|
"Generic Host Process" Problem auf Win XP SP3 Guten Abend allerseits, Ich bekomme - seit heute morgen - bei meinem Windows XP, SP3 ständig - nachdem ich hochgefahren habe - die Nachricht "Generic Host Process for Win 32 Services hat ein Problem festgestellt und muss beendet werden. Falls Sie gerade Daten bearbeitet haben, sind diese möglicherweise verloren gegangen" Jetzt wollte ich zuerst mal mit Malwarebytes scannen, musste aber feststellen, daß ich das Programm nicht mehr öffnen kann. (Hatte es bereits installiert und lezte Woche zum letzten mal benutzt, da ging es noch...) Auch im abgesicherten Modus lässt es sich nicht öffnen. Ein weiterer Nebeneffekt des Host Process-Crashes ist, daß a) die Soundkarte nicht mehr gefunden wird und b) sich die Taskleiste in den Windows 98 Look gewandelt hat. Da ich jetzt nicht weiss, ob es sich um einen Hardwarefehler oder Virus, Wurm, Trojaner handelt, hab ich mich mal vom Netz getrennt und schreibe vom Mac meiner Freundin aus. Da, wie gesagt, Malwarebytes nicht startet, kann ich zuerst nur mal die Logs von OTL und Hijack this bieten: ============ HIJACK THIS ============ HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4======= OTL LOG =======OTL Logfile: Code: OTL logfile created on: 16.09.2010 01:01:03 - Run 4======== EXTRAS-TXT ========OTL Logfile: Code: OTL Extras logfile created on: 16.09.2010 01:01:03 - Run 4=========== Wäre über jede Hilfe sehr, sehr Dankbar!!! |
edit...... |
Hi, der Proxy sieht "sehr" seltsam aus, weiterhin hast Du eine Umleitung fürs Internet in die Ukraine.. ;o)... Versuchen wir uns der Sache mal zu nähern: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe
Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! (Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren: Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit) Code: O17 - HKLM\System\CCS\Services\Tcpip\..\{04AC5C7A-8C04-4F3B-A9B0-3883BEC58EF2}: NameServer = 93.188.164.72,93.188.166.222
Code:
Ich denke da ist noch was in "Petto"... MBR-Check Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.
Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris |
Danke für die schnelle Hilfe! Der Umleitung in die Ukraine überrascht mich dann doch nur so halb, da ich letzte Woche diese berühmt-berüchtigte "Security Suite" Malware (oder heisst das Scareware!?) auf dem Rechner hatte. Ich hab es dann nach so einem Walkthrough vom System runtergeworfen, aber scheinbar dann doch nicht richtig... Das sagt Virustotal: a) C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe AhnLab-V3 2010.09.16.01 2010.09.16 - AntiVir 8.2.4.52 2010.09.16 - Antiy-AVL 2.0.3.7 2010.09.16 - Authentium 5.2.0.5 2010.09.16 - Avast 4.8.1351.0 2010.09.16 - Avast5 5.0.594.0 2010.09.16 - AVG 9.0.0.851 2010.09.15 - BitDefender 7.2 2010.09.16 - CAT-QuickHeal 11.00 2010.09.16 - ClamAV 0.96.2.0-git 2010.09.16 - Comodo 6096 2010.09.16 - DrWeb 5.0.2.03300 2010.09.16 - Emsisoft 5.0.0.37 2010.09.16 - eSafe 7.0.17.0 2010.09.15 - eTrust-Vet 36.1.7859 2010.09.16 - F-Prot 4.6.1.107 2010.09.16 - F-Secure 9.0.15370.0 2010.09.16 - Fortinet 4.1.143.0 2010.09.16 - GData 21 2010.09.16 - Ikarus T3.1.1.88.0 2010.09.16 - Jiangmin 13.0.900 2010.09.16 - K7AntiVirus 9.63.2522 2010.09.15 - Kaspersky 7.0.0.125 2010.09.16 - McAfee 5.400.0.1158 2010.09.16 - McAfee-GW-Edition 2010.1C 2010.09.16 - Microsoft 1.6103 2010.09.16 - NOD32 5454 2010.09.16 - Norman 6.06.06 2010.09.15 - nProtect 2010-09-16.02 2010.09.16 - Panda 10.0.2.7 2010.09.15 - PCTools 7.0.3.5 2010.09.16 - Prevx 3.0 2010.09.16 - Rising 22.65.03.01 2010.09.16 - Sophos 4.57.0 2010.09.16 - Sunbelt 6882 2010.09.16 - SUPERAntiSpyware 4.40.0.1006 2010.09.16 - Symantec 20101.1.1.7 2010.09.16 - TheHacker 6.7.0.0.020 2010.09.16 - TrendMicro 9.120.0.1004 2010.09.16 - TrendMicro-HouseCall 9.120.0.1004 2010.09.16 - VBA32 3.12.14.0 2010.09.15 - ViRobot 2010.8.25.4006 2010.09.16 - VirusBuster 12.65.8.0 MD5 : 1b17e09c1223f6d17336d2dd7a1af4f4 SHA1 : 721dd499b30cc3643941eed4b449884bfc1777a5 SHA256: 06dfad95007532ccf46d593eedc2474936614aedcea7bf983e36dad22f850b08 b) C:\WINDOWS\System32\lsdelete.exe AhnLab-V3 2010.09.16.01 2010.09.16 - AntiVir 8.2.4.52 2010.09.16 - Antiy-AVL 2.0.3.7 2010.09.16 - Authentium 5.2.0.5 2010.09.16 - Avast 4.8.1351.0 2010.09.16 - Avast5 5.0.594.0 2010.09.16 - AVG 9.0.0.851 2010.09.15 - BitDefender 7.2 2010.09.16 - CAT-QuickHeal 11.00 2010.09.16 - ClamAV 0.96.2.0-git 2010.09.16 - Comodo 6096 2010.09.16 - DrWeb 5.0.2.03300 2010.09.16 - eSafe 7.0.17.0 2010.09.15 - eTrust-Vet 36.1.7859 2010.09.16 - F-Prot 4.6.1.107 2010.09.16 - F-Secure 9.0.15370.0 2010.09.16 - Fortinet 4.1.143.0 2010.09.16 - GData 21 2010.09.16 - Ikarus T3.1.1.88.0 2010.09.16 - Jiangmin 13.0.900 2010.09.16 - K7AntiVirus 9.63.2522 2010.09.15 - Kaspersky 7.0.0.125 2010.09.16 - McAfee 5.400.0.1158 2010.09.16 - McAfee-GW-Edition 2010.1C 2010.09.16 - Microsoft 1.6103 2010.09.16 - NOD32 5454 2010.09.16 - Norman 6.06.06 2010.09.15 - nProtect 2010-09-16.02 2010.09.16 - Panda 10.0.2.7 2010.09.16 - PCTools 7.0.3.5 2010.09.16 - Prevx 3.0 2010.09.16 - Rising 22.65.03.01 2010.09.16 - Sophos 4.57.0 2010.09.16 - Sunbelt 6882 2010.09.16 - SUPERAntiSpyware 4.40.0.1006 2010.09.16 - Symantec 20101.1.1.7 2010.09.16 - TheHacker 6.7.0.0.020 2010.09.16 - TrendMicro 9.120.0.1004 2010.09.16 - TrendMicro-HouseCall 9.120.0.1004 2010.09.16 - VBA32 3.12.14.0 2010.09.15 - ViRobot 2010.8.25.4006 2010.09.16 - VirusBuster 12.65.8.0 2010.09.15 - MD5 : 11d37ffc9aaa3435c9d428cf5998acb5 SHA1 : d7ac5f908f1abcaaf4a76f6f9605bc20f7389c3b SHA256: f5b18cf8f7fad5f8a1df03399f3d390703d57d6ce94fe04b8aab18389846e45b ===================================== nun zum OTL Log: ��= |
OTL Log: R edit: irgendwie bekomme ich den OTL Log hier nicht rein, auch nicht mit "code". Mache ich da was falsch? |
MBR - Check: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000003d Kernel Drivers (total 122): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80700000 \WINDOWS\system32\hal.dll 0xF7987000 \WINDOWS\system32\KDCOM.DLL 0xF7897000 \WINDOWS\system32\BOOTVID.dll 0xF75A7000 ACPI.sys 0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7596000 pci.sys 0xF75F7000 ohci1394.sys 0xF7607000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF7617000 isapnp.sys 0xF7A4F000 PCIIde.sys 0xF7707000 \WINDOWS\System32\Drivers\PCIIDEX.SYS 0xF798B000 intelide.sys 0xF7627000 MountMgr.sys 0xF74D7000 ftdisk.sys 0xF770F000 PartMgr.sys 0xF7637000 VolSnap.sys 0xF74BF000 atapi.sys 0xF7647000 iteraid.sys 0xF74A7000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS 0xF7657000 disk.sys 0xF7667000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7877000 fltMgr.sys 0xF7865000 sr.sys 0xF7677000 Lbd.sys 0xF784E000 KSecDD.sys 0xF7B52000 Ntfs.sys 0xF795A000 NDIS.sys 0xF7834000 Mup.sys 0xF7526000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xB91C2000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xB91AE000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xB9186000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xB913D000 \SystemRoot\system32\DRIVERS\yk51x86.sys 0xF77BF000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xB9119000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF77C7000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF7516000 \SystemRoot\system32\DRIVERS\nic1394.sys 0xF7506000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7487000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF7497000 \SystemRoot\system32\DRIVERS\redbook.sys 0xB90F6000 \SystemRoot\system32\DRIVERS\ks.sys 0xF77CF000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0xB90AD000 \SystemRoot\system32\DRIVERS\MAudioDelta.sys 0xB99C0000 \SystemRoot\system32\DRIVERS\fdc.sys 0xB9099000 \SystemRoot\system32\DRIVERS\parport.sys 0xF7477000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xB99B8000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7467000 \SystemRoot\system32\DRIVERS\serial.sys 0xB9E82000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF7AB5000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7457000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xB9E7A000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xB9082000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF7447000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF7437000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xB99B0000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xB9071000 \SystemRoot\system32\DRIVERS\psched.sys 0xF7427000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xB99A8000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xB99A0000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF7417000 \SystemRoot\system32\DRIVERS\termdd.sys 0xB9998000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xB9990000 \SystemRoot\system32\DRIVERS\seehcri.sys 0xF79CB000 \SystemRoot\system32\DRIVERS\swenum.sys 0xB9013000 \SystemRoot\system32\DRIVERS\update.sys 0xB9E6E000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF76E7000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xAC930000 \SystemRoot\system32\drivers\cmudax.sys 0xAC90C000 \SystemRoot\system32\drivers\portcls.sys 0xAE721000 \SystemRoot\system32\drivers\drmk.sys 0xAE711000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF79B3000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xAEEE9000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xF79B7000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7A79000 \SystemRoot\System32\Drivers\Null.SYS 0xF79B9000 \SystemRoot\System32\Drivers\Beep.SYS 0xAEED9000 \SystemRoot\System32\drivers\vga.sys 0xF79BB000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF79BD000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xAEED1000 \SystemRoot\System32\Drivers\Msfs.SYS 0xAEEC9000 \SystemRoot\System32\Drivers\Npfs.SYS 0xB7EB5000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xAC89D000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xAC844000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xAC81C000 \SystemRoot\system32\DRIVERS\netbt.sys 0xAC7F6000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xAC7CA000 \SystemRoot\System32\drivers\afd.sys 0xAE6F1000 \SystemRoot\system32\DRIVERS\netbios.sys 0xAE6E1000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xAEEC1000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xAC79F000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xAC707000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xAE6D1000 \SystemRoot\system32\DRIVERS\arp1394.sys 0xAE6C1000 \SystemRoot\System32\Drivers\Fips.SYS 0xADD8B000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xAEC47000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xAC1E7000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xADD83000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xAEC43000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xA3C7A000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xA48B5000 \SystemRoot\System32\drivers\Dxapi.sys 0xA3E01000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xA9793000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xF7947000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB9988000 \??\C:\Programme\CheckPoint\ZAForceField\ISWKL.sys 0xA15BE000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xA40C6000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xA14EF000 \SystemRoot\system32\DRIVERS\srv.sys 0xA0AFA000 \SystemRoot\system32\drivers\wdmaud.sys 0xA9E5C000 \SystemRoot\system32\drivers\sysaudio.sys 0xA0723000 \SystemRoot\System32\Drivers\HTTP.sys 0x9F863000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xB5825000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0x9F9AF000 \SystemRoot\system32\drivers\usbaudio.sys 0x9E0C5000 \SystemRoot\system32\drivers\kmixer.sys 0xB9526000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 38): 0 System Idle Process 4 System 600 C:\WINDOWS\system32\smss.exe 660 csrss.exe 684 C:\WINDOWS\system32\winlogon.exe 728 C:\WINDOWS\system32\services.exe 740 C:\WINDOWS\system32\lsass.exe 924 C:\WINDOWS\system32\svchost.exe 996 svchost.exe 1128 svchost.exe 1156 svchost.exe 1188 C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe 1364 C:\WINDOWS\system32\spoolsv.exe 1456 svchost.exe 1524 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe 1548 C:\Programme\Bonjour\mDNSResponder.exe 1612 C:\Programme\Java\jre6\bin\jqs.exe 1652 C:\PROGRA~1\McAfee\SITEAD~1\McSACore.exe 1700 C:\WINDOWS\system32\nvsvc32.exe 1796 C:\WINDOWS\system32\svchost.exe 1888 C:\WINDOWS\system32\wuauclt.exe 452 C:\Programme\CheckPoint\ZAForceField\ForceField.exe 