|
ich glaube das war nix.. ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 2) Wed May 06 20:09:57 2009 20:09:57: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\ntdll64.exe" not found! Deletion of file "C:\WINDOWS\system32\ntdll64.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\frmwrk32.exe" not found! Deletion of file "C:\WINDOWS\system32\frmwrk32.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\loader49.exe" not found! Deletion of file "C:\WINDOWS\system32\loader49.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
Hi, es ist äußert unwahrscheinlich, dass die Dateien da sind, wenn Avenger die nicht findet. Sieht Malwarebytes sie denn noch? lg myrtille |
Ich kann geren morgen Malwarebytes durchlaufen lassen... Aber jetzt sind die symptome wieder da.... Und zwar werde ich von google auf komsiche seiten "relinkt". Hier eins davon http://zeis.org.ua/eu/DE/k1/ weiss nicht ob das hilft... |
Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2061 Windows 5.1.2600 Service Pack 2 07.05.2009 23:55:01 mbam-log-2009-05-07 (23-55-01).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 146347 Laufzeit: 1 hour(s), 38 minute(s), 6 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\system32\loader49.exe (Trojan.Downloader) -> Delete on reboot. |
Hi, ich werd mich mal bei einigen Kollegen umhören. Könntest du derweil bitte noch folgendes versuchen: OTMoveIt by OldTimer Folgendes Tool herunterladen -> OTMoveIt3.exe --> Starte nun die OTMoveIt.exe --> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren: Code: :files--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein! Für den Überblick bitte auch mal folgendes noch abarbeiten: Registry Search Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen. Hier das Programm herunterladen -> RegSearch by Bobbi Flekman Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten. Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig) Dort bitte nach folgendem suchen lassen: Code: ntdll64.exeNach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen. Rootkitscan mit RootRepeal
Aktualisiere bitte außederm Malwarebytes und lasse nochmal einen Quickscan laufen, eventuell sieht das Programm mit aktuellen Signaturen mehr. Erstelll zu guter letzt bitte noch ein Filelisting mit diesem script:
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. Poste bitte außerdem noch ein neues Hijackthis log. lg myrtille |
the same again ========== FILES ========== File/Folder C:\WINDOWS\system32\ntdll64.exe not found. File/Folder C:\WINDOWS\system32\frmwrk32.exe not found. File/Folder C:\WINDOWS\system32\loader49.exe not found. OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05082009_195429 |
Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 08.05.2009 19:57:14 for strings: ; 'ntdll64.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... |
ROOTREPEAL (c) AD, 2007-2008 ================================================== Scan Time: 2009/05/08 19:59 Program Version: Version 1.2.3.0 Windows Version: Windows XP Media Center Edition SP2 ================================================== Drivers ------------------- Name: ajzv.sys Image Path: ajzv.sys Address: 0xBA8A8000 Size: 61440 File Visible: No Status: - Name: dump_atapi.sys Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys Address: 0xB701F000 Size: 98304 File Visible: No Status: - Name: dump_WMILIB.SYS Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Address: 0xBAE14000 Size: 8192 File Visible: No Status: - Name: mchInjDrv.sys Image Path: C:\WINDOWS\system32\Drivers\mchInjDrv.sys Address: 0xBAF5E000 Size: 2560 File Visible: No Status: - Name: rootrepeal.sys Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys Address: 0xB4473000 Size: 45056 File Visible: No Status: - Hidden/Locked Files ------------------- Path: C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\temp\etilqs_gd1fUUIqvBOBUvYkIRHr Status: Allocation size mismatch (API: 16384, Raw: 0) Path: C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\temp\etilqs_VjrY952hJCNhJHcPa36D Status: Allocation size mismatch (API: 4096, Raw: 0) Path: C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\temp\etilqs_wsyo7ySoSWl6eoT5Awee Status: Allocation size mismatch (API: 32768, Raw: 0) Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools\ThreatFire\Orig.db Status: Allocation size mismatch (API: 2572288, Raw: 2560000) SSDT ------------------- #: 041 Function Name: NtCreateKey Status: Hooked by "PCTCore.sys" at address 0xba6b6506 #: 047 Function Name: NtCreateProcess Status: Hooked by "PCTCore.sys" at address 0xba6a5240 #: 048 Function Name: NtCreateProcessEx Status: Hooked by "PCTCore.sys" at address 0xba6a5432 #: 063 Function Name: NtDeleteKey Status: Hooked by "PCTCore.sys" at address 0xba6b6cc8 #: 065 Function Name: NtDeleteValueKey Status: Hooked by "PCTCore.sys" at address 0xba6b6f88 #: 119 Function Name: NtOpenKey Status: Hooked by "PCTCore.sys" at address 0xba6b53ec #: 192 Function Name: NtRenameKey Status: Hooked by "PCTCore.sys" at address 0xba6b73ec #: 247 Function Name: NtSetValueKey Status: Hooked by "PCTCore.sys" at address 0xba6b67b8 #: 257 Function Name: NtTerminateProcess Status: Hooked by "PCTCore.sys" at address 0xba6a4ef0 |
Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2095 Windows 5.1.2600 Service Pack 2 08.05.2009 20:23:55 mbam-log-2009-05-08 (20-23-55).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 77413 Laufzeit: 8 minute(s), 15 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\system32\loader49.exe (Trojan.Downloader) -> Delete on reboot. |
Der Link zum "dieses Skript" funktioniert leider nicht... |
|
http://rapidshare.de/files/47082338/listing.txt.html |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:24:10, on 08.05.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\stsystra.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Dell\QuickSet\quickset.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\ThreatFire\TFTray.exe C:\Programme\PC Tools AntiVirus\PCTAV.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\PROGRA~1\ICQ6.5\ICQ.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\PC Tools AntiVirus\PCTAVSvc.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\ThreatFire\TFService.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\eHome\ehmsas.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Hans\Desktop\HJthis\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe O4 - HKLM\..\Run: [PCTAVApp] "C:\Programme\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - C:\Programme\PC Tools AntiVirus\PCTAVSvc.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 6620 bytes |
Hi, Lade dir diese Datei -> mbr.exe direkt auf das Laufwerk wo dein Betriebssystem installiert ist (also auf c: ) und führe sie aus. Auf c:\ wir dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein. Navilog1 - von IL-MAFIOSO Bitte lade Dir Navilog1 herunter.
FoxScan
lg myrtille |
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board