Viren befall ? HijackThius (fehler?)
 

Hi Comm, weiß nicht ob ich hier richtig bin, wenn nicht bitte verschieben.


Hab folgendes Problem:


Hab mir vom Freund Musik schicken lassen, leider wahren in den Ordner auch Programme die anscheinend verseucht wahren.


Avira konnte die Schädlinge ausmachen und in die Quarantäne verschieben, nur hat eben Norton (ohne scann) per "Sonar" ein oder mehrere Schädlinge gefunden, dazu musste ich den Rechner neustarten. Problem ist Norten lässt sich seid dem nicht mehr öffnen! Hab vor mehren Tagen mit Norton einen vollscann durchgeführt, kein Fund! Aber während dem scannen hat sich Avira gemeldet und hat eine Bedrohung gefunden(Trojan Droper Gen)! Die ich dann in die Quarantäne verschoben hab, weil löschen ist zwar möglich aber sobald ich mit Norton einen neuen vollscann ausführe wird der Schädling wieder gefunden.


Eben hab ich mit HijackTis ausgeführt, soweit wurden keine Bedrohungen gefunden, außer unbekannte Programme die sich im System32 Ordner befinden.


Hier mal die Log-Files vlt könnt ihr mir weiterhelfen?!

HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:23, on 19.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\OO Software\Defrag\oodtray.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Norton Internet Security\Engine\17.1.0.19\ccSvcHst.exe
C:\Program Files\OO Software\Defrag\oodag.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Norton Internet Security\Engine\17.1.0.19\SymIMIns.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Program Files\Norton Internet Security\Engine\17.1.0.19\hsplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Users\Privat\AppData\Local\Tific\Download\.hsie2010.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\17.1.0.19\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\17.1.0.19\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\17.1.0.19\coIEPlg.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\Program Files\OO Software\Defrag\oodtray.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\17.1.0.19\ccSvcHst.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Program Files\OO Software\Defrag\oodag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--
End of file - 5764 bytes


__________________

Avira:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 18. November 2009 02:08

Es wird nach 1910968 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.1.7600]
Boot Modus : Abgesicherter Modus
Benutzername : Privat
Computername : PRIVAT-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 13:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 09:21:42
ANTIVIR2.VDF : 7.1.6.222 5998592 Bytes 11.11.2009 22:33:25
ANTIVIR3.VDF : 7.1.6.241 224256 Bytes 16.11.2009 22:33:32
Engineversion : 8.2.1.65
AEVDF.DLL : 8.1.1.2 106867 Bytes 16.11.2009 22:35:33
AESCRIPT.DLL : 8.1.2.44 586107 Bytes 16.11.2009 22:35:27
AESCN.DLL : 8.1.2.5 127346 Bytes 16.11.2009 22:35:16
AERDL.DLL : 8.1.3.2 479604 Bytes 16.11.2009 22:35:13
AEPACK.DLL : 8.2.0.3 422261 Bytes 16.11.2009 22:34:37
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:39
AEHEUR.DLL : 8.1.0.180 2093432 Bytes 16.11.2009 22:34:32
AEHELP.DLL : 8.1.7.0 237940 Bytes 16.11.2009 22:33:45
AEGEN.DLL : 8.1.1.74 364917 Bytes 16.11.2009 22:33:39
AEEMU.DLL : 8.1.1.0 393587 Bytes 16.11.2009 22:33:35
AECORE.DLL : 8.1.8.2 184694 Bytes 16.11.2009 22:33:33
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 16.11.2009 22:35:34
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 10:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+SPR,

Beginn des Suchlaufs: Mittwoch, 18. November 2009 02:08

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Navw32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '24' Prozesse mit '24' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '25' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <DATA>
D:\Neuer Ordner (2)\09.2009\Reloaded norton internet security 2010 crack .zip
[0] Archivtyp: ZIP
--> Install.exe
[1] Archivtyp: RSRC
--> Object
[2] Archivtyp: CAB (Microsoft)
--> Setup_00.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Autoit.AY
--> Install.exe
[FUND] Ist das Trojanische Pferd TR/Genome.bjgv
D:\Neuer Ordner (2)\09.2009\Reloaded norton internet security 2010 crack.zip
[0] Archivtyp: ZIP
--> Install.exe
[1] Archivtyp: RSRC
--> Object
[2] Archivtyp: CAB (Microsoft)
--> Setup_00.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Autoit.AY
--> Install.exe
[FUND] Ist das Trojanische Pferd TR/Genome.bjgv
D:\Neuer Ordner (2)\09.2009\Winxp Windows Xp Activation (Works With Pro, Home And Home Upgrd) Crack Keygen Serial.zip
[0] Archivtyp: ZIP
--> WinXP Windows XP activation (works with pro, home and home upgrd.)/reset2.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Small.AI.1
--> WinXP Windows XP activation (works with pro, home and home upgrd.)/WinXP Windows XP activation Crack (works with pro, home and home upgrd.)/reset2.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Small.AI.1