576 alg.exe 644 C:\WINDOWS\explorer.exe 872 C:\WINDOWS\system32\rundll32.exe 2372 C:\WINDOWS\system32\rundll32.exe 2500 C:\WINDOWS\tsnpstd3.exe 2508 C:\WINDOWS\vsnpstd3.exe 2536 C:\WINDOWS\system32\DeltaIITray.exe 2552 C:\Programme\iTunes\iTunesHelper.exe 2564 C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe 2592 C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIAAE.EXE 2684 C:\WINDOWS\system32\ctfmon.exe 2868 C:\Programme\iPod\bin\iPodService.exe 1904 C:\Programme\Avira\AntiVir Desktop\sched.exe 2960 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 1680 C:\WINDOWS\system32\svchost.exe 1428 C:\Dokumente und Einstellungen\XXXX\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: SAMSUNGSP2504C, Rev: VT100-33 Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! ===================== und der Combofix Log: Combofix Logfile: Code: ComboFix 10-09-15.01 - XXXX 16.09.2010 13:31:17.2.2 - x86Das wars. Jetzt bin ich mal gespannt.... |
OK, zu guter letzt dann doch noch der OTL Log: ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\UserFaultCheck deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\ not found. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free YouTube to Mp3 Converter\ deleted successfully. File C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm not found. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\\NameServer| /E : value set successfully! Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3c7c99bc-9a44-11df-90ec-0013d4d25c43}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3c7c99bc-9a44-11df-90ec-0013d4d25c43}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3c7c99bc-9a44-11df-90ec-0013d4d25c43}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3c7c99bc-9a44-11df-90ec-0013d4d25c43}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3c7c99bc-9a44-11df-90ec-0013d4d25c43}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3c7c99bc-9a44-11df-90ec-0013d4d25c43}\ not found. File F:\WD SmartWare.exe not found. ========== REGISTRY ========== OTL by OldTimer - Version 3.2.12.1 log created on 09162010_125112 |
Hi, hast Du ein Betriebssystem-CD? Das bekommen wir sonst nicht weg: Zitat:
Dateien Online überprüfen lassen:
Code: c:\windows\system32\DRIVERS\pci.sys
Versuche was zu finden: Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop. http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe
Code: :filefind
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. Deine Firewall ist ausgeschaltet worden: Zitat:
Das GMER-Log gefällt mir ebenfalls nicht... TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Nach dem Start erscheint ein Fenster, dort dann "Start Scan". Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten... chris |
OK, das sagt Virustotal über pci.sys: AhnLab-V3 2010.09.16.01 2010.09.16 - AntiVir 8.2.4.52 2010.09.16 - Antiy-AVL 2.0.3.7 2010.09.16 - Authentium 5.2.0.5 2010.09.16 - Avast 4.8.1351.0 2010.09.16 - Avast5 5.0.594.0 2010.09.16 - AVG 9.0.0.851 2010.09.16 - BitDefender 7.2 2010.09.16 - CAT-QuickHeal 11.00 2010.09.16 - ClamAV 0.96.2.0-git 2010.09.16 - Comodo 6097 2010.09.16 - DrWeb 5.0.2.03300 2010.09.16 - eSafe 7.0.17.0 2010.09.15 - eTrust-Vet 36.1.7859 2010.09.16 - F-Prot 4.6.1.107 2010.09.16 - F-Secure 9.0.15370.0 2010.09.16 - Fortinet 4.1.143.0 2010.09.16 - GData 21 2010.09.16 - Ikarus T3.1.1.88.0 2010.09.16 - Jiangmin 13.0.900 2010.09.16 - K7AntiVirus 9.63.2522 2010.09.15 - Kaspersky 7.0.0.125 2010.09.16 - McAfee 5.400.0.1158 2010.09.16 - McAfee-GW-Edition 2010.1C 2010.09.16 - Microsoft 1.6103 2010.09.16 - NOD32 5455 2010.09.16 - Norman 6.06.06 2010.09.15 - nProtect 2010-09-16.02 2010.09.16 - Panda 10.0.2.7 2010.09.16 - PCTools 7.0.3.5 2010.09.16 - Prevx 3.0 2010.09.16 - Rising 22.65.03.04 2010.09.16 - Sophos 4.57.0 2010.09.16 - Sunbelt 6882 2010.09.16 - SUPERAntiSpyware 4.40.0.1006 2010.09.16 - Symantec 20101.1.1.7 2010.09.16 - TheHacker 6.7.0.0.020 2010.09.16 - TrendMicro 9.120.0.1004 2010.09.16 - TrendMicro-HouseCall 9.120.0.1004 2010.09.16 - VBA32 3.12.14.0 2010.09.16 - ViRobot 2010.8.25.4006 2010.09.16 - VirusBuster 12.65.8.0 2010.09.15 - MD5 : 9e772adea078fa83a4c99bf76e375c13 SHA1 : 4a6eaea14a982aabccf645e64117927365a2156e SHA256: ca47dd0f496e31f908c239de52dff6c6376c25bf0a201a7cbccedba3ffa9ae22 Der System Look. txt liest sich dann wie folgt: SystemLook 04.09.10 by jpshortstuff Log created at 15:02 on 16/09/2010 by Peter Administrator - Elevation successful Invalid Context: filefilnd No Context: pci.sys -= EOF =- Glück im Unglück, ich habe tatsächlich ein original Windows samt CD ;) Danke erstmal! |
