!!

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8660AC10
Device \FileSystem\Ntfs \Ntfs 867DA1F8
Device \FileSystem\Fastfat \Fat 86335500

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \Driver\Tcpip \Device\Ip 86498260
Device \Driver\Tcpip \Device\Tcp 86498260
Device \Driver\Tcpip \Device\Udp 86498260
Device \Driver\Tcpip \Device\RawIp 86498260
Device -> \Driver\atapi \Device\Harddisk0\DR0 8667FEC5

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT]lqhsfd <-- ROOTKIT !!!

---- Files - GMER 1.0.15 ----

File C:\WINXP\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----


Wie bekomme ich den Virus jetzt von meinem PC ?

Alt 09.10.2010, 19:49   #2
markusg
/// Malware-holic
 
Keine Systemwiederherstellung/Internet durch Virus - Standard

Keine Systemwiederherstellung/Internet durch Virus



schreibst du von nem andern pc aus? wenn ja, nen usb stick oder ähnliches zur hand?
__________________


Alt 09.10.2010, 19:53   #3
morpheus!
 
Keine Systemwiederherstellung/Internet durch Virus - Standard

Keine Systemwiederherstellung/Internet durch Virus



Schreib vom Notebook aus mit meinem Desktop PC komm ich ja nicht mehr online :-(
USB Stick hab ich zur Hand
__________________

Alt 09.10.2010, 19:55   #4
markusg
/// Malware-holic
 
Keine Systemwiederherstellung/Internet durch Virus - Standard

Keine Systemwiederherstellung/Internet durch Virus



ok dann folgendes
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
bitte combofix wie folgt speichern.
rechtsklick auf den download link, ziehl speichern unter, lösche den namen
combofix.exe
und schreibe
2345.com
dann die datei speichern, auf den andern pc rüber ziehen und combofix ausführen, danach sollte das internet wieder funktionieren und du kannst das log posten. eventuell musst du combofix im abgesicherten modus ohne netzwerk laufen lassen, dazu den pc neu starten und dann ein paar mal f8 drücken, so sollte er zu erreichen sein.

Alt 09.10.2010, 20:23   #5
morpheus!
 
Keine Systemwiederherstellung/Internet durch Virus - Standard

Keine Systemwiederherstellung/Internet durch Virus



Hab combofix ganz normal heruntergeladen,auf den USB Stick gezogen und auf meinem Desktop PC gelegt(alles ohne umbenennen).Gestartet und nach kurzer Zeit hat der PC einen Neustart gemacht. Danach ist combofix automatisch gestartet und hat sich die Wiederherstellungskonsole von Microsoft heruntergeladen....nun führt er einen Scan durch...geb Bescheid wenn er durchgelaufen ist.


Alt 09.10.2010, 20:28   #6
markusg
/// Malware-holic
 
Keine Systemwiederherstellung/Internet durch Virus - Standard

Keine Systemwiederherstellung/Internet durch Virus



na ist auch gut. manchmal muss mans umbenennen

Alt 09.10.2010, 20:47   #7
morpheus!
 
Keine Systemwiederherstellung/Internet durch Virus - Standard

Keine Systemwiederherstellung/Internet durch Virus



So fertig...Internet und Systemwiederherstellung funktionieren wieder...im Log steht aber noch etwas von Treiber infiziert.


Hier das Log File:

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-10-09.01 - Chris 09.10.2010  21:20:49.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.762 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Chris\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\hotfix.exe
c:\dokumente und einstellungen\Chris\Anwendungsdaten\hotfix.exe
c:\winxp\Fonts\8tbCh8g.com
c:\winxp\system32\drivers\lqhsfd.sys
c:\winxp\system32\m14qjbek.dll
c:\winxp\system32\sshnas21.dll
c:\winxp\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

c:\winxp\system32\DRIVERS\uagp35.sys . . . ist infiziert!! . . . Failed to find a valid replacement.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS
-------\Service_SSHNAS
-------\Legacy_lqhsfd
-------\Service_lqhsfd


(((((((((((((((((((((((   Dateien erstellt von 2010-09-09 bis 2010-10-09  ))))))))))))))))))))))))))))))
.

