|
Windows Security Alerts - Virus Guten Abend und Hallo alle zusammen, dummerweise habe ich mir heute einen Virus eingefangen - einen, der mir das Programm "Windows Security Alerts" auf den Rechner gepackt hat und mich jetzt mit aufgehenden Fenstern zum Kauf dieses vermeintlich tollen Programmes überreden möchte und mir angebliche Viren meldet. Ich habe mir schon einige Anti-Maleware-Programme heruntergeladen, jedoch funktioniert keines von ihnen, ebensowenig wie mein Antivirus-Programm. Nach einigem Suchen und Lesen bin ich schließlich hier gelandet und habe mir einen HiJackThis Log erstellen lassen, den ich jetzt hier Posten werde, in der Hoffnung, dass mir jemand helfen kann - ich kenne mich nämlich kaum mit Computern und speziell mit Viren aus. Wäre echt klasse, wenn mir jemand helfen könnte :) Viele Grüße, Nightdream Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:24:09, on 05.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16945) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe D:\apdproxy.exe D:\bin\jusched.exe D:\pdf24\PDFBackend.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe D:\Nokia\Nokia PC Suite 7\PCSuite.exe C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe C:\Programme\Malware Defense\mdefense.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\McAfee Security Scan\1.0.150\SSScheduler.exe C:\Programme\ZyXEL\ZyAIR G-200\WLUSBCfg.exe C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\wscsvc32.exe C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe C:\Programme\Internet Explorer\iexplore.exe D:\PhotoshopElementsFileAgent.exe D:\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Wacom_Tablet.exe C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe C:\WINDOWS\system32\Wacom_Tablet.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe D:\Programme\Adobe\Reader\AcroRd32.exe D:\bin\jucheck.exe C:\Programme\Outlook Express\msimn.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XWMKBXJY\mbam-setup[1].exe C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\is-4GTP3.tmp\mbam-setup[1].tmp D:\Malwarebytes' Anti-Malware\mbam.exe C:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neopets.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {CD292324-974F-4224-D074-CACA427AA030} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: (no name) - {CD292324-974F-4224-D074-CACA427AA030} - (no file) O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\apdproxy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\bin\jusched.exe" O4 - HKLM\..\Run: [PDFPrint] "D:\pdf24\PDFBackend.exe" O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [PC Suite Tray] "D:\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: McAfee Security Scan.lnk = ? O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office10\OSA.EXE O4 - Global Startup: ZyAIR G-200 Wireless LAN Utility.lnk = C:\Programme\ZyXEL\ZyAIR G-200\WLUSBCfg.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.schuelervz.net/phot...che=1220283434 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/phot...che=1215377312 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O19 - User stylesheet: (file missing) O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - D:\PhotoshopElementsFileAgent.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe -- End of file - 10053 bytes |
Hi, poste noch ein Gmer-Log... Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris Für mich: C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe C:\Programme\Malware Defense\mdefense.exe C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\wscsvc32.exe + TDSS? |
Okay, hat etwas gedauert, aber das ist dabei rausgekommen - hoffe, das stimmt so. Und danke schonmal für die schnelle Hilfe! Nightdream GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-06 01:22:44 Windows 5.1.2600 Service Pack 3 Running: pg02nu1p.exe; Driver: C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\uwrdapow.sys ---- System - GMER 1.0.15 ---- Code 86388AD8 ZwEnumerateKey Code 8651AD90 ZwFlushInstructionCache Code 8637B25E IofCallDriver Code 866AB96E IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!IofCallDriver 804EE130 5 Bytes JMP 8637B263 .text ntkrnlpa.exe!IofCompleteRequest 804EE1C0 5 Bytes JMP 866AB973 PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805ABEC6 5 Bytes JMP 8651AD94 PAGE ntkrnlpa.exe!ZwEnumerateKey 8061AB72 5 Bytes JMP 86388ADC .text C:\WINDOWS\System32\DRIVERS\nv4_mini.sys section is writeable [0xF6F83380, 0x21F24D, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!??2@YAPAXI@Z 77BF9CC5 5 Bytes JMP 0A93B250 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!??3@YAXPAX@Z 77BF9CDD 5 Bytes JMP 0A93B2A0 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!?set_new_handler@@YAP6AXXZP6AXXZ@Z 77BF9D9F 5 Bytes JMP 0A93B2C0 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_expand 77BF9FE5 5 Bytes JMP 0A93B230 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapadd 77BFBC9F 5 Bytes JMP 0A93B310 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapchk 77BFBCB3 5 Bytes JMP 0A93B320 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapset + 1 77BFBD83 4 Bytes JMP 0A93B351 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapmin 77BFBD8C 5 Bytes JMP 0A93B420 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapused 77BFBE3A 5 Bytes JMP 0A93B3F0 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapwalk 77BFBE4D 5 Bytes JMP 0A93B360 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_msize 77BFBF6C 5 Bytes JMP 0A93B180 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!calloc 77BFC0C3 5 Bytes JMP 0A93B110 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!free 77BFC21B 5 Bytes JMP 0A93B170 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!malloc 77BFC407 5 Bytes JMP 0A93B0D0 C:\WINDOWS\system32\SH33W32.dll .text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!realloc 77BFC437 5 Bytes JMP 0A93B150 C:\WINDOWS\system32\SH33W32.dll .text D:\a-squared Anti-Malware\a2service.exe[2476] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0045495D D:\a-squared Anti-Malware\a2service.exe (a-squared Service/Emsi Software GmbH) ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Modules - GMER 1.0.15 ---- Module \systemroot\system32\drivers\H8SRTmomyjjagvy.sys (*** hidden *** ) F582D000-F584A000 (118784 bytes) ---- Processes - GMER 1.0.15 ---- Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [696] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1220] 0x00C10000 Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1364] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1404] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1460] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1536] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [2444] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [2860] 0x10000000 ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\H8SRTmomyjjagvy.