Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   resycled\boot.com Problem (https://www.trojaner-board.de/67890-resycled-boot-com-problem.html)

scherrli 04.01.2009 11:28
resycled\boot.com Problem
 
Hallo, hatte einen Trojaner und hab deswegen neu aufgesetzt, (hab mehrere Partitionen und auf C: neu aufgesetzt, den Rest gelassen).
Anscheinend hats nichts geholfen bzw. nach einiger Recherche vermute ich, dass auf meinen externen Platten noch was drauf war.
Auf jeden Fall hab ich jetzt dieses resycled\boot.com Problem, heißt wenn man im Arbeitsplatz eine Festplatte öffnen möchte, dass eine Fehlermeldung kommt. Hab mich im Forum schon schlau gemacht, aber zB die versteckten Systemordner autorun.inf und resycled zu löschen, hilft bei mir nichts, weil diese nach ca. 10 Sekunden wieder erstellt werden. Daher nun mein HiJack logfile. Danke schon mal im Voraus für die Hilfe :)

Anmerkung: Hab meine zwei externen Platten vor dem Scan angesteckt, die boot.com findet sich auf allen meinen Partitionen und den beiden externen Platten.

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:18:35, on 04.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
D:\Programme\PC Tools Firewall Plus\FWService.exe
C:\WINXP\System32\svchost.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\TBPanel.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
D:\Programme\PC Tools Firewall Plus\FirewallGUI.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\WINXP\system32\ctfmon.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Maxtor\Sync\SyncServices.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
D:\Programme\utorrent\uTorrent.exe
D:\Mozilla Thunderbird\thunderbird.exe
D:\Mozilla Firefox\firefox.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\wuauclt.exe
C:\WINXP\system32\spoolsv.exe
C:\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Gainward] C:\WINXP\TBPanel.exe /A
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [00PCTFW] "D:\Programme\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [mxomssmenu] "D:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - D:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - D:\Programme\PC Tools Firewall Plus\FWService.exe

--
End of file - 6148 bytes

scherrli 04.01.2009 17:58
Nach weiterem Forums- und Internetstudium scheine ich das Problem vermeintlich gelöst zu haben - hab im abgesicherten Modus die autorun.inf und boot.exe dateien gelöscht, alle Tempdateien gelöscht und mit Malware durchgescannt und einige Probleme behoben/gelöscht.
Hab jetzt nochmal CCleaner, Spybot und Malware nochmal durchlaufen lassen und keine Meldungen mehr bekommen.
Bin ich jetzt virenfrei? Hier nochmal mein neues HiJackThis Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:13, on 04.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
D:\Programme\PC Tools Firewall Plus\FWService.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\TBPanel.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
D:\Programme\PC Tools Firewall Plus\FirewallGUI.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\WINXP\system32\ctfmon.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Maxtor\Sync\SyncServices.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\wuauclt.exe
D:\Mozilla Firefox\firefox.exe
D:\Programme\utorrent\uTorrent.exe
C:\WINXP\System32\svchost.exe
C:\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Gainward] C:\WINXP\TBPanel.exe /A
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [00PCTFW] "D:\Programme\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [mxomssmenu] "D:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - D:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - D:\Programme\PC Tools Firewall Plus\FWService.exe

--
End of file - 6108 bytes

itadmin0876 04.01.2009 18:10
Hi.

Hijackthis erfasst keine Rootkit_Dateien.

Durch die Neuaufsetzung bist du den Wurm schon mal los.

Jedoch ist er auf allen Partitionen. Du musst ihn manuell entfernen.

Den Explorer öffnen, dann in den Ordneroptionen auf Versteckte und Geschützte Systemdateien ausblenden(empfohlen) den Haken rausmachen und alle Dateien der boot.com und autorun.inf löschen.

Danach musst du die Dateien im Treiber-Ordner löschen, das machst du mit Antivir, der in der Rootkitsuche die Dateien isoliert.

Meld dich, wenn fertig.

scherrli 04.01.2009 18:13
Danke mal für die rasche Antwort

Zitat:
Zitat von itadmin0876 (Beitrag 403294)
Hi.

Hijackthis erfasst keine Rootkit_Dateien.

Durch die Neuaufsetzung bist du den Wurm schon mal los.

Jedoch ist er auf allen Partitionen. Du musst ihn manuell entfernen.

Den Explorer öffnen, dann in den Ordneroptionen auf Versteckte und Geschützte Systemdateien ausblenden(empfohlen) den Haken rausmachen und alle Dateien der boot.com und autorun.inf löschen.
Das hab ich schon gemacht. Versteh aber den nächsten Schritt nicht ganz, einfach mit Antivir scannen oder wie? Und wenn Antivir was findet einfach auf löschen klicken? Und welcher Treiber Ordner, oder meinst Temp Ordner? Die hab ich schon gelöscht.

Zitat:
Zitat von itadmin0876 (Beitrag 403294)
Danach musst du die Dateien im Treiber-Ordner löschen, das machst du mit Antivir, der in der Rootkitsuche die Dateien isoliert.

Meld dich, wenn fertig.

itadmin0876 04.01.2009 18:20
sorry.

fachmanngeplänkel. ;-)

Klicke auf Antivir in der Systemtray, rechts unten und starte das Programm.

