|
HEUR/HTML.Malware Seit gestern, es hatte eine Freundin von mir nach Notebooks geschaut, erhalte ich alle 5sec. die Antivir Fehlermeldung über obige Signatur. Verdammt ärgerlich, es sind wichtige Daten meiner Firma auf dem Rechner, hoffentlich passiert damit nichts. Antivir läuft grad, und ich hab die Datei schon an Antivir geschickt. Gegooglet hab ich auch schon, wurde daraus aber nicht so recht schlau, und vor allem, das Problem besteht ja weiterhin. Echt nervig, die permanenten Warnmeldungen. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:46:17, on 17.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16915) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe c:\APPS\HIDSERVICE\HIDSERVICE.exe C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Apps\Softex\OmniPass\Omniserv.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\system32\svchost.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Apps\Softex\OmniPass\OPXPApp.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe C:\Programme\ArcorOnline\AOButler.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\Office12\WINWORD.EXE C:\Programme\Microsoft\Office Live\OfficeLiveSignIn.exe c:\programme\avira\antivir desktop\avcenter.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1351351 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.focus.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.focus.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.focus.de R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\RunOnce: [ICQ6setup] cmd.exe /c rmdir /S /Q "C:\Programme\ICQ6.5" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [VeohPlugin] "C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe O4 - Global Startup: VPN Client.lnk = ? O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{5000C342-D8AD-4BD2-AE71-0FD59B2AE313}: NameServer = 195.50.140.114 195.50.140.252 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 9562 bytes Hoffe, Ihr könnt mir helfen, kann am PC nicht mehr arbeiten, sobald er online ist. |
Hi, das HJ-Log gibt nicht allzuviel her, daher: Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1351351Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Chris |
Habe ich Dich richtig verstanden? Scannen, dann R0 .... und R3 markieren.... fixed check. Neustart. |
Dies auch durchführen? Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. |
Hi, ja, nur die zwei markieren, fix drücken und das wars.... Code: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustartenWo findet Avira den Schädling...? chris |
Im Systemcheck findet Avira nix. Der Guard findet die Warnung unter: D:\Dokumente und Einstellungen\Anwendungsdaten\Moziall\Firefox\Profiles\jfd9qyfn.default\sessionstore-1.js Das alles puuh, keine Ahnunh von der Materie, aber ich folge den Anweisungen. |
GMER 1.0.15.15227 - http://www.gmer.net Rootkit scan 2009-11-17 21:50:52 Windows 5.1.2600 Service Pack 3 Running: xju3b5rw.exe; Driver: D:\DOKUME~1\Godrik\LOKALE~1\Temp\pxldapod.sys ---- System - GMER 1.0.15 ---- SSDT BA7EFEEE ZwCreateKey SSDT BA7EFEE4 ZwCreateThread SSDT BA7EFEF3 ZwDeleteKey SSDT BA7EFEFD ZwDeleteValueKey SSDT spdp.sys ZwEnumerateKey [0xB9EC8CA2] SSDT spdp.sys ZwEnumerateValueKey [0xB9EC9030] SSDT BA7EFF02 ZwLoadKey SSDT spdp.sys ZwOpenKey [0xB9EAB0C0] SSDT BA7EFED0 ZwOpenProcess SSDT BA7EFED5 ZwOpenThread SSDT spdp.sys ZwQueryKey [0xB9EC9108] SSDT spdp.sys ZwQueryValueKey [0xB9EC8F88] SSDT BA7EFF0C ZwReplaceKey SSDT BA7EFF07 ZwRestoreKey SSDT BA7EFEF8 ZwSetValueKey SSDT BA7EFEDF ZwTerminateProcess INT 0x62 ? 