|
win32.autorun.tmp lässt sich nicht entfernen *win32.autorun.tmp** habe zuerst ccleaner und dann combofix benutzt und problem damit beseitigt. :daumenhoc Desweiteren gefundet: gnja.exe csftxctl.ocx zlibwapi.dll (= Win32.autorun.tmp?) Jedenfalls zeigt mir spybot keine Malware an. Kann trotzdem mal ein Administrator übeer das log sehen ob Sie/er noch was endeckt?? Vielen, vielen Dank!!! |
Hallo und :hallo: Combofix solltest Du eigentlich nur nach Anweisung und nicht auf eigene Faust einfach ausführen, Du kannst Dir damit ne Menge zerschießen. Hast denn wenigsten ein backup vorher gemacht?? Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hallo und vielen Dank für die Antwort! Sicherung hatte ich gemacht http://www.trojaner-board.de/images/smilies/heilig.gif Hier wie gewünscht die beiden Dateien als Anlage.. Warte dann mal auf dein feedback.. |
Was ist mit Malwarebytes? |
uppss habe ich vergessen. muss ich das ganze nochmals machen? |
habe alle drei files ge-posted...:pfui: Hmm waren doch noch 2 schädlinge an board. Danke für deine Hilfe. Muss ich noch was tun? |
Zitat:
|
Vollscan gemacht, jedoch bei C:\programme\lexware\quicksteuer\2007\Fec.Mediator13.dll stürzt window up und reported ein Kernel stack problem (siehe anlage) Ich habe es mehrere Male veruscht das System stürzt immer an der gleichen Stelle ab. was soll ich tun?:confused: Danke |
Very Strange :koch::eek: Habe Lexware QuickSteuer 2007 deinstalliert und malwarebytes nochmals gestartet. Hier meine Aufzeichnungen: 1) by Datei Recycler S1......./ erictransfer.dell [ System rödel lange, lange, geht aber weiter.... nach einiger Zeit 2) Window erscheint: WINDOW DATENVERLUST BEI SCHREIBEN mit text: "Es konnte nicht alle Daten für die Datei C:\programme\WinRAR\Formats gespeichert werden. Die Daten gingen verloren wieder nach einiger Zeit 3) ANTIVGUARD meldet: Achtung Fund. Ein Virus wurde gefunden TR/Drop.Softomat.AN gelöscht wieder nach einiger Zeit 4) Systems stürzt ab. Meldung C000021a schwerer Systemfehler nach circa 1.20 Stunde Starte Malewarebytes erneunt. Läuft... Wieder bei Datei Recycler S1.... /ericxml.dll stürtzt system ab. Systemabsturz Nr. 2 Microsoft Windows Protokoll: Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt. C:\DOKUME~1\Hartmut\LOKALE~1\Temp\WER21e5.dir00\Mini082010-05.dmp C:\DOKUME~1\Hartmut\LOKALE~1\Temp\WER21e5.dir00\sysdata.xml Systemabsturz Nr. 3 Microsoft Windows Protokoll: Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt. C:\DOKUME~1\Hartmut\LOKALE~1\Temp\WER8892.dir00\Mini082010-06.dmp C:\DOKUME~1\Hartmut\LOKALE~1\Temp\WER8892.dir00\sysdata.xml Nachdem ich das System wieder startet läuft alles soweit okay!! confused::confused: |
Hi, es liegt wohl an diesen dateien im Folder C:\Recycler S1......./ erictransfer.dll. Diese Dateien (ericxxxxxx.dll) stammen alle von Lexware Quick Steuer. Gerade habe ich malewarebytes laufen lassen und auch hier wieder ist das system auf grund kernel stack problems abgeschmiert. Ich warte mal auf dein feedback. Danke! |
Im Log seh ich auch, dass Du schon Combofix ausgeführt hast! Das solltest Du nur auf explizite Anweisungen hier im TB ausführen, man kann sich mit CF nämlich einiges kaputtmachen :eek: Poste bitte das CF-Log. Außerdem ist irgendwas beim OTL-Log schiefgelaufen, führ OTL daher nochmal richtig aus und poste das Log. Am besten alle Logs von OTL und CF zippen und hier anhängen! |
Habe Combi fix log und OTL log als Datei drangehängt. Warte auf weitere Instruktionen. Danke! |
Mit OTL ist irgendwas schiefgelaufen. Führ das Tool bittenochmal aus und poste die neue OTL.txt |
habe das aktuelle OTL log als Anlage beigefügt. :dankeschoen: |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
Hi, Bootkit info unten und OSAM/GERM als Anlage. Muss ich noch was weiteres machen. Danke.. Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.1.0.0 OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: d664e84aadbe3d3f1889c0571722d7fa Size Device Name MBR Status -------------------------------------------- 74 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit... |
OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 |
GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-08-26 23:49:25 Windows 5.1.2600 Service Pack 3 Running: x2j8g6iu.exe; Driver: C:\DOKUME~1\Arti\LOKALE~1\Temp\fxriyfog.sys ---- System - GMER 1.0.15 ---- SSDT EE52CE54 ZwCreateThread SSDT EE52CE40 ZwOpenProcess SSDT EE52CE45 ZwOpenThread SSDT EE52CE4F ZwTerminateProcess SSDT EE52CE4A ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\drivers\ACEDRV08.sys section is writeable [0xAEC52000, 0x328BA, 0xE8000020] .pklstb C:\WINDOWS\system32\drivers\ACEDRV08.sys entry point in ".pklstb" section [0xAEC96000] .relo2 C:\WINDOWS\system32\drivers\ACEDRV08.sys unknown last section [0xAECB2000, 0x8E, 0x42000040] .text C:\WINDOWS\system32\drivers\ACEDRV09.sys section is writeable [0xAEBEF000, 0x3326E, 0xE8000020] .pklstb C:\WINDOWS\system32\drivers\ACEDRV09.sys entry point in ".pklstb" section [0xAEC34000] .relo2 C:\WINDOWS\system32\drivers\ACEDRV09.sys unknown last section [0xAEC50000, 0x8E, 0x42000040] .reloc C:\WINDOWS\system32\drivers\acedrv11.sys section is executable [0xAEA18480, 0x306DD, 0xE0000060] ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\000272802a3a (not active ControlSet) Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272802a3a Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000272802a3a (not active ControlSet) Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-03fd-e90f-ed28fa79961f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-03fd-e90f-ed28fa79961f}\InprocServer32@Class 0x00 0x00 0x00 0x00 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-03fd-e90f-ed28fa79961f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-03fd-e90f-ed28fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-1349-6e7a-32c3fa79961f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-1349-6e7a-32c3fa79961f}\InprocServer32@Class 0x00 0x00 0x00 0x00 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-1349-6e7a-32c3fa79961f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-1349-6e7a-32c3fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-445a-a23e-ef8afa79961f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-445a-a23e-ef8afa79961f}\InprocServer32@Class 0x00 0x00 0x00 0x00 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-445a-a23e-ef8afa79961f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-445a-a23e-ef8afa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-8450-edca-cc70fa79961f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-8450-edca-cc70fa79961f}\InprocServer32@Class 0x00 0x00 0x00 0x00 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-8450-edca-cc70fa79961f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-8450-edca-cc70fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-9993-dd19-9245fa79961f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-9993-dd19-9245fa79961f}\InprocServer32@Class 0x00 0x00 0x00 0x00 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-9993-dd19-9245fa79961f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-9993-dd19-9245fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-b682-dee8-37e9fa79961f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-b682-dee8-37e9fa79961f}\InprocServer32@Class 0x00 0x00 0x00 0x00 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-b682-dee8-37e9fa79961f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-b682-dee8-37e9fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-d7bf-b7c4-b41efa79961f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-d7bf-b7c4-b41efa79961f}\InprocServer32@Class 0x00 0x00 0x00 0x00 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-d7bf-b7c4-b41efa79961f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-d7bf-b7c4-b41efa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL |
Ist das GMER-Log vollständig? Das von OSAM ist schon soweit ok. Ich brauch auch noch einen Gegencheck mit MBRCheck: Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
