Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Rootkit.win32.ZAccess.c (https://www.trojaner-board.de/112136-rootkit-win32-zaccess-c.html)

HySnoopy 22.03.2012 20:57
Rootkit.win32.ZAccess.c
 
Hallo,
ich hab mir den Rootkit.win32.ZAccess.c eingefangen. Kaspersky meldet ihn zwar, das wars dann aber auch. Habs mit dem TDSSKiller probiert, hat aber nichts geholfen. In anderen Foren hab ich auch nichts brauchbares gefunden. Nebeneffekt ist, dass ich es irgendwie geschafft habe, dass ich nun auch keine Internetverbindung mit dem befallenen Computer mehr habe, weil gleich nach dem Hochfahren die Meldung "TCP/IP-Netzwerktransport ist nicht installiert" kommt. Da hab ich auch schon ein paar Tipps ausprobiert, u.a. winsockspfix, hat aber auch nichts gefruchtet. Jetzt bin ich mit meinem Latein total am Ende. Bin mit meinem uralt-Laptop momentan online.
Vielen Dank für euere Hilfe!

Hier ist die dds.txt:
.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_18
Run by Bernhard Kaiser at 13:47:03 on 2012-03-21
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.548 [GMT 1:00]
.
AV: Kaspersky Security Suite CBE 11 *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Security Suite CBE 11 *Disabled*
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
svchost.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 11\avp.exe
C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe
C:\WINDOWS\System32\svchost.exe -k HTTPFilter
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Nero\Update\NASvc.exe
C:\Programme\Nitro PDF\Reader\NitroPDFReaderDriverService.exe
C:\WINDOWS\System32\svchost.exe -k imgsvc
C:\Programme\Hama\Hama Webcam Suite\Magic-i Visual Effects 2\uCamMonitor.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\svchost.exe -k netsvcs
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Silvercrest MTS2118 driver\StartAutorun.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Silvercrest MTS2118 driver\KMConfig.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 11\avp.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\klickTel\Telefon- und Branchenbuch + Rückwärtssuche Herbst 2011\kstart32.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac
C:\Programme\Silvercrest MTS2118 driver\KMProcess.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.t-online.de/
uSearch Page = hxxp://www.google.com
uWindow Title = Microsoft Internet Explorer
uSearch Bar = hxxp://www.google.com/ie
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
mSearchAssistant = hxxp://www.google.com/ie
BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelper.dll
BHO: IEVkbdBHO Class: {59273ab4-e7d3-40f9-a1a8-6fa9cca1862c} - c:\programme\kaspersky lab\kaspersky security suite cbe 11\ievkbd.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.6.5612.1312\swg.dll
BHO: Office Document Cache Handler: {b4f3a835-0e21-4959-ba22-42b3008e02ff} - c:\progra~1\micros~4\office14\URLREDIR.DLL
BHO: Nero Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\programme\ask.com\GenericAskToolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: FilterBHO Class: {e33cf602-d945-461a-83f0-819f76a199f8} - c:\programme\kaspersky lab\kaspersky security suite cbe 11\klwtbbho.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Nero Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\programme\ask.com\GenericAskToolbar.dll
TB: {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No File
TB: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
EB: Real.com: {fe54fa40-d68c-11d2-98fa-00c0f0318afe} - c:\windows\system32\Shdocvw.dll
EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File
uRun: [H/PC Connection Agent] "c:\programme\microsoft activesync\WCESCOMM.EXE"
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [WMPNSCFG] c:\programme\windows media player\WMPNSCFG.exe
mRun: [HTpatch] c:\windows\htpatch.exe
mRun: [ATIPTA] c:\programme\ati technologies\ati control panel\atiptaxx.exe
mRun: [SoundMan] REM SOUNDMAN.EXE
mRun: [Dit] REM Dit.exe
mRun: [VOBRegCheck] c:\windows\system32\VOBREGCheck.exe -CheckReg
mRun: [Microsoft Works Update Detection] REM c:\programme\gemeinsame dateien\microsoft shared\works shared\WkUFind.exe
mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime
mRun: [KMCONFIG] c:\programme\silvercrest mts2118 driver\StartAutorun.exe KMConfig.exe
mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 8.0\reader\Reader_sl.exe"
mRun: [AVMWlanClient] c:\programme\avmwlanstick\wlangui.exe
mRun: [TrueImageMonitor.exe] c:\programme\acronis\trueimagehome\TrueImageMonitor.exe
mRun: [AcronisTimounterMonitor] c:\programme\acronis\trueimagehome\TimounterMonitor.exe
mRun: [Acronis Scheduler2 Service] "c:\programme\gemeinsame dateien\acronis\schedule2\schedhlp.exe"