2010-10-09 17:05 . 2010-10-09 17:05	--------	d-----w-	c:\programme\Trend Micro
2010-10-09 16:39 . 2010-10-09 16:39	2256	----a-w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\444.bat
2010-10-09 16:39 . 2010-10-09 16:39	191	----a-w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\asdsada.bat
2010-10-09 16:17 . 2010-10-09 16:17	--------	d--h--w-	c:\winxp\PIF
2010-10-09 16:01 . 2010-10-09 16:01	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\PrivacIE
2010-10-09 16:01 . 2010-10-09 16:01	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-10-09 15:59 . 2010-10-09 15:59	2256	----a-w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\444.bat
2010-10-09 15:59 . 2010-10-09 15:59	129	----a-w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\asdsada.bat
2010-10-09 15:59 . 2010-10-09 16:25	--------	d-----w-	c:\programme\Gemeinsame Dateien\Webroot Shared
2010-10-09 15:45 . 2010-10-09 15:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-09 15:45 . 2010-10-09 15:45	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-10-09 14:50 . 2010-10-09 19:03	--------	d-----w-	c:\programme\nbpro
2010-10-08 16:29 . 2010-10-08 16:29	--------	d-----w-	c:\programme\Seagate
2010-10-08 16:28 . 2010-10-08 16:28	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-10-04 18:34 . 2010-10-04 18:53	--------	d-----w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\mIRC
2010-10-04 14:51 . 2010-10-04 14:51	--------	d-----w-	c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Identities
2010-10-03 18:21 . 2010-10-03 18:23	--------	d-----w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\GrabIt
2010-09-25 22:45 . 2010-09-30 21:40	193072	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-09-25 10:41 . 2010-09-25 10:41	--------	d-----w-	c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\WBFSManager
2010-09-25 10:40 . 2010-09-25 10:40	--------	d-----w-	c:\programme\WBFS
2010-09-21 18:37 . 2010-09-21 18:37	932288	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\9882\AdobeARM.exe
2010-09-21 18:37 . 2010-09-21 18:37	70584	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\9882\AdobeExtractFiles.dll
2010-09-21 18:37 . 2010-09-21 18:37	338856	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\9882\ReaderUpdater.exe
2010-09-21 18:37 . 2010-09-21 18:37	338856	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\9882\AcrobatUpdater.exe
2010-09-18 13:53 . 2010-09-18 13:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-09-18 13:53 . 2010-09-18 13:53	--------	d-----w-	c:\winxp\system32\TVUAx

