|
guten abend, endlich hat es mal geklappt habe diesen log nur gefunden hoffe das ist der richtige SysProt AntiRootkit v1.0.1.0 by swatkat ****************************************************************************************** ****************************************************************************************** ****************************************************************************************** ****************************************************************************************** Kernel Modules: Module Name: \SystemRoot\System32\Drivers\dump_nvata.sys Service Name: --- Module Base: B5DC7000 Module End: B5DE1000 Hidden: Yes Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS Service Name: --- Module Base: BADE8000 Module End: BADEA000 Hidden: Yes ****************************************************************************************** ****************************************************************************************** No Kernel Hooks found ****************************************************************************************** ****************************************************************************************** Hidden files/folders: Object: D:\System Volume Information\MountPointManagerRemoteDatabase Status: Access denied Object: D:\System Volume Information\tracking.log Status: Access denied Object: D:\System Volume Information\_restore{BA3EEF0E-5B44-43B8-BC0D-F24F75B08B22} Status: Access denied Object: C:\Dokumente und Einstellungen\dome.DOME-7705E5FC68\Eigene Dateien\ICQ\407737737\ReceivedFiles\409626065 »?????¢s???« Status: Hidden Object: C:\System Volume Information\MountPointManagerRemoteDatabase Status: Access denied Object: C:\System Volume Information\tracking.log Status: Access denied Object: C:\System Volume Information\_restore{B8F7E53B-6406-4BFD-8298-32D1497D7A5D} Status: Access denied Object: C:\System Volume Information\_restore{BA3EEF0E-5B44-43B8-BC0D-F24F75B08B22} Status: Access denied hoffe du kannst mir jetzt weiter helfen ;) |
Hallo dome Unerwünschter Gast anwesend. :) Anleitung Avenger (by swandog46) Lade dir das Tool File-Upload.net - Hopsassa.exe und speichere es auf dem Desktop: SCRIPT NUR MIT KOMPLETTEN PFADNAMEN * Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg * Kopiere nun folgenden Text in das weiße Feld bei -> "input script here" Code: files to delete: * Schliesse nun alle Programme undr Browse-Fenster * Um den Avenger zu starten klicke auf -> Execute * Dann bestätigen mit "Yes" das der Rechner neu startet * Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt * Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Gruß Acid |
kam folgendes bei raus Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINXP\system32\drivers\EagleNT.sys" not found! Deletion of file "C:\WINXP\system32\drivers\EagleNT.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Driver "EagleNT" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Hallo dome Das ist doch schon mal was. :) Probieren wirs jetzt nochmal mit Bevor mit GMER gescant werden kann müssen erst einige Dinge erledigt werden: Alle Scanner gegen Viren, Spyware und sonstiges müssen deaktiviert werden Alle Netzwerk- und Internetverbindungen trennen (auch WLAN) Beim Scan nichts am Rechner machen Nach dem Scan den Rechner neustarten Der Gmer Scan: * GMER auf den Desktop herunter laden. * Gmer ist geeignet für => NT/W2K/XP/VISTA. * Alle geöffneten Programme schließen (auch den Browser) Hintergrundprogramme nach Möglichkeit beenden * Gmer.exe starten * Vista-User müssen das Programm als Administrator starten * Den Scan mit "Scan" starten. Nichts am Rechner machen während der Scan läuft. * Wenn der Scan fertig ist auf "Copy" klicken um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet. * Das Log entweder direkt als Antwort posten oder als Textdatei auf den Desktop speichern falls erst der Neustart durchgeführt wird. Falls sich ein Fenster mit folgender Warnung öffnet: WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ? Unbedingt auf "No" klicken. Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird! Gruß Acid |
Scan lief gut durch... nach dem neustart fand ich den log hier GMER 1.0.15.15163 - GMER - Rootkit Detector and Remover Rootkit scan 2009-11-01 11:24:57 Windows 5.1.2600 Service Pack 3 Running: iphfnv0q.exe; Driver: C:\DOKUME~1\DOME~1.DOM\LOKALE~1\Temp\kxwiraow.sys ---- System - GMER 1.0.15 ---- SSDT BAEA8896 ZwCreateKey SSDT BAEA888C ZwCreateThread SSDT BAEA889B ZwDeleteKey SSDT BAEA88A5 ZwDeleteValueKey SSDT BAEA88AA ZwLoadKey SSDT BAEA8878 ZwOpenProcess SSDT BAEA887D ZwOpenThread SSDT BAEA88B4 ZwReplaceKey SSDT BAEA88AF ZwRestoreKey SSDT BAEA88A0 ZwSetValueKey SSDT BAEA8887 ZwTerminateProcess ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- |
Hallo dome Versuche jetzt bitte ob du deinen Rechner mit Malwarebytes scannen kannst (vorher updaten). Vor dem Scan alle externen Festplatten und USB-Sticks an den Rechner anschließen, Komplett Scan. Danch noch http://www.trojaner-board.de/51871-a...tispyware.html. Beide logs posten. Gruß Acid |
geht leider beides nicht.. es hängt sich wieder auf :( noch ne idee? |
Hallo dome Bitte deinstalliere beide Programme und lösche auch die beiden setup.exe. Danach neu runter laden aber diesmal mit rechtsklick => Ziel speichern unter => smss.exe (MBAM) und blubb.exe (SAS). Beide bitte direkt auf den Desktop laden, nicht in ein Verzeichnis. Installieren, updaten, funktionierts dann? Gruß Acid |
geht leider auch so nicht hängt sich immer noch auf noch ne idee? bin langsam am verzweifeln ^^ |
Hallo dome Lasse RSIT nochmal laufen und erstelle neue logs. Beide bitte als Anhang an deine Antwort. Gruß Acid |
hier sind die beiden logs |
Hallo dome Deinstalliere Code: AskToolbarCode: R3 - URLSearchHook: (no name) - - (no file)Acid |
Erledigit, und nun? |
Versuche erneut ob du Scans durchführen kannst (Avira, MBAM und SAS). Versuche es gegebenenfalls auch mal im Abgesicherten Modus von Windows. Gruß Acid |
Also es funktoniert immer noch nicht hab es jetzt mit den 3 versucht und auch im abgesicherten modus klappt es leider nicht... noch ne idee? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:52 Uhr. |
Copyright ©2000-2025, Trojaner-Board