| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: AntiVir fand Trojaner SPR/Destart.AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
31.01.2011, 14:29
| #1 |
 |  AntiVir fand Trojaner SPR/Destart.A SUPERAntiSpyware Scann-Protokoll hxxp://www.superantispyware.com Generiert 01/31/2011 bei 02:18 PM Version der Applikation : 4.48.1000 Version der Kern-Datenbank : 6304 Version der Spur-Datenbank : 4116 Scan Art : kompletter Scann Totale Scann-Zeit : 01:09:28 Gescannte Speicherelemente : 779 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 7508 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 92215 Erfasste Datei-Elemente : 0 |
|
31.01.2011, 15:02
| #2 |
| | AntiVir fand Trojaner SPR/Destart.A Hallo nochma:
__________________eine Frage hätt ich noch: Wenn ich den RegistryBooster, den du als Link gepostet hast, anwende, kann ich dann alle Fehler, die er findet, einfach bereinigen lassen? Oder gibt es Dinge, die ich nicht löschen sollte? Und woher weiß ich, welche das sind?  Danke! |
|
30.01.2011, 13:40
| #3 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | AntiVir fand Trojaner SPR/Destart.A Combofix - Scripten
__________________1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter http://www.trojaner-board.de/94926-antivir-fand-trojaner-spr-destart.html#post614602
Seccenter::
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
Collect::
c:\windows\system32\ccdcmbwu.dll
c:\windows\system32\nmwcdcocls.dll
Folder::
c:\windows\Internet Logs
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ |
|
31.01.2011, 11:10
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir fand Trojaner SPR/Destart.A Ignorier das mit CF. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
31.01.2011, 12:23
| #5 |
| | AntiVir fand Trojaner SPR/Destart.A Numero uno: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-31 12:21:30
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\00000064 Hitachi_HDP725050GLA360 rev.GM4OA52A
Running: td0x5y2q.exe; Driver: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\pgldqpoc.sys
---- System - GMER 1.0.15 ----
SSDT AFCFBF9E ZwCreateKey
SSDT AFCFBF94 ZwCreateThread
SSDT AFCFBFA3 ZwDeleteKey
SSDT AFCFBFAD ZwDeleteValueKey
SSDT spjn.sys ZwEnumerateKey [0xBA6CDDA4]
SSDT spjn.sys ZwEnumerateValueKey [0xBA6CE132]
SSDT AFCFBFB2 ZwLoadKey
SSDT spjn.sys ZwOpenKey [0xBA6B50C0]
SSDT AFCFBF80 ZwOpenProcess
SSDT AFCFBF85 ZwOpenThread
SSDT spjn.sys ZwQueryKey [0xBA6CE20A]
SSDT spjn.sys ZwQueryValueKey [0xBA6CE08A]
SSDT AFCFBFBC ZwReplaceKey
SSDT AFCFBFB7 ZwRestoreKey
SSDT AFCFBFA8 ZwSetValueKey
INT 0x62 ? 89E56BF8
INT 0x63 ? 898ABF00
INT 0x73 ? 89E56BF8
INT 0x82 ? 89E56BF8
INT 0x83 ? 89E56BF8
INT 0xB4 ? 898ABF00
Code \??\C:\DOKUME~1\Besitzer\LOKALE~1\Temp\catchme.sys pIofCallDriver
---- Kernel code sections - GMER 1.0.15 ----
? spjn.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload A8D7262C 5 Bytes JMP 898AB4E0
.text amoxp2xx.SYS A88A6386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text amoxp2xx.SYS A88A63AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text amoxp2xx.SYS A88A63C4 3 Bytes [00, 80, 02]
.text amoxp2xx.SYS A88A63C9 1 Byte [30]
.text amoxp2xx.SYS A88A63C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. !
? C:\DOKUME~1\Besitzer\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\SearchIndexer.exe[3456] kernel32.dll!WriteFile 7C810D97 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6B6042] spjn.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6B613E] spjn.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6B60C0] spjn.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6B6800] spjn.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6B66D6] spjn.sys
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!KfAcquireSpinLock] 0C8D1C46
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!READ_PORT_UCHAR] B48B8932
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!KeGetCurrentIrql] 89000001
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!KfRaiseIrql] 0001C083
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!KfLowerIrql] 24468B00
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!HalGetInterruptVector] 89820C8D
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!HalTranslateBusAddress] D18BF84D
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!KeStallExecutionProcessor] 860F1639
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!KfReleaseSpinLock] 000000BD
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 020CB389
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!READ_PORT_USHORT] 83660000
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 7400067E
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[HAL.dll!WRITE_PORT_UCHAR] 89D60320
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[WMILIB.SYS!WmiSystemControl] 8D168B00
IAT \SystemRoot\System32\Drivers\amoxp2xx.SYS[WMILIB.SYS!WmiCompleteRequest] F0003284
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 89E551F8
Device \FileSystem\Fastfat \FatCdrom 88EB11F8
Device \Driver\PCI_PNP3866 \Device\00000042 spjn.sys
Device \Driver\usbohci \Device\USBPDO-0 89A1A500
Device \Driver\usbehci \Device\USBPDO-1 89A17500
Device \Driver\sptd \Device\3703398866 spjn.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 89E571F8
Device \Driver\Cdrom \Device\CdRom0 89838500
Device \Driver\Ftdisk \Device\HarddiskVolume2 89E571F8
Device \Driver\Cdrom \Device\CdRom1 89838500
Device \Driver\Ftdisk \Device\HarddiskVolume3 89E571F8
Device \Driver\Ftdisk \Device\HarddiskVolume4 89E571F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 890791F8
Device \Driver\NetBT \Device\NetbiosSmb 890791F8
Device \Driver\usbohci \Device\USBFDO-0 89A1A500
Device \Driver\usbehci \Device\USBFDO-1 89A17500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8905B1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8905B1F8
Device \Driver\Ftdisk \Device\FtControl 89E571F8
Device \Driver\amoxp2xx \Device\Scsi\amoxp2xx1Port3Path0Target0Lun0 898E9500
Device \Driver\amoxp2xx \Device\Scsi\amoxp2xx1 898E9500
Device \FileSystem\Fastfat \Fat 88EB11F8
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 88EE51F8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xAF 0xD4 0x6A 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x5F 0xEA 0x53 0x23 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xCB 0xB2 0x2C 0xFA ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xAF 0xD4 0x6A 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x5F 0xEA 0x53 0x23 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xCB 0xB2 0x2C 0xFA ...
