|
Probleme bei Logfile Analyse Hallo, ich habe bemerkt daß mein Rechner in den vergangenen Tagen immer langsamer wurde und Kommunikationsprogramme wie Skype nicht mehr funktionierten. Beim googeln habe ich gelesen daß dies an trojanern ect. liegen könnte. Ich habe dann einen logfile erstellt nach intensivem nachlesen auf dem trojaner board möchte ich dieses jetzt posten. Jetzt bitte ich euch mir zu helfen und den logfile zu analysieren. Es wäre sehr nett. Betriebssystem XP pro Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:58:30, on 13.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Samsung\DisplayManager\dmhkcore.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\MSTMON_Y.EXE C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe E:\Programme\office 2007\Office12\GrooveMonitor.exe C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\Vidalia Bundle\Tor\tor.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Nero\Nero 7\Core\nero.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\Versatel\Versatel.exe C:\WINDOWS\explorer.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Dokumente und Einstellungen\Andreas.DENN-78E44FB848\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.versatel.de/internet-cd/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\OFFICE~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [KONICA MINOLTA PagePro 1400W STD] C:\WINDOWS\system32\MSTMON_Y.EXE STARTUP O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\corel\corel12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=050808 serial=DR12WTX-9999998-YSP lang=DE O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [GrooveMonitor] "E:\Programme\office 2007\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\OFFICE~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\inetrepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\OFFICE~1\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.versatel.de/internet-cd/ O17 - HKLM\System\CCS\Services\Tcpip\..\{0F4CA64D-5A3F-4D1D-8D88-3023CBB68867}: NameServer = 82.144.41.8 62.220.18.8 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\OFFICE~1\Office12\GR99D3~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe -- End of file - 6688 bytes |
Hi, führe bitte folgende Schritte nach der Anleitung aus: 1.) Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\MSTMON_Y.EXE
2.) Lese die Anleitung für MalwareBytes Anti-Malware und folge dieser. mfg |
Ersteinmal vielen Dank für die schnelle Antwort ! :daumenhoc Ich bin den Anleitungen gefolgt und habe folgende Ergebnisse: (der Malware scan läuft seit 30 min und wir sicher noch ein wenig dauern) Datei MSTMON_Y.EXE empfangen 2008.08.13 21:06:41 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.13.0 2008.08.13 - AntiVir 7.8.1.19 2008.08.13 - Authentium 5.1.0.4 2008.08.13 - Avast 4.8.1195.0 2008.08.13 - AVG 8.0.0.161 2008.08.13 - BitDefender 7.2 2008.08.13 - CAT-QuickHeal 9.50 2008.08.13 - ClamAV 0.93.1 2008.08.13 - DrWeb 4.44.0.09170 2008.08.13 - eSafe 7.0.17.0 2008.08.13 - eTrust-Vet 31.6.6030 2008.08.13 - Ewido 4.0 2008.08.13 - F-Prot 4.4.4.56 2008.08.13 - F-Secure 7.60.13501.0 2008.08.13 - Fortinet 3.14.0.0 2008.08.13 - GData 2.0.7306.1023 2008.08.13 - Ikarus T3.1.1.34.0 2008.08.13 - K7AntiVirus 7.10.413 2008.08.13 - Kaspersky 7.0.0.125 2008.08.13 - McAfee 5359 2008.08.12 - Microsoft 1.3807 2008.08.13 - NOD32v2 3352 2008.08.13 - Norman 5.80.02 2008.08.13 - Panda 9.0.0.4 2008.08.13 - PCTools 4.4.2.0 2008.08.13 - Prevx1 V2 2008.08.13 - Rising 20.57.22.00 2008.08.13 - Sophos 4.32.0 2008.08.13 - Sunbelt 3.1.1542.1 2008.08.13 - Symantec 10 2008.08.13 - TheHacker 6.3.0.3.046 2008.08.13 - TrendMicro 8.700.0.1004 2008.08.13 - VBA32 3.12.8.3 2008.08.13 - ViRobot 2008.8.13.1335 2008.08.13 - VirusBuster 4.5.11.0 2008.08.13 - Webwasher-Gateway 6.6.2 2008.08.13 - weitere Informationen File size: 184320 bytes MD5...: 260863a0adbc53f14b83deca81f09e70 SHA1..: a9b9a6d312fb3f31f10f28f8100be34ed04907b2 SHA256: 1954e177f5b8f33c7e3b1e330ee5ab1cf38849d618c6760a50b6baf83a867ff0 SHA512: 47330d3ca895c3451c5d8f64954868b978ad5a7ff6d124704c40e6e6907c6efe 1d6e8ccc70fbfa23ba263a7aafcf07bd097c6777d5d35660600099ed6394438a PEiD..: InstallShield 2000 