Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   .exe kann nicht geöffnet werden; Verknüpfungen erscheinen als .lnk ... Bitte Helfen (https://www.trojaner-board.de/75369-exe-geoeffnet-verknuepfungen-erscheinen-lnk-bitte-helfen.html)

masterkaya 18.07.2009 23:26
Zitat:
Teste, ob du das laden kannst => File-Upload.net - listing1.bat
Jop, Fertig heruntergeladen.

john.doe 18.07.2009 23:32
Dann lade das hier => File-Upload.net - avz4.zip

ciao, andreas

masterkaya 18.07.2009 23:33
Zitat:
Zitat von john.doe (Beitrag 449295)
Dann lade das hier => File-Upload.net - avz4.zip

ciao, andreas
hat geklappt, aber was soll ich nun mit dem listing1.bat machen ?

john.doe 18.07.2009 23:36
Löschen.

ciao, andreas

masterkaya 18.07.2009 23:43
Hier der AVZ-Log

Code:
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 19.07.2009 00:40:23
Database loaded: signatures - 232233, NN profile(s) - 2, microprograms of healing - 56, signature database released 18.07.2009 22:28
Heuristic microprograms loaded: 374
SPV microprograms loaded: 9
Digital signatures of system files loaded: 125988
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
 Analysis: kernel32.dll, export table found in section .text
 Analysis: ntdll.dll, export table found in section .text
 Analysis: user32.dll, export table found in section .text
 Analysis: advapi32.dll, export table found in section .text
 Analysis: ws2_32.dll, export table found in section .text
 Analysis: wininet.dll, export table found in section .text
 Analysis: rasapi32.dll, export table found in section .text
 Analysis: urlmon.dll, export table found in section .text
 Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
 Driver loaded successfully
 SDT found (RVA=083220)
 Kernel ntoskrnl.exe found in memory at address 804D7000
  SDT = 8055A220
  KiST = 804E26A8 (284)
Function NtCreateKey (29) intercepted (8057065D->F7ACD56E), hook not defined
Function NtCreateThread (35) intercepted (8058E64B->F7ACD564), hook not defined
Function NtDeleteKey (3F) intercepted (805952CA->F7ACD573), hook not defined
Function NtDeleteValueKey (41) intercepted (80592D5C->F7ACD57D), hook not defined
Function NtEnumerateKey (47) intercepted (80570D64->F73ACCA2), hook spmb.sys
Function NtEnumerateValueKey (49) intercepted (80590677->F73AD030), hook spmb.sys
Function NtFlushInstructionCache (4E) - machine code modification Method of JmpTo. jmp 86C20014
Function NtLoadKey (62) intercepted (805AED6D->F7ACD582), hook not defined
Function NtOpenKey (77) intercepted (80568D59->F738E0C0), hook spmb.sys
Function NtOpenProcess (7A) intercepted (805717C7->F7ACD550), hook not defined
Function NtOpenThread (80) intercepted (8058A1C9->F7ACD555), hook not defined
Function NtQueryKey (A0) intercepted (80570A6D->F73AD108), hook spmb.sys
Function NtQueryValueKey (B1) intercepted (8056A1F2->F73ACF88), hook spmb.sys
Function NtReplaceKey (C1) intercepted (8064F0DC->F7ACD58C), hook not defined
Function NtRestoreKey (CC) intercepted (8064EC71->F7ACD587), hook not defined
Function NtSetValueKey (F7) intercepted (80572889->F7ACD578), hook not defined
Function NtTerminateProcess (101) intercepted (805822EC->F7ACD55F), hook not defined
Function IofCallDriver (804E37C5) - machine code modification Method of JmpTo. jmp 86C202BB
Function IofCompleteRequest (804E3BF6) - machine code modification Method of JmpTo. jmp 86C14DB3
Function ZwSaveKey (804DD6E8) - machine code modification Method of JmpTo. jmp 86D812DA
Function ZwSaveKeyEx (804DD6FC) - machine code modification Method of JmpTo. jmp 86D8C012
Functions checked: 284, intercepted: 16, restored: 0
1.3 Checking IDT and SYSENTER
 Analysis for CPU 1
 Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
 Checking not performed: extended monitoring driver (AVZPM) is not installed
 Driver loaded successfully
1.5 Checking of IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 86F6A1F8 -> hook not defined
 Checking - complete
2. Scanning memory
 Number of processes found: 31
 Number of modules loaded: 332
Scanning memory - complete
3. Scanning disks
4. Checking  Winsock Layered Service Provider (SPI/LSP)
 LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
 Checking disabled by user
7. Heuristic system check
>>> Suspicion on trojan DNS ({A5C22EDD-F794-47D3-AF04-994633FE0285} "Drahtlose Netzwerkverbindung")
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
 >>  Abnormal EXE files association
 >>  Abnormal COM files association
 >>  Abnormal PIF files association
 >>  Abnormal BAT files association
 >>  Abnormal LNK files association
 >>  Abnormal SCR files association
 >>  Abnormal REG files association
 >>  HDD autorun are allowed
 >>  Autorun from network drives are allowed
 >>  Removable media autorun are allowed
Checking - complete
Files scanned: 364, extracted from archives: 0, malicious software found 0, suspicions - 0
Scanning finished at 19.07.2009 00:40:50
Time of scanning: 00:00:28
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

