Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rootkit trotz format c: noch erhalten? (https://www.trojaner-board.de/68318-rootkit-trotz-format-c-noch-erhalten.html)

Kartoffel 09.01.2009 19:16
Rootkit trotz format c: noch erhalten?
 
Moinmoin. Ich denke ich habe ein Problem.

Um mal von Vorne anzufangen, ich habe vor einiger Zeit in das Anti-Vir Forum geschrieben, weil mein AV sie nicht updaten wollte. Damals habe ich schon einen HijackThisLog erstellt, der jedoch nichts versprach. Durch vollständigen Systemcheck mit AV mit hoher Heuristiksuchweite habe ich einen Log enthalten, den die Member mir als "Rootkit" identifiziert hatten.
Nun dann habe ich mir gedacht, Pech hat man immer mal ein wenig, und habe mein System neu aufgesetzt. Sofort Antivir installiert, SP2 drauf gehauen etc.
Das allererste, was ich nach der Systemneuinstallation entdeckt hatte, waren diese Fehlermeldungen nach dem Antivir-Update:

Code:
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmp11.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.CK.56' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Fehler in AntiVir Guard.
Fehlertext: Aktion ist fehlgeschlagen für die Datei: C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temp\tmp11.tmp
Fehlercode: [0x00000005 - Zugriff verweigert].

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmp10.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Fehler in AntiVir Guard.
Fehlertext: Aktion ist fehlgeschlagen für die Datei: C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temp\tmp10.tmp
Fehlercode: [0x00000005 - Zugriff verweigert].

Diese Dateien existieren immernoch und ich habe keine Hilfe gefunden, wie ich diese löschen kann.

Desweiteren habe ich jedes mal, wenn ich versucht habe über den Arbeitsplatz an eine Festplatte zu kommen, die Fehlermeldung "boot.com ist keine zulässige Win32-Anwendung" bekommen. Durch diverse Tutorials, autoruneater und Malware-Programmen habe ich diesen Trojaner/Whatever doch entfernen können.

Doch seit heute habe ich erneute Probleme. Ich hab es hier schon oft im Forum gesehen, aber nichts kann mir so recht helfen... Und zwar kann ich mit Google ohne Probleme googlen doch wenn ich ein Suchergebnis anklicke, lande ich automatisch wieder auf einer Spam/Spyware Seite. (lifestrip etc)

Bei der Formatierung habe ich alles formatiert bis auf meine externe Festplatte, kann es sein, dass der/das Rootkit noch auf der Festplatte existiert und mich von da aus verseucht? Gibt es Lösungen zur Reinigung, die an einer Formatierung vorbeigehen? (Viiiele wichtige Dateien... Webdesign x.x)


Hier nochmal zur Hilfe mein HijackThisLog:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:15:34, on 09.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Autorun Eater\oldmcdonald.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Autorun Eater\billy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\foobar2000\foobar2000.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3237 bytes

PS1: Die Formatierung war erst gestern Abend (08.01.)

PS2: Hier der zugehörige AntiVir-Thread:

http://forum.avira.com/wbb/index.php...threadID=80946


Edit: Erneuter Scan:

Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 9. Januar 2009  19:46

Es wird nach 1172645 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    WAMBO

