Trojaner-Board
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Es funzt kein Antivirenprogramm mehr!!! (https://www.trojaner-board.de/71099-funzt-kein-antivirenprogramm-mehr.html)

PeterLustig 17.03.2009 00:18
So,

hier der ComboFix log.

EDIT: Nach einem Neustart geht Norton wieder,kleiner Fehlalarm ;-)

Code:
ComboFix 09-03-15.01 - ***** 2009-03-18  0:14:04.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1023.636 [GMT 4.5:30]
ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\ComboFix.exe
AV: Norton Internet Security *On-access scanning disabled* (Updated)
FW: Norton Internet Security *enabled*
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

j:\recycler\S-4-5-11-100017703-100031168-100022485-4446.com
j:\recycler\S-5-9-32-100020552-100031408-100014937-4527.com
j:\recycler\S-6-8-31-100003086-100005425-100013277-6189.com
j:\recycler\S-9-7-85-100007146-100020279-100004249-9610.com
J:\resycled
j:\resycled\boot.com

.
(((((((((((((((((((((((  Dateien erstellt von 2009-02-17 bis 2009-03-17  ))))))))))))))))))))))))))))))
.

2009-03-18 00:09 . 2009-03-18 00:09        <DIR>        d--------        c:\winxp\LastGood
2009-03-18 00:02 . 2006-06-29 13:07        14,048        ---------        c:\winxp\system32\spmsg2.dll
2009-03-17 23:56 . 2009-03-18 00:02        <DIR>        d--------        c:\winxp\system32\XPSViewer
2009-03-17 23:56 . 2009-03-17 23:56        <DIR>        d--------        c:\programme\Reference Assemblies
2009-03-17 23:56 . 2009-03-17 23:56        <DIR>        d--------        c:\programme\MSBuild
2009-03-17 23:55 . 2009-03-17 23:56        <DIR>        d--------        C:\5446aedc5abd62fb992f966890
2009-03-17 23:55 . 2008-07-06 16:36        1,676,288        ---------        c:\winxp\system32\xpssvcs.dll
2009-03-17 23:55 . 2008-07-06 16:36        1,676,288        -----c---        c:\winxp\system32\dllcache\xpssvcs.dll
2009-03-17 23:55 . 2008-07-06 15:20        597,504        -----c---        c:\winxp\system32\dllcache\printfilterpipelinesvc.exe
2009-03-17 23:55 . 2008-07-06 16:36        575,488        ---------        c:\winxp\system32\xpsshhdr.dll
2009-03-17 23:55 . 2008-07-06 16:36        575,488        -----c---        c:\winxp\system32\dllcache\xpsshhdr.dll
2009-03-17 23:55 . 2008-07-06 16:36        117,760        ---------        c:\winxp\system32\prntvpt.dll
2009-03-17 23:55 . 2008-07-06 16:36        89,088        -----c---        c:\winxp\system32\dllcache\filterpipelineprintproc.dll
2009-03-17 23:44 . 2008-10-24 15:51        455,296        -----c---        c:\winxp\system32\dllcache\mrxsmb.sys
2009-03-17 23:39 . 2008-10-16 14:09        43,544        --a------        c:\winxp\system32\wups2.dll
2009-03-17 23:39 . 2008-10-16 14:08        31,768        --a------        c:\winxp\system32\wucltui.dll.mui
2009-03-17 23:39 . 2008-10-16 14:08        27,672        --a------        c:\winxp\system32\wuaucpl.cpl.mui
2009-03-17 23:39 . 2008-10-16 14:08        27,672        --a------        c:\winxp\system32\wuapi.dll.mui
2009-03-17 23:39 . 2008-10-16 14:07        18,968        --a------        c:\winxp\system32\wuaueng.dll.mui
2009-03-17 23:23 . 2009-03-18 00:07        <DIR>        d--------        c:\programme\Autorun Eater
2009-03-17 22:49 . 2009-03-17 22:51        <DIR>        d--------        c:\programme\uTorrent
2009-03-17 22:49 . 2009-03-18 00:05        <DIR>        d--------        c:\dokumente und einstellungen\SchwanzosLongus\Anwendungsdaten\uTorrent
2009-03-17 22:30 . 2009-03-17 22:30        <DIR>        d--------        c:\winxp\system32\Kaspersky Lab
2009-03-17 22:30 . 2009-03-17 22:30        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-03-17 22:22 . 2009-03-17 22:22        <DIR>        d--------        c:\programme\CCleaner
2009-03-17 21:29 . 2009-03-17 21:29        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2009-03-17 21:29 . 2009-03-17 21:29        <DIR>        d--------        c:\dokumente und einstellungen\SchwanzosLongus\Anwendungsdaten\Malwarebytes
2009-03-17 21:29 . 2009-03-17 21:29        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-17 21:29 . 2009-02-11 10:19        38,496        --a------        c:\winxp\system32\drivers\mbamswissarmy.sys
2009-03-17 21:29 . 2009-02-11 10:19        15,504        --a------        c:\winxp\system32\drivers\mbam.sys
2009-03-17 21:24 . 2009-03-17 21:24        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-03-17 21:15 . 2009-03-17 21:15        <DIR>        d--------        c:\programme\Trend Micro
2009-03-17 21:09 . 2009-03-17 21:09        <DIR>        d--------        c:\programme\Opera 10 Preview
2009-03-17 21:04 . 2009-03-17 21:19        <DIR>        d--------        c:\programme\avmwlanstick
2009-03-17 21:03 . 2009-03-17 21:03        <DIR>        d--------        c:\programme\AVM_update
2009-03-17 21:03 . 2006-09-29 10:30        1,570        --a------        c:\winxp\system32\nvide.nvu
2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\winxp\system32\drivers\NIS
2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\programme\Windows Sidebar
2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\programme\Symantec
2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\programme\NortonInstaller
2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\programme\Norton Internet Security
2009-03-17 21:01 . 2009-03-17 21:14        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Symantec Shared
2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2009-03-17 21:01 . 2009-03-17 21:01        124,464        --a------        c:\winxp\system32\drivers\SYMEVENT.SYS
2009-03-17 21:01 . 2009-03-17 21:01        60,808        --a------        c:\winxp\system32\S32EVNT1.DLL
2009-03-17 21:01 . 2009-03-17 21:01        35,888        -ra------        c:\winxp\system32\drivers\SymIM.sys
2009-03-17 21:01 . 2009-03-17 21:01        10,635        --a------        c:\winxp\system32\drivers\SYMEVENT.CAT
2009-03-17 21:01 . 2009-03-17 21:01        806        --a------        c:\winxp\system32\drivers\SYMEVENT.INF
2009-03-17 20:59 . 2009-03-17 20:59        0        --a------        c:\winxp\ativpsrm.bin