hi arne, Gmer lief und lief dann habe ich ihn irgendwann gekilled. MBR Check unten. Danke und Gruss, Arti MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000004c Kernel Drivers (total 139): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806D1000 \WINDOWS\system32\hal.dll 0xF7B1B000 \WINDOWS\system32\KDCOM.DLL 0xF7A2B000 \WINDOWS\system32\BOOTVID.dll 0xF74EB000 ACPI.sys 0xF7B1D000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF74DA000 pci.sys 0xF761B000 isapnp.sys 0xF762B000 ohci1394.sys 0xF763B000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF7A2F000 compbatt.sys 0xF7A33000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF7BE3000 pciide.sys 0xF789B000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7B1F000 intelide.sys 0xF764B000 MountMgr.sys 0xF74BB000 ftdisk.sys 0xF7A37000 ACPIEC.sys 0xF7BE4000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF78A3000 PartMgr.sys 0xF765B000 VolSnap.sys 0xF74A3000 atapi.sys 0xF742E000 iaStor.sys 0xF766B000 viamraid.sys 0xF7416000 \WINDOWS\system32\drivers\SCSIPORT.SYS 0xF78AB000 SiSRaid2.sys 0xF767B000 disk.sys 0xF768B000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF73F6000 fltmgr.sys 0xF73E4000 sr.sys 0xF78B3000 PxHelp20.sys 0xF73CD000 KSecDD.sys 0xF7340000 Ntfs.sys 0xF7313000 NDIS.sys 0xF7A3B000 RecAgent.sys 0xF72F9000 Mup.sys 0xF772B000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF67EF000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xEB11E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xEB0F6000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF192F000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xEB0D2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF1927000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xEBA86000 \SystemRoot\system32\DRIVERS\w29n51.sys 0xF1C4D000 \SystemRoot\system32\DRIVERS\nic1394.sys 0xEB0C0000 \SystemRoot\system32\DRIVERS\Rtlnicxp.sys 0xF1C3D000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF1378000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xEB091000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xEF57B000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF1370000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF1C2D000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF1E84000 \SystemRoot\system32\drivers\pfc.sys 0xF1C1D000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF1C0D000 \SystemRoot\system32\DRIVERS\redbook.sys 0xEB06E000 \SystemRoot\system32\DRIVERS\ks.sys 0xF1368000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys 0xF1E80000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF147E000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF1BFD000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF1E7C000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xEB057000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF1BED000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF1BDD000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF1360000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xEB046000 \SystemRoot\system32\DRIVERS\psched.sys 0xF1BCD000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF1358000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF1350000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF1648000 \SystemRoot\system32\DRIVERS\termdd.sys 0xEF5A3000 \SystemRoot\system32\DRIVERS\swenum.sys 0xEB254000 \SystemRoot\system32\DRIVERS\update.sys 0xF1A2D000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF1638000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xB27DF000 \SystemRoot\system32\DRIVERS\SLDRV\slazldrv.sys 0xF1322000 \SystemRoot\system32\DRIVERS\SLDRV\SlWdmSup.sys 0xB27C0000 \SystemRoot\system32\DRIVERS\SLDRV\Mtlmnt5.sys 0xF1348000 \SystemRoot\System32\Drivers\Modem.SYS 0xB2552000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xB252E000 \SystemRoot\system32\drivers\portcls.sys 0xF1608000 \SystemRoot\system32\drivers\drmk.sys 0xF1316000 \SystemRoot\system32\drivers\MODEMCSA.sys 