|
WinXP Trojaner befall, Bluescreen beim Booten im Normalen, sowie abgesicherten Modus Hallo Zusammen, In der hoffnung hier geholfen zu werden komme ich gleich zur Sache. Der Thread wird wohl etwas länger und es ist ein weiter weg an die Zeichengrenze:rolleyes: Vor ein Paar Tagen verweigerte meine Betriebssystem den Dienst in Form einen blauen Bildschirms als ich mit dem Klick auf einen Torrent Link meinen Filesharer öffnete. Fehlermeldung: IRQL_NOT_LESS_OR_EQUAL Stop: 0x0000000A (0x00000000, 0x0000001c, 0x00000001, 0x804E1BF8) Beim sofort einsetzenden Neustart dasselbe Ergebniss kurz nach Auftauchen des XP Bootlogos und den versuch im abgesicherten Modus zu starten Beantwortete der recner mit einem Schwarzen Bildschirm nach dem POSTauf den auch ein direkter Neustart folgte. Letzte funktionierende Konfiguration blieb wirkungslos und der Rechner daraufhin 2 Tage aus. Nachforschung ergab Symptome eines Treiber- oder Hardwarkonfliktes der am Frontsidebus beteiligten Bauteile (Qelle: h**p://support.microsoft.com/kb/314063/de Als ich mich wieder mit dem Rechner beschäftigen konnte Probierte ich das System über die Windows CD zu reparieren, aber keins meiner beiden Laufwerke nahm sie an... also blieb mir nix anderes als die liste der Systemstart Alternativen durchzugehen und siehe da im sogenannten Debugmodus fährt der Rechner Problemlos hoch... habe ihn bis dahin nicht ausprobiert weil ich der meinung war und bin gelesen zu haben das der nur zur Behebung von Client<->Server Probleme sein soll um über eine serielle Schnittstelle Debuginformationen zu Sammeln. Zurück zum Desktop... einen Sauberen Neustart sowie 2 Systemwiederherstellungspunkte ausprobiert und die Systemdateien mit sfc /scanow gescannt und ersetzt... erfolglos im normalen wie im abgesicherten Modus kein erfolgreicher Boot... Hardware durchgecheckt (Speicherbelastungstest, Steckverbidungen, etc.) das gleiche Spiel. Als ich anfing das System zu entrümpeln um die Sicherung der Daten vorzubereiten meldete der AV Guard den Fund eines TR/Dldr.Agent.691586 [trojan] In der Datei 'C:\Dokumente und Einstellungen\S***r\Lokale Einstellungen\Temp\service.tmp -> Quanrantäne 1 min Später: TR/PCK.Tdss.Z.3376' [trojan]In der Datei C:\Dokumente und Einstellungen\S***r\Lokale Einstellungen\Temp\spool.tmp -> Quarantäne Beim Durchlaufen von Spybot SD dann diesen dreimal vom AV Guard TR/PCK.Tdss.Z.3391 In der Datei C:\WINDOWS\Temp\15.tmp-> zugriff verweigert Ich lies dann nachdem ich auf der Avira seite keine informationen zu den eindringlingen finden konnte den Filewalker garnicht mehr drüberlaufe lassen sondern lieber damit angefangen das System auf eure Analyse vorzubereitet. Crapcleaner durchgelaufen ...Logfile kam wohl keins raus ...wenn nicht steckts bestimmt noch drinn aber ich wüsste nicht wo :confused: Bei der anschliessenden Prüfung von mbam Förderte der Av Guard wieder 3x den selben wie oben bereits aufgeführt zu Tage TR/PCK.Tdss.Z.3391 In der Datei C:\WINDOWS\Temp\15.tmp-> zugriff verweigert und einmal den hier zum ersten mal nicht in einem tmp Ordner: TR/PCK.Tdss.Z.3376 In der Datei C:\WINDOWS\system32\spool\prtprocs\w32x86\14.tmp-> zugriff verweigert Malwarebytes Log: Code: Malwarebytes' Anti-Malware 1.41 |
Info.TXT Part 1 Code: info.txt logfile of random's system information tool 1.06 2009-11-03 06:14:55 |
info.txt Part 2 Code: ======Hosts File====== |
log.txt Part 1 Code: Logfile of random's system information tool 1.06 (written by random/random) |
log.txt Part 2 Code: |
log.txt Part 3 Code: ======List of files/folders modified in the last 1 months====== |
Super man kann die Dateien auch anhängen:applaus: Also das ganze stückgut von unten hier nochmal zusammengefasst! PS: ACHTUNG ... das ganze wurde erstellt während System wie gesagt im Debugmodus rennt ... aber irgendwas scheint da auch so nicht sauber gelaufen zu sein ich glaube ich sollte das nochmal mit deaktiviertem guard probieren... was meint ihr? |
IRQL_NOT_LESS_OR_EQUAL hat man nur bei Hardwareänderungen. Bei Dir hat der Virenmüll irgendwelche Treiber belegt - Panne! Nennt sich wohl Rootkit! In Deinem Fall war ein besonders intelligentes Scriptkiddie am Werk. Neuinstallation und mal überlegen ob man als Administrator, hey Du hast es ja nicht mal mit Frickelfox versucht, Glückwunsch, ins Internet sollte. Und nein, Du brauchst keinen Frickelfox-, Opera-, Konquerer - Schwachsinn, IE ist the Best. I love my IE 8. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board