Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Problem mit Bagle-Virus! Meine Liste! (https://www.trojaner-board.de/81802-problem-bagle-virus-liste.html)

Jason87 17.01.2010 10:48
Problem mit Bagle-Virus! Meine Liste!
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:46:53, on 17.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe
C:\Programme\WinTV\Ir.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Downloads\HiJackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RegistryDoktorNET] C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-854245398-764733703-725345543-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Freunde')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe

--
End of file - 4687 bytes

Jason87 17.01.2010 11:10
habe das selbe Problem das ich nicht mal eine Systemwiederherstellung machen kann ist echt zum kotzen!!!

Probleme:

Deaktivierung Sicherheitscenter
Systemwiederherstellung funktioniert nicht
-es konnte keine gültige Systempartifition gefunden werden oder so!

Jason87 17.01.2010 11:32
Es wurden Modifikationen entdeckt wegen Rootkit Aktivität!


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-17 11:35:41
Windows 5.1.2600 Service Pack 2
Running: dqsu6uyi.exe; Driver: C:\DOKUME~1\Michael\LOKALE~1\Temp\kgqirpow.sys


---- System - GMER 1.0.15 ----

Code 89A9C0D8 ZwEnumerateKey
Code 89A9CE98 ZwFlushInstructionCache
Code 89A9BD2E IofCallDriver
Code 89A9A05E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EF0BC 5 Bytes JMP 89A9BD33
.text ntkrnlpa.exe!IofCompleteRequest 804EF14C 5 Bytes JMP 89A9A063
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B528C 5 Bytes JMP 89A9CE9C
PAGE ntkrnlpa.exe!ZwEnumerateKey 80622970 5 Bytes JMP 89A9C0DC
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB8FC1360, 0x2BAB3D, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Downloads\dqsu6uyi.exe[164] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00BA000A
.text C:\Programme\Java\jre1.5.0\bin\jusched.exe[348] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00AE000A
.text C:\WINDOWS\RTHDCPL.EXE[360] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 01BA000A
.text C:\WINDOWS\system32\RUNDLL32.EXE[440] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00AF000A
.text C:\Programme\CyberLink\PowerCinema\PCMService.exe[456] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00B9000A
.text ...
.text C:\WINDOWS\system32\svchost.exe[964] ole32.dll!CoCreateInstance 774F6009 5 Bytes JMP 0088000A
.text C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe[1080] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00B2000A
.text C:\WINDOWS\system32\nvsvc32.exe[1140] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 0088000A
.text C:\Programme\Cyberlink\Shared files\RichVideo.exe[1164] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00BA000A
.text C:\WINDOWS\system32\wdfmgr.exe[1608] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 0079000A
.text C:\WINDOWS\system32\spoolsv.exe[1688] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00AF000A
.text ...
.text C:\Programme\Mozilla Firefox\firefox.exe[3412] WS2_32.dll!connect 71A1406A 5 Bytes JMP 02D1000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3412] WS2_32.dll!send 71A1428A 5 Bytes JMP 02D3000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3412] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 02D2000A
.text C:\WINDOWS\system32\wuauclt.exe[3764] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00B0000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] ole32.dll!OleLoadFromStream 774E8C62 5 Bytes JMP 7E2A486D C:\WINDOWS\system32\SHDOCVW.dll (Bibliothek für Shell-Dokumente und -Steuerelemente/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!InternetConnectA 7719308A 5 Bytes JMP 00E2000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!HttpOpenRequestA 77193674 5 Bytes JMP 00E0000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!HttpAddRequestHeadersA 7719407A 5 Bytes JMP 00D0000C
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!InternetConnectW 7719EDC8 5 Bytes JMP 00E1000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!HttpAddRequestHeadersW 7719EEBC 5 Bytes JMP 00DE000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WININET.dll!HttpOpenRequestW 7719F3BE 5 Bytes JMP 00DF000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WS2_32.dll!connect 71A1406A 5 Bytes JMP 02E5000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WS2_32.dll!send 71A1428A 5 Bytes JMP 02E8000A
.text C:\Programme\Internet Explorer\iexplore.exe[4044] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 02E7000A

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys (*** hidden *** ) AF49F000-AF4BC000 (118784 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [724] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1048] 0x007F0000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1216] 0x007F0000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1348] 0x007F0000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1432] 0x007F0000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1440] 0x007F0000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1512] 0x007F0000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [3412] 0x01560000
Library \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [4044] 0x00F90000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTrwmtbrnoxv.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmpikkyavym.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTotpqxdwlky.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTvhasxctvbm.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTnnhqdnowyo.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrwmtbrnoxv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmpikkyavym.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTotpqxdwlky.dat
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTvhasxctvbm.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTltsntqwpsw.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTnnhqdnowyo.dll

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Freunde\Lokale Einstellungen\Temp\h8srtmainqt.dll 16656 bytes
File C:\Dokumente und Einstellungen\GAMES\Lokale Einstellungen\Temp\h8srtmainqt.dll 16656 bytes
File C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\H8SRTf312.tmp 343040 bytes executable
File C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\h8srtmainqt.dll 16676 bytes
File C:\WINDOWS\system32\drivers\H8SRTrwmtbrnoxv.sys 40448 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\h8srtkrl32mainweq.dll 1167 bytes
File C:\WINDOWS\system32\H8SRTltsntqwpsw.dll 16896 bytes executable
File C:\WINDOWS\system32\H8SRTmpikkyavym.dll 23552 bytes executable
File C:\WINDOWS\system32\H8SRTnnhqdnowyo.dll 40960 bytes executable
File C:\WINDOWS\system32\H8SRTotpqxdwlky.dat 162 bytes
File C:\WINDOWS\system32\h8srtshsyst.dll 524 bytes
File C:\WINDOWS\system32\H8SRTvhasxctvbm.dll 40960 bytes executable
File C:\WINDOWS\Temp\H8SRT4a62.tmp 238 bytes

---- EOF - GMER 1.0.15 ----


Ich bin echt planlos!


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131