8A5CFBF8 INT 0x73 ? 8A25DF00 INT 0x73 ? 8A25DF00 INT 0x82 ? 8A5CFBF8 INT 0x83 ? 8A25DF00 INT 0xA4 ? 8A25DF00 INT 0xB4 ? 8A25DF00 ---- Kernel code sections - GMER 1.0.15 ---- ? spdp.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload B8DEB8AC 5 Bytes JMP 8A25D4E0 ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EAC040] spdp.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EAC13C] spdp.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EAC0BE] spdp.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EAC7FC] spdp.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EAC6D2] spdp.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EBBD92] spdp.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8A54C1F8 Device \FileSystem\Fastfat \FatCdrom 8A282500 Device \FileSystem\Udfs \UdfsCdRom 8A3FB1F8 Device \FileSystem\Udfs \UdfsDisk 8A3FB1F8 Device \Driver\usbuhci \Device\USBPDO-0 8A240500 Device \Driver\usbuhci \Device\USBPDO-1 8A240500 Device \Driver\usbuhci \Device\USBPDO-2 8A240500 Device \Driver\usbuhci \Device\USBPDO-3 8A240500 Device \Driver\usbehci \Device\USBPDO-4 8A244500 AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation) Device \Driver\Ftdisk \Device\HarddiskVolume1 8A5D01F8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8A5D01F8 Device \Driver\Cdrom \Device\CdRom0 8A209500 Device \Driver\Ftdisk \Device\HarddiskVolume3 8A5D01F8 Device \Driver\Cdrom \Device\CdRom1 8A209500 Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort0 [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort1 [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\USBSTOR \Device\000000a6 8A37B500 Device \Driver\USBSTOR \Device\000000a8 8A37B500 Device \Driver\USBSTOR \Device\000000a9 8A37B500 Device \Driver\NetBT \Device\NetBt_Wins_Export 8A418500 Device \Driver\NetBT \Device\NetbiosSmb 8A418500 Device \Driver\USBSTOR \Device\000000ab 8A37B500 Device \Driver\usbuhci \Device\USBFDO-0 8A240500 Device \Driver\usbuhci \Device\USBFDO-1 8A240500 Device \Driver\NetBT \Device\NetBT_Tcpip_{F84CEDA2-7822-4274-9486-5B6F559FC1F8} 8A418500 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A3981F8 Device \Driver\usbuhci \Device\USBFDO-2 8A240500 Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A3981F8 Device \Driver\usbuhci \Device\USBFDO-3 8A240500 Device \Driver\usbehci \Device\USBFDO-4 8A244500 Device \Driver\Ftdisk \Device\FtControl 8A5D01F8 Device \FileSystem\Fastfat \Fat 8A282500 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 ---- EOF - GMER 1.0.15 ---- |
RSIT Log ist zu lang, hat über 36000 Zeichen. Was nun damit? |
Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3189 Windows 5.1.2600 Service Pack 3 17.11.2009 23:25:59 mbam-log-2009-11-17 (23-25-59).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 264482 Laufzeit: 52 minute(s), 39 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Hi, poste bitte das RSIT log wie folgt: Fileuplod: http://www.file-upload.net/, Logfile hochladen und den Link (mit Löschlink) als "PrivateMail" an mich... So, es hat sich was in die atapi.sys eingehängt, das müssen wir prüfen: Bitte die atapi.sys suchen, bei einer normalen Installation ist sie wie folgt zu finden: Code: c:\windows\system32\drivers\atapi.sysDateien Online überprüfen lassen:
Code: c:\windows\system32\drivers\atapi.sys