---- EOF - GMER 1.0.15 ----
|
|
31.01.2011, 12:31
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir fand Trojaner SPR/Destart.A Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ --> AntiVir fand Trojaner SPR/Destart.A |
|
31.01.2011, 15:55
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir fand Trojaner SPR/Destart.A Lass am besten die Finger von Registry-Bereingungstools. Das haben wir nur einmal mit dem CCleaner kurz vor CF gebraucht. Ansonsten ist die Bereinigung der Registry eher kontraproduktiv als nützlich. Die Kontrollscans brachten keine Funde. Rechner soweit wieder ok?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
31.01.2011, 17:41
| #8 |
| | AntiVir fand Trojaner SPR/Destart.A Hum? Ja klar, normal lass ich das. Ich dacht das wär so ne Empfehlung von dir, weil's am Anfang deines Posts stand. Generell mach ich nix, wovon ich nix versteh. ;-) Joa, der Rechner war eigentlich die ganze Zeit okay, insofern könnt ich dir nich sagen, ob was anders oder besser ist. Er lief quasi wie immer - bis auf den Fund. Und bis auf den Anwendungs-Fehler wie ganz zu Beginn beschrieben, aber das geht immer noch nicht. Falls du mir da noch weiter helfen könntest? Dann wär ich seeeeehr glücklich! *lach* Achja, und was mach ich mit dem guten Trojaner-Fund in der Quarantäne? Löschen? |
|
31.01.2011, 19:23
| #9 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir fand Trojaner SPR/Destart.AZitat:
 Üblicherweise startet man das Abspielprogramm seiner Wahl und wählt da über das Menü die Quelle, in diesem Fall eine Musik-CD. Ich würde da VLC oder WinAmp empfehlen, ist aber Geschmackssache, den Windows Media Player zB mag ich garnicht  Zitat:
SP2 und IE6 sind gnadenlos veraltet!! Wir sind bei SP3 und IE8, bald IE9!! Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.02.2011, 11:21
| #10 |
| | AntiVir fand Trojaner SPR/Destart.A Hallo, also, das macht der mit jeder Audio-CD. Klar, wenn ich über öffnen geh kann ich die Tracks anwählen zum Abspielen. Aber üblich wäre ja, dass er automatisch das Fenster öffnet, was mit dem Medium zu tun ist (so wie bei Digicam, USB, etc...), bzw. dass er zumindest anzeigt, was drauf ist, wenn ich doppelklicke. Aber er zeigt im Arbeitsplatz an Audio CD (G - CD Laufwerk - 0 Byte - 0 Byteund nach Doppelklick die Fehlermeldung. Das kommt mir halt spanisch, weil ich nich weiß, wo das plötzlich her kommt und wie ich's reparier. MediaPlayer nutz ich an sich auch nicht, wollt's auch nich hören, sondern nur in mp3 umwandeln. SP3 hatte ich doch schon, wo is das denn abgeblieben? :-O Und IE benutz ich nich, drum kein Update. Was haste nu eig mit meiner Kiste gemacht? Nur durchgescannt oder auch iwas verändert? =) Grüße! |
|
01.02.2011, 13:34
| #11 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir fand Trojaner SPR/Destart.AZitat:
Stell dir vor, du steckst einen fremden USB-Stick an. Du weißt nicht, dass er infiziert ist, rechnest damit auch nicht. Der Schädling auf dem infizierten USB-Stick sorgt dafür, dass der Schädling automaisch nach dem Einstecken startet, ohne dein Zutun, und schon haste den Salat - helfen würde hier mit viel Glück vllt noch der Virenscanner - sofern er den Schädling kennt - besser aber eingeschränkte Rechte (dann kann nichts am System verändert werden), am besten ist aber, dass garnichts erst automatisch startet. Zitat:
Zitat:
Abgesehen davon wären wir aber durch!  Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.02.2011, 17:33
| #12 |
| | AntiVir fand Trojaner SPR/Destart.A Hey! Joa Updates sind klar, und auch schon gemacht. Ich danke herzlichst für deine Hilfe! Wünsche noch en schönen Abend und ne gute Zeit!  Bis dann! Celest |
|
| Themen zu AntiVir fand Trojaner SPR/Destart.A |
| adobe, anfang, antivir, antivir guard, besitzer, bho, bonjour, browser, desktop, einstellungen, eudora, excel, explorer, firefox.exe, google, hijack, hijackthis, hkus\s-1-5-18, monitor, nt.dll, nvidia, plug-in, programme, registry, senden, software, spr/destart.a, system, trojaner, versteckte objekte, verweise, virus, virus gefunden, windows, windows xp |
Hybrid-Darstellung