Versionsinformationen:
BUILD.DAT    : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 08:21:23
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5      164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL  : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.1.33    1705984 Bytes  24.12.2008 20:46:30
ANTIVIR2.VDF  : 7.1.1.88      726528 Bytes  08.01.2009 20:46:33
ANTIVIR3.VDF  : 7.1.1.89        2048 Bytes  08.01.2009 20:46:34
Engineversion : 8.2.0.45 
AEVDF.DLL    : 8.1.0.6      102772 Bytes  14.10.2008 10:05:56
AESCRIPT.DLL  : 8.1.1.19      336252 Bytes  08.01.2009 20:46:43
AESCN.DLL    : 8.1.1.5      123251 Bytes  07.11.2008 15:06:41
AERDL.DLL    : 8.1.1.3      438645 Bytes  04.11.2008 13:58:38
AEPACK.DLL    : 8.1.3.4      393591 Bytes  11.11.2008 09:41:39
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  08.01.2009 20:46:42
AEHEUR.DLL    : 8.1.0.75    1524087 Bytes  08.01.2009 20:46:40
AEHELP.DLL    : 8.1.2.0      119159 Bytes  08.01.2009 20:46:36
AEGEN.DLL    : 8.1.1.8      323956 Bytes  08.01.2009 20:46:36
AEEMU.DLL    : 8.1.0.9      393588 Bytes  14.10.2008 10:05:56
AECORE.DLL    : 8.1.5.2      172405 Bytes  08.01.2009 20:46:35
AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL    : 8.0.0.2        98344 Bytes  31.07.2008 12:02:15
AVREG.DLL    : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  12.06.2008 12:49:36
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Freitag, 9. Januar 2009  19:46

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'billy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oldmcdonald.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTXFISPI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTXFIHLP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '48' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temp\tmp10.tmp
    [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temp\tmp11.tmp
    [FUND]      Ist das Trojanische Pferd TR/Patched.CK.56
    [HINWEIS]  Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'

john.doe 09.01.2009 20:12
Hallo,

Zitat:
Bei der Formatierung habe ich alles formatiert bis auf meine externe Festplatte, kann es sein, dass der/das Rootkit noch auf der Festplatte existiert und mich von da aus verseucht?
Ja. Lösung:

Desinfizierung/Absicherung externer Medien:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:
  1. Trenne den Rechner physikalisch vom Netz.
  2. Deaktiviere den Hintergrundwächter deines AVP.
  3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
  4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
  5. Wenn der Scan zuende ist, kannst du das Programm schließen.
  6. Starte Deinen Rechner neu.
Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.
Zitat:
Gibt es Lösungen zur Reinigung, die an einer Formatierung vorbeigehen?
Ja, aber sehr zeitaufwendig. Wenn du gerade erst installiert hast, s.
Zitat:
Die Formatierung war erst gestern Abend (08.01.)
dann mache das gleich noch einmal. Halte dich an diese http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

Kartoffel 09.01.2009 22:49
Ist eine erneute Formatierung unbedingt notwendig? Da ich ein wenig vom PC und Sicherheit verstehe, kann ich von mir behaupten, dass ich die Anleitung zur Formatierung zu 98% befolgt habe, denke daher nicht, dass eine neue Formatierung Abhilfe schaffen wird...

Kann ich nicht meine Externe Scannen und den Google"Bug" irgendwie beheben?

john.doe 09.01.2009 23:00
Du hast dich durch die externe HD selbst wieder infiziert. Mit dem Flashdisinfector sorgst du dafür, dass es nicht noch einmal passieren kann.

Wichtig: Alle externen Datenträger, wie MP3-Player, Handy, USB-Sticks, SD-Karten, ..., während der Desinfektion anstecken.

Zitat:
denke daher nicht, dass eine neue Formatierung Abhilfe schaffen wird...
Ich schon.

Zitat:
Kann ich nicht meine Externe Scannen und den Google"Bug" irgendwie beheben?
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Kartoffel 09.01.2009 23:09
Hmm... Okay, bevor ich mir da was mit Combofix zerhaue, denke ich, dass ich erst einmal wieder neu aufsetzen werde. Also kann ich davon ausgehen, dass wenn ich diesen Desinfizierer richtig eingesetzt habe und mit dem PC erst wieder ans Internet gehe, wenn alles draufgespielt ist und und und, dass DANN kein Plagegeist mehr da ist?

Kleine Frage hierzu noch, ich darf doch momentan dann die Grafiktreiber etc. die ich extra herunterladen musste auf meine externe ziehen um das Neuaufsetzen zu erleichern, richtig?