0xF15F8000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xEF6D5000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7CCD000 \SystemRoot\System32\Drivers\Null.SYS 0xF1D56000 \SystemRoot\System32\Drivers\Beep.SYS 0xEB7E2000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xEB7DA000 \SystemRoot\System32\drivers\vga.sys 0xF1D54000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF1D52000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xEB7D2000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF7A0B000 \SystemRoot\System32\Drivers\Npfs.SYS 0xEB44B000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xB24FB000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xB24A2000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xB247A000 \SystemRoot\system32\DRIVERS\netbt.sys 0xEB443000 \SystemRoot\System32\drivers\ws2ifsl.sys 0xB2458000 \SystemRoot\System32\drivers\afd.sys 0xF15C8000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF7A13000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xB242D000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xB23BD000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF15B8000 \SystemRoot\System32\Drivers\Fips.SYS 0xB2397000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xEB322000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xEB312000 \SystemRoot\system32\DRIVERS\arp1394.sys 0xB2386000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF1D4E000 \??\C:\Programme\Avira\AntiVir PersonalEdition Premium\avgio.sys 0xEB2E2000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xF7ADF000 \SystemRoot\System32\Drivers\dump_diskdump.sys 0xEB2D2000 \SystemRoot\System32\Drivers\dump_viamraid.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0xF7B03000 \SystemRoot\System32\drivers\Dxapi.sys 0xF78FB000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7C5F000 \SystemRoot\System32\drivers\dxgthk.sys 0xED9A8000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF04E000 \SystemRoot\System32\ati2cqag.dll 0xBF080000 \SystemRoot\System32\atikvmag.dll 0xBF0B2000 \SystemRoot\System32\ati3duag.dll 0xBF2E6000 \SystemRoot\System32\ativvaxx.dll 0xF193F000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xB0370000 \SystemRoot\system32\DRIVERS\ewusbmdm.sys 0xF795B000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xB030E000 \??\C:\WINDOWS\system32\drivers\ACEDRV08.sys 0xB02AB000 \??\C:\WINDOWS\system32\drivers\ACEDRV09.sys 0xF1E90000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB01B6000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xB0152000 \??\C:\Programme\Avira\AntiVir PersonalEdition Premium\avgntflt.sys 0xB0089000 \??\C:\WINDOWS\system32\drivers\acedrv11.sys 0xEB66E000 \SystemRoot\System32\Drivers\ASCTRM.SYS 0xAFE31000 \SystemRoot\system32\drivers\wdmaud.sys 0xAFEC6000 \SystemRoot\system32\drivers\sysaudio.sys 0xAF7C2000 \SystemRoot\system32\DRIVERS\srv.sys 0xAE6D1000 \SystemRoot\System32\Drivers\HTTP.sys 0xAEEA0000 \SystemRoot\system32\DRIVERS\asyncmac.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 65): 0 System Idle Process 4 System 796 C:\WINDOWS\system32\smss.exe 880 csrss.exe 944 C:\WINDOWS\system32\winlogon.exe 1008 C:\WINDOWS\system32\services.exe 1020 C:\WINDOWS\system32\lsass.exe 1188 C:\WINDOWS\system32\ati2evxx.exe 1200 C:\WINDOWS\system32\svchost.exe 1292 svchost.exe 1352 C:\WINDOWS\system32\svchost.exe 1404 svchost.exe 1552 svchost.exe 1800 C:\WINDOWS\system32\LexBceS.exe 1836 C:\WINDOWS\system32\spoolsv.exe 1844 C:\WINDOWS\system32\Lexpps.exe 1896 C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe 1972 svchost.exe 408 C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe 420 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe 432 C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe 512 C:\Programme\Bonjour\mDNSResponder.exe 556 svchost.exe 852 C:\WINDOWS\system32\ati2evxx.exe 1480 C:\Programme\Haufe\iDesk\iDeskService\ideskservice.exe 1516 C:\WINDOWS\explorer.exe 236 C:\WINDOWS\system32\rundll32.exe 244 C:\Programme\SealedMedia\sealmon.exe 356 