|
sysrestore.dll Hallo Forum :-) Gestern schlug AVAST! an und meldete: Win32:Rootkit-gen gefunden Vorgeschlagene Maßnahme: Datei (sysrestore.dll) in den Container verschieben. Diesem Vorschlag folgte ich. CCLeaner meldet nun jedoch diese Datei als fehlende gemeinsamgenutzte .dll BS = WinXP Sp3 Was ist zu tun? Liebe Grüße TieU |
Lade die Datei einmal bei Virustotal hoch und poste das Ergebnis hier. |
Hallo Lucky, vielen Dank für deine schnelle Antwort! Hier das Scanergebnis. Datei 00000008 empfangen 2008.06.24 13:49:19 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/33 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.24.0 2008.06.24 - AntiVir 7.8.0.59 2008.06.24 - Authentium 5.1.0.4 2008.06.24 - Avast 4.8.1195.0 2008.06.23 - AVG 7.5.0.516 2008.06.24 - BitDefender 7.2 2008.06.24 - CAT-QuickHeal 9.50 2008.06.23 - ClamAV 0.93.1 2008.06.24 - DrWeb 4.44.0.09170 2008.06.24 - eSafe 7.0.17.0 2008.06.24 - eTrust-Vet 31.6.5900 2008.06.24 - Ewido 4.0 2008.06.24 - F-Prot 4.4.4.56 2008.06.23 - F-Secure 7.60.13501.0 2008.06.20 - Fortinet 3.14.0.0 2008.06.24 - GData 2.0.7306.1023 2008.06.24 - Ikarus T3.1.1.26.0 2008.06.24 - Kaspersky 7.0.0.125 2008.06.24 - McAfee 5323 2008.06.23 - Microsoft None 2008.06.24 - NOD32v2 3212 2008.06.24 - Norman 5.80.02 2008.06.23 - Panda 9.0.0.4 2008.06.23 - Prevx1 V2 2008.06.24 - Rising 20.50.10.00 2008.06.24 - Sophos 4.30.0 2008.06.24 - Sunbelt 3.0.1153.1 2008.06.15 - Symantec 10 2008.06.24 - TheHacker 6.2.92.359 2008.06.24 - TrendMicro 8.700.0.1004 2008.06.24 - VBA32 3.12.6.8 2008.06.23 - VirusBuster 4.5.11.0 2008.06.23 - Webwasher-Gateway 6.6.2 2008.06.24 - weitere Informationen File size: 20488 bytes MD5...: a0b61af18fd020d70c59096ace18666a SHA1..: 96c813a2e76d94e71955d7319b291e8cd77d3ce6 SHA256: 0def34fdff9f0ab9b78abd866574288a87034d0311398cdc9113312c67d31a8f SHA512: 9009e5115b97448a4ec0e1d13a6da2503f700e9a058e3b56180cc0dda363f033 1c160e0de5afd8ac6ed38d55902af42ebecf4b5aafd74123754ee0525d98fd37 PEiD..: - PEInfo: - Die "Original" SysRestore.dll" kann ich nicht scann lassen, nur die von AVAST! umbenannte Datei (00000008) aus dem Ordner Chest von AVAST!. Ansonsten befinden noch die Dateien 00000001-00000007 und eine index.xml Datei in dem Ordner. Liebe Grüße TieU |
*schieb* :-) |
Hallo TieU Solche kurzen Antworten erhält man, wenn man keine ordentlichen Post erstellt. Wie soll man erkennen, ob an deinem Rechner was ist, wenn du uns nicht mehr Informationen zukommen lässt:confused: Fertige doch mal als erstes ein Hijackthis Log und poste es. |
Hallo blow-in, ich folge dem Tipp von Lucky und stellte das Protokoll von Virustotal ein. Hier nun das Logfile von HiJackthis Liebe Grüße TieU Logfile of HijackThis v1.99.1 [edit] Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 Danke. :) Sunny [/edit] |
Pardon! Hier nun das editierte Logfile: Logfile of HijackThis v1.99.1 Scan saved at 09:20:38, on 26.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\SentinelSuperProServer\spnsrvnt.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\cidaemon.exe C:\hijackthis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2&DI=108&XAPID=4210??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail&vv=400&lc=1031 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O15 - Trusted Zone: h**p://www.bdsm-aktuell.