Dann wählst du auf Prüfen und unten steht in der Maske, "suche nach root-kits", dort alle Laufwerke anklicken mit einem Haken und den Suchlauf starten.

Dann sucht Antivir zuverlässig Dateien, die versteckt auf dem System und der Partitionen liegen.

Denn der Wurm schreibt sich in die Tiefen des Systems und der Disk!

scherrli 04.01.2009 18:24
Danke, Suche läuft.
Also wenn er nichts findet dann bin ich wohl virenfrei, und wenn er was findet brauch ichs einfach mit Antivir löschen und bin anschließend virenfrei? :)

itadmin0876 04.01.2009 18:30
geh mal auf www.port-scan.de und teste ob dein system anfällig ist.

Sonst müsste nach dem Neuaufsetzen alles in Ordnung sein.

scherrli 04.01.2009 18:52
So, mit Antivir nach Rootkits gescannt und er hat auch was gefunden, und zwar auf meiner externen Platte gibts ein Ordner, der ließ sich von mir nie löschen, jetzt weiß ich warum :)
Auf jeden Fall hat er die Elemente auch nicht löschen können, hab jetzt mal in Quarantäne kopiert. Auszug aus dem Logfile:
Code:
  ccd-nhl8.r00
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r01
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r02
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r03
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r04
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r05
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r06
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r07
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r08
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r09
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r10
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r11
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r12
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]  Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doubleabstractfilteringstrategydecorator.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49d5f38b.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doubleabstractfilteringstrategydecorator.newiter.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 4a9750ac.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doubleabstractiterator.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 4a913954.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doubleabstractstrategy.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 4a93011c.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doublearrayiterator.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 4a9ce9c4.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doublebigstrategy.doublebigstrategy$1.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 4a9eb18c.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doublebigstrategy.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 4a989a34.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doublecompositeiterator.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 4a9a62fc.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doublecompositeiterator_jml_testdata.doublecompositeiterator_jml_testdata$1.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 4a844aa4.qua erstellt ( QUARANTÄNE )
h:\images\löschen\!!!kostenlos.testen.fullspeed.mit.bis.zu.35mbit.downloaden.anonym.und.legal.url
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 4981f33d.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.nfo
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f37f.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r00
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 41d8b8b0.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r01
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f382.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r02
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f387.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r03
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f389.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r04
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f38b.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r05
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f38d.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r06
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f38e.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r07
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f390.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r08
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f392.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r09
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f393.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r10
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f395.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r11
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f396.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r12
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f398.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8\ccd-nhl8.mdf
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f39a.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8\ccd-nhl8.mds
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49c4f3e7.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8
    [INFO]      Das Verzeichnis ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 41f86d10.qua erstellt ( QUARANTÄNE )
HKEY_USERS\S-1-5-21-1409082233-602609370-1801674531-1003\Software\SecuROM\License information\datasecu
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1409082233-602609370-1801674531-1003\Software\SecuROM\License information\rkeysecu
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '800416' Objekte überprüft, '39' versteckte Objekte wurden gefunden.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
Danach kam die Empfehlung, die Systempartition zu durchsuchen, hab ich gemacht, hab einige Warnungen bekommen, aber keinen Fund. Hab im Logfile mal drübergescrollt weils einfach ewig lang ist, hier paar Dinge die mir komisch vorkommen:
Code:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\
  WinAgentsd.zip
    [0] Archivtyp: ZIP
    --> resycled/boot.com
      [WARNUNG]  Das gesamte Archiv ist passwortgeschützt
  WinAgentsd1.zip
    [0] Archivtyp: ZIP
    --> autorun.inf
      [WARNUNG]  Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots2\
  RegDRegT-Global.reg
Code:
Ende des Suchlaufs: Sonntag, 04. Jänner 2009  18:40
Benötigte Zeit: 26:57 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  1910 Verzeichnisse wurden überprüft
  53708 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
    27 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
    27 Dateien konnten nicht durchsucht werden
  53681 Dateien ohne Befall
    617 Archive wurden durchsucht
    30 Warnungen
    40 Hinweise
 800416 Objekte wurden beim Rootkitscan durchsucht
    39 Versteckte Objekte wurden gefunden
Was ist nun zu tun?
Achja, port-scan.de sagt kein Port ist offen. Bin jetzt nur unsicher, ob der Trojaner nicht noch irgendwo versteckt liegt und sich nicht wieder installiert.

itadmin0876 04.01.2009 19:14
das is nicht untypisch, das virenschreiber bekannte antispyprogramme infizieren. lösche die dateien in diesen ordnern und deinstalliere spybot.

deaktiviere noch die systemwiederherstellung,
Klicken Sie zum Öffnen der Systemeigenschaften auf Start, klicken Sie auf Systemsteuerung, und doppelklicken Sie dann auf System. Klicken Sie im Dialogfeld Systemeigenschaften auf die Registerkarte Systemwiederherstellung, und lösche die dateien im abgesicherten modus.

wenn es eine Fehlermeldung von AntiVir ist, eine Mitteilung an AntiVir schreiben, aber das siehst du dann.

scherrli 04.01.2009 19:49
So, die Dateien von Spybot sowie Spybot selbst gelöscht.
Nur der Ordner auf meiner externen Festplatte ist noch immer da und ich kann ihn nicht löschen - im abgesicherten Modus kann ich leider nicht rein, da komischerweise die externe Platte dort nicht erkannt wird.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55