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x416ac0 timedatestamp.....: 0x43cda014 (Wed Jan 18 01:55:32 2006) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1b816 0x1c000 6.23 975b796a3fd7568c31d926db17a41ec6 .rdata 0x1d000 0x3e26 0x4000 4.73 da05e37b5166806eb95353f5bb18a94a .data 0x21000 0x7398 0x6000 3.29 ca088a0fdbae1e620d38582154d5c453 .rsrc 0x29000 0x6000 0x6000 4.55 5553761f098e18cdd37e38c75d732496 ( 8 imports ) > MSPOOL_Y.dll: ClosePrinter, StartDocPrinterA, GetPrinterA, OpenPrinterA, GetPrinterDriverDirectoryA, EndDocPrinter, WritePrinter, EnumPrintersA, RegCloseKey, RegOpenKeyExA, RegQueryValueExA, GetPrinterDataA, SetPrinterDataA > KERNEL32.dll: lstrcmpA, GetLocalTime, GetSystemInfo, GetProfileStringA, GlobalAlloc, lstrcpynA, GetLastError, FreeLibrary, GetProcAddress, LoadLibraryExA, ReadFile, GetCurrentDirectoryA, GetModuleFileNameA, SetThreadPriority, SetPriorityClass, SetEvent, WaitForSingleObject, GetPrivateProfileIntA, GlobalFree, WritePrivateProfileStringA, GetTickCount, FreeResource, SizeofResource, LockResource, LoadResource, FindResourceA, lstrcmpiA, GetCurrentProcess, FormatMessageA, GetProfileIntA, SetCurrentDirectoryA, WriteFile, SetFilePointer, CreateThread, ResetEvent, CreateEventA, ResumeThread, WideCharToMultiByte, GetPrivateProfileStringA, SearchPathA, lstrcpyA, GetVersionExA, lstrcatA, LocalAlloc, LocalFree, CreateFileA, GetFileTime, FileTimeToLocalFileTime, FileTimeToSystemTime, GetDateFormatA, GetTimeFormatA, CloseHandle, lstrlenA, Sleep, GetModuleHandleA, GetStringTypeA, LCMapStringA, RtlUnwind, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, MultiByteToWideChar, FreeEnvironmentStringsA, UnhandledExceptionFilter, TerminateProcess, LCMapStringW, VirtualFree, HeapCreate, VirtualAlloc, GetCommandLineA, HeapDestroy, GetOEMCP, GetACP, GetCPInfo, ExitProcess, GetVersion, FlushFileBuffers, GetStartupInfoA, HeapAlloc, HeapFree, GetStringTypeW, LoadLibraryA, SetStdHandle > USER32.dll: FindWindowA, IsCharAlphaNumericA, GetClassInfoA, DialogBoxParamA, GetWindowRect, GetWindowDC, MoveWindow, ScreenToClient, EnableMenuItem, CharUpperBuffA, GetDlgItem, GetWindowLongA, PostMessageA, SendMessageA, SetWindowLongA, SetWindowTextA, RegisterClassA, GetDesktopWindow, GetParent, EndDialog, wsprintfA, UnregisterClassA, GetDlgItemTextA, IsWindow, InvalidateRect, ChildWindowFromPointEx, GetWindow, PtInRect, IsWindowVisible, GetWindowTextA, GetDlgCtrlID, GetWindowContextHelpId, GetNextDlgGroupItem, SetWindowContextHelpId, ReleaseDC, SetDlgItemTextA, SetWindowPos, LoadMenuA, LoadIconA, LoadStringA, KillTimer, SetTimer, GetMenu, EnableWindow, SetFocus, GetDC, GetClientRect, GetSysColor, LoadBitmapA, DrawIcon, RegisterWindowMessageA, OffsetRect, GetSystemMenu, AppendMenuA, UpdateWindow, GetCursorPos, GetSubMenu, SetForegroundWindow, TrackPopupMenu, RemoveMenu, ShowWindow, ChildWindowFromPoint, WinHelpA, FillRect, MessageBoxA, GetSystemMetrics, ModifyMenuA > GDI32.dll: GetStockObject, GetObjectA, CreateCompatibleDC, CreateCompatibleBitmap, PatBlt, EndDoc, EndPage, DeleteObject, Rectangle, SelectObject, CreateSolidBrush, CreatePen, TextOutA, StartPage, StartDocA, GetDeviceCaps, GetTextMetricsA, CreateDCA, GetLayout, CreateDIBitmap, BitBlt, DeleteDC > COMCTL32.dll: ImageList_LoadImageA > ADVAPI32.dll: OpenProcessToken, GetTokenInformation, AllocateAndInitializeSid, EqualSid, FreeSid > SHELL32.dll: Shell_NotifyIconA > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA ( 0 exports ) |
Kein Problem, bei Gelegenheit solltest du unbedingt das SP3 und den IE7 installieren! |
Der Malware scan ist nun beendet und ich habe die Dateien "entfernt?" Mußte das Programm im abgesicherten Modus ausgeführt werden ohne Systemwiederherstellung um ein entgültiges Löschen zu gewährleisten? Ich habe in normalem Modus gescannt. hier ist das Ergebnis des scans: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1049 Windows 5.1.2600 Service Pack 2 22:53:52 13.08.2008 mbam-log-8-13-2008 (22-53-52).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 336500 Laufzeit: 1 hour(s), 40 minute(s), 26 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\Wolfram Research\Mathematica\5.0\AddOns\NETLink\Examples\Part1\Calling DLLs\libbz2-1.0.0.DLL (Rogue.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\Lokale Einstellungen\Temp\dat68.tmp (Trojan.Agent) -> Quarantined and deleted successfully. |