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - h**p://www.pcpitstop.com/pcpitstop/PCPitStop.CAB O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - h**p://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - h**p://utilities.pcpitstop.com/optimize2/pcpitstop2.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{99C55F99-9FA7-4EFE-9EA1-EC836F566EB6}: NameServer = 213.191.74.19,213.191.74.18 O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O21 - SSODL: emptins - {588599f4-de26-4c28-ba14-f4eb17e33481} - (no file) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe |
Hallo TieU Welche Datei hast du eigentlich bei Virustotal hoch geladen? sysrestore.dll? In deinem HJT-Log kann ich nichts erkennen. |
Hallo blow-in, AVAST! meldete: Win32:Rootkit-gen gefunden in Datei SysRestore.dll gefunden. Als Maßnahme wurde vorgeschlagen die Datei in den Container zu verschieben, ich nahm diesen Vorschlag an. Seither ist über die Suchfunktion die Datei SysRestore.dll nicht mehr auf dem Rechner zu finden, da sie von AVAST! in "00000008" (ohne Dateiendung) umbenannt wurde. Ich habe die von AVAST! in den Ordner "Chest" verschobene und umbenannte Datei checken lassen. Liebe Grüße TieU |
Hallo TieU benutze doch mal den CCleaner nach der Anleitung. Vor allen die Registry mehrmals suchen lassen. |
Hallo blow-in, ich habe den CCleaner nun mehrfach laufen lassen und Bereinigungen durchführen lassen. Es werden nunmehr keine weiteren Fehlermeldungen ausgegeben. Wie geht es nun weiter? Liebe Grüße TieU |
Mach dann bitte noch einen Scan mit dem neueren Hijackthis Das Log hier posten und anschließend noch ein <Do a system scan Only> und die Zeilen in denen dahinter steht no file oder file missing einen Haken vorne machen und unten auf Fixen. Rechner neu starten. |
Hier der neue Scan Der erneute Systemscan <Do a system scan Only> ergab keine "no file" oder "missing" Ergebnisse Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:18:51, on 26.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\SentinelSuperProServer\spnsrvnt.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\cidaemon.exe C:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2&DI=108&XAPID=4210??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail&vv=400&lc=1031 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O15 - Trusted Zone: h**p://www.bdsm-aktuell.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - h**p://www.pcpitstop.com/pcpitstop/PCPitStop.CAB O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://h**p://ipgweb.cce.hp.com/rdqe...ds/sysinfo.cab O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - h**p://utilities.pcpitstop.com/optimize2/pcpitstop2.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{64910133-4AD9-4A10-8F13-8DCB1EA89E01}: NameServer = 62.109.123.197 213.191.74.19 O17 - HKLM\System\CCS\Services\Tcpip\..\{99C55F99-9FA7-4EFE-9EA1-EC836F566EB6}: NameServer = 213.191.74.19,213.191.74.18 O21 - SSODL: emptins - {588599f4-de26-4c28-ba14-f4eb17e33481} - (no file) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe -- End of file - 7214 bytes |
Nun ich sehe da noch zwei Zeilen: Zitat:
Hast du denn noch irgendwelche Probleme? Die Sysrestore.dll war anscheinend nicht aktiv bevor sich das AVP eingemischt hatte. Ansonsten würde ich dich als geheilt entlassen. |
Hallo blow-in, keine weiteren Probleme :-) Herzlichen Dank!!! Kann ich die Schönheitsfehler ohne großen Aufwand beseitigen? Liebe Grüße TieU |