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-09 13:34 . 2010-08-13 17:33	--------	d-----w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\Vso
2010-10-07 06:03 . 2008-04-14 09:00	80104	----a-w-	c:\winxp\system32\perfc007.dat
2010-10-07 06:03 . 2008-04-14 09:00	448470	----a-w-	c:\winxp\system32\perfh007.dat
2010-10-01 20:37 . 2010-08-07 10:19	--------	d-----w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\Skype
2010-10-01 17:42 . 2010-08-07 10:20	--------	d-----w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\skypePM
2010-09-25 17:43 . 2010-08-07 10:19	--------	d-----r-	c:\programme\Skype
2010-09-04 21:26 . 2010-09-04 21:25	--------	d-----w-	c:\programme\RegCleaner
2010-09-01 14:33 . 2010-08-16 16:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-08-31 20:54 . 2010-08-31 20:54	0	----a-w-	c:\winxp\nsreg.dat
2010-08-29 19:03 . 2010-08-29 17:29	--------	d-----w-	c:\programme\Nokia
2010-08-29 17:49 . 2010-08-29 17:38	--------	d-----w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\Nokia
2010-08-29 17:41 . 2010-08-29 17:38	--------	d-----w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\PC Suite
2010-08-29 17:41 . 2010-08-29 17:41	0	---ha-w-	c:\winxp\system32\drivers\Msft_Kernel_ccdcmb_01009.Wdf
2010-08-29 17:41 . 2010-08-29 17:41	0	---ha-w-	c:\winxp\system32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
2010-08-29 17:38 . 2010-08-29 17:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2010-08-29 17:30 . 2010-08-29 17:30	--------	d-----w-	c:\programme\Gemeinsame Dateien\PCSuite
2010-08-29 17:30 . 2010-08-29 17:30	--------	d-----w-	c:\programme\Gemeinsame Dateien\Nokia
2010-08-29 17:30 . 2010-08-29 17:30	--------	d-----w-	c:\programme\DIFX
2010-08-29 17:29 . 2010-08-29 17:29	--------	d-----w-	c:\programme\PC Connectivity Solution
2010-08-29 17:28 . 2010-08-29 17:28	95232	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\pcswpcsi.exe
2010-08-29 17:28 . 2010-08-29 17:28	8192	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstCCD.exe
2010-08-29 17:28 . 2010-08-29 17:28	61440	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2010-08-29 17:28 . 2010-08-29 17:28	10240	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCS.exe
2010-08-29 17:28 . 2010-08-29 17:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2010-08-29 17:25 . 2010-08-29 17:25	--------	d-----w-	c:\programme\ODEON
2010-08-29 17:23 . 2010-08-29 17:28	36426336	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Nokia_PC_Suite_ger_web.exe
2010-08-18 05:58 . 2010-08-18 05:58	499712	----a-w-	c:\winxp\system32\msvcp71.dll
2010-08-18 05:58 . 2010-08-18 05:58	348160	----a-w-	c:\winxp\system32\msvcr71.dll
2010-08-17 13:17 . 2008-04-14 09:00	58880	----a-w-	c:\winxp\system32\spoolsv.exe
2010-08-16 18:27 . 2010-08-16 16:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2010-08-16 16:36 . 2010-08-16 16:36	--------	d-----w-	c:\programme\Windows Sidebar
2010-08-16 16:29 . 2010-08-16 15:45	--------	d-----w-	c:\programme\Sandboxie
2010-08-15 12:12 . 2010-08-03 21:05	12112	----a-w-	c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-14 19:44 . 2010-08-03 21:13	--------	d-----w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\dvdcss
2010-08-13 17:32 . 2010-08-13 17:32	47360	----a-w-	c:\winxp\system32\drivers\Pcouffin.sys
2010-08-13 17:32 . 2010-08-13 17:32	--------	d-----w-	c:\programme\vso
2010-08-12 19:03 . 2010-08-11 20:18	--------	d-----w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\DAEMON Tools Lite
2010-08-12 18:02 . 2010-08-12 18:02	--------	d-----w-	c:\programme\MSBuild
2010-08-12 18:02 . 2010-08-12 18:02	--------	d-----w-	c:\programme\Reference Assemblies
2010-08-11 20:19 . 2010-08-11 20:18	--------	d-----w-	c:\programme\DAEMON Tools Lite
2010-08-11 20:19 . 2010-08-11 20:19	691696	----a-w-	c:\winxp\system32\drivers\sptd.sys
2010-08-11 20:18 . 2010-08-11 20:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2010-08-10 21:38 . 2010-08-10 21:38	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-08-07 10:20 . 2010-08-07 10:20	56	---ha-w-	c:\winxp\system32\ezsidmv.dat
2010-08-04 17:16 . 2010-08-03 15:49	86315	----a-w-	c:\winxp\pchealth\helpctr\OfflineCache\index.dat
2010-08-03 16:28 . 2010-08-03 16:28	12499	----a-w-	c:\winxp\system32\Seagate.bin
2010-08-03 15:45 . 2010-08-03 15:45	21740	----a-w-	c:\winxp\system32\emptyregdb.dat
2010-07-23 06:13 . 2009-08-03 19:10	590848	----a-w-	c:\winxp\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25	5632	----a-w-	c:\winxp\system32\xpsp4res.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37	932288	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-06-20 02:04	35760	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-06-27 17:03	152872	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 09:00	15360	----a-w-	c:\winxp\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16	357696	----a-w-	c:\programme\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57	153136	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
2010-05-14 08:32	1479680	----a-w-	c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\ODEON\\JAF\\JCOP.EXE"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

