|
System befallen? Also ich habe auf meine PC WinXp C:\ und Vista D:\ installiert und mir etwas böses eingefangen was mein XP geschrottet hat. Nun würde ich gerne wissen ob meine Vista installation auch von dem Virus betroffen ist... Avira Logdatei nach einem komplettscann ist unten auch zu finden, wobei ich wie schon erwähnt nicht sicher bin ob meine Vista installation auch befallen ist oder die dateien die von avira gefuden wurden von dem winxp virus verändert / erstellt wurden. Hier ist die HijackThis Logdatei: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:54:49, on 16.03.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\3xHybridRMT.exe C:\Program Files (x86)\FreePDF_XP\fpassist.exe C:\Program Files (x86)\Java\jre6\bin\jusched.exe C:\Programme (x86)\Mozilla Firefox\firefox.exe C:\Programme (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O1 - Hosts: ::1 localhost O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TV Card Remote Control Device Monitor] C:\Windows\3xHybridRMT.exe O4 - HKLM\..\Run: [FreePDF Assistant] "C:\Program Files (x86)\FreePDF_XP\fpassist.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /install /silent O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: FortKnox Personal Firewall (fortknox) - NETGATE Technologies s.r.o. - C:\Program Files\NETGATE\FortKnox Personal Firewall 2008\FortKnox.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files (x86)\WinPcap\rpcapd.exe O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version4\TeamViewer_Service.exe O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 6921 bytes Aviralog nach scann: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 2009 16:19 Es wird nach 1285847 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows Vista x64 Edition Windowsversion: (Service Pack 1) [6.0.6001] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: JOHN-PC Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 18:42:07 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 17:06:22 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 17:06:22 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 17:06:22 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 16:54:46 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 21:42:20 ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 03.03.2009 21:17:20 ANTIVIR3.VDF : 7.1.2.130 124416 Bytes 06.03.2009 10:19:48 Engineversion : 8.2.0.105 AEVDF.DLL : 8.1.1.0 106868 Bytes 07.02.2009 20:46:09 AESCRIPT.DLL : 8.1.1.57 356729 Bytes 06.03.2009 10:19:52 AESCN.DLL : 8.1.1.8 127346 Bytes 06.03.2009 10:19:51 AERDL.DLL : 8.1.1.3 438645 Bytes 07.11.2008 15:30:10 AEPACK.DLL : 8.1.3.10 397686 Bytes 04.03.2009 21:17:30 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 04.03.2009 21:17:29 AEHEUR.DLL : 8.1.0.104 1634679 Bytes 06.03.2009 10:19:51 AEHELP.DLL : 8.1.2.2 119158 Bytes 04.03.2009 21:17:23 AEGEN.DLL : 8.1.1.25 336243 Bytes 06.03.2009 10:19:49 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 17:36:13 AECORE.DLL : 8.1.6.6 176501 Bytes 19.02.2009 21:42:22 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 17:36:12 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 17:06:22 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 17:06:22 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 15:59:41 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 17:06:22 AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 17:00:00 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 17:06:22 SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 17:00:00 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 17:06:23 NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 17:00:00 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 17:06:20 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 17:06:20 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme (x86)\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, G:, H:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Freitag, 6. März 2009 16:19 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Virtual PC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlwriter.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'FortKnoxWow64.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FortKnox.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PWRISOVM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess '3xHybridRMT.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FortKnoxGUI.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'RAVCpl64.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '0' Modul(e) wurden durchsucht Es wurden '15' Prozesse mit '15' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'H:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '32' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Vista> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\iivopso.