TDSSKiller scheint einen Volltreffer gehabt zu haben: 2010/09/16 15:10:16.0578 TDSS rootkit removing tool 2.4.2.1 Sep 7 2010 14:43:44 2010/09/16 15:10:16.0578 ================================================================================ 2010/09/16 15:10:16.0578 SystemInfo: 2010/09/16 15:10:16.0578 2010/09/16 15:10:16.0578 OS Version: 5.1.2600 ServicePack: 3.0 2010/09/16 15:10:16.0578 Product type: Workstation 2010/09/16 15:10:16.0578 ComputerName: XXXX-C204A68EE 2010/09/16 15:10:16.0578 UserName: XXXX 2010/09/16 15:10:16.0578 Windows directory: C:\WINDOWS 2010/09/16 15:10:16.0578 System windows directory: C:\WINDOWS 2010/09/16 15:10:16.0578 Processor architecture: Intel x86 2010/09/16 15:10:16.0578 Number of processors: 2 2010/09/16 15:10:16.0578 Page size: 0x1000 2010/09/16 15:10:16.0578 Boot type: Normal boot 2010/09/16 15:10:16.0578 ================================================================================ 2010/09/16 15:10:16.0812 Initialize success 2010/09/16 15:10:20.0031 ================================================================================ 2010/09/16 15:10:20.0031 Scan started 2010/09/16 15:10:20.0031 Mode: Manual; 2010/09/16 15:10:20.0031 ================================================================================ 2010/09/16 15:10:21.0156 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys 2010/09/16 15:10:21.0203 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys 2010/09/16 15:10:21.0281 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys 2010/09/16 15:10:21.0312 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys 2010/09/16 15:10:21.0515 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys 2010/09/16 15:10:21.0796 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys 2010/09/16 15:10:21.0968 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys 2010/09/16 15:10:22.0046 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys 2010/09/16 15:10:22.0093 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys 2010/09/16 15:10:22.0156 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys 2010/09/16 15:10:22.0312 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys 2010/09/16 15:10:22.0359 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys 2010/09/16 15:10:22.0406 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys 2010/09/16 15:10:22.0437 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys 2010/09/16 15:10:22.0484 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys 2010/09/16 15:10:22.0640 cmudax (d7fcada6833a0e243ca89c03bd559bd9) C:\WINDOWS\system32\drivers\cmudax.sys 2010/09/16 15:10:22.0843 DELTAII (c5b7ac8d8a9237a2510a1092d19a5fa9) C:\WINDOWS\system32\DRIVERS\MAudioDelta.sys 2010/09/16 15:10:22.0890 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys 2010/09/16 15:10:22.0953 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys 2010/09/16 15:10:23.0046 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys 2010/09/16 15:10:23.0078 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys 2010/09/16 15:10:23.0140 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys 2010/09/16 15:10:23.0234 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys 2010/09/16 15:10:23.0296 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys 2010/09/16 15:10:23.0343 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys 2010/09/16 15:10:23.0359 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys 2010/09/16 15:10:23.0390 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys 2010/09/16 15:10:23.0453 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys 2010/09/16 15:10:23.0484 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys 2010/09/16 15:10:23.0515 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys 2010/09/16 