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-16 19:56        ---------        d--h--w        c:\programme\InstallShield Installation Information
2009-03-16 19:56        ---------        d-----w        c:\programme\Realtek AC97
2009-03-16 19:56        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield
2009-03-16 19:56        ---------        d-----w        c:\programme\ATI Technologies
2009-03-16 19:47        ---------        d-----w        c:\programme\microsoft frontpage
2009-03-16 19:43        ---------        d-----w        c:\programme\Online-Dienste
2009-03-16 19:43        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste
2009-03-16 19:41        ---------        d-----w        c:\programme\Windows Media Connect 2
2009-02-09 13:57        1,847,680        ----a-w        c:\winxp\system32\win32k.sys
2009-02-04 07:27        3,488,768        ----a-w        c:\winxp\system32\drivers\ati2mtag.sys
2009-02-04 05:57        11,702,272        ----a-w        c:\winxp\system32\atioglxx.dll
2009-02-04 05:03        290,816        ----a-w        c:\winxp\system32\atiok3x2.dll
2009-02-04 04:56        442,368        ----a-w        c:\winxp\system32\ATIDEMGX.dll
2009-02-04 04:55        324,096        ----a-w        c:\winxp\system32\ati2dvag.dll
2009-02-04 04:44        196,608        ----a-w        c:\winxp\system32\atipdlxx.dll
2009-02-04 04:44        155,648        ----a-w        c:\winxp\system32\Oemdspif.dll
2009-02-04 04:43        43,520        ----a-w        c:\winxp\system32\ati2edxx.dll
2009-02-04 04:43        26,112        ----a-w        c:\winxp\system32\Ati2mdxx.exe
2009-02-04 04:43        155,648        ----a-w        c:\winxp\system32\ati2evxx.dll
2009-02-04 04:41        602,112        ----a-w        c:\winxp\system32\ati2evxx.exe
2009-02-04 04:40        53,248        ----a-w        c:\winxp\system32\ATIDDC.DLL
2009-02-04 04:30        3,884,768        ----a-w        c:\winxp\system32\ati3duag.dll
2009-02-04 04:14        2,645,504        ----a-w        c:\winxp\system32\ativvaxx.dll
2009-02-04 03:58        49,664        ----a-w        c:\winxp\system32\amdpcom32.dll
2009-02-04 03:54        471,040        ----a-w        c:\winxp\system32\atikvmag.dll
2009-02-04 03:53        122,880        ----a-w        c:\winxp\system32\atiadlxx.dll
2009-02-04 03:52        53,248        ----a-w        c:\winxp\system32\drivers\ati2erec.dll
2009-02-04 03:52        17,408        ----a-w        c:\winxp\system32\atitvo32.dll
2009-02-04 03:46        626,688        ----a-w        c:\winxp\system32\ati2cqag.dll
2009-02-04 03:44        307,200        ----a-w        c:\winxp\system32\atiiiexx.dll
2009-02-04 02:43        45,056        ----a-w        c:\winxp\system32\aticalrt.dll
2009-02-04 02:42        45,056        ----a-w        c:\winxp\system32\aticalcl.dll
2009-02-04 02:40        3,244,032        ----a-w        c:\winxp\system32\aticaldd.dll
2009-02-03 16:35        593,920        ------w        c:\winxp\system32\ati2sgag.exe
2008-12-20 22:31        826,368        ----a-w        c:\winxp\system32\wininet.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2008-09-05 1794048]
"Autorun Eater"="c:\programme\Autorun Eater\oldmcdonald.exe" [2008-11-27 501768]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\winxp\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=

