| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 100 tan liste_neuWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
15.10.2010, 16:30
| #1 |
 |  100 tan liste_neu Moin Moin, auch wir hatten die 100 tan liste, sobald man auf den login von der Deutschen Bank "drückt" Im Forum gibt es unter 100 tan trojaner eine genaue Erklärung. Ich habe nach dem Befall eine Windows System-Wiederherstellung (Start/AlleProgramme/Zubehör/Systemprogramme/Systemwiederherstellung) zurück um 5 Tage, durchgeführt. (Da funktionierte der Rechner noch ohne Fehler) Nach der Windows-Systemwiederherstellung ist keine tan Abfrage bei der Deutschen Bank mehr erfolgt. Dann habe ich Eure Scans durchgeführt. Toll wäre wenn diese beurteilt werden könnten und ob noch Handlungsbedarf ist? Ich habe 3 Anhänge: Der erste Scan vor der Systemwiederherstellung Malwarebytes vom 09.10.2010 um 11:17 Die nächsten beiden Scans nach der Systemwiederherstellung Malwarebytes vom 09.10.2010 um 15:42 (Vollständiger Scan) und OLT vom 09.10.2010 um 11:50 Geändert von thomas_knoop (15.10.2010 um 17:19 Uhr) |
|
15.10.2010, 21:10
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | 100 tan liste_neu Hallo und
__________________ Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL
[2010.10.05 15:52:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Ryiz
[2010.09.13 10:27:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PriceGong
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ |
|
16.10.2010, 07:37
| #3 |
| | 100 tan liste_neu Script habe ich ausgeführt, hat funktioniert.
__________________Das habe ich als Ergebnis erhalten: All processes killed ========== OTL ========== Folder C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Ryiz\ not found. C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PriceGong\Data folder moved successfully. C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PriceGong folder moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 49152 bytes ->Temporary Internet Files folder emptied: 32768 bytes User: All Users User: ***** ->Temp folder emptied: 196096158 bytes ->Temporary Internet Files folder emptied: 3306507 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 38358694 bytes ->Flash cache emptied: 8357 bytes User: Default User ->Temp folder emptied: 49152 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: Gast ->Temp folder emptied: 874873 bytes ->Temporary Internet Files folder emptied: 3052252 bytes ->Flash cache emptied: 405 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 14504818 bytes ->Flash cache emptied: 8326 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: ***** ->Temp folder emptied: 63894966 bytes ->Temporary Internet Files folder emptied: 223865223 bytes ->Java cache emptied: 8359300 bytes ->FireFox cache emptied: 29130978 bytes ->Flash cache emptied: 79523 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 19569 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 403726 bytes RecycleBin emptied: 135167501 bytes Total Files Cleaned = 684,00 mb OTL by OldTimer - Version 3.2.15.2 log created on 10162010_080923 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\Perflib_Perfdata_96c.dat not found! Registry entries deleted on Reboot... |
|
16.10.2010, 13:44
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | 100 tan liste_neu Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
16.10.2010, 15:51
| #5 |
| | 100 tan liste_neu Hat alles funktioniert, PC läuft auch noch. log Datei: "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-23 68856] "scheduler_monitor"="c:\programme\ReaConverter 5.5 Pro\init_scheduler.exe" [2007-06-15 27136] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-29 149040] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-05 136600] "RTHDCPL"="RTHDCPL.EXE" [2007-06-13 16132608] "PMX Daemon"="ICO.EXE" [2006-11-08 49152] "ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-10-03 221184] "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2006-10-03 81920] "PDVDDXSrv"="c:\programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2006-10-20 118784] "Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-13 30192] "ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-02-28 17920] "dscactivate"="c:\programme\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384] "DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "NBKeyScan"="c:\programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe" [2007-05-24 1226288] "AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712] "mcui_exe"="c:\programme\McAfee.com\Agent\mcagent.exe" [2010-06-30 1193848] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\a_knoop\Startmen\Programme\Autostart\ OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216] c:\dokumente und einstellungen\t_knoop\Startmen\Programme\Autostart\ OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2005-5-3 81920] Merkur - PrintPdf.lnk - c:\programme\Fleurop-Merkur\printpdf.bat [2007-8-23 313] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS] @="" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Programme\\Gemeinsame Dateien\\McAfee\\McSvcHost\\McSvHost.