mRun: [ISUSPM] "c:\programme\gemeinsame dateien\installshield\updateservice\ISUSPM.exe" -scheduler
mRun: [HotKey] c:\windows\twain_32\flatbed\HotKey.exe
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRun: [BCSSync] "c:\programme\microsoft office\office14\BCSSync.exe" /DelayServices
mRun: [MaxMenuMgr] "c:\programme\seagate\seagatemanager\freeagent status\StxMenuMgr.exe"
mRun: [AVP] "c:\programme\kaspersky lab\kaspersky security suite cbe 11\avp.exe"
mRun: [ArcSoft Connection Service] c:\programme\gemeinsame dateien\arcsoft\connection service\bin\ACDaemon.exe
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\bernha~1\startm~1\progra~1\autost~1\fritz!~1.lnk - c:\programme\fritz!\FriFax32.exe
StartupFolder: c:\dokume~1\bernha~1\startm~1\progra~1\autost~1\telefo~1.lnk - c:\programme\klicktel\telefon- und branchenbuch + rückwärtssuche herbst 2011\kstart32.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\vabtimer.lnk - c:\programme\pc-vab\VABTimer.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\window~1.lnk - c:\programme\windows desktop search\WindowsSearch.exe
IE: address pick-up: Übernehmen in combit address manager (crm.dbf) - c:\dokumente und einstellungen\bernhard kaiser\lokale einstellungen\anwendungsdaten\combit\address pick-up\cmbtar1.htm
IE: Download with GetRight - c:\programme\getright\GRdownload.htm
IE: Fotoabzug online bestellen ! - hxxp://fotoup.info/ie2wk.php?hid=w3foto
IE: Hinzufügen zu Anti-Banner - c:\programme\kaspersky lab\kaspersky security suite cbe 11\ie_banner_deny.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~4\office12\EXCEL.EXE/3000
IE: Open with GetRight Browser - c:\programme\getright\GRbrowse.htm
IE: {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - c:\programme\preispiraten\buyertools reminder\ReminderIE.exe
IE: {D4951B60-8FF9-4813-B716-FF3E75386E74} - hxxp://www.preispiraten.de/cgi-bin/e/tracker_short.pl?hxxp://www.ebay.de
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~4\office12\ONBttnIE.dll
IE: {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\programme\microsoft activesync\INetRepl.dll
IE: {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\programme\microsoft activesync\INetRepl.dll
IE: {4248FE82-7FCB-46AC-B270-339F08212110} - {4248FE82-7FCB-46AC-B270-339F08212110} - c:\programme\kaspersky lab\kaspersky security suite cbe 11\klwtbbho.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~4\office12\REFIEBAR.DLL
IE: {CCF151D8-D089-449F-A5A4-D9909053F20F} - {CCF151D8-D089-449F-A5A4-D9909053F20F} - c:\programme\kaspersky lab\kaspersky security suite cbe 11\klwtbbho.dll
IE: {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - {FE54FA40-D68C-11d2-98FA-00C0F0318AFE} - c:\windows\system32\Shdocvw.dll
Trusted Zone: andreas-guder.de\www
Trusted Zone: harlekin-online.de\www
DPF: DirectAnimation Java Classes - file://c:\windows\java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\java\classes\xmldso.cab
DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - hxxp://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
DPF: {4BEE3896-4820-48D1-85EA-5A9A9ECD3D95} - hxxp://office.microsoft.com/productupdates/content/opuc.cab
DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} - hxxp://uploadsoft.de/www1/app_files/ImageUploader4.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37657.0299189815
DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-1_4_0_01-win.cab
DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
TCP: NameServer = 85.255.116.152 85.255.112.8
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\programme\gemeinsame dateien\microsoft shared\office14\MSOXMLMF.DLL
Handler: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} - c:\programme\microsoft activesync\aatp.dll
Name-Space Handler: ftp\GetRightIEClickCatcher - {73BA8F12-723E-11D1-A9E2-00403320FCF2} - c:\programme\getright\xx2gr.dll
Name-Space Handler: http\GetRightIEClickCatcher - {73BA8F12-723E-11D1-A9E2-00403320FCF2} - c:\programme\getright\xx2gr.dll
WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\programme\microsoft activesync\CENetFlt.dll
WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\programme\microsoft activesync\CENetFlt.dll
WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\programme\microsoft activesync\CENetFlt.dll
WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\programme\microsoft activesync\CENetFlt.dll
WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\programme\microsoft activesync\CENetFlt.dll
WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\programme\microsoft activesync\CENetFlt.dll
Notify: AtiExtEvent - Ati2evxx.dll
Notify: klogon - c:\windows\system32\klogon.dll