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTmomyjjagvy.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTmomyjjagvy.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTumphrudvyo.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTuwgftjdxsf.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTebycbkypoc.dll Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTmomyjjagvy.sys Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTmomyjjagvy.sys Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTumphrudvyo.dll Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTuwgftjdxsf.dat Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTebycbkypoc.dll ---- Files - GMER 1.0.15 ---- File C:\Dokumente und Einstellungen\Jana Henck\Lokale Einstellungen\Temp\H8SRTbd32.tmp 343040 bytes executable File C:\Dokumente und Einstellungen\Jana Henck\Lokale Einstellungen\Temp\h8srtmainqt.dll 16474 bytes File C:\WINDOWS\Temp\H8SRTd5aa.tmp 175 bytes File C:\WINDOWS\system32\H8SRTebycbkypoc.dll 40960 bytes executable File C:\WINDOWS\system32\H8SRTmudnhmtqul.dll 36864 bytes executable File C:\WINDOWS\system32\H8SRTumphrudvyo.dll 23552 bytes executable File C:\WINDOWS\system32\H8SRTuwgftjdxsf.dat 246 bytes File C:\WINDOWS\system32\drivers\H8SRTmomyjjagvy.sys 40448 bytes executable <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- |
Hi, Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Drivers to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. Chris |
Hey, wow, der Virus scheint weg zu sein - vielen, vielen Dank! Ist wirklich klasse, dass es hier Leute gibt, die sich einfach so die Zeit nehmen, Personen wie mir zu helfen :) Habe jetzt den Log vom Avenger und werde gleich auch noch den anderen Editieren, nachdem mein PC dann neugestartet ist. Nightdream Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "H8SRTd.sys" found! ImagePath: \systemroot\system32\drivers\H8SRTmomyjjagvy.sys Start Type: 4 (Disabled) Rootkit scan completed. Driver "H8SRTd.sys" deleted successfully. File "C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe" deleted successfully. File "C:\Programme\Malware Defense\mdefense.exe" deleted successfully. File "C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\wscsvc32.exe" deleted successfully. Folder "C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp" deleted successfully. Folder "C:\Programme\Malware Defense" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
So, habe jetzt auch nochmal MAM durchlaufen lassen und damit alles gelöscht, was noch gefunden wurde. Von dem Virus scheint alles weg zu sein. Mein Virenprogramm läuft auch wieder - ich war noch nie so froh, es zu sehen. Danke nochmal :D Nightdream Malwarebytes' Anti-Malware 1.43 Datenbank Version: 3499 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.11 06.01.2010 15:35:52 mbam-log-2010-01-06 (15-35-52).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 235445 Laufzeit: 1 hour(s), 22 minute(s), 21 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 13 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{deceaaa2-370a-49bb-9362-68c3a58ddc62} (Adware.180Solutions) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\***\Startmenü\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Avenger\mdefense.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\H8SRTmomyjjagvy.sys (Malware.Packer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Startmenü\Programme\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Startmenü\Programme\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Startmenü\Programme\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully. C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Desktop\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Desktop\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully. C:\WINDOWS\system32\H8SRTebycbkypoc.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\H8SRTmudnhmtqul.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\H8SRTumphrudvyo.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\H8SRTuwgftjdxsf.dat (Rootkit.TDSS) -> Quarantined and deleted successfully. |
Hi, lasse bitte noch Avira laufen: Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html Führe einen Systemscan durch und poste das Ergebnis! chris |
Danke für den Hinweis! Avira hat noch mal fünf Sachen gefunden, die es dann auch beseitigt hat. Hoffe, mein PC ist jetzt wieder komplett virenfrei und bleit auch erstmal so =) Nightdream [...] Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Computer-System> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Programme\VideoLAN\VLC\vlc-0.9.4-win32.exe [0] Archivtyp: NSIS --> ProgramFilesDir/liblogger_plugin.dll [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158849.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158850.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158858.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158859.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158860.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen Beginne mit der Suche in 'D:\' <Daten-Programme> D:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Beginne mit der Suche in 'E:\' <Eigenes> E:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Beginne mit der Desinfektion: C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158849.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b75cc73.qua' verschoben! C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158850.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0c9eb4.qua' verschoben! C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158858.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0bb5dc.qua' verschoben! C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158859.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1868dc.qua' verschoben! C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158860.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a09a66c.qua' verschoben! Ende des Suchlaufs: Mittwoch, 6. Januar 2010 18:45 Benötigte Zeit: 54:41 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 12097 Verzeichnisse wurden überprüft 377231 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 377223 Dateien ohne Befall 3045 Archive wurden durchsucht 5 Warnungen 8 Hinweise 56955 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
Hi, zur Sicherheit: Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board