Kommando zurück. Soeben erschien folgende Meldung: Virus gefunden in C:\windows\System32\bassmod.dll Malware-Name: Win32:Trojan-gen :-( |
Dann müssen wir mal tiefer Graben. Die gemeldete Datei bei Virustotal hochladen und scannen lassen. Wenn du sie nicht findest kannst du ja Zitat:
Der Scan kann etwas dauern. Trage das Ergebnis komplett hier ein. Danach verwende mal Malwarebytes und berichte. So ich mache jetzt erst mal Schluss. Bin dann morgen Früh wieder da. |
Hallo blow-in, AVAST hat die Datei BASSMOD.DLL in den Ordner C:\Programme\Alwil Software\Avast4\Data\moved verschoben. Der Scan dieser Datei ergab: 0 bytes size received / Se ha recibido un archivo vacio Der Windows Explorer zeigt eine Dateigröße von 15 kb an. Die Insatallation von Malwarebytes scheiterte mit dieser Fehlermeldung: C:\Programme\Malwarebyts' Antimalware\mbamext.dll DLL/OCX konnte nicht registriert werden: RegServ32-Aufruf scheiterte mit Exit-Code 0x5 :( |
Hallo blow-in, wie geht es jetzt weiter? Liebe Grüße TieU |
Hallo TieU Kannst du die Datei sehen? Dann versuch doch mal die Datei in ein Temp Verzeichnis zu kopieren und umbenennen, sollte aber eine DLL bleiben. Dann mal versuchen hochzuladen. Eine weitere Möglichkeit währe der Upload nach Anleitung von @Sunny. |
Hallo blow-in, ja, die Datei "BASSMOD.dll" ist im Ordner C:\Programme\Alwil Software\Avast4\DATA\moved sichtbar. Ich habe sie gem. Anleitung auf den Server geladen. Schon herzlichen Dank für deine Hilfe. Liebe Grüße TieU |
Hallo blow-in, hier die aktuelle Log-Datei von HiJackThis Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo TieU Wie ich erkennen kann, hast du SUPERAntiSpyware schon drauf. Hast du damit schon einen Scan gemacht? Zeige uns das Log. In deinem HJT-Log kann ich nichts mehr erkennen. |
Hallo blow-in, hier das Log von SUPERAntiSpyware: Code: SUPERAntiSpyware Scan LogWas mir Sorgen macht sind die Logs von Avast: Code: 02.07.2008 13:07:52 3640 Sign of "Win32:Agent-YJY [Trj]" has been found in "C:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP622\A0074084.exe" file. Code: -------------------------------------------------------------------------------Danke für Deine weitere Hilfe Liebe Grüße TieU |
Hallo TieU Deaktiviere als erstes deine Systemwiederherstellung und starte den Rechner neu. Lösche den Quarantäneordner von Avast. Papierkorb leeren. CCleaner instalieren und nach Anleitung ausführen. Die Registry mehrmals Fehler beheben lassen, bis keine mehr gemeldet werden. Dann mache noch ein neues Hijackthis Log und poste es. |
Hallo blow-in, die Deaktivierung der Systemwiederherstellung ging problemlos, ebenso wie das Leeren des Papierkorbs. Der Inhalt der Quarantäneordners von Avast lies sich nicht mit dem Windows-Explorer löschen, sondern funktionierte nur über die Löschfunktion von Avast. CCleaner lief mehrfach, incl. Registrysäuberung - Fehler stellt CCleaner nicht mehr fest. Bevor ich HijackThis laufen lies guckte ich nochmals in den Quarantäneordner von Avast und fand in der dortigen index.xml diesen Inhalt. Code: <?xml version="1.0" encoding="UTF-8" ?> Code: Logfile of Trend Micro HijackThis v2.0.2Liebe Grüße TieU |