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\mfvse.exe [FUND] Ist das Trojanische Pferd TR/Tiny.705 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a273f9a.qua' verschoben! C:\ootpnl.exe [FUND] Ist das Trojanische Pferd TR/Downloader.Gen [HINWEIS] Die Datei wurde gelöscht. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <WinXp> D:\Dokumente und Einstellungen\John\Lokale Einstellungen\Temp\AD57.tmp [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/KeyStart.BC [HINWEIS] Die Datei wurde gelöscht. D:\Dokumente und Einstellungen\John\Lokale Einstellungen\Temp\csrssc.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde gelöscht. D:\Dokumente und Einstellungen\John\Lokale Einstellungen\Temp\winvsnet.tmp [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\Dokumente und Einstellungen\John\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXE9UB65\apstpldr.dll[1].htm [FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen [HINWEIS] Die Datei wurde gelöscht. D:\Dokumente und Einstellungen\John\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXE9UB65\cd[1].htm [0] Archivtyp: HIDDEN --> FIL\\\?\D:\Dokumente und Einstellungen\John\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXE9UB65\cd[1].htm [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\system32\crypts.dll [FUND] Ist das Trojanische Pferd TR/Dldr.JLRL [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\system32\ddcAtTKB.dll [FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\system32\dqqhlyqx.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\system32\mlJBusPG.dll [FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\system32\prunnet.exe [FUND] Ist das Trojanische Pferd TR/Agent.bpik [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\system32\qnhotv.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\system32\senekadpasfoen.dll [FUND] Ist das Trojanische Pferd TR/PCK.Tdss.C.89 [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\system32\senekaetirnylp.dll [FUND] Ist das Trojanische Pferd TR/PCK.Tdss.C.92 [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\system32\senekaixfmuwkt.dll [FUND] Ist das Trojanische Pferd TR/PCK.Tdss.C.95 [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\system32\ssqOEVoN.dll.vir [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\system32\vcpktjsh.dll [0] Archivtyp: RSRC --> Object [FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\system32\drivers\senekaxiaybwuy.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde gelöscht. D:\WINDOWS\Temp\AD88B531.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'E:\' <wooooo> Beginne mit der Suche in 'G:\' <G-Platte^^> Beginne mit der Suche in 'H:\' <Wayne> Ende des Suchlaufs: Freitag, 6. März 2009 17:26 Benötigte Zeit: 1:06:35 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 36633 Verzeichnisse wurden überprüft 922396 Dateien wurden geprüft 21 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 20 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 922372 Dateien ohne Befall 8476 Archive wurden durchsucht 3 Warnungen 21 Hinweise |
Hallo dark-john und :hallo: Zuerst solltest du dies zur Kenntnis nehmen: Dein System ist kompromitiert von mehreren Trojaner, die von einigen Ausnahmen abgesehen, über Backdoor Eigenschaften verfügen. Nicht ganz auszuschließen ist, das du dir ein oder mehrere Rootkits eingefangen hast. Alleine dies sollte ein Grund sein über ein Neuaufsetzen deines systems nachzudenken.... Erklärung Rootkit: Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Wenn diese Tarnung fällt, ist der Virus verwundbar... DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte: Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst. Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden..... Code: Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!Checken wir das Ganze erst mal von Anfang an. Wir müssen zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor: Klassische Ansicht oder hier VISTA Code: Geh bitte auf STARTdrücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften. Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen? Dein System sollte die DNS eigentlich automatisch beziehen. Punkt 1. Bitte deaktiviere deine Systemwiederherstellung: Klassische Ansicht: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar.. oder hier: KLICK Punkt 2. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Punkt 3. Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden. Punkt 4. Aktiviere MBR.exe Lass es laufen und poste das Logfile hier. Punkt 5. Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten.... Lasse zum Abschluß alle Funde löschen Punkt 5. Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Weiteres kommt dann nach diesem Logfile von mir.....:daumenhoc |
