Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Malware defense. Rootkit scanner Ergebnisse (https://www.trojaner-board.de/80780-malware-defense-rootkit-scanner-ergebnisse.html)

max41033 26.12.2009 14:09

Malware defense. Rootkit scanner Ergebnisse
 
Frohe Weihnachten!

Bei mir tauchen permanent Windows Security Alerts auf. Habe den GMER Rootkit Scanner laufen lassen. Habe absolut keine Ahnung, was ich machen kann, um das wieder los zu werden. Danke schonmal für die Hilfe.
Hier die Ergebnisse:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-26 01:31:43
Windows 5.1.2600 Service Pack 3
Running: lfrs63ls.exe; Driver: C:\DOKUME~1\Pc\LOKALE~1\Temp\afnyqpoc.sys


---- System - GMER 1.0.15 ----

Code 8A313410 ZwEnumerateKey
Code 8A313B68 ZwFlushInstructionCache
Code 8A4AB0D6 IofCallDriver
Code 8A3010EE IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 8A4AB0DB
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 8A3010F3
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6814 5 Bytes JMP 8A313B6C
PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FF2 5 Bytes JMP 8A313414

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)

Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRTttpnbaklii.sys (*** hidden *** ) EE317000-EE334000 (118784 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTujomurujot.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [200] 0x00910000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTttpnbaklii.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTttpnbaklii.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTttpnbaklii.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmrdbqgkvhl.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTytoiqhosdr.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTujomurujot.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTttpnbaklii.sys
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTttpnbaklii.sys
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmrdbqgkvhl.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTytoiqhosdr.dat
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTujomurujot.dll

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Pc\Lokale Einstellungen\Temp\H8SRT5263.tmp 343040 bytes executable
File C:\WINDOWS\system32\drivers\H8SRTttpnbaklii.sys 40960 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\H8SRTmrdbqgkvhl.dll 23040 bytes executable
File C:\WINDOWS\system32\H8SRTujomurujot.dll 36864 bytes executable
File C:\WINDOWS\system32\H8SRTytoiqhosdr.dat 202 bytes
File C:\WINDOWS\Temp\H8SRT63b8.tmp 214 bytes

---- EOF - GMER 1.0.15 ----


Nochmals Danke im Voraus.

max41033 26.12.2009 15:53

Brauche Eure Hilfe. Bitte um kurze Info, was ich tun muss, um das Problem los zu werden. Danke!

Bullabeiser 26.12.2009 17:34

Malwarebytes Antimalware runterziehen und rennen lassen.

Bitte vor dem malware-Scan: trenne den PC vom Netz, schalte den Virenscanner aus. Schalte alle anderen Malware-Scanner aus.

max41033 26.12.2009 17:50

Danke für die Info. Kann das Programm installieren, es startet aber nicht. Ging mir schon bei Antivir so. Gibt es einen Trick, es trotzdem laufen zu lassen?

max41033 26.12.2009 22:30

Kann Malware nicht laufen lassen: Programm installiert, lässt sich aber nicht starten. Was kann ich tun? Gibt es noch eine andere Art, die Malware loszuwerden? Bin für Hinweise dankbar.

max41033 26.12.2009 23:08

Brauche dringend Eure Unterstützung. Bitte um Durchsicht des HiJackThis Logs auf mein Malware-Problem und mögliche weitere Probleme. Danke!
Hier die Auswertung des HiJackThis Logs als weitere Info:
Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:03:14, on 26.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\IAM\bin\asghost.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\PDF Complete\pdfsvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\PDF Complete\pdfsty.exe
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\DOKUME~1\Pc\LOKALE~1\Temp\richtx64.exe
C:\Programme\Malware Defense\mdefense.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\DOKUME~1\Pc\LOKALE~1\Temp\wscsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Toolbars\Shared\SkypeNames.exe
C:\Dokumente und Einstellungen\Pc\Eigene Dateien\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PDF Complete] "C:\Programme\PDF Complete\pdfsty.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [Cingular Communication Manager] "C:\Programme\Cingular\Communication Manager\CingularCCM.exe" -a
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [richtx64.exe] C:\DOKUME~1\Pc\LOKALE~1\Temp\richtx64.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CCC.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://88.117.177.133/activex/AxisCamControl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: OneCard - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe
O23 - Service: Radia Management Agent (rma) - Unknown owner - C:/Novadigm/ManagementAgent/nvdkit.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Roxio MyDVD Basic v9\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Roxio MyDVD Basic v9\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 14496 bytes


max41033 27.12.2009 13:49

Bitte um kurze Info, was ich tun muss. Danke!

max41033 27.12.2009 16:46

Bitte um kurze Info zu der Auswertung. Danke.