AppInit_DLLs: c:\progra~1\kasper~1\kasper~2\mzvkbd3.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Windows Desktop Search Namespace Manager: {56f9679e-7826-4c84-81f3-532071a8bcc5} - c:\programme\windows desktop search\MSNLNamespaceMgr.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\bernhard kaiser\anwendungsdaten\mozilla\firefox\profiles\pdcpmgt4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\progra~1\micros~4\office14\NPAUTHZ.DLL
FF - plugin: c:\progra~1\micros~4\office14\NPSPWRAP.DLL
FF - plugin: c:\programme\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\google\google updater\2.4.2432.1652\npCIDetect14.dll
FF - plugin: c:\programme\google\update\1.3.21.99\npGoogleUpdate3.dll
.
============= SERVICES / DRIVERS ===============
.
R0 KL1;kl1;c:\windows\system32\drivers\kl1.sys [2010-6-9 132184]
R0 tdrpman140;Acronis Try&Decide and Restore Points filter (build 140);c:\windows\system32\drivers\tdrpm140.sys [2009-11-9 971168]
R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [2010-6-9 11352]
R1 KLIF;Kaspersky Lab Driver;c:\windows\system32\drivers\klif.sys [2011-5-16 475736]
R2 AVP;Kaspersky Security Suite CBE 11 Service;c:\programme\kaspersky lab\kaspersky security suite cbe 11\avp.exe [2011-4-13 387696]
R2 FreeAgentGoNext Service;Seagate Service;c:\programme\seagate\seagatemanager\sync\FreeAgentService.exe [2009-9-25 189736]
R2 NAUpdate;@c:\programme\nero\update\nasvc.exe,-200;c:\programme\nero\update\NASvc.exe [2010-5-4 503080]
R2 NitroReaderDriverReadSpool;NitroPDFReaderDriverCreatorReadSpool;c:\programme\nitro pdf\reader\NitroPDFReaderDriverService.exe [2010-9-30 196912]
R2 uCamMonitor;CamMonitor;c:\programme\hama\hama webcam suite\magic-i visual effects 2\uCamMonitor.exe [2012-1-13 104960]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [2001-12-6 38608]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [2001-12-6 29968]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2010-5-7 32856]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [2009-11-2 19472]
S2 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2009-12-7 135664]
S2 Iprip;RIP-Überwachung;c:\windows\system32\svchost.exe -k netsvcs [2003-2-5 14336]
S2 MasterSoft SSD Client Updater;MasterSoft SSD Client Updater;c:\programme\soliday\soliday sonnensegel designer\SSDUpdater.exe [2010-3-5 40960]
S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\drivers\ArcSoftKsUFilter.sys [2012-1-13 14336]
S3 ATWPKT;ATWPKT;c:\windows\system32\drivers\atwpkt.sys [2003-2-5 19140]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2009-7-30 4352]
S3 DTV_Capture_2X0;DVB-T Receiver;c:\windows\system32\drivers\DTV_Capture_2X0.sys [2005-12-3 18432]
S3 DTV_Loader_2X1;DVB-T Loader;c:\windows\system32\drivers\DTV_Loader_2X1.sys [2005-12-3 19328]
S3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);c:\windows\system32\drivers\fdslbase.sys [2003-3-26 868240]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2009-7-30 265088]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2009-12-7 135664]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\netfritz.sys --> c:\windows\system32\drivers\NETFRITZ.SYS [?]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\netfwdsl.sys --> c:\windows\system32\drivers\NETFWDSL.SYS [?]
S3 OPHB DCS Loader;OPHB DCS Loader;c:\windows\system32\spool\drivers\w32x86\3\OPHBLDCS.EXE [2004-11-8 24576]
S3 osppsvc;Office Software Protection Platform;c:\programme\gemeinsame dateien\microsoft shared\officesoftwareprotectionplatform\OSPPSVC.EXE [2010-1-9 4640000]
S3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [2003-1-28 27520]
.
=============== Created Last 30 ================
.
2012-03-20 22:05:05 74240 ----a-w- c:\windows\system32\fwlanci.org
2012-03-20 11:26:27 -------- d-----w- C:\TDSSKiller_Quarantine
2012-03-19 12:55:08 592824 ----a-w- c:\programme\mozilla firefox\gkmedias.dll
2012-03-19 12:55:08 44472 ----a-w- c:\programme\mozilla firefox\mozglue.dll
2012-03-17 11:52:49 138496 ----a-w- c:\windows\system32\drivers\HFX4C.tmp
2012-03-16 11:06:02 0 --sha-w- c:\windows\system32\dds_trash_log.cmd
2012-03-05 06:56:17 -------- d-----w- c:\dokumente und einstellungen\bernhard kaiser\anwendungsdaten\AskToolbar
2012-02-23 09:20:08 22 ----a-w- c:\dokumente und einstellungen\bernhard kaiser\anwendungsdaten\5b60150c-b937-4961-bcab-90d564ff4b1e.dll
.
==================== Find3M ====================
.
2012-03-16 11:24:50 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-03 09:57:08 1860224 ----a-w- c:\windows\system32\win32k.sys
2012-01-11 19:06:33 3072 ------w- c:\windows\system32\iacenc.dll
2012-01-09 16:20:20 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2011-06-09 13:34:09 49239552 ----a-w- c:\programme\PC-VAB.msi
.
============= FINISH: 13:49:03,84 ===============