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 R1 mfetdi2k;McAfee Inc. mfetdi2k;c:\windows\system32\drivers\mfetdi2k.sys [28.08.2010 17:21 84072] R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [29.12.2008 18:43 93320] R2 McMPFSvc;McAfee Personal Firewall-Dienst;"c:\programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [28.08.2010 17:21 271480] R2 McNaiAnn;McAfee VirusScan Announcer;"c:\programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [28.08.2010 17:21 271480] R2 mfefire;McAfee Firewall Core Service;c:\programme\Gemeinsame Dateien\McAfee\SystemCore\mfefire.exe [28.08.2010 17:21 188136] R2 mfevtp;McAfee Validation Trust Protection Service;c:\programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe [28.08.2010 17:21 141792] R3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [28.08.2010 17:21 55840] R3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [28.08.2010 17:21 312904] R3 mfendiskmp;mfendiskmp;c:\windows\system32\drivers\mfendisk.sys [28.08.2010 17:21 88544] R3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [29.04.2008 16:27 18432] R3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [29.04.2008 16:27 14336] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [29.01.2010 12:20 135664] S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [23.04.2008 02:24 30192] S3 mfendisk;McAfee Core NDIS Intermediate Filter;c:\windows\system32\drivers\mfendisk.sys [28.08.2010 17:21 88544] S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [28.08.2010 17:21 84264] S3 rcp_service;ReaConverter scheduler service;c:\programme\ReaConverter 5.5 Pro\rcp_scheduler.exe [30.11.2007 12:27 558592] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - mfeavfk01 . Inhalt des "geplante Tasks" Ordners 2010-10-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-01-29 10:20] 2010-10-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-01-29 10:20] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1351351 uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\t_knoop\Anwendungsdaten\Mozilla\Firefox\Profiles\6u2ciomv.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=3&q={searchTerms} FF - prefs.js: browser.search.selectedEngine - Secure Search FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=mcafee&p= FF - component: c:\programme\McAfee\SiteAdvisor\components\McFFPlg.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-AdobeBridge - (no file) . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1298713379-4242083154-935588941-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{282BF30C-A12B-A00B-6067-2E1004D1FDE6}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "ealpfolngh"=hex:66,61,66,70,65,70,6f,6c,65,6d,65,65,00,31 "daopopop"=hex:64,62,70,6a,63,6d,6d,63,61,68,61,70,65,6d,6b,69,63,64,6f,67,6d, 66,63,68,6a,61,61,65,6b,6c,62,65,65,6b,63,6a,70,66,64,66,00,00 "iadkehbmialnnkcglf"=hex:69,61,65,6c,65,61,6f,66,6f,6d,67,6b,6c,6e,6e,6c,6c,63, 00,00 "hanjojikdcjofljl"=hex:69,61,65,6c,65,61,6f,66,6f,6d,67,6b,6c,6e,6e,6c,6c,63, 00,00 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1088) c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll - - - - - - - > 'explorer.exe'(1504) c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO800u.dll c:\windows\system32\pmxscrll.dll c:\windows\system32\PMXCOMM.dll c:\windows\system32\PMXHOOKS.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Java\jre6\bin\jqs.exe c:\programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe c:\windows\system32\IoctlSvc.exe c:\programme\Dell Support Center\bin\sprtsvc.exe c:\windows\system32\wdfmgr.exe c:\programme\Gemeinsame Dateien\McAfee\SystemCore\mcshield.exe c:\windows\RTHDCPL.EXE c:\windows\system32\ICO.EXE c:\windows\system32\igfxsrvc.exe c:\windows\system32\Pmxmiced.exe c:\programme\OpenOffice.org 2.4\program\soffice.exe c:\programme\OpenOffice.org 2.4\program\soffice.BIN c:\windows\system32\javaw.exe c:\windows\system32\wscntfy.exe c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-10-16 16:42:54 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-10-16 14:42 Vor Suchlauf: 13 Verzeichnis(se), 123.625.492.480 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 123.613.962.240 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - 80EDB6BF529D8019CEEC59C9FAC46CCA und jetzt ....? Thomas |
|
16.10.2010, 22:08
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | 100 tan liste_neu Das Log ist unvollständig!