Beginne mit der Desinfektion:
D:\Neuer Ordner (2)\09.2009\Reloaded norton internet security 2010 crack .zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6f59ea.qua' verschoben!
D:\Neuer Ordner (2)\09.2009\Reloaded norton internet security 2010 crack.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e92520b.qua' verschoben!
D:\Neuer Ordner (2)\09.2009\Winxp Windows Xp Activation (Works With Pro, Home And Home Upgrd) Crack Keygen Serial.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7159ee.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 18. November 2009 03:18
Benötigte Zeit: 37:04 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

15692 Verzeichnisse wurden überprüft
161806 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
161798 Dateien ohne Befall
679 Archive wurden durchsucht
2 Warnungen
5 Hinweise

____________________________


Malwarebytes hab ich auch installiert, er findet aber nix.


Danke


Mfg

Hallo Slimix

Wer sich cracks, keygens und ähnliches auf die Platte lädt und sie dann auch noch ausführt ist selber schuld. Du hättest einfach bei Antivir bleiben sollen, das ist kostenlos. Keygens, Cracks und sonstiges sind fast immer mit Malware verseucht!!!

Der einzige Support den es hier für dich gibt ist http://www.trojaner-board.de/51262-a...sicherung.html

Gruß

Acid

Ich habe von den Programmen keins genutzt! Ich hab mir die Testversion von Norton gezogen. Von den Programmen wusste ich nichts!

mfg

Neuaufsetzen: Gibt's da keine andere Möglichkeit?

Naja ein Norton crack und dann auch noch Norton in Benutzung, da liegt der Verdacht nahe. Aber ich glaube dir jetzt mal. :)

Deinstalliere als erstes einmal das Norton, zwei aktive Scanner belasten eher das System als daß sie nützen. Benutze dafür Download and run the Norton Removal Tool

Dann lösche den ganzen Programm-Schrott den dein Kumpel dir da geschickt hat. Führe nichts davon aus!!!!

Nun zur Bereinigung. :)

Schritt 1:

Windows-Explorer öffnen (Windows-Taste + E) und unter => Organisieren => Ordner- und Suchoptionen => im Reiter "Ansicht"

* Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
* Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
* Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

Schritt 2:

Lade dir den CCleaner runter und reinige Damit dein System.

Schritt 3:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

http://filepony.de/download-otl/

Schritt 4:

Gmer-Scan

Bevor mit GMER gescant werden kann müssen erst einige Dinge erledigt werden:

Alle Scanner gegen Viren, Spyware und sonstiges müssen deaktiviert werden
Alle Netzwerk- und Internetverbindungen trennen (auch WLAN)
Beim Scan nichts am Rechner machen
Nach dem Scan den Rechner neustarten

Der Gmer Scan:

* GMER auf den Desktop herunter laden.
* Gmer ist geeignet für => NT/W2K/XP/VISTA.
* Alle geöffneten Programme schließen (auch den Browser) Hintergrundprogramme nach Möglichkeit beenden
* Gmer.exe starten
* Vista-User müssen das Programm als Administrator starten
* Den Scan mit "Scan" starten. Nichts am Rechner machen während der Scan läuft.
* Wenn der Scan fertig ist auf "Copy" klicken um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Das Log entweder direkt als Antwort posten oder als Textdatei auf den Desktop speichern falls erst der Neustart durchgeführt wird.

Falls sich ein Fenster mit folgender Warnung öffnet:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Alle anfallenden logs entweder in code tags posten (# button) oder als Anhang an deine Antwort.

Gruß

Acid

Danke dir.


Log: 1

Log 2/1

Log 2/2

2/3

2/4

Gmer Log:

Danke schon mal für deine Hilfe :)

Mfg

Hallo

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

Gruß

Acid

Hi Acid, hier das Log:


Mich wundert es das die Programme die ich eigentlich schon gelöscht hab, immer noch auf der Platte vorhanden sind, gibts da kein Freeware Programm womit die Automatisch gelöscht werden?


Weißt du was das zu bedeuten hat? " detected NTDLL code modification: " ?

Danke nochmal,



Mfg

Was hast du denn gelöscht?

Das wird von dem Rootkit kommen welches wahrscheinlich bei dir im System sitzt. Ich versuche gerade herauszufinden mit was wir es zu tun haben.

Suche einmal nach folgender Datei spqm.sys und lade diese bei http://www.virustotal.com/de/ hoch und lasse sie untersuchen. Das kann einige Minuten dauern. Poste dann das komplette Ergebnis hier.

Gruß

Acid

Hi Acid, z.b das von Lavasoft, hab die überflüssigen Ordner jetzt per Hand gelöscht.



Problem ist, ich kann die angegeben Datei nicht finden, wenn ich bei Suche *.sys* eingebe werden mir 4 Dateien angezeigt! Hast du ne Idee?