R0 SymEFA;Symantec Extended File Attributes;c:\winxp\system32\drivers\NIS\1001000.021\SymEFA.sys [2009-03-17 309296]
R1 BHDrvx86;Symantec Heuristics Driver;c:\winxp\system32\drivers\NIS\1001000.021\BHDrvx86.sys [2009-03-17 255536]
R1 ccHP;Symantec Hash Provider;c:\winxp\system32\drivers\NIS\1001000.021\cchpx86.sys [2009-03-17 362544]
R1 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090310.003\IDSxpx86.sys [2009-03-17 276344]
R2 Norton Internet Security;Norton Internet Security;c:\programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe [2009-03-17 115560]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-03-16 101936]
S3 avmeject;AVM Eject;c:\winxp\system32\drivers\avmeject.sys [2008-09-05 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\winxp\system32\drivers\fwlanusb.sys [2008-09-05 265088]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - ATAPI
*NewlyCreated* - ERASERUTILREBOOTDRV
*NewlyCreated* - PCIIDE
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: {9CE98B9D-0707-42C6-B224-7F80CF2F4E43} = 192.168.2.1
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-18 00:14:50
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\programme\Norton Internet Security\Engine\16.1.0.33\diMaster.dll\" /prefetch:1"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1004)
c:\winxp\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-18  0:15:29
ComboFix-quarantined-files.txt  2009-03-17 19:45:27

Vor Suchlauf: 10 Verzeichnis(se), 154.862.149.632 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 154,928,533,504 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

174

a5cl3p1o5 17.03.2009 00:58
Lade bitte folgende zwei Dateien bei Virustotal hoch und lass sie analysieren.
Code:
c:\winxp\system32\dllcache\printfilterpipelinesvc.exe
c:\winxp\system32\drivers\SymIM.sys
Wenn keine Funde ausgegeben werden, dann bitte unter Start -> Ausführen -> "combofix /u" eingeben (ohne "") und ok klicken. Fertig!