C:\WINDOWS\system32\LXSUPMON.EXE 572 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe 580 C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe 588 C:\WINDOWS\vsnpstd.exe 684 C:\PROGRA~1\Borland\INTERB~1\BIN\ibguard.exe 700 C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe 708 C:\Programme\Mindjet\MindManager 7\MmReminderService.exe 624 C:\WINDOWS\system32\ICO.EXE 756 C:\Programme\Java\jre6\bin\jqs.exe 784 C:\Programme\Haufe\iDesk\iDeskService\ideskpython.exe 1068 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 1464 C:\Programme\iTunes\iTunesHelper.exe 1472 C:\Programme\Duden\Duden Korrektor\DKTray.exe 1664 C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe 1620 C:\WINDOWS\system32\ctfmon.exe 2084 C:\WINDOWS\system32\slserv.exe 2116 C:\WINDOWS\system32\svchost.exe 2156 wdfmgr.exe 2208 C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe 2304 C:\Programme\Duden\Duden Korrektor\DKCore.exe 2380 C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe 2388 C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe 3436 C:\PROGRA~1\Borland\INTERB~1\BIN\ibserver.exe 3672 C:\Programme\PC Connectivity Solution\ServiceLayer.exe 3896 C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe 3904 C:\Programme\iPod\bin\iPodService.exe 3936 C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe 124 alg.exe 2544 C:\Programme\o2\Surf Box mini\o2 Surf Box mini.exe 924 C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE 2832 C:\Programme\Microsoft Office\Office10\WINWORD.EXE 3752 C:\Programme\Opera\opera.exe 204 C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe 2804 C:\DOKUME~1\Arti\LOKALE~1\temp\Adobelm_Cleanup.0001 1124 C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe 1324 C:\DOKUME~1\Arti\LOKALE~1\temp\Adobelm_Cleanup.0001 3656 C:\Dokumente und Einstellungen\Arti\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: FUJITSUMHT2080BH, Rev: 0000104B Size Device Name MBR Status -------------------------------------------- 74 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 9B59EA042E0781FA8A075B11A34F2E9B384B55D7 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: |
Wir müssen den MBR reparieren. hast Du eine Windows-XP-CD zur Hand? |
Hallo Arne, danke! meine festplatte fährt aber ganz normal hoch? |
Wir müssen den MBR trotzdem reparieren!! Hast Du nun eine Windows-CD oder nicht? |
Hi Arne, leider habe ich xp cd nicht greifbar. was nun? Danke. |
Hast Du über Combofix die Wiederherstellungskonsole installieren lassen? |
Wiederherstellungskonsole habe ich nicht installieren lassen Gruss, Arti |
Dann hast Du ein Problem. Führ nochmal Combofix aus und lass die Wiederherstellungskonsole installieren. Du brauchst dafür eine Internetverbindung. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hi Arne, alle schritte [Cclenaer und Combifix] durchgeführt. Wiederherstellungskonsole installiert. Gruss, Arti |
Gut. Dann starte den Rechner neu und geh im Bootmünu auf die Wiederherstellungskonsole. Sieht ein wenig nach DOS aus, ist es aber nicht. Führe dort die befehle aus (eintippen und mit ok bestätigen, Abfrage (Warnung) mit j bestätigen) Code: fixboot |
Hallo Arne, habe deine Anweisungen umgesetzt... Gruss, Arti |
Dann MBR Check wieder ausführen. Ohne Eingaben im Programm zu tätigen... |
MBR Check durchgeführt...siehe attachment. Gruss, Arti |
MBR ist ok. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Malwarebytes gestartet, System rebooted nach ca 1.30 Std. Microsoft Windows Fehlermeldung: C:\DOKUME~1\Hartmut\LOKALE~1\Temp\WERffd6.dir00\Mini090110-01.dmp C:\DOKUME~1\Hartmut\LOKALE~1\Temp\WERffd6.dir00\sysdata.xml Superantispyware gestartet, läuft alles okay. Log attached. Gruss, Arti |