Nein, das ist i.O. MalwareBytes hat Administratorrechte und kann auch Dateien im normalen Modus löschen, sowie im System Volume Information-Ordner. ;) Führe noch diese Schritte durch: 1.) Blacklight scannen lassen * Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link. * Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen. * Klick "I accept the agreement", "next", "Scan". * Wenn der Scan fertig ist beende Blacklight mit "Close". * Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern. 2.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. 3.) Lade dir bitte mbr detector herunter und führe ihn aus. Poste das Ergebnis dann hier. mfg |
Hier habe ich jetzt die Ergebnisse der 3 Programme: Backlight: 08/13/08 23:38:42 [Info]: BlackLight Engine 1.0.70 initialized 08/13/08 23:38:42 [Info]: OS: 5.1 build 2600 (Service Pack 2) 08/13/08 23:38:42 [Note]: 7019 4 08/13/08 23:38:42 [Note]: 7005 0 08/13/08 23:39:09 [Note]: 7006 0 08/13/08 23:39:09 [Note]: 7011 204 08/13/08 23:39:09 [Note]: 7035 0 08/13/08 23:39:09 [Note]: 7026 0 08/13/08 23:39:09 [Note]: 7026 0 08/13/08 23:39:17 [Note]: FSRAW library version 1.7.1024 08/13/08 23:43:01 [Note]: 2000 1012 08/13/08 23:47:02 [Note]: 7007 0 Navilog: Search Navipromo version 3.6.3 began on 13.08.2008 at 23:52:14,79 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "Andreas" Updated on 09.08.2008 at 18h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 6.0.2900.2180 Filesystem type : NTFS Search done in normal mode *** Searching for installed Software *** *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\anwend~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1.DEN\anwend~1" *** *** Search folders in "C:\DOKUME~1\FAMILI~1.DEN\anwend~1" *** *** Search folders in "C:\DOKUME~1\freenet\anwend~1" *** *** Search folders in "C:\DOKUME~1\GAST~1.DEN\anwend~1" *** *** Search folders in "C:\DOKUME~1\TEMP\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1.DEN\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\FAMILI~1.DEN\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\freenet\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\GAST~1.DEN\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\TEMP\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1.DEN\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\FAMILI~1.DEN\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\freenet\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\GAST~1.DEN\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * Suspicious Files : lkcitdl.exe found ! lkcitdl.exe found ! * Scan in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\ADMINI~1.DEN\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\FAMILI~1.DEN\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\freenet\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\GAST~1.DEN\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\TEMP\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\anwend~1" : * In "C:\DOKUME~1\ADMINI~1.DEN\lokale~1\anwend~1" : * In "C:\DOKUME~1\FAMILI~1.DEN\lokale~1\anwend~1" : * In "C:\DOKUME~1\freenet\lokale~1\anwend~1" : * In "C:\DOKUME~1\GAST~1.DEN\lokale~1\anwend~1" : * In "C:\DOKUME~1\TEMP\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate not found ! Montorgueil certificate not found ! OOO-Favorit certificate not found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 14.08.2008 at 0:00:18,67 *** Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully MBR rootkit code detected ! malicious code @ sector 0xac153e0 size 0x1a8 ! copy of MBR has been found in sector 62 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. |
Ohje ohje, also, ich stelle dich jetzt zur Entscheidung, ob du Neuaufsetzen willst, oder eine Bereinigung vornehmen/versuchen willst. Entscheidest du dich für die zweite Variante, welche die schlechtere ist, folge den Schritten weiter: Mach bitte folgendes: Navilog1:
Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein. Danach: Zitat:
Danach führe erneut mbr.exe aus und poste den Log. mfg Edit: Den letzten Schritt musst du so oder so durchführen. |