Wie schon gesagt ich habe mein XP System infiziert was nun nicht mehr funktioniert, deswegen meine Frage ob das Vista system auch betroffen ist obwohl der infekt unter XP statgefunden hat.. Ach ja und danke für die schnelle Antwort :) 1 bis 3 alles kein Problem *********************************************************** 4. Natürlich als Admin ausgeführt Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: error reading MBR ********************************************************** 5. Den Scann mit dieser Software hatte ich schon ausgeführt aber habe es noch ein weiteres mal gemacht. Der erste Scann hat was gefunden beim zweiten, nachdem ich deine Anleitung hier gelesen habe, hat er nichts mehr gefunden. Erste logdatei: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1853 Windows 6.0.6001 Service Pack 1 16.03.2009 12:23:12 mbam-log-2009-03-16 (12-23-12).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|H:\|) Durchsuchte Objekte: 339912 Laufzeit: 1 hour(s), 45 minute(s), 13 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\john\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully. ********************************************************* 6. GMER 1.0.15.14939 - http://www.gmer.net Rootkit scan 2009-03-16 16:01:55 Windows 6.0.6001 Service Pack 1 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00125a0fb518 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00125a0fb518@0014a7046c73 0x58 0x0F 0xA7 0x35 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x24 0x7B 0x25 0x38 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x88 0x8D 0xA0 0xC3 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xCA 0x63 0x5D 0xC2 ... Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00125a0fb518 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00125a0fb518@0014a7046c73 0x58 0x0F 0xA7 0x35 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x24 0x7B 0x25 0x38 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x88 0x8D 0xA0 0xC3 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xCA 0x63 0x5D 0xC2 ... ---- EOF - GMER 1.0.15 ---- |
Ich befürchte etwas sitzt in dem MasterBootRecord ( MBR ). Der Kernel ist im Status = error reading MBR. Ic h suche mal eben nach einem passenden Tool. Bin gleich wieder da... |
Zitat:
Nachdem mein xp infiziert war konnte ich auch vista nicht starten weil er keine bootfestplatten gefunden hatte.. Habe mit der Ultimateboot cd versucht den bootsektor neu zu schreiben und danach ging es wieder, also zumindest vista. |
John, lass nochmal die MBR.exe laufen und poste das Ergebnis nochmals |
Zitat:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: error reading MBR |
Hi, das kann damit zusammenhängen... Kannst Du bitte Gmer nochmal laufen lassen und das Log in "code"-Tags einschließen und komplett posten... Bitte Avira-Antirootkit: Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Und dann noch Dr. Web (man glaubt es kaum, aber der findet auch Rootkits :o): http://freedrweb.com/?lng=de Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten! chris Ps.: Wenn Du allerdings von der CD gebootet hast und den Bootblock geplättest hast, sollte er eigentlich clean sein, [es gibt noch was, aber dann bleibt nur komplett formatieren]) |
Hi, ja, mbr.exe läuft nicht unter vista 64Bit... Und ja, vista sollte nicht verseucht sein, da (theoretisch): Zitat:
chris |
gmer logfile nach erneutem scann unten Avira rootkid dings läuft nicht "konnte Treiber nicht laden" Dr web scan läuft gerade. Code: GMER 1.0.15.14939 - http://www.gmer.net |
Hi, das sieht OK aus... Was sagt Dr. Web? chris |
DR web sagt folgendes, wobei nicht zu vergessen ist die D:\ Festplatte ist meine von vieren befallene und nicht mehr funktionierende winxp partition Code: pgabdbf.sys;D:\WINDOWS\system32\drivers;Trojan.NtRootKit.2753;Gelöscht.; |
Hi, sieht gut aus bis auf die Sachen auf G:... Denke das System ist bis auf die D-Platte in Ordnung... Wenn Du die formatierst bitte inkl. neuen MBR-schreiben... chris |
übrigens läuft mein xp system wieder :P nachdem ich das rootkit unter vista gelöscht habe. mbr.exe sagt nun übrigens folgendes wenn ich das unter winxp 32bit ausführe Zitat:
|
Hi, auch das sieht gut aus, lass unter XP noch mal Gmer laufen und poste das Log... (Eigentlich dachte Du wolltest XP platt machen, wäre wahrscheinlich auch besser ;o) chris |
na ja xp brauche ich nur zum spielen und für meine tv karte weil die nicht unter vista läuft. Code: GMER 1.0.15.14939 - http://www.gmer.net |
Hi, sieht auch ok aus, aber bitte über virustotal prüfen lassen: \SystemRoot\System32\Drivers\arg3jmvt.SYS \SystemRoot\System32\Drivers\sphk.sys =>C:\windows... Gmer findet sie nicht, Überreste? chris |
Hi, "\SystemRoot\System32\Drivers\sphk.sys" sollte zu den Daemon-Tools gehören... Der Rest mal sehen... chris |
ich kauf mir bald neue platten und werde einfach nochmal sicherheitshalber formatieren und damit wäre das Thema auch abgeschlossen. Besten dank und gruß John |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board