Bei der von Avira angemoserten Datei handelt es sich um javascript, daher: Firefox: Arbeite alles was unter dem Link angegeben ist ab und berichte dann im Thread! Erstmal keine PlugIns installieren und das gemachte Backup von Firefox nicht einspielen. http://www.trojaner-board.de/411645-post19.html Bitte dann das NoScript-Plugin installieren: http://filepony.de/download-noscript/ chris |
Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.18 - AhnLab-V3 5.0.0.2 2009.11.17 - AntiVir 7.9.1.70 2009.11.18 - Antiy-AVL 2.0.3.7 2009.11.18 - Authentium 5.2.0.5 2009.11.18 - Avast 4.8.1351.0 2009.11.18 - AVG 8.5.0.425 2009.11.18 - BitDefender 7.2 2009.11.18 - CAT-QuickHeal 10.00 2009.11.17 - ClamAV 0.94.1 2009.11.18 - Comodo 2972 2009.11.18 - DrWeb 5.0.0.12182 2009.11.18 - eSafe 7.0.17.0 2009.11.17 Win32.Rootkit eTrust-Vet 35.1.7127 2009.11.18 - F-Prot 4.5.1.85 2009.11.17 - F-Secure 9.0.15370.0 2009.11.17 - Fortinet 3.120.0.0 2009.11.18 - GData 19 2009.11.18 - Ikarus T3.1.1.74.0 2009.11.18 - Jiangmin 11.0.800 2009.11.18 - K7AntiVirus 7.10.898 2009.11.17 - Kaspersky 7.0.0.125 2009.11.18 - McAfee 5805 2009.11.17 - McAfee+Artemis 5805 2009.11.17 - McAfee-GW-Edition 6.8.5 2009.11.18 Heuristic.BehavesLike.Win32.Rootkit.H Microsoft 1.5202 2009.11.18 - NOD32 4617 2009.11.18 - Norman 6.03.02 2009.11.18 - nProtect 2009.1.8.0 2009.11.18 - Panda 10.0.2.2 2009.11.17 - PCTools 7.0.3.5 2009.11.18 - Prevx 3.0 2009.11.18 - Rising 22.22.02.07 2009.11.18 - Sophos 4.47.0 2009.11.18 - Sunbelt 3.2.1858.2 2009.11.17 - Symantec 1.4.4.12 2009.11.18 - TheHacker 6.5.0.2.072 2009.11.18 - TrendMicro 9.0.0.1003 2009.11.18 - VBA32 3.12.12.0 2009.11.18 - ViRobot 2009.11.18.2043 2009.11.18 - VirusBuster 5.0.21.0 2009.11.17 - weitere Informationen File size: 96512 bytes MD5...: 9f3a2f5aa6875c72bf062c712cfa2674 SHA1..: a719156e8ad67456556a02c34e762944234e7a44 SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9 ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x159f7 timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008) machinetype.......: 0x14c (I386) ( 9 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7 NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29 .rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708 .data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834 PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9 PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863 INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3 .rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab .reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45 ( 3 imports ) > ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress > HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR > WMILIB.SYS: WmiSystemControl, WmiCompleteRequest ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: IDE/ATAPI Port Driver original name: atapi.sys internal name: atapi.sys file version.: 5.1.2600.5512 (xpsp.080413-2108) comments.....: n/a signers......: - signing date.: - verified.....: Unsigned packers (Kaspersky): PE_Patch ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet. |
Meine Herren, ist das viel. Blick da kaum noch durch. Dennoch tausend Dank für die Hilfe Chris. Was Du unten geschrieben hast, "Bei der von Avira angemoserten Datei handelt es sich um javascript, daher: Firefox: Arbeite alles was unter dem Link angegeben ist ab und berichte dann im Thread! Erstmal keine PlugIns installieren und das gemachte Backup von Firefox nicht einspielen. http://www.trojaner-board.de/411645-post19.html", bzieht sich das auf Mozbackup und Regseeker, also den eine Zeile drüber befindlichen Link. Sorry, will nichts falsch machen. Systemdateien versteckt ich mal wieder, ne? |