S2 wwEngineSvc;Window Washer Engine;c:\programme\Webroot\Washer\WasherSvc.exe --> c:\programme\Webroot\Washer\WasherSvc.exe [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\winxp\system32\drivers\nmwcdnsu.sys [29.08.2010 19:29 137344]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\winxp\system32\drivers\nmwcdnsuc.sys [29.08.2010 19:29 8320]
S4 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [11.08.2010 22:19 691696]
.
Inhalt des "geplante Tasks" Ordners

2010-10-08 c:\winxp\Tasks\User_Feed_Synchronization-{0F438854-21BB-493A-A7AB-77DC92619632}.job
- c:\winxp\system32\msfeedssync.exe [2008-04-14 17:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
FF - ProfilePath - c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\rxf6lqh6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 0
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\winxp\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-HPUhaHXnfQ - c:\dokume~1\Chris\LOKALE~1\Temp\win16.exe
MSConfigStartUp-HPUhaHXnST - c:\dokume~1\Chris\LOKALE~1\Temp\x32muv4.exe
MSConfigStartUp-HPUhaHXnvZ - c:\dokume~1\Chris\LOKALE~1\Temp\install.exe
MSConfigStartUp-IJKUK66HMN - c:\dokume~1\Chris\LOKALE~1\Temp\Gvl.exe
MSConfigStartUp-MPmc - c:\winxp\mdm.exe
MSConfigStartUp-MPqvc - c:\winxp\wininst.exe
MSConfigStartUp-MPrf - c:\winxp\smss.exe
MSConfigStartUp-SandboxieControl - c:\programme\Sandboxie\SbieCtrl.exe
MSConfigStartUp-uPc+RmuNjaGuo - c:\winxp\system32\vns7t.dll
MSConfigStartUp-Window Washer - c:\programme\Webroot\Washer\wwDisp.exe
AddRemove-Window Washer - c:\winxp\Unwash6.exe



Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86721EC5]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7873f28
\Driver\ACPI -> ACPI.sys @ 0xf77e5cb8
\Driver\atapi -> atapi.sys @ 0xf76a4852
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0626
 ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0626
 ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
NDIS:  -> SendCompleteHandler -> 0x0
 PacketIndicateHandler -> 0x0
 SendHandler -> 0x0
user & kernel MBR OK 

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\winxp\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3144)
c:\winxp\system32\webcheck.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\winxp\system32\Ati2evxx.exe
c:\winxp\system32\Ati2evxx.exe
c:\winxp\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-09  21:40:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-09 19:40

Vor Suchlauf: 1.119.064.064 Bytes frei
Nach Suchlauf: 1.132.310.528 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 2CC9750A6226F1CB47F1D91A593AA7AC
         
--- --- ---

Alt 10.10.2010, 11:55   #8
markusg
/// Malware-holic
 
Keine Systemwiederherstellung/Internet durch Virus - Standard

Keine Systemwiederherstellung/Internet durch Virus



Lade
http://filepony.de/download-defogger/
herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren,
start programme zubehör editor, kopiere rein:

Killall::
Rootkit::
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\444.bat
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\444.bat
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\asdsada.bat
c:\dokumente und einstellungen\Chris\Anwendungsdaten\444.bat
c:\dokumente und einstellungen\Chris\Anwendungsdaten\asdsada.bat
Driver::
wwEngineSvc

Datei speichern unter, typ alle dateien, speicherort, dort wo sich combofix.exe befindet.
name
cfscript.txt
ziehe cfscript auf combofix, programm startet, log posten.