Angel21 27.12.2009 17:05

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:

files to delete:
C:\WINDOWS\system32\drivers\H8SRTttpnbaklii.sys
C:\Dokumente und Einstellungen\Pc\Lokale Einstellungen\Temp\H8SRT5263.tmp
C:\WINDOWS\system32\H8SRTmrdbqgkvhl.dll
C:\WINDOWS\system32\H8SRTujomurujot.dll
C:\WINDOWS\system32\H8SRTytoiqhosdr.dat
C:\WINDOWS\Temp\H8SRT63b8.tmp
C:\DOKUME~1\Pc\LOKALE~1\Temp\richtx64.exe
C:\Programme\Malware Defense\mdefense.exe

drivers to delete:
H8SRTd.sys

http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Priestaftw 27.12.2009 19:55

Habe ein ähnliches Problem und den Avenger report schon eingefügt:

http://www.trojaner-board.de/80840-malware-trojaner.html#post489531

max41033 27.12.2009 20:28

Hier mein Avenger-Report. Danke für die Hilfe. Muss ich noch was tun?

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath:  \systemroot\system32\drivers\H8SRTttpnbaklii.sys
Start Type:  4 (Disabled)

Rootkit scan completed.

File "C:\WINDOWS\system32\drivers\H8SRTttpnbaklii.sys" deleted successfully.
File "C:\Dokumente und Einstellungen\Pc\Lokale Einstellungen\Temp\H8SRT5263.tmp" deleted successfully.
File "C:\WINDOWS\system32\H8SRTmrdbqgkvhl.dll" deleted successfully.
File "C:\WINDOWS\system32\H8SRTujomurujot.dll" deleted successfully.
File "C:\WINDOWS\system32\H8SRTytoiqhosdr.dat" deleted successfully.
File "C:\WINDOWS\Temp\H8SRT63b8.tmp" deleted successfully.
File "C:\DOKUME~1\Pc\LOKALE~1\Temp\richtx64.exe" deleted successfully.
File "C:\Programme\Malware Defense\mdefense.exe" deleted successfully.
Driver "H8SRTd.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.


Angel21 27.12.2009 20:33

Gmer Rootkit Scan erneut durchführen.

Das neue Log hier her.

max41033 28.12.2009 00:50

Hier kommt der neue GMER Rootkit Scan. Nochmals Danke für die Hilfe.
Code:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-28 00:21:10
Windows 5.1.2600 Service Pack 3
Running: lfrs63ls.exe; Driver: C:\DOKUME~1\Pc\LOKALE~1\Temp\afnyqpoc.sys


---- System - GMER 1.0.15 ----

SSDT            F7B5D41E                                ZwCreateKey
SSDT            F7B5D414                                ZwCreateThread
SSDT            F7B5D423                                ZwDeleteKey
SSDT            F7B5D42D                                ZwDeleteValueKey
SSDT            F7B5D432                                ZwLoadKey
SSDT            F7B5D400                                ZwOpenProcess
SSDT            F7B5D405                                ZwOpenThread
SSDT            F7B5D43C                                ZwReplaceKey
SSDT            F7B5D437                                ZwRestoreKey
SSDT            F7B5D428                                ZwSetValueKey
SSDT            F7B5D40F                                ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?              fedahb.sys                              Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
AttachedDevice  \FileSystem\Fastfat \Fat                fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                  DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- EOF - GMER 1.0.15 ----


Angel21 28.12.2009 13:53

Nene, das war noch nit alles an Bereinigung ;)

Deinstalliere/Lösche Malwarebytes komplett von deinem System. Lade es dir erneut herunter und lass Malwarebytes laufen. Das Log hier her. Alles was Malwarebytes beanstandet hatte bitte entfernen.

Jenson 28.12.2009 14:41

Hallo,

hatte ein ähnliches Problem.

Avira und auch Search and Destroy konnten nicht ausgeführt werden.

Malwarebytes lies sich nicht installieren.

Damit Du Malwarebytes starten kannst: Nach dem Download speichere die Setup-Datei unter einem anderen Namen ab!!! Dann sollte es gehen.

Nachdem die ersten Schritte der Behebung getan waren, lief bei mir auch Avira und Spybot wieder.

Habe dann viel Aufräumarbeit mit diversen Tools (CCleaner, Mawarebytes, Spybot und halt Avira in agressiver Einstellung) gemacht.

Vielleicht hilft Dir das schonmal fürs Erste weiter?

max41033 04.01.2010 20:03

Vielen Dnak für die Hilfe. Hier mein Malwarebytes-Log:

Code:

Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3492
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

04.01.2010 20:01:50
mbam-log-2010-01-04 (20-01-50).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 303284
Laufzeit: 1 hour(s), 59 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\malware defense (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\richtx64.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Pc\Startmenü\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Pc\Lokale Einstellungen\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Pc\Lokale Einstellungen\Temp\Installer.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\Malware Defense\mdext.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Programme\Malware Defense\uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0086871.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0086872.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0086873.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0086874.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0086876.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\Programme\malware Defense\help.ico (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Programme\malware Defense\md.db (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Pc\Startmenü\Programme\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Pc\Startmenü\Programme\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Pc\Startmenü\Programme\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Pc\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.