Hi, Du kannst die Einstellungen für den Explorer wieder zurückdrehen (ausblenden ovn Systemdateien etc.). Nicht über die Systemwiederherstellungen gehen, sondern da, wo Du sie geändert hast (Systemeinstellungen s. u.) Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico
Der atapi.sys müssen wir noch mal auf den Zahn fühlen: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris |
Datei Icon3E5562ED7.ico empfangen 2009.11.18 12:55:34 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 40 und 57 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.18 - AhnLab-V3 5.0.0.2 2009.11.17 - AntiVir 7.9.1.70 2009.11.18 - Antiy-AVL 2.0.3.7 2009.11.18 - Authentium 5.2.0.5 2009.11.18 - Avast 4.8.1351.0 2009.11.18 - AVG 8.5.0.425 2009.11.18 - BitDefender 7.2 2009.11.18 - CAT-QuickHeal 10.00 2009.11.17 - ClamAV 0.94.1 2009.11.18 - Comodo 2977 2009.11.18 - DrWeb 5.0.0.12182 2009.11.18 - eSafe 7.0.17.0 2009.11.18 - eTrust-Vet 35.1.7127 2009.11.18 - F-Prot 4.5.1.85 2009.11.17 - F-Secure 9.0.15370.0 2009.11.17 - Fortinet 3.120.0.0 2009.11.18 - GData 19 2009.11.18 - Ikarus T3.1.1.74.0 2009.11.18 - Jiangmin 11.0.800 2009.11.18 - K7AntiVirus 7.10.898 2009.11.17 - Kaspersky 7.0.0.125 2009.11.18 - McAfee 5805 2009.11.17 - McAfee+Artemis 5805 2009.11.17 - McAfee-GW-Edition 6.8.5 2009.11.18 - Microsoft 1.5202 2009.11.18 - NOD32 4617 2009.11.18 - Norman 6.03.02 2009.11.18 - nProtect 2009.1.8.0 2009.11.18 - Panda 10.0.2.2 2009.11.17 - PCTools 7.0.3.5 2009.11.18 - Prevx 3.0 2009.11.18 - Rising 22.22.02.08 2009.11.18 - Sophos 4.47.0 2009.11.18 - Sunbelt 3.2.1858.2 2009.11.17 - Symantec 1.4.4.12 2009.11.18 - TheHacker 6.5.0.2.072 2009.11.18 - TrendMicro 9.0.0.1003 2009.11.18 - VBA32 3.12.12.0 2009.11.18 - ViRobot 2009.11.18.2043 2009.11.18 - VirusBuster 5.0.21.0 2009.11.17 - weitere Informationen File size: 6144 bytes MD5...: 85ab6c3089bee58999b434e114e8a64c SHA1..: f480a5c7f587edcc3bfc86524dbab551d50306f6 SHA256: 7a1b4cbb5559e30fe23d3815b82079e237f58813ee7eeddc98c663c0149cb8bb ssdeep: 48:6QacmvI2pK4xVR6sEZhcswU78xuabGcwU78xuabGk:8Q2U4xKFhx8xLqC8xLq k PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1000 timedatestamp.....: 0x33fdb6ae (Fri Aug 22 15:56:30 1997) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5 0x200 0.08 5e3004258b537e9a4d9e5dc688181906 .rdata 0x2000 0x35 0x200 0.47 1a9eeeda4bd420676a74ba7e077a88fb .rsrc 0x3000 0xd24 0xe00 3.59 8fb56e64407379ebe861ef7dd74106ce .reloc 0x4000 0xc 0x200 0.02 2c38765194d27b75f56d0565088a53ee ( 0 imports ) ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable MS Visual C++ 4.x (95.6%) Win16/32 Executable Delphi generic (1.4%) Generic Win/DOS Executable (1.4%) DOS Executable Generic (1.4%) VXD Driver (0.0%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned |
Datei fssfltr_tdi.sys empfangen 2009.11.18 13:04:56 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 8. Geschätzte Startzeit ist zwischen 110 und 157 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.18 - AhnLab-V3 5.0.0.2 2009.11.17 - AntiVir 7.9.1.70 2009.11.18 - Antiy-AVL 2.0.3.7 2009.11.18 - Authentium 5.2.0.5 2009.11.18 - Avast 4.8.1351.0 2009.11.18 - AVG 8.5.0.425 2009.11.18 - BitDefender 7.2 2009.11.18 - CAT-QuickHeal 10.00 2009.11.17 - ClamAV 0.94.1 2009.11.18 - Comodo 2977 2009.11.18 - DrWeb 5.0.0.12182 