Hallo, ich habe jetzt Navilog Option2 ausgeführt und folgendes Ergebnis bekommen: bei der Eingabeaufforderung im Wiederherstellungsmodus habe ich Probleme den richtigen Befehl einzugeben ich gebe ein: fixmbr \device\harddisk0,1,2 x = 3 Ich habe nur eine Festplatte mit 3 Partitionen ?! ______________________________________________________________ Navipromo Removal version 3.6.3 started on 14.08.2008 at 8:44:12,06 Fix running from C:\Programme\navilog1 Actual User Account : "Andreas" Updated on 09.08.2008 at 18h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Internet Explorer : 6.0.2900.2180 Filesystem type : NTFS Automatic removal with Catchme and GNS results Cleanning stage done on Reboot *** fsbl1.txt not found *** (Check that Catchme found nothing in Search Mode) *** Deleting with Backups GenericNaviSearch results *** * Deletion in "C:\WINDOWS\System32" * * Deletion in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\anwend~1" * * Deletion in "C:\DOKUME~1\ADMINI~1.DEN\lokale~1\anwend~1" * * Deletion in "C:\DOKUME~1\FAMILI~1.DEN\lokale~1\anwend~1" * * Deletion in "C:\DOKUME~1\freenet\lokale~1\anwend~1" * * Deletion in "C:\DOKUME~1\GAST~1.DEN\lokale~1\anwend~1" * * Deletion in "C:\DOKUME~1\TEMP\lokale~1\anwend~1" * *** Deleting folders in "C:\WINDOWS" *** *** Deleting folders in "C:\Programme" *** *** Deleting folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" *** *** Deleting folders in "c:\dokume~1\alluse~1.win\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1.DEN\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\FAMILI~1.DEN\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\freenet\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\GAST~1.DEN\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\TEMP\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1.DEN\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\FAMILI~1.DEN\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\freenet\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\GAST~1.DEN\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\TEMP\lokale~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\startm~1\progra~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1.DEN\startm~1\progra~1" *** *** Deleting folders in "C:\DOKUME~1\FAMILI~1.DEN\startm~1\progra~1" *** *** Deleting folders in "C:\DOKUME~1\freenet\startm~1\progra~1" *** *** Deleting folders in "C:\DOKUME~1\GAST~1.DEN\startm~1\progra~1" *** *** Deleting files *** *** Deleting temporary files *** Cleaning of C:\WINDOWS\Temp done ! Cleaning of C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\Temp done ! *** Complementary Search *** (Search specific files) 1)Deletion with backups new Instant Access files: 2)Heuristic search and deletion with backups : * In "C:\WINDOWS\system32" * * In "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\anwend~1" * * In "C:\DOKUME~1\ADMINI~1.DEN\lokale~1\anwend~1" * * In "C:\DOKUME~1\FAMILI~1.DEN\lokale~1\anwend~1" * * In "C:\DOKUME~1\freenet\lokale~1\anwend~1" * * In "C:\DOKUME~1\GAST~1.DEN\lokale~1\anwend~1" * * In "C:\DOKUME~1\TEMP\lokale~1\anwend~1" * *** Copy Registry to Safebackup folder *** Backing up Registry done ! *** Cleaning Registry *** Registry cleaned *** Certificates *** Egroup Certificate not found ! Electronic-Group Certificate not found ! Montorgueil Certificate not found ! OOO-Favorit Certificate not found ! Sunny-Day-Design-Ltd Certificate not found ! *** Suspicious Files not deleted by Navilog1 *** !! Possible legitimate files, must be checked before deleting !! Suspicious Files in "C:\WINDOWS\system32" : lkcitdl.exe found ! lkcitdl.exe found ! *** Cleaning stage complete on 14.08.2008 at 8:47:24,67 *** |
Wenn du fixmbr ausgeführt hast, stell bitte erneut ein Logfile von mbr.exe in deinen Post. ;) |
bei der Eingabeaufforderung im Wiederherstellungsmodus habe ich Probleme den richtigen Befehl einzugeben ich gebe ein: fixmbr \device\harddisk0,1,2 x = 3 Antwort ist: falscher Befehl :confused: Ich habe nur eine Festplatte mit 3 Partitionen ?! |
du musst das jeweils nur mit einer zahl machen: "fixmbr \device\harddisk0" "fixmbr \device\harddisk1" . . . ;) Am besten noch mit allen ext. Laufwerken. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board