| |
| |||||||
Log-Analyse und Auswertung: Nach Formatierung immer noch VirenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
26.01.2011, 02:12
| #1 | |||
| |  Nach Formatierung immer noch Viren Hallo, ich habe aufgrund eines Trojaners meinen PC formatiert und neu aufgesetzt. Nachdem ich bei pandasecurity den Activescan laufen ließ, wurden mehrere infizierte Dateien entdeckt. Ich bin nun verunsichert. Deswegen habe ich mich entschlossen, hier im Forum um Hilfe zu bitten, da ich keine Ahnung von solchen Sachen habe. Der Log von activescan: Zitat:
Zitat:
Zitat:
Und die Extra- Datei: OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 25.01.2011 23:32:56 - Run 1
OTL by OldTimer - Version 3.2.20.5 Folder = D:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1.015,00 Mb Total Physical Memory | 289,00 Mb Available Physical Memory | 28,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 72,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 14,65 Gb Total Space | 8,47 Gb Free Space | 57,80% Space Free | Partition Type: NTFS
Drive D: | 59,87 Gb Total Space | 56,69 Gb Free Space | 94,68% Space Free | Partition Type: NTFS
Computer Name: CUBE5 | User Name: admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "D:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "D:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{19F5658D-92E8-4A08-8657-D38ABB1574B2}" = Asus ACPI Driver
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216020F0}" = Java(TM) 6 Update 20
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java(TM) 6 Update 23
"{2987EE84-C4EE-4FF5-8160-32DE00D6ABC6}" = GTA2
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{6E4DAE31-7CF3-441A-B6E5-B014D63C80CD}" = Eee Instant Key
"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch
"{DFFC0648-BC4B-47D1-93D2-6CA6B9457641}" = OpenOffice.org 3.2
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"ActiveScan 2.0" = Panda ActiveScan 2.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MiKTeX 2.9" = MiKTeX 2.9
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)
"MP Navigator EX 2.0" = Canon MP Navigator EX 2.0
"Secunia PSI" = Secunia PSI (2.0.0.2001)
"TeXnicCenter_is1" = TeXnicCenter Version 1.0 Stable RC1
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 22.01.2011 10:24:02 | Computer Name = CUBE5 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 22.01.2011 10:24:02 | Computer Name = CUBE5 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 22.01.2011 10:24:02 | Computer Name = CUBE5 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 22.01.2011 10:24:02 | Computer Name = CUBE5 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 22.01.2011 10:33:30 | Computer Name = CUBE5 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 22.01.2011 12:23:56 | Computer Name = CUBE5 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung basic-miktex-2.9.3972.exe, Version 2.9.3972.0,
fehlgeschlagenes Modul basic-miktex-2.9.3972.exe, Version 2.9.3972.0, Fehleradresse
0x0001bdc0.
Error - 22.01.2011 12:31:52 | Computer Name = CUBE5 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 22.01.2011 17:22:08 | Computer Name = CUBE5 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 22.01.2011 18:58:36 | Computer Name = CUBE5 | Source = ESENT | ID = 490
Description = svchost (1176) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 24.01.2011 18:11:46 | Computer Name = CUBE5 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung gta2.exe, Version 9.6.0.0, fehlgeschlagenes
Modul gta2.exe, Version 9.6.0.0, Fehleradresse 0x000b0d27.
[ System Events ]
Error - 22.01.2011 10:31:00 | Computer Name = CUBE5 | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC90.CRT" konnte nicht gefunden
werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
installiert.
Error - 22.01.2011 10:31:00 | Computer Name = CUBE5 | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen.
Referenzfehlermeldung:
Die referenzierte Assemblierung ist nicht auf dem Computer installiert. .
Error - 22.01.2011 10:31:00 | Computer Name = CUBE5 | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\DOKUME~1\admin\LOKALE~1\Temp\RarSFX0\redist.dll
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .
Error - 22.01.2011 15:21:54 | Computer Name = CUBE5 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "BITS"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {4991D34B-80A1-4291-83B6-3328366B9097}
Error - 22.01.2011 15:21:54 | Computer Name = CUBE5 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "BITS"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {4991D34B-80A1-4291-83B6-3328366B9097}
Error - 22.01.2011 15:21:54 | Computer Name = CUBE5 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "BITS"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {4991D34B-80A1-4291-83B6-3328366B9097}
< End of report >
Zu guter Letzt habe ich GMER laufen lassen: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-26 01:36:30
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST980811AS rev.3.ALC
Running: ehcpv5wp.exe; Driver: C:\DOKUME~1\admin\LOKALE~1\Temp\pxtdqpow.sys
---- System - GMER 1.0.15 ----
SSDT F7CC1716 ZwCreateKey
SSDT F7CC170C ZwCreateThread
SSDT F7CC171B ZwDeleteKey
SSDT F7CC1725 ZwDeleteValueKey
SSDT F7CC172A ZwLoadKey
SSDT F7CC16F8 ZwOpenProcess
SSDT F7CC16FD ZwOpenThread
SSDT F7CC1734 ZwReplaceKey
SSDT F7CC172F ZwRestoreKey
SSDT F7CC1720 ZwSetValueKey
---- Kernel code sections - GMER 1.0.15 ----
? C:\DOKUME~1\admin\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !
---- EOF - GMER 1.0.15 ----
Da mir die ganzen Logfiles nichts sagen, wäre ich für kompetente Hilfe sehr dankbar. Habe ich mir etwas eingefangen? Und wenn ja, woran kann man das in den logs erkennen? Ich bedanke mich im Voraus für Antworten. |
|
26.01.2011, 09:30
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Nach Formatierung immer noch VirenZitat:
__________________ |
|
26.01.2011, 09:48
| #3 | |
| | Nach Formatierung immer noch Viren Vielen Dank für die schnelle Antwort.
__________________Ich habe zuerst alle Partitionen gelöscht und dann neue aufgesetzt. 8 MB konnten aber keiner Partition zugeordet werden. D: wurde nach der Windows-Installation formatiert. Zitat:
|
|
26.01.2011, 10:02
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Nach Formatierung immer noch Viren Nein, die anderen Funde sind nur harmlose Cookies.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
26.01.2011, 10:11
| #5 |
| | Nach Formatierung immer noch Viren Und in den anderen Log-Files ist nichts zu erkennen??? Ich hätte da noch ein anderes Problem: Wichtige Dateien hatte ich vor der Formatierung auf USB-Sticks gespeichert. Wie und mit welchen Programmen kann ich überprüfen, ob die trojanerfrei sind? Ich habe schon autorun über gpedit.msc -- Computerkonfiguration -- Administrative Vorlagen -- System deaktiviert. Kann ich die Sticks unbesorgt überprüfen? Was sollte ich noch ändern/einstellen, damit ich sicherer vor Trojanern etc. werde? Alle Passwörter ändern??? |
|
26.01.2011, 10:18
| #6 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Nach Formatierung immer noch VirenZitat:
Zitat:
Und unbedingt die automatische Wiedergabe deaktivieren, damit ein mit einem Autorunwurm verseuchter USB-Stick oder -Platte nicht automatisch einen Schädling ausführt nach dem Einstecken, AFAIK wirkt sich die Einstellung über gpedit.msc nicht auf Wechseldaträger wie Sticks und ext. Platten aus: Autorun auf allen Laufwerken deaktivieren Ich empfehle, den Autorun grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat. Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch. Zitat:
Halte Dich am besten grob an diese fünf Regeln: 1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!! 2) Halte Windows und alle verwendeten Programme immer aktuell 3) Führe regelmäßig Backups auf externe Medien durch 4) Arbeite mit eingeschränkten Rechten 5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?
__________________ --> Nach Formatierung immer noch Viren |
|
26.01.2011, 23:33
| #7 | |
| | Nach Formatierung immer noch VirenZitat:
Hab die noautoplay ausgeführt. Vielen Dank für die Datei und ich möchte dir nochmal für die schnelle Hilfe danken. Ihr seid ein kompetentes Team und macht eine Super-Arbeit hier im Forum. |
|
27.01.2011, 09:04
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Nach Formatierung immer noch Viren Nein, GMER hat nichts gefunden. Was da steht ist ein Log, was aber keine Hinweise auf Rootkits ergibt, Die mbr.sys ist ok.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
27.01.2011, 17:46
| #9 |
| | Nach Formatierung immer noch Viren OK. Und nochmal vielen Dank für deine Hilfe.  |
|
| Themen zu Nach Formatierung immer noch Viren |
| .dll, adobe, assembly, asus, avira, canon, desktop, dll, einstellungen, error, explorer, fehler, flash player, infizierte, infizierte dateien, log, logfile, mozilla, mozilla thunderbird, oldtimer, otl-datei, programme, rarsfx0, realtek, registry, rundll, saver, secunia psi, server, shell32.dll, software, svchost, system restore, temp, viren, windows internet |
Hybrid-Darstellung