Hallo TieU Führe mit Hijackthis eine <To a Systemscan only> durch und Fixe diesen Eintrag O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) Haken vor dieser Zeile und dann auf Fix checked. Wie verhält sich denn dein Rechner jetzt? Du kannst ja noch mal den Scan mit Malwahrebytes verssuchen. |
Hallo blow-in, den Eintrag habe ich gefixt. Insgesamt scheint sich der Rechner (wieder) normal zu verhalten, die vormals beobachtete CPU-Auslastung von 100% bei Untätigkeit ist zurückgegangen auf das Normalmaß, 3-5%. Die Installation von MalwareBytes stoppte mit der Fehlermeldung: C:\Programme\Malwarebyts' Antimalware\mbamext.dll DLL/OCX konnte nicht registriert werden: RegServ32-Aufruf scheiterte mit Exit-Code 0x5 Konnte jedoch mit "Ignorieren" übergangen/fortgesetzt werden. Ein Scan lieferte keine Infektionsergebnisse. Liebe Grüße TieU |
Halihallo du könntest noch einen Versuch mit der mbr.exe machen. Also auf den Desktop laden und ausführen. Wenn dann die Meldung kommt, das nicht gefunden wurde, kann ich dich dann als geheilt entlassen. |
Hallo blow-in, der Scan mit mbr.exe öffnete kurz ein DOS-Fenster, welches sich sofort wieder geschlossen hat. Heilung trotz der Meldungen von Kaspersky Online und dem Inhalt der index.xml aus dem Quarantäneordner von avast? Das wäre ja Klasse! Also Systemwiederherstellung wieder aktiveren und alles ist wieder in Butter? Liebe Grüße TieU |
Hallo blow-in, hier noch im Nachgang das Protokoll von mbr.exe: Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netWie geht es nun weiter? Liebe Grüße TieU |
Zitat:
hast du denn noch Probleme irgendwelcher Art? Die Systemwiederherstellung kannst du aktivieren. Ansonsten denke ich schon, du bist geheilt.:daumenhoc Zum serven noch ein eingeschränktes Konto einrichten und Spass haben :heilig: |
Hallo blow-in, herzlichen Dank für Deine Mühe und Hilfe! Im Betrieb ist soweit nichts auffälliges zu bemerken, mit einer Ausnahme: Die DFÜ-Verbindung (DSL) wird nach dem Start des Rechners automatisch hergestellt, ohne weiteres Zutun. Was mir noch ein wenig Sorge bereitet ist das Protokoll vom Kaspersky-Onlinescan. Denn hier werden 4 Viren und 11 infizierte Objekte gefunden. Hier das Logfile: Code: -------------------------------------------------------------------------------Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo TieU Da erkennt das Kasperle die anderen AVP als Trojaner. Z.B. Spybot Serch& Des weiteren sollte der Verlauf mal gelöscht werden. Du hast auch irgendwoh deine Passwörter gespeichert. Sollte man nicht machen. Ansonsten sehe ich eigentlich nichtzs mehr in deinem HJT-Log und das eine DFÜ Verbindung hergestellt wird kann an noch ausstehenden Windowsupdates liegen. |
Hallo blow-in, der Verlauf ist nun gelöscht :-) Das ich meine Passwörter gespeichert hätte ist mir nicht bewußt, hat das vielleicht ein Schädling verursacht? Auf jeden Fall nochmals herzlichen Dank!!! Liebe Grüße TieU |
Bei den gespeicherten Passwörtern ging es mir eigentlich um diesen Eintrag: C:\WINDOWS\Debug\PASSWD.LOG Kannst ja mal nach sehen was bei der Datei steht, wann sie gespeichert wurde Rechtsklick (Eigenschaften). |
Hallo blow-in, hier die Eigenschaften der Datei Passwd.log: Erstellt: Montag, 31. Juli 2006, 14:15:28 Geändert am: Heute, 10. Juli 2008, 09:10:24 Letzter Zugriff: Freitag, 17. August 2007, 20:17:39 Wenn ich die Datei mit dem Editor öffne ist kein Inhalt zu sehen. Liebe Grüße TieU |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board