Sollten Funde gemeldet werden, bitte das Ergebnis komplett posten. Werde sie mir dann morgen früh anschauen.

Grüße und gute Nacht
a5cl3p1o5

PeterLustig 17.03.2009 01:06
Hey,

hab beide Dateien hochgeladen.

Bei der printfilterpipelinesvc.exe wird nur bei McAfee-GW-Edition 6.7.6 folgendes anezeigt ----> Win32.LooksLike.Virut

Die restlichen Analysetools finden nichts.


Bei der SymIM.sys meint jede Analyse das sie sauber wär.

Grüße

PeterLustig 17.03.2009 02:32
Hab jetzt noch einen Scan bei http://virscan.org/ gemacht.

Code:
Datei InformationenDateiname :          printfilterpipelinesvc.exe
Größe :          597504 byte
Typ :          PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 :          9cac2bee7724fc829567400ee751856a
SHA1 :          69ededb886e6f0a9220f6463caf6c804f567e7ef

Scan ErgebnisScan Ergebnis :          Es wurde keine Infektion ermittelt!
Zeit :          2009/03/17 02:14:02 (CET)
Code:
Datei InformationenDateiname :          SymIM.sys
Größe :          35888 byte
Typ :          PE32 executable for MS Windows (native) Intel 80386 32-bit
MD5 :          e9abe92091b108aa5650c18c9fc77356
SHA1 :          0410c6cc72d2897dc2ed2dae31a639d2e89755d3

Scan ErgebnisScan Ergebnis :          Es wurde keine Infektion ermittelt!
Zeit :          2009/03/17 02:25:16 (CET)

schrauber 17.03.2009 06:35
Zitat:
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

j:\recycler\S-4-5-11-100017703-100031168-100022485-4446.com
j:\recycler\S-5-9-32-100020552-100031408-100014937-4527.com
j:\recycler\S-6-8-31-100003086-100005425-100013277-6189.com
j:\recycler\S-9-7-85-100007146-100020279-100004249-9610.com
J:\resycled
j:\resycled\boot.com
deswegen meine frage ob alle partitionen gelöscht wurden, aber das wort partitionen war schlecht gewählt :D

PeterLustig 17.03.2009 18:33
Yo :)

Na ja,jetzt noch gucken was der Meister dazu sagt.
Ich denke soweit ist alles gut :aplaus:

Das Einzige was mich noch ein wenig zum nachdenken bringt
ist das "Zweite Netzwerk" dass mir Norton anzeigt (Pic ist ein
paar posts zu vor zu finden)

Grüße

a5cl3p1o5 17.03.2009 18:43
also meine Meinung dazu ist ganz Bob Marley: don't worry, be happy :singsing:

Wenn Du über Lan ins Internet gehst und Deine Wlan-Karte nicht nutzt, dann deaktiviere sie.

Grüße
a5cl3p1o5

PeterLustig 17.03.2009 18:53
Erst einmal geht ein RIESEN DANKESCHÖN an ALLE die mir hier so gut geholfen haben.Besonders an dich a5cl3p1o5q :aplaus::aplaus:

Ich werde dieses Forum auf jeden Fall weiterempfehlen,ganz große Klasse.

Ich gehe über WLAN ins internet,habe jetzt im Gerätemanager unter
"Netzwerkadapter" folgendes deinstalliert -->"1394-Netzwerkadapter".
Ist nach nem Neustart aber wieder aktiv,hab den Adapter jetzt
deaktiviert,aber die Norton Meldung ist immer noch aktiv,aber ich denke
dass mich die nicht weiter stören sollte oder? *G*

Noch mal,besten Dank für eure Mühe Leute,einfach super.

Grüße

Angel21 17.03.2009 18:56
Bitteschön :)

PeterLustig 17.03.2009 19:06
Das deaktivieren des Netzwerkadapters hat doch was gebracht,die Noron Meldung ist nicht mehr aktiv.

Dass wars nun endgültig,Thread kann auf GELÖST gestellt werden.Besten Danke an alle :aplaus::aplaus:

Grüße


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:44 Uhr.
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19