Mfg

Kannst du mir bitte mal die Dateien posten die dir angezeigt werden?

Wird dir auch alles angezeigt?

Windows-Explorer öffnen (Windows-Taste + E) und unter => Organisieren => Ordner- und Suchoptionen => im Reiter "Ansicht"

* Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
* Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
* Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

Gruß

Acid

H Acid,


http://www.bilder-hochladen.net/files/big/7p79-v.jpg

Hallo Slimix

Lass uns mal was anderes probieren. SysProt.

Rootkitsuche mit SysProt

• Lade dir SysProt auf den Desktop und starte das Tool
• Gehe dort auf den Reiter "Log"
• Setze nun einen Haken bei:
  • Kernel Modules
  • Kernel Hooks
  • Hidden Files
  • Und unten bei "Hidden Objects Only"
• Drücke nun auf "Create Log"
• Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
• Wenn der Scan abgeschlossen ist, beende SysProt.
• Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

Danach dann bitte einen Komplettscan mit Malwarebytes und http://www.trojaner-board.de/51871-a...tispyware.html

Beide logs posten.

Gruß

Acid

Hey Acid,

SysProt Log:

Anhang:





Ich denke mal das es sich bei dem Fund um einen Fehler handelt?, den ich habe die Datei mit verschiedenen Scannern gescannt und es wurde keine Bedrohung festgestellt, ob mit Avira, Malware, Spyware Doctor, Norton, und Virus Total. Hab die infizierte Datei trotzdem erst mal gelöscht. Obwohl die schon seit fast ein Jahr auf dem zweit Rechner existiert, und es keine Probleme gibt...

_____________________________________________________


Trotzdem bleibt noch eine Frage offen, was bedeutet die

"detected NTDLL code modification" ?



Ps: Großen Respekt, was ihr alles aus den Log's herausbekommt! :daumenhoc

mfg

Hallo Slimix

Das könnte an Windows 7 liegen. Ich hab mal catchme an mein Win7 gelassen und hab exakt die gleiche Meldung bekommen.

Bitte mache mal einen Kontroll Scan mit Antivir und poste mir den Report. Momentan irgendwas ungewöhnliches passiert beim täglichen Arbeiten mit deinem Rechner?

Gruß

Acid

Hey Acid


eigentlich nicht, seit dem ich Norton entfernt habe und noch einige andere Programme, gab's bis jetzt keine weiteren Probleme. Rechner läuft soweit Stabil ohne Probs. . Dachte halt nur das n Rootkit o. so noch irgendwo im System sitzt, aber wenn bei dir die gleiche Meldung erscheint wird's schon passen... Ja danke nochmal für deine Hilfe, macht weiter so, geile/s Forum/ Leute :daumenhoc


:applaus:


Aso, hier noch das Log:

Eine frage hätte ich da noch, warum wird wenn ich bei Avira "Erweitertes Log" auswähle nur das normale angezeigt?


Mfg

Hallo Slimix

Antivir so eingestellt http://www.trojaner-board.de/54192-a...tellungen.html?

Falls nicht, mal machen und noch einen Kontrollscan. Ich denke dann wird es das gewesen sein. Den Report natürlich auch posten. ;)

Gruß

Acid

Hey,


hab ich schon so Eingestellt :)


Danke nochmal ;)


Macht weiter so...



Mfg

Da haste dann wohl nochmal Glück gehabt. Also pass beim nächsten mal besser auf was du dir da so schicken lässt. ;)

Abschließend noch etwas Lesestoff für dich: http://www.trojaner-board.de/74052-s...-internet.html

Gruß

Acid

Hab dir mal n Link geschickt, weil ich nicht weiß ob ich den hier Posten darf.

zum Thema Firewall, was sagst du den dazu? Ich weiß ja nicht inwieweit das stimmen mag, da die Meinungen ja hier zu eher der Windows Firewall tendieren. Vielleicht kann man das ja in dem Fred ändern oder sogar mit Einbauen, falls das was in dem Link den ich dir geschickt habe stimmen sollte, nur ein Vorschlag von mir...

Mfg

Was ich dazu sage? Ich schließe mich da ganz klar der Meinung an daß die Dinger unnötig sind und wirklich nur die Angriffsfläche des Systems vergrößern. Eigentlich ist es egal ob du eine Firewall oder einen Virenscanner benutzt oder nicht. Kein Programm schützt dich vor dir selbst.

Brain.exe ist immernoch der beste Schutz den es gibt aber leider lässt sich die bei manchen wohl leicht aushebeln. ;)

Gruß

Acid

Morgen Acid ,


gut zu Wissen, bin mittlerweile auch der Meinung das die Dinger unnütze sind, und nur die Systemsicherheit beeinflussen... Natürlich glaubt man das immer nicht auf Anhieb da die Programme ja immer so viel Sicherheit versprechen :lach:

Schick mir mal bitte den Link von Brain.exe finde bei google nix :D


mfg