markusg 22.03.2012 21:00
hi,
nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem?

HySnoopy 22.03.2012 21:10
ja, onlinebanking und auch beruflich

markusg 22.03.2012 21:14
hi,
notfall nummer der bank:
116 116
onlinebanking wegen zero access rootkit sperren lassen!
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

HySnoopy 22.03.2012 21:43
Hi
onlinebanking hab ich gesperrt, autorun ist von 1 auf 0 geschaltet.
1. Ich hab eine aktuelle Sicherung von ein paar Tage vor dem Virusbefall auf einer externen Festplatte.
2. ist ein älterer Aldi-PC, Medion Typ MED MT178A
Ich hab auch keine Betriebssystem-CD oder sowas mehr, hab eigentlich überhaupt nix mehr. Nein, ich weiß nicht, wie man formatiert.
Hört sich alles nicht besonders erfreulich an. Aber wird schon werden...

markusg 23.03.2012 11:53
naja, wenn die sicherung ein paar tagen vor dem befall war, würd ich sie vllt lieber nicht nehmen,
nur weil die erkennung da das erste mal kam, heißt es nicht, dass er nicht länger aktiev ist.
noch andere sicherungen zur verfügung, ältere meine ich?

HySnoopy 23.03.2012 12:04
Hi
hab auch noch ältere Sicherungen, sind aber alles keine automatischen, sondern nur die Dateien rauskopiert auf die externe Festplatte, sind also auch keine Systemdateien oder so dabei

markusg 23.03.2012 12:18
hmm, dann evtl. ne neue xp cd besorgen, kostet so um die 20 € bei amazon.
aber natürlich nicht über das gerät bestellen :-)

HySnoopy 26.03.2012 17:08
Hi
ich hab jetzt eine xp cd.
Die Daten hab ich auch alle gesichert.
Wie gehts jetzt weiter?
Wie muss ich formatieren und wie muss ich meinen pc absichern?
Danke.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55