15:10:23.0593 gameenum (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys 2010/09/16 15:10:23.0640 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys 2010/09/16 15:10:23.0671 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys 2010/09/16 15:10:23.0734 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys 2010/09/16 15:10:23.0781 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys 2010/09/16 15:10:23.0875 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys 2010/09/16 15:10:23.0984 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys 2010/09/16 15:10:24.0015 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys 2010/09/16 15:10:24.0093 IntelIde (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys 2010/09/16 15:10:24.0125 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys 2010/09/16 15:10:24.0171 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys 2010/09/16 15:10:24.0203 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys 2010/09/16 15:10:24.0234 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys 2010/09/16 15:10:24.0281 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys 2010/09/16 15:10:24.0312 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys 2010/09/16 15:10:24.0359 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys 2010/09/16 15:10:24.0390 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys 2010/09/16 15:10:24.0515 ISWKL (7d546f37693797507bf3d9b318564774) C:\Programme\CheckPoint\ZAForceField\ISWKL.sys 2010/09/16 15:10:24.0562 iteraid (979836fc6dc05218b4e93e5ccea5654b) C:\WINDOWS\system32\DRIVERS\iteraid.sys 2010/09/16 15:10:24.0609 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys 2010/09/16 15:10:24.0671 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys 2010/09/16 15:10:24.0718 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys 2010/09/16 15:10:24.0781 Lbd (b7c19ec8b0dd7efa58ad41ffeb8b8cda) C:\WINDOWS\system32\DRIVERS\Lbd.sys 2010/09/16 15:10:24.0906 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys 2010/09/16 15:10:24.0953 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys 2010/09/16 15:10:24.0984 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys 2010/09/16 15:10:25.0046 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys 2010/09/16 15:10:25.0062 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys 2010/09/16 15:10:25.0125 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys 2010/09/16 15:10:25.0171 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys 2010/09/16 15:10:25.0218 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys 2010/09/16 15:10:25.0265 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys 2010/09/16 15:10:25.0296 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys 2010/09/16 15:10:25.0328 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys 2010/09/16 15:10:25.0375 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys 2010/09/16 15:10:25.0421 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys 2010/09/16 15:10:25.0468 ms_mpu401 (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys 2010/09/16 15:10:25.0500 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys 2010/09/16 15:10:25.0531 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys 2010/09/16 15:10:25.0593 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys 2010/09/16 15:10:25.0625 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys 2010/09/16 15:10:25.0640 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys 2010/09/16 15:10:25.0718 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys 2010/09/16 15:10:25.0734 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys 2010/09/16 15:10:25.0765 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys 2010/09/16 15:10:25.0796 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys 2010/09/16 15:10:25.0828 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys 2010/09/16 15:10:25.0906 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys 2010/09/16 15:10:25.0953 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys 2010/09/16 15:10:26.0015 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys 2010/09/16 15:10:26.0062 