2009.11.18 - eSafe 7.0.17.0 2009.11.18 - eTrust-Vet 35.1.7127 2009.11.18 - F-Prot 4.5.1.85 2009.11.17 - F-Secure 9.0.15370.0 2009.11.17 - Fortinet 3.120.0.0 2009.11.18 - GData 19 2009.11.18 - Ikarus T3.1.1.74.0 2009.11.18 - Jiangmin 11.0.800 2009.11.18 - K7AntiVirus 7.10.898 2009.11.17 - Kaspersky 7.0.0.125 2009.11.18 - McAfee 5805 2009.11.17 - McAfee+Artemis 5805 2009.11.17 - McAfee-GW-Edition 6.8.5 2009.11.18 - Microsoft 1.5202 2009.11.18 - NOD32 4617 2009.11.18 - Norman 6.03.02 2009.11.18 - nProtect 2009.1.8.0 2009.11.18 - Panda 10.0.2.2 2009.11.17 - PCTools 7.0.3.5 2009.11.18 - Prevx 3.0 2009.11.18 - Rising 22.22.02.08 2009.11.18 - Sophos 4.47.0 2009.11.18 - Sunbelt 3.2.1858.2 2009.11.17 - Symantec 1.4.4.12 2009.11.18 - TheHacker 6.5.0.2.072 2009.11.18 - TrendMicro 9.0.0.1003 2009.11.18 - VBA32 3.12.12.0 2009.11.18 - ViRobot 2009.11.18.2043 2009.11.18 - VirusBuster 5.0.21.0 2009.11.17 - weitere Informationen File size: 55152 bytes MD5...: 960f5e5e4e1f720465311ac68a99c2df SHA1..: ba51b9a230e21f4c2cfa84b7ba02b7f4cb3f6c10 SHA256: f52e2fb00ca71bb414d97e16be7a65e90e813d73ea0d303dc9af93bfef9f8ade ssdeep: 768:7iHp1w39JVAaC1H9xllMGCaaakgTc+f1OwAFFyYPcXOtsqsj/c/iR1jIte:7 iJwJJC1TiyktGzR1Ete PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x9771 timedatestamp.....: 0x498ce6d9 (Sat Feb 07 01:41:45 2009) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x480 0x5b29 0x5b80 6.51 b4f32d1ae46ab4d378c2a9cfee6e8131 .rdata 0x6000 0xa4d 0xa80 4.78 d5d8209d95329664d252f20353b12b5c .data 0x6a80 0x670 0x680 0.81 e433486359db396673d38c0fab01ce11 PAGE 0x7100 0x245a 0x2480 6.37 7582a460e28b4605c52202b88a09a721 INIT 0x9580 0x13e4 0x1400 6.23 7db9c10176363063c39bedd226c41561 .rsrc 0xa980 0x918 0x980 5.97 945ed6f7dca17932006587435d7072b1 .reloc 0xb300 0x88a 0x900 6.16 3ef017f43b85a37b21dd8a8591fa9da5 ( 4 imports ) > ntoskrnl.exe: MmMapLockedPagesSpecifyCache, IoCsqRemoveNextIrp, IoSetCompletionRoutineEx, MmBuildMdlForNonPagedPool, IoAllocateMdl, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, RtlCompareMemory, RtlInitString, IoFreeMdl, ObfDereferenceObject, IoDeleteDevice, IoDetachDevice, InterlockedPopEntrySList, InterlockedPushEntrySList, ObReferenceObjectByHandle, IoFileObjectType, IoAttachDeviceToDeviceStackSafe, IoGetDeviceObjectPointer, RtlInitUnicodeString, IoCsqInsertIrp, KeTickCount, KeBugCheckEx, IofCallDriver, IoGetRequestorProcessId, SeQueryInformationToken, memcpy, RtlLengthSid, RtlInitializeGenericTableAvl, ExFreePoolWithTag, ExAllocatePoolWithTag, RtlLookupElementGenericTableAvl, IofCompleteRequest, KeSetTimer, KeCancelTimer, KeInsertQueueDpc, KeInitializeTimer, KeInitializeDpc, IoDeleteSymbolicLink, IoWMIRegistrationControl, RtlValidSid, IoCreateSymbolicLink, RtlCopyUnicodeString, IoWMIWriteEvent, MmGetSystemRoutineAddress, IoCsqInitialize, ExAllocatePool, RtlDeleteElementGenericTableAvl, RtlLookupElementGenericTableFullAvl, RtlInsertElementGenericTableFullAvl, memset, IoCreateDevice, ZwClose, ZwSetSecurityObject, ObOpenObjectByPointer, IoDeviceObjectType, RtlGetDaclSecurityDescriptor, RtlGetSaclSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, _snwprintf, RtlLengthSecurityDescriptor, SeCaptureSecurityDescriptor, SeExports, IoIsWdmVersionAvailable, _wcsnicmp, RtlAddAccessAllowedAce, wcschr, RtlAbsoluteToSelfRelativeSD, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, ZwOpenKey, ZwCreateKey, ZwQueryValueKey, ZwSetValueKey, RtlFreeUnicodeString > HAL.dll: KeAcquireInStackQueuedSpinLock, KfReleaseSpinLock, KfAcquireSpinLock, KeReleaseInStackQueuedSpinLock > TDI.SYS: TdiMapUserRequest, TdiDefaultChainedRcvExpeditedHandler, TdiDefaultChainedReceiveHandler, TdiDefaultRcvExpeditedHandler, TdiDefaultReceiveHandler > WMILIB.SYS: WmiCompleteRequest, WmiSystemControl ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (51.1%) Win16/32 Executable Delphi generic (12.4%) Clipper DOS Executable (12.1%) Generic Win/DOS Executable (12.0%) DOS Executable Generic (12.0%) sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Family Safety Filter Driver (TDI) description..: Family Safety Filter Driver (TDI) original name: fssfltr_tdi.sys internal name: fssfltr_tdi.sys file version.: 14.0.8064.0206 comments.....: n/a signers......: Microsoft Corporation Microsoft Code Signing PCA Microsoft Root Authority signing date.: 3:08 AM 2/7/2009 verified.....: - |
Datei NSynas32.sys empfangen 2009.11.18 13:08:15 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/40 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit ist zwischen 60 und 85 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.18 - AhnLab-V3 5.0.0.2 2009.11.17 - AntiVir 7.9.1.70 2009.11.18 - Antiy-AVL 2.0.3.7 2009.11.18 - Authentium 5.2.0.5 2009.11.18 - Avast 4.8.1351.0 2009.11.18 - AVG 8.5.0.425 2009.11.18 - BitDefender 7.2 2009.11.18 - CAT-QuickHeal 10.00 2009.11.17 - ClamAV 0.94.1 2009.11.18 - Comodo 2977 2009.11.18 - DrWeb 5.0.0.12182 2009.11.18 - eSafe 7.0.17.0 2009.11.18 - eTrust-Vet 35.1.7127 2009.11.18 - F-Prot 4.5.1.85 2009.11.17 - Fortinet 3.120.0.0 2009.11.18 - GData 19 2009.11.18 - Ikarus T3.1.1.74.0 2009.11.18 - Jiangmin 11.0.800 2009.11.18 - K7AntiVirus 7.10.898 2009.11.17 - Kaspersky 7.0.0.125 2009.11.18 - McAfee 5805 2009.11.17 - McAfee+Artemis 5805 2009.11.17 - McAfee-GW-Edition 6.8.5 2009.11.18 - Microsoft 1.5202 2009.11.18 - NOD32 4617 2009.11.18 - Norman 6.03.02 2009.11.18 - nProtect 2009.1.8.0 2009.11.18 - Panda 10.0.2.2 2009.11.17 - PCTools 7.0.3.5 2009.11.18 - Prevx 3.0 2009.11.18 - Rising 22.22.02.08 2009.11.18 - Sophos 4.47.0 2009.11.18 - Sunbelt 3.2.1858.2 2009.11.17 - Symantec 1.4.4.12 2009.11.18 - TheHacker 6.5.0.2.072 2009.11.18 - TrendMicro 9.0.0.1003 2009.11.18 - VBA32 3.12.12.0 2009.11.18 - ViRobot 2009.11.18.2043 2009.11.18 - VirusBuster 5.0.21.0 2009.11.17 - weitere Informationen File size: 17784 bytes MD5...: 4b4a21e158c039ee0888741bfe1d24e0 SHA1..: c58404c9c59d851c1239aff58f45a70f952e8abe SHA256: de63faf5c28e0a29dcdedee2cab9c0f300977fc7c1bbe7d4491d843a00369a74 ssdeep: 384:xvucB54L1lbL4GZ7f1bjjmXnyn6zfXX/vrr04oO57DU1avA5LD5iXEUC1h/l dn34:4cj4rLvlac1avA5LD5iXEUC1h/b34 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x15a0 timedatestamp.....: 0x3ad17afc (Mon Apr 09 09:03:56 2001) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x280 0x115e 0x1160 6.39 838ec353855f28a91d759ddd62ec75d8 .data 0x13e0 0x1bc 0x1c0 0.20 f5e562aa07644f6efd8716c385bfb1e4 INIT 0x15a0 0x6f4 0x700 6.06 68e10a7c840d9cd22849fa403b180ab2 .rsrc 0x1ca0 0x460 0x460 3.31 eda25c9b540e4edb208a7f4d037816c0 .reloc 0x2100 0x1a0 0x1a0 5.59 47e8d2faaf504e5a281f61fc8aeb8fff ( 2 imports ) > ntoskrnl.exe: RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ExFreePool, ObfDereferenceObject, IoGetDeviceObjectPointer, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, RtlInitUnicodeString, ExAllocatePoolWithTag, KeInitializeSemaphore, IoDeleteSymbolicLink, IoCancelIrp, ZwClose, ObReferenceObjectByHandle, PsCreateSystemThread, KeSetEvent, PsTerminateSystemThread, KeClearEvent, IoDeleteDevice, IoCreateDevice, IoCreateSymbolicLink, IofCompleteRequest, IoGetConfigurationInformation, KeReleaseSemaphore > HAL.dll: READ_PORT_UCHAR, KeStallExecutionProcessor, KfRaiseIrql, KfLowerIrql, WRITE_PORT_UCHAR ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: publisher....: Syncrosoft Hard- und Software GmbH copyright....: (c) Syncrosoft Hard- und Software GmbH 1999 product......: Internet Protection Hardware Driver description..: Internet Protection Hardware Driver original name: NSynas32.sys internal name: NSynas32.sys file version.: 1.108 comments.....: signers......: - signing date.: - verified.....: Unsigned |
D:\Dokumente und Einstellungen\Godrik\Lokale Einstellungen\Temp\~os1F.tmp\ossproxy.exe Konnte ich nicht finden!!! |
Hi, okay, mach bitte mit ComboFix weiter... Daran denken, solange er läuft nichts am Rechner machen! Dann ist mir noch aufgefallen, dass auf dem Rechner jede Menge Filesharing-SW läuft... die ist auch ein Einfallstor für kleine Tierchen... chris |
Danke für Deine Rückmeldung und Mühen. Was machen wir mit der Datei, die ich nicht finden konnte? Was ist mit dem MozBackUp. was Du gelinkt hattest? (noch notwendig?) Combofix, geht erst heut abend, muss am PC arbeiten, wenn er da stundenlang rödelt, kann ich nicht arbeiten. Blöd, aber dann müssen wir halt bis heut abend warten. Vielen lieben Dank soweit. |
Hi, die lassen wir erst mal aussen vor (die nicht auffindbare Datei). Firefox würde ich neu installieren und wie in dem Thread beschrieben vorgehen... Auf jeden Fall auch noch im neuen Firefox den Scriptblocker installieren... Chris |
So Combofix Ergebnis ging an Dich raus, Chris. |
Hi, bitte prüfe ob es folgendes Verzeichnis gibt und darin die Datei atapi.sys enthalten ist: c:\windows\ServicePackFiles\i386\ Dann probieren wir mal was aus... chris |
Gibt es! Hab aber mittlerweile keine Probelem mehr. Weiß nur nicht, ob des im Hintergrund doch noch mitläuft. Was haben summa summarum alle Scans und Logs gebracht? |
Hi, bitte deinstalliere mal die Daemon-Tools und führe das hier aus (http://www.disk-tools.com/request?p=80b86dd054c875f8c02c9bacdfa98eac/SPTDinst-v162-x86.exe) mit der Option der Deinstallation... Dann bitte ein neues GMER-Log posten.... chris |
WAs sind denn die Daemontools? |
Mit dem Link erreiche ich nichts. Wird nix angezeigt. :( |
Hi, gut das der Rechner keine Symptome mehr zeigt, will allerdings noch was nachprüfen, daher... (ja der Link tut nicht mehr, mein Fehler....) Daemontools ist eine "Emulierungs-SW" für CD/DVD/BlueRay-Laufwerk, sozusagen kopierst Du Deine DVD in ein "virutelles" Laufwerk und brauchst sie danach nichtmehr einlegen... Wird gerne bei Computerspielen benutzt .... Das verursacht ähnliche Einträge bei GMER wie ein Rootkit, daher solltest Du es über Start->Einstellungen->Systemsteuerung dort Software und dann in der Liste die Daemon-Tools selektieren und deinstallieren lassen (Löschen auswählen). Es bleiben dann allerdings noch Reste die über das Programm was ich verlinkt hatte gelöscht werden sollten... http://www.duplexsecure.com/download/SPTDinst-v162-x86.exe Dann die Option "deinstallieren" auswählen... Danach ein neues GMER-Log posten... chris |
Hm, unter Deamon Tools findet sich nix in meiner Softwareliste. |
Hi, dann jage mal die SW (s. Link) mit der unistalloptin drüber... Bin jetzt wech... Wochenende ich komme.... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board