john.doe 18.07.2009 23:56
Downloade bitte folgendes Tool:
http://www2.gmer.net/mbr/mbr.exe

Kopiere es auf den Desktop und führe es aus.
Es öffnet sich nur für einen Bruchteil ein CMD-Fenster, dass sich sofort wieder schließt.
Auf deinem Desktop ist eine neue Text-Datei: mbr.log

Poste bitte den Inhalt der Datei.

ciao, andreas

masterkaya 18.07.2009 23:58
Bitte sehr:
Code:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
BIOS signateure not found

john.doe 19.07.2009 00:07
Rootkitscan mit RootRepeal
  • Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
  • Entpacke die Datei auf Deinen Desktop.
  • Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
    .
    Drivers
    Files
    Processes
    SSDT
    Stealth Objects
    Hidden Services
    .
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.

ciao, andreas

masterkaya 19.07.2009 00:17
Programm lässt sich nicht öffnen, dannach kommt ein Log :koch::headbang:
Code:
ROOTREPEAL CRASH REPORT
-------------------------
Exception Code: 0xc0000005
Exception Address: 0x004143bc
Attempt to read from address: 0x011e7000

john.doe 19.07.2009 00:22
Hast du deine Windows-CD greifbar?

ciao, andreas

masterkaya 19.07.2009 00:24
Zitat:
Zitat von john.doe (Beitrag 449314)
Hast du deine Windows-CD greifbar?

ciao, andreas
Ja habe ich :)

john.doe 19.07.2009 00:34
OK, drucke das am besten aus.

1.) Lade dir den Anhang auf den Desktop, benenne es von .txt um in .vbs und starte es mit Doppelklick.

2.) Lege die Windows-CD ein und starte den Rechner neu.

3.) Nach dem BIOS-Bild sollte die Meldung kommen, das man eine Taste drücken soll. Wenn du dann die Entertaste drückst, sollte er von CD starten.

4.) Im ersten Menü sollte er dir das Reparieren anbieten. Dort drückst du R.

5.) Irgendwann siehst du dann sowas wie C:\ und einen blinkenden Strich.

6.) Dort gibst du ein: fixmbr [Enter]

7.) Danach: exit [Enter]

8.) Der Rechner startet jetzt neu, nimm schnell die CD aus dem Laufwerk. Jetzt sollte Windows wieder starten. Danach geht es weiter.

ciao, andreas

masterkaya 19.07.2009 00:44
hab kein drucker :rolleyes:
ich schreibe mir die 8 schritte schnell auf

masterkaya 19.07.2009 00:58
...\xp_exe_fix.vbs ist keine zulässige Win32-Anwendung. :confused::(

john.doe 19.07.2009 01:03
1.) Lade exefixi.txt aus dem Anhang auf deinen Desktop

2.) Benenne sie um in exefixi.inf

3.) Mausklick rechts auf exefixi.inf => Installieren

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:03 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19