Bedanke mich schonmal für die kompetente Hilfe, werde sehen was das Ergebnis bringt und "hoffentlich" einen "Solved"-Abschlussbeitrag schreiben ;)

john.doe 09.01.2009 23:17
Zitat:
Also kann ich davon ausgehen, dass wenn ich diesen Desinfizierer richtig eingesetzt habe und mit dem PC erst wieder ans Internet gehe, wenn alles draufgespielt ist und und und, dass DANN kein Plagegeist mehr da ist?
Rechner vom Internet trennen, Installieren, aktuelles SP draufspielen und erst dann wieder mit dem Internet verbinden.

Zitat:
Kleine Frage hierzu noch, ich darf doch momentan dann die Grafiktreiber etc. die ich extra herunterladen musste auf meine externe ziehen um das Neuaufsetzen zu erleichern, richtig?
Ein Restrisiko besteht schon, denn der kann auch befallen sein. Das kannst du nur sicherstellen, wenn du die externe HD von einem nicht infizierten Rechner aus scannst.

ciao, andreas

Kartoffel 10.01.2009 12:14
Sooo... Komplett ohne Internet reinstalliert, nichts von der HD genommen bis jetzt etc.

Hab jetzt mit Internet verbunden und die Externe wieder angeschlossen, wird eine erneute Rootkit-Suche dann zeigen, ob ich "clean" bin?

Kartoffel 12.01.2009 22:33
Bis gerade eben keine Probleme... Habe meine Kamera angeschlossen. Sofort eine Trojanerwarnung ala temp34.tmp Trojaner.

Außerdem habe ich erneute Probleme meine C-Platte zu öffnen... "boot.com"... Werde den Fehler jetzt wieder wie vorher auch beheben, jedoch bin ich mir 100% sicher, dass das Rootkit nicht auf meine Kamera gelingen konnte...

Zitat:
Wichtig: Alle externen Datenträger, wie MP3-Player, Handy, USB-Sticks, SD-Karten, ..., während der Desinfektion anstecken.
Habe ich gelesen, aber ich habe die Kamera doch schon mehrere Monate nicht mehr dran gehabt?!


Edit:
x.x

Code:
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, H:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Montag, 12. Januar 2009  22:35

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\msqpdxtlubtvrd.dll
    [INFO]      Die Datei ist nicht sichtbar.
    [FUND]      Ist das Trojanische Pferd TR/TDss.AT.881
    [INFO]      Es konnte kein SpecVir-Eintrag gefunden werden!
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 49dcb82c.qua erstellt ( QUARANTÄNE )
c:\windows\system32\drivers\msqpdxkdexdbse.sys
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 4b351a6d.qua erstellt ( QUARANTÄNE )
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '37046' Objekte überprüft, '12' versteckte Objekte wurden gefunden.

Nochmal formatieren oder was? Also so richtig mit ALLEN Usb Geräten? Und wie siehts aus mit Sticks von Freunden etc?

john.doe 12.01.2009 23:06
Zitat:
Habe ich gelesen, aber ich habe die Kamera doch schon mehrere Monate nicht mehr dran gehabt?!
Es können auch Jahre vergehen, aber wenn und genau so war es ja, auf der Kamera etwas drauf war, dann ist es jetzt wieder auf dem PC.
Zitat:
Habe ich gelesen, aber ich habe die Kamera doch schon mehrere Monate nicht mehr dran gehabt?!
Spielt keine Rolle wie lange es war. Schädlinge leben ewig.
Zitat:
Also so richtig mit ALLEN Usb Geräten?
Es gibt schon einen Grund, warum alle fett formatiert ist.
Zitat:
Und wie siehts aus mit Sticks von Freunden etc?
Genau das gleiche Problem. Ein Befall reicht um alles zu verseuchen. Schützen kannst du dich davor, in dem du den Autoplay von Windows für alle Geräte deaktivierst. Dann wirst du nie wieder befallen.

ciao, andreas

Kartoffel 12.01.2009 23:15
Das mit dem Autoplay hätte ich mal gerne eben erklärt,...