Angel21 04.01.2010 21:14

Hallo,

da hat ja Malwarebytes allerhand an Schädlingen entfernt ;)

Next Step: Lasse Superantispyware laufen und entferne die Funde und poste auch dessen Ergebnis hier her.
Desweiteren eine Zwischenfrage. Wie geht es deinem PC jetzt nach SASW?

max41033 07.01.2010 15:27

Danke für die Hilfe.

PC läuft wie vorher nach Spyware-Durchlauf.

Hier mein Spyware-Log.
Code:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/07/2010 at 03:21 PM

Application Version : 4.33.1000

Core Rules Database Version : 4455
Trace Rules Database Version: 2277

Scan type      : Complete Scan
Total Scan Time : 02:37:39

Memory items scanned      : 822
Memory threats detected  : 0
Registry items scanned    : 6959
Registry threats detected : 0
File items scanned        : 192008
File threats detected    : 48

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@adserv.baunetz[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@ad.zanox[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@im.banner.t-online[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@statse.webtrendslive[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@www.googleadservices[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@www.etracker[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@guj.122.2o7[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@doubleclick[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@atdmt[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@webmasterplan[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@tracking.quisma[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@tracking.mindshare[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@stats.rolandberger[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@stats.bmw[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@track.adform[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@ad.yieldmanager[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@euros4click[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@track.webtrekk[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@de.sitestat[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@statcounter[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@bs.serving-sys[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@mediaplex[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@zanox[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@vodafonegroup.122.2o7[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@www.zanox-affiliate[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@content.yieldmanager[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@test.coremetrics[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@adfarm1.adition[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@adtech[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@adsrv.admediate[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@unitymedia[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@zanox-affiliate[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@hasenet.122.2o7[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@112.2o7[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@eas.apm.emediate[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@track.webtrekk[2].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@shinystat[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@de.sitestat[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@mckinseyknowledge.122.2o7[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@traffictrack[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@tracking.mlsat02[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@serving-sys[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@rotator.adjuggler[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@tradedoubler[1].txt
        C:\Dokumente und Einstellungen\Pc\Cookies\pc@apmebf[2].txt

Rogue.SmartProtector
        C:\WINDOWS\system32\srcr.dat

Trojan.Agent/Gen-Nullo[Short]
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0087993.DLL
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0087994.EXE


Angel21 07.01.2010 16:29

  • ESET Online Scanner
    • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
    • Button "ESET Online Scanner" drücken.
    • Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
    • Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User müssen das Installieren eines ActiveX Elements erlauben.
    • Einen Haken bei "Remove found threads" und "Scan archives" machen.
    • Start drücken.
    • Der Scan beginnt automatisch.
    • Finish drücken.
    • Browser schließen.
    • Explorer öffnen.
    • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
    • Logfile hier posten.
    • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
    • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
    • IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
    • O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

max41033 07.01.2010 21:06

Hier mein Logfile aus ESET. Nix gefunden. Juhu!

Code:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=f51eafffd9d9a24982ce8ff27f0ba28d
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-01-07 07:46:53
# local_time=2010-01-07 08:46:53 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775145 100 94 166059 62376210 194395 0
# compatibility_mode=8192 67108863 100 0 3816 3816 0 0
# scanned=178421
# found=0
# cleaned=0
# scan_time=9264
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=f51eafffd9d9a24982ce8ff27f0ba28d
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-01-07 08:05:42
# local_time=2010-01-07 09:05:42 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775145 100 94 176334 62386485 204670 0
# compatibility_mode=8192 67108863 100 0 14091 14091 0 0
# scanned=4312
# found=0
# cleaned=0
# scan_time=120


Angel21 08.01.2010 14:54

Neues RSIT Logfile bitte (nur Log.TXT) und hier herein stellen.

Chris4You 09.01.2010 17:18

Hi,

die Systemwiederherstellung noch bereinigen...

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris

max41033 14.01.2010 22:47

Danke für die Hilfe.

Hier nun Log.txt

Code:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Pc at 2010-01-14 22:44:44
Microsoft Windows XP Professional Service Pack 3
System drive C: has 109 GB (71%) free of 153 GB
Total RAM: 1919 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:44:53, on 14.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\IAM\bin\asghost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\PDF Complete\pdfsvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\PDF Complete\pdfsty.exe
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe


Chris4You 15.01.2010 07:18

Hi,

das Log ist nicht vollständig, noch mal posten...

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19