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys 2010/09/16 15:10:26.0218 nv (f7ee020dc255b40a83899c53d4147746) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys 2010/09/16 15:10:26.0328 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys 2010/09/16 15:10:26.0359 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys 2010/09/16 15:10:26.0390 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys 2010/09/16 15:10:26.0437 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys 2010/09/16 15:10:26.0468 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys 2010/09/16 15:10:26.0515 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys 2010/09/16 15:10:26.0531 PCI (fee8866ae76ee58a51b92ac7daeebc3c) C:\WINDOWS\system32\DRIVERS\pci.sys 2010/09/16 15:10:26.0531 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\pci.sys. Real md5: fee8866ae76ee58a51b92ac7daeebc3c, Fake md5: 9e772adea078fa83a4c99bf76e375c13 2010/09/16 15:10:26.0546 PCI - detected Rootkit.Win32.TDSS.tdl3 (0) 2010/09/16 15:10:26.0609 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\drivers\PCIIde.sys 2010/09/16 15:10:26.0640 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys 2010/09/16 15:10:26.0875 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys 2010/09/16 15:10:26.0906 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys 2010/09/16 15:10:26.0937 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys 2010/09/16 15:10:27.0093 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys 2010/09/16 15:10:27.0125 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys 2010/09/16 15:10:27.0171 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys 2010/09/16 15:10:27.0187 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys 2010/09/16 15:10:27.0234 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys 2010/09/16 15:10:27.0265 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys 2010/09/16 15:10:27.0343 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys 2010/09/16 15:10:27.0390 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys 2010/09/16 15:10:27.0500 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys 2010/09/16 15:10:27.0531 seehcri (e5b56569a9f79b70314fede6c953641e) C:\WINDOWS\system32\DRIVERS\seehcri.sys 2010/09/16 15:10:27.0562 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys 2010/09/16 15:10:27.0593 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys 2010/09/16 15:10:27.0671 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys 2010/09/16 15:10:27.0765 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys 2010/09/16 15:10:28.0109 SNPSTD3 (11bb0e11d42cc3a43d741d9b30839be1) C:\WINDOWS\system32\DRIVERS\snpstd3.sys 2010/09/16 15:10:28.0531 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys 2010/09/16 15:10:28.0593 sptd (d15da1ba189770d93eea2d7e18f95af9) C:\WINDOWS\system32\Drivers\sptd.sys 2010/09/16 15:10:28.0671 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys 2010/09/16 15:10:28.0750 Srv (da852e3e0bf1cea75d756f9866241e57) C:\WINDOWS\system32\DRIVERS\srv.sys 2010/09/16 15:10:28.0812 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys 2010/09/16 15:10:28.0859 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys 2010/09/16 15:10:28.0890 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys 2010/09/16 15:10:29.0031 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys 2010/09/16 15:10:29.0093 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys 2010/09/16 15:10:29.0156 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys 2010/09/16 15:10:29.0187 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys 2010/09/16 15:10:29.0234 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys 2010/09/16 15:10:29.0343 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys 2010/09/16 15:10:29.0437 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys 2010/09/16 15:10:29.0500 USBAAPL (4b8a9c16b6d9258ed99c512aecb8c555) C:\WINDOWS\system32\Drivers\usbaapl.sys 2010/09/16 15:10:29.0546 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys 2010/09/16 15:10:29.0578 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys 2010/09/16 15:10:29.0609 