Superantispyware log: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 09/01/2010 at 09:40 PM Application Version : 4.42.1000 Core Rules Database Version : 5441 Trace Rules Database Version: 3253 Scan type : Complete Scan Total Scan Time : 02:19:22 Memory items scanned : 572 Memory threats detected : 0 Registry items scanned : 9402 Registry threats detected : 0 File items scanned : 176210 File threats detected : 19 Adware.Tracking Cookie acvs.mediaonenetwork.net [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] broadcast.piximedia.fr [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] cdn.eyewonder.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] cdn1.eyewonder.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] cdn5.specificclick.net [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] core.insightexpressai.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] ds.serving-sys.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] googleads.g.doubleclick.net [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] ia.media-imdb.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] imagesrv.adition.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] macromedia.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] media.agile42.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] media.scanscout.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] media10.washingtonpost.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] mediaforgews.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] oddcast.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] serving-sys.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] spe.atdmt.com [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] www.ardmediathek.de [ C:\Dokumente und Einstellungen\Arti\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\B3ZZSNSL ] |
malwarebyte Quick scan log attached... Gruss, Arti |
Ich wollte einen Vollscan mit malwarebytes sehen :rolleyes: |
Hallo Arne, hatte dir oben gesagt, dass das System wegen Kernel Problem abgestützt ist während des scannens mit Malwarebytes. Das gleiche Problem hatte ich ja schon ganz am anfang. Malwarebytes gestartet, System rebooted nach ca 1.30 Std. Microsoft Windows Fehlermeldung: C:\DOKUME~1\Hartmut\LOKALE~1\Temp\WERffd6.dir00\Mini090110-01.dmp C:\DOKUME~1\Hartmut\LOKALE~1\Temp\WERffd6.dir00\sysdata.xml Gruss, Arti |
Ist das immer noch?? :wtf: chkdsk der Systempartition 1. Klick auf Start, Ausführen 2. Tipp ein cmd und bestätige mit ok, die Konsole öffnet sich. 3. Tipp dort ein: chkdsk %systemdrive% /f /r /v und bestätige mit enter. 4. Die folgende Abfrage mit j bestätigen und enter drücken. 5. Windows neu starten, es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen - die Zeit verstreichen lassen, keine Taste drücken!! 6. Abwarten bis der Vorgang abgeschlossen ist. Bei großen Partitionen kann es u.U. recht lange dauern. Windows bootet automatisch neu. |
Arne, druchgeführt. Check ging flott und message: disk ist fehlerfrei kam Gruss, Arti |
Der Intensivscan sollte eigentlich lange dauern. Hast Du den Befehl auch so ausgeführt wie ich ihn aufgeschrieben habe? |
chkdsk*%systemdrive%*/f*/r*/v * Leerzeichen richtig? mach es aber gern nochmal |
Ja. Danach sollte er beim nächsten Start C: überprüfen. |
chkdsk %systemdrive% /f /r /v lief nun!! und hat bereinigung von dateien durchgeführt. soll ich nun malwarebytes vollscan nochmals starten? Gruss, Arti |
Ja, bitte probieren. Wie lange hat chkdsk gebraucht? |
würde mal sagen das alle alle 5 phasen von chkdsk ca. 1.30 / 1.45 Std gebraucht haben. Gruss, Arti |
Ja diese Größenordnung ist ok bei einem Intensivscandisk. |
Hi Arne, nun ist malwarebytes vollscannung normal durchgelaufen. Das log ist attached.:party: Gruss, Arti |
Zitat:
|
Hi Arne, vollscan gemacht, immer noch ein wurm gefunden :pfui: |
sorry, hier nun das log.. Gruss, Arti |
Zitat:
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. |
Hi Arne, also ich deaktivire die systemherstellung vorübergehend und lasse dann in den noch mal malwarebytes drüber laufen..? Danke und Gruss, Arti |
Ja kannst Du gerne machen :party: |
Arne, great help from you, Thanks a million!! Greetings, Arti |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Danke Arne, werde ich machen! Gruss, Arti |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board