1. wie schalte ich den ab,...
2. hilft das meinem PC vor dem verseuchtem Stick oder dem Stick vor meinem PC?

Ich habe im moment in der Schule ein Referat zu halten und die Präsentation auf meinem PC, wie bringe ich die sicher in die Schule?

Hatte es eben so verstanden, dass alle möglicher Weise infizierten Geräte gesichert werden mussten... Und da ich davon ausging, dass es bei der Kamera nicht der Fall war, hab ich sie außenvor gelassen.

Zu meinem Vorgehen würde ich jetzt sagen, nochmal ALLES anschließen, Handy (wo evt. wieder ein Problem wäre, da ich auf das Handy nicht mit einem Browser sondern nur mit Motorola Software zugreifen kann...), Mp3-Player etc... Dann den Desinfizierer ausführen, Externe vom PC trennen, Internet trennen, bootdisk einlegen, Reparaturkonsole auf, format c:, d: und e:, Windows installieren, SP2 installieren, Antivir draufhauen, DANN Internet und Externe ranschmeißen. Glücklich sein, dass nichts falsch läuft.

Richtig so?


Edit: Würde eine Formatierung der Festplatten von Mp3player und Kamera nicht auch helfen?

john.doe 12.01.2009 23:41
Zitat:
Das mit dem Autoplay hätte ich mal gerne eben erklärt,...

1. wie schalte ich den ab,...
Autostartfunktion für unterschiedliche Laufwerkstypen einstellen

Falls du dich nicht an die Registry traust, dann geht das z.B. auch mit XP-Antispy oder TweakUI.
Zitat:
2. hilft das meinem PC vor dem verseuchtem Stick oder dem Stick vor meinem PC?
Sowohl als auch. Windows versucht viele Dinge zu vereinfachen. Bestes Beispiel ist die Autoplayfunktion. Sobald ein neues Medium angestöpselt wird, sucht Windows nach der Datei autorun.inf. Sollte er sie finden, startet er das Programm, das in dieser Textdatei genannt ist. Damit läuft das Programm auf deinem PC. Jetzt sorgt es dafür, dass es bei jedem Windowsstart mitgestartet wird. Zusätzlich schreibt es sich auf alle Datenträger, die es finden kann.

Zitat:
Ich habe im moment in der Schule ein Referat zu halten und die Präsentation auf meinem PC, wie bringe ich die sicher in die Schule?
Deinen PC kannst du durch Abschalten der Autoplayfunktion schützen. Den USB-Stick kannst du mit dem Flash Disinfector schützen oder durch Aktivierung des Schreibschutzes (diese Funktion bieten nicht alle USB-Sticks) sicherstellen.

Zitat:
Handy (wo evt. wieder ein Problem wäre, da ich auf das Handy nicht mit einem Browser sondern nur mit Motorola Software zugreifen kann...)
Dann ist es nicht gefährdet. Es geht nur um Geräte, auf die Windows von sich aus zugreifen kann. Alles was im Arbeitsplatz oder im Explorer angezeigt wird.
Zitat:
SP2 installieren,
SP3 (in Worten drei).
Zitat:
Richtig so?
:daumenhoc

ciao, andreas

Edit zu deinem Edit: Wenn sie von einem sauberen PC formatiert werden, dann reicht das. Alternativ kannst du sie mit dem Flash Disinfector schützen. Die Autoplayfunktion lässt sich zeitweise umgehen, wenn du beim Anstecken die Umschalttaste festhälst.

Kartoffel 17.01.2009 15:47
;)

P-e-r-f-e-c-t

Danke! Bis jetzt keine einzige Warnung mehr erhalten, Usb Geräten sind dank meinem Bruders Laptop clean (formatiert etc.) und mein PC läuft stabil, Hijackthis sagt nichts und Avira findet auch keinen einzigen Ruhestörer...

//solved

john.doe 17.01.2009 15:50
:dankeschoen: für die Rückmeldung.

Schönes Wochenende,
andreas

john.doe 17.01.2009 20:53
----------


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131