__________________ --> 100 tan liste_neu |
|
17.10.2010, 12:04
| #7 |
| | 100 tan liste_neu Habe ich jetzt noch mal als Anhang , hoffe jetzt ist dieser vollständig Thomas |
|
17.10.2010, 13:40
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | 100 tan liste_neu Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter Killall::
Dirlook::
c:\programme\NOS
c:\dokumente und einstellungen\*****\Anwendungsdaten\Ryiz
Reglockdel::
[HKEY_USERS\S-1-5-21-1298713379-4242083154-935588941-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{282BF30C-A12B-A00B-6067-2E1004D1FDE6}*]
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
17.10.2010, 21:37
| #9 |
| | 100 tan liste_neu auch dieser Combofix Neustart hat funktioniert. als Anhang der log Thomas Geändert von thomas_knoop (17.10.2010 um 21:51 Uhr) |
|
18.10.2010, 08:28
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | 100 tan liste_neu Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.10.2010, 13:54
| #11 |
| | 100 tan liste_neu Die Scan's laufen, GMER dauert aber sehr lange. Sobald alles Scan's fertig sind Poste ich alles. Thomas |
|
19.10.2010, 09:52
| #12 |
| | 100 tan liste_neu Mein Fehler Ich hoffe jetzt ist alles O.K. der Osam Log ist auf meinem Desktop und der GMER hat gestern auch zum Abschluß ein Fenster geöffnet in dem über eine schadhafte Registry informiert wurde. MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000000c Kernel Drivers (total 119): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E5000 \WINDOWS\system32\hal.dll 0xBA5A8000 \WINDOWS\system32\KDCOM.DLL 0xBA4B8000 \WINDOWS\system32\BOOTVID.dll 0xB9F78000 ACPI.sys 0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xB9F67000 pci.sys 0xBA0A8000 isapnp.sys 0xBA670000 pciide.sys 0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xBA0B8000 MountMgr.sys 0xB9F48000 ftdisk.sys 0xBA5AC000 dmload.sys 0xB9F22000 dmio.sys 0xBA330000 PartMgr.sys 0xBA0C8000 VolSnap.sys 0xB9F0A000 atapi.sys 0xB9E43000 iaStor.sys 0xBA0D8000 disk.sys 0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xB9E23000 fltmgr.sys 0xB9E11000 sr.sys 0xB9DB4000 mfehidk.sys 0xB9D9D000 KSecDD.sys 0xB9D10000 Ntfs.sys 0xB9CE3000 NDIS.sys 0xB9CC9000 Mup.sys 0xBA188000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xB8FC8000 \SystemRoot\system32\DRIVERS\igxpmp32.sys 0xB8FB4000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xB8F73000 \SystemRoot\system32\DRIVERS\e1e5132.sys 0xBA470000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xB8F4F000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xBA478000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xB8F27000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xBA480000 \SystemRoot\system32\DRIVERS\fdc.sys 0xBA198000 \SystemRoot\system32\DRIVERS\imapi.sys 0xBA1A8000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xBA1B8000 \SystemRoot\system32\DRIVERS\redbook.sys 0xB8F04000 \SystemRoot\system32\DRIVERS\ks.sys 0xBA72B000 \SystemRoot\system32\DRIVERS\audstub.sys 0xB8EF0000 \SystemRoot\system32\DRIVERS\mfendisk.sys 0xBA1C8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xB9C81000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xB8ED9000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xBA1D8000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xBA1E8000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xBA488000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xB8EC8000 \SystemRoot\system32\DRIVERS\psched.sys 0xBA1F8000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xB8EA4000 \SystemRoot\system32\drivers\mfeavfk.sys 0xB8E31000 \SystemRoot\system32\drivers\mfefirek.sys 0xBA490000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xBA498000 \SystemRoot\system32\DRIVERS\raspti.sys 0xB8E01000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xBA208000 \SystemRoot\system32\DRIVERS\termdd.sys 0xBA4A0000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xBA4A8000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xBA5E2000 \SystemRoot\system32\DRIVERS\swenum.sys 0xB8DA3000 \SystemRoot\system32\DRIVERS\update.sys 0xBA574000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xBA228000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xBA248000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xBA5E6000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xA84A4000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xA8480000 \SystemRoot\system32\drivers\portcls.sys 0xBA258000 \SystemRoot\system32\drivers\drmk.sys 0xB8E7C000 \SystemRoot\System32\Drivers\i2omgmt.SYS 0xB8D9B000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xBA268000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xBA4B0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xBA278000 \SystemRoot\system32\DRIVERS\pmxusblf.sys 0xBA288000 \SystemRoot\system32\DRIVERS\pmxmouse.sys 0xBA5EC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xBA6F2000 \SystemRoot\System32\Drivers\Null.SYS 0xBA5EE000 \SystemRoot\System32\Drivers\Beep.SYS 0xBA380000 \SystemRoot\System32\drivers\vga.sys 0xBA5F0000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xBA5F2000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xBA388000 \SystemRoot\System32\Drivers\Msfs.SYS 0xBA390000 \SystemRoot\System32\Drivers\Npfs.SYS 0xB8D8F000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xA8335000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xA82DC000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xA82C9000 \SystemRoot\system32\drivers\mfetdi2k.sys 0xA82A3000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xA827B000 \SystemRoot\system32\DRIVERS\netbt.sys 0xBA2A8000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xA8259000 \SystemRoot\System32\drivers\afd.sys 0xBA2B8000 \SystemRoot\system32\DRIVERS\netbios.sys 0xA822E000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA81BE000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xBA2D8000 \SystemRoot\System32\Drivers\Fips.SYS 0xBA57C000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0xA83DC000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xA8440000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xA817E000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xBA5FA000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xA8398000 \SystemRoot\System32\drivers\Dxapi.sys 0xBA400000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xBA77E000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF024000 \SystemRoot\System32\igxpgd32.dll 0xBF012000 \SystemRoot\System32\igxprd32.dll 0xBF04E000 \SystemRoot\System32\igxpdv32.DLL 0xBF1F2000 \SystemRoot\System32\igxpdx32.DLL 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xA8086000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA7D81000 \SystemRoot\system32\drivers\wdmaud.sys 0xBA138000 \SystemRoot\system32\drivers\sysaudio.sys 0xA7854000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xA7753000 \SystemRoot\System32\Drivers\adfs.SYS 0xA760B000 \SystemRoot\system32\DRIVERS\srv.sys 0xA706B000 \SystemRoot\system32\drivers\cfwids.sys 0xA6BCB000 \SystemRoot\System32\Drivers\HTTP.sys 0xA695D000 \SystemRoot\system32\drivers\mfeapfk.sys 0xA6892000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 54): 0 System Idle Process 4 System 1012 C:\WINDOWS\system32\smss.exe 1064 csrss.exe 1088 C:\WINDOWS\system32\winlogon.exe 1132 C:\WINDOWS\system32\services.exe 1144 C:\WINDOWS\system32\lsass.exe 1324 C:\WINDOWS\system32\svchost.exe 1392 svchost.exe 1516 C:\WINDOWS\system32\svchost.exe 1656 svchost.exe 1764 svchost.exe 1916 C:\WINDOWS\system32\spoolsv.exe 444 C:\WINDOWS\explorer.exe 768 C:\WINDOWS\system32\igfxtray.exe 776 C:\WINDOWS\system32\hkcmd.exe 784 C:\WINDOWS\system32\igfxpers.exe 792 C:\Programme\Java\jre6\bin\jusched.exe 820 C:\WINDOWS\system32\igfxsrvc.exe 828 C:\WINDOWS\RTHDCPL.EXE 852 C:\WINDOWS\system32\ico.exe 924 C:\WINDOWS\system32\pmxmiced.exe 716 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe 980 C:\Programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe 984 C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe 1044 C:\Programme\Dell Support Center\bin\sprtcmd.exe 1216 C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe 1356 C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe 1380 C:\Programme\McAfee.com\Agent\mcagent.exe 1440 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 1460 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe 1592 svchost.exe 1548 C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe 2012 C:\Programme\OpenOffice.org 2.4\program\soffice.exe 1256 C:\Programme\Java\jre6\bin\jqs.exe 2036 C:\Programme\OpenOffice.org 2.4\program\soffice.bin 2056 C:\WINDOWS\system32\javaw.exe 2096 C:\Programme\McAfee\SiteAdvisor\McSACore.exe 2552 C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe 2628 C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe 2644 C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe 2692 C:\WINDOWS\system32\IoctlSvc.exe 2796 C:\Programme\Dell Support Center\bin\sprtsvc.exe 2896 C:\WINDOWS\system32\svchost.exe 2952 wdfmgr.exe 3160 C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mcshield.exe 3252 C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfefire.exe 3648 C:\WINDOWS\system32\wscntfy.exe 3456 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe 244 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe 1196 C:\WINDOWS\system32\wbem\wmiapsrv.exe 2760 alg.exe 900 C:\Programme\Mozilla Firefox\firefox.exe 2688 C:\Dokumente und Einstellungen\t_knoop\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`02f10c00 (NTFS) PhysicalDrive0 Model Number: WDCWD1600AAJS-75WAA0, Rev: 58.01D58 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Dell MBR code detected SHA1: 57BDF501CE769EF2720C705B6C71C893DA31574E Done! Thomas |
|
18.10.2010, 19:26
| #14 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | 100 tan liste_neuZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu 100 tan liste_neu |
| 100 tan, 100 tan trojaner, abfrage, anhänge, befall, beurteilt, deutsche, deutschen, ellung, fehler, forum, funktionier, handlungsbedarf, hänge, liste, login, neu, rechner, scans, sobald, tan, tan abfrage, tan trojaner, troja, trojaner, vollständiger, windows |
Hybrid-Darstellung