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys 2010/09/16 15:10:29.0671 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys 2010/09/16 15:10:29.0703 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys 2010/09/16 15:10:29.0750 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys 2010/09/16 15:10:29.0812 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS 2010/09/16 15:10:29.0843 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys 2010/09/16 15:10:29.0859 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys 2010/09/16 15:10:29.0937 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys 2010/09/16 15:10:30.0000 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys 2010/09/16 15:10:30.0093 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys 2010/09/16 15:10:30.0250 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS 2010/09/16 15:10:30.0328 yukonwxp (7578410b1512fad9c485b134561e8b78) C:\WINDOWS\system32\DRIVERS\yk51x86.sys 2010/09/16 15:10:30.0406 ================================================================================ 2010/09/16 15:10:30.0406 Scan finished 2010/09/16 15:10:30.0406 ================================================================================ 2010/09/16 15:10:30.0421 Detected object count: 1 2010/09/16 15:11:09.0468 PCI (fee8866ae76ee58a51b92ac7daeebc3c) C:\WINDOWS\system32\DRIVERS\pci.sys 2010/09/16 15:11:09.0468 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\pci.sys. Real md5: fee8866ae76ee58a51b92ac7daeebc3c, Fake md5: 9e772adea078fa83a4c99bf76e375c13 2010/09/16 15:11:11.0734 Backup copy found, using it.. 2010/09/16 15:11:11.0734 C:\WINDOWS\system32\DRIVERS\pci.sys - will be cured after reboot 2010/09/16 15:11:11.0734 Rootkit.Win32.TDSS.tdl3(PCI) - User select action: Cure 2010/09/16 15:11:21.0125 Deinitialize success |
Hi, Du hast abgetippt, gell? Invalid Context: filefilnd Da muss ein : davor und filefind -> :filefind... Entweder wir haben einen Fehlalarm von CF vor uns, oder was gaaaanz Neues... (Ich versuche das mal zu prüfen).. Einstweilen: XP: sfc /scannow 1.) Start->ausführen cmd eingeben 2.) sfc /scannow eingeben 3.) XP-CD bereithalten, falls fehlerhafte Dateien gefunden werden (bei OEM-Rechnern befindet sich i. a. ein entsprechendes Verzeichnis bereits auf der Festplatte) 4.) warten... chris |
haha, erwischt ;) ich sitze hier mit dem macbook vor dem PC, der kommt mir im Moment nur noch für Virustotal ans Netz, den Rest transferiere ich mit Memorysticks hin und her; da hab ichs schnell abgetippt! SO hätte es wohl richtig aussehen sollen? SystemLook 04.09.10 by jpshortstuff Log created at 15:29 on 16/09/2010 by Peter Administrator - Elevation successful ========== filefind ========== Searching for "pci.sys" C:\WINDOWS\system32\drivers\pci.sys --a---- 68224 bytes [12:00 14/04/2008] [13:12 16/09/2010] 387E8DEDC343AA2D1EFBC30580273ACD -= EOF =- ---------------- sfc / scannow mache ich jetzt. Gibt es da dann auch ein Logfile, was ich posten soll? |
Hi, ja, die Saubacken vom TDSS wiedermal... Es gibt tatsächlich kein Backup, lass den Killer mal weiterlaufen (Neu booten). Er wird versuchen die verseuchte Datei zu desinfizieren bzw. zu ersetzen... Lass mal das mit scannow, selbst wenn es funktioniert, wird die neue gleich wieder infiziert (der Rootkit läuft ja schon)... Ich frage mich nur, wo der Killer ein saubere Backup hernehmen will... Lege auf c: ein Unterverzeichnis I386 an und kopiere dann per Konsole (Start->ausführen cmd) die pci.sy_ in das eben angelegte Verzeichnis: copy CD-ROM-Laufwerksbuchstaben:\I386\pci.sy_ C:\I386, dann können wir sie noch auspacken expand CD-ROM-Laufwerksbuchstaben:\I386\pci.sy_ C:\I386\pci.sys. Sonst machen wir das über die Rettungskonsole, wenn was schief läuft... chris |
Scheint so, als ob wir jetzt in die Gefilde vordringen, von denen ich keine Ahnung mehr habe. Order C:\I386 habe ich also erstellt. Wenn ich das bei cmd.exe so reinschreibe, wie du es gemacht hast b - mit eckiger Klammer, dann bekomme ich die Meldung: "[b]copy" ist entweder falsch geschrieben oder konnte nicht gefunden werden... |
Hi, Formatfehler, habs geändert, besser verständlich? chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board