ungewollt öffnen sich Internetseiten

#0
17.04.2010, 21:35
Member

Beiträge: 3716
#16 morgen gehts weiter.
Seitenanfang Seitenende
18.04.2010, 11:15
Member

Beiträge: 3716
#17 hi,
1. hast du absichtlich hide my ip instaliert?
2.
www.virustotal.com
dort folgende dateien prüfen, ergebniss posten.
i:\windows\exepass.exe
d:\programme\aborange crypter\aborangecrypter.exe
i:\windows\system32\hcwmv32.dll
i:\windows\system32\nvuclock.exe
falls dateien bereits analysiert, klicke erneut prüfen
Seitenanfang Seitenende
18.04.2010, 13:18
Member

Beiträge: 17
#18 Hide-My-IP höre ich gerade zum ersten Mal. - Insofern: Nein, ist keine Absicht. (Ist das nicht eventuell ein "Zusatzfeature" eines der Malware Finder? Prevx hat ja so ein "SafeOnline" Feature: http://www.prevx.com/safeonline.asp)
Wo hast du den Eintrag denn gefunden?

Ergebnisse:

exepass.exe (5 Funde)
http://www.virustotal.com/de/analisis/382602ef2af76c6b55190c7ad872e0b95ec32f98deab4f22d9d661dc96613910-1271588658

Könnte man da nicht eine Original "exepass.exe" scannen lassen zum Vergleich?
Ich find die nur leider nicht auf der Windows 7 DVD. :-/

AborangeCrypter (1 Fund: PUA.Packed.ASPack) (ist eigentlich noch nie auffällig geworden)
http://www.virustotal.com/de/analisis/5b3f60a7ed1ded7aabad09fc2bd0c1333c10de29631736482cd86245a5ecaba1-1271589082

hcwmv32.dll (keine Funde)
http://www.virustotal.com/de/analisis/eec03a3f50363119793d363b75b89a717f57adf02bf9d2bc0853f2e6d81561bf-1271589192

nvuclock.exe (keine Funde)
http://www.virustotal.com/de/analisis/6c4ad80ae3347b1baba1d0b73808b4456c77dcdffda10d51675aff02ed14abd0-1271589273
Seitenanfang Seitenende
18.04.2010, 13:32
Member

Beiträge: 3716
#19 nene gehört nicht zu prevx. aber schön das du dich über die programme, die wir nutzen informierst.
das safe online ist ganz nützlich, wenn man online banking etc betreibt, da es den online verkehr überwacht. falls dus nutzen willst, es gibt eine kostenlose version, wenn man bei facebook angemeldet ist.
wie kommst du darauf das exepass.exe
zu win gehört?
kannst du die mal bei
www.file-upload.net
hochladen und mir den download link via persönlicher nachicht schicken?
Seitenanfang Seitenende
18.04.2010, 14:05
Member

Beiträge: 3716
#20 ok sieht ok aus.
bitte mal kaspersky tdss killer nutzen.
log posten

hide my ip ist nicht auf deinem pc, hab da was vertauscht.
Seitenanfang Seitenende
18.04.2010, 14:15
Member

Beiträge: 17
#21

Edit: Habs nochmal ausgeführt mit den Befehlsparametern "-l log.txt -v"

Code

14:14:48:766 3780    TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
14:14:48:766 3780    ================================================================================
14:14:48:766 3780    SystemInfo:

14:14:48:766 3780    OS Version: 6.1.7600 ServicePack: 0.0
14:14:48:766 3780    Product type: Workstation
14:14:48:766 3780    ComputerName: E8400
14:14:48:767 3780    UserName: Sebastian
14:14:48:767 3780    Windows directory: I:\Windows
14:14:48:767 3780    Processor architecture: Intel x86
14:14:48:767 3780    Number of processors: 2
14:14:48:767 3780    Page size: 0x1000
14:14:48:767 3780    Boot type: Normal boot
14:14:48:767 3780    ================================================================================
14:14:48:769 3780    UnloadDriverW: NtUnloadDriver error 1
14:14:48:769 3780    ForceUnloadDriverW: UnloadDriverW(klmd21) error 1
14:14:48:777 3780    LoadDriverW: Driver already loaded
14:14:48:777 3780    wfopen_ex: Trying to open file I:\Windows\system32\config\system
14:14:48:777 3780    wfopen_ex: MyNtCreateFileW error 32 (C0000043)
14:14:48:777 3780    wfopen_ex: Trying to KLMD file open
14:14:48:777 3780    wfopen_ex: File opened ok (Flags 2)
14:14:48:777 3780    wfopen_ex: Trying to open file I:\Windows\system32\config\software
14:14:48:777 3780    wfopen_ex: MyNtCreateFileW error 32 (C0000043)
14:14:48:777 3780    wfopen_ex: Trying to KLMD file open
14:14:48:777 3780    wfopen_ex: File opened ok (Flags 2)
14:14:48:777 3780    Initialize success
14:14:48:777 3780    
14:14:48:779 3780    Scanning    Services ...
14:14:48:954 3780    Raw services enum returned 477 services
14:14:48:962 3780    
14:14:48:962 3780    Scanning    Kernel memory ...
14:14:48:964 3780    Devices to scan: 2
14:14:48:964 3780    
14:14:48:964 3780    Driver Name: iaStor
14:14:48:964 3780    IRP_MJ_CREATE                      : 866E7AC8
14:14:48:964 3780    IRP_MJ_CREATE_NAMED_PIPE           : 866E7AC8
14:14:48:964 3780    IRP_MJ_CLOSE                       : 866E7AC8
14:14:48:964 3780    IRP_MJ_READ                        : 866E7AC8
14:14:48:964 3780    IRP_MJ_WRITE                       : 866E7AC8
14:14:48:964 3780    IRP_MJ_QUERY_INFORMATION           : 866E7AC8
14:14:48:964 3780    IRP_MJ_SET_INFORMATION             : 866E7AC8
14