Antwort

Themen zu Keine Systemwiederherstellung/Internet durch Virus
alert, boot, driver, eingefangen, fenster, filter, folge, folgendes, gen, gmer, gruppe, harddisk, internet, lokale, microsoft, microsoft security, microsoft security essential, richtlinie, scan, security, service, services, symbol, system32, systemwiederherstellung, temp, udp, virus, virus eingefangen, winxp




Ähnliche Themen: Keine Systemwiederherstellung/Internet durch Virus


  1. Internet durch Virus gestört?
    Mülltonne - 05.12.2013 (1)
  2. Virus TR/ATRAPS.Gen2 durch Avira entdeckt. Keine Lösung durch Avira
    Log-Analyse und Auswertung - 29.10.2013 (3)
  3. BKA-Virus: Kein Internet, kein abgesicherter Modus, keine Systemwiederherstellung möglich
    Plagegeister aller Art und deren Bekämpfung - 14.11.2012 (40)
  4. Bundestrojaner durch Systemwiederherstellung entfernt ?
    Plagegeister aller Art und deren Bekämpfung - 07.09.2012 (20)
  5. Bundespolizei Virus / Trojaner vom 11.8. wirklich durch Systemwiederherstellung entfernt?
    Log-Analyse und Auswertung - 22.08.2012 (19)
  6. Trojaner aus Emailanhang, keine Systemwiederherstellung möglich
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (5)
  7. Virus Warnung, Pc mit Systemwiederherstellung zurückgesetzt nun sind keine Daten mehr auf PartitionD
    Log-Analyse und Auswertung - 05.03.2012 (8)
  8. Bka Trojaner keine systemwiederherstellung möglich
    Plagegeister aller Art und deren Bekämpfung - 10.08.2011 (5)
  9. Verändertes Design, keine Netzwerkerkennung, keine Systemwiederherstellung
    Plagegeister aller Art und deren Bekämpfung - 27.07.2010 (1)
  10. Antimalware Doctor durch Systemwiederherstellung entfernt?
    Plagegeister aller Art und deren Bekämpfung - 26.07.2010 (14)
  11. keine Netzwerkverbindung,Systemwiederherstellung mehr möglich!
    Plagegeister aller Art und deren Bekämpfung - 08.03.2009 (8)
  12. Internetaufbau lahmt plötzlich+ keine Systemwiederherstellung...
    Log-Analyse und Auswertung - 09.01.2008 (21)
  13. keine installations-cd, systemwiederherstellung nicht möglich
    Alles rund um Windows - 08.01.2008 (5)
  14. keine systemwiederherstellung + komische prozesse
    Log-Analyse und Auswertung - 09.08.2007 (5)
  15. Keine Arbeits-/Spielruhe durch Internet Explorer
    Plagegeister aller Art und deren Bekämpfung - 03.08.2007 (1)
  16. Keine Internetverbindung durch Virus??
    Plagegeister aller Art und deren Bekämpfung - 03.11.2005 (7)
  17. Hijacker loswerden durch Systemwiederherstellung?
    Log-Analyse und Auswertung - 21.06.2004 (2)

Zum Thema Keine Systemwiederherstellung/Internet durch Virus - Hallo, bin am verzweifeln,hab mir einen Virus eingefangen,der mir die Systemwiederherstellung,Internet,etc. verweigert. Wenn ich das IE Symbol ankliche kommt immer ein Fenster"Microsoft Security Essential Alert" und bei der Systemwiederherstellung kommt - Keine Systemwiederherstellung/Internet durch Virus...
Archiv
Du betrachtest: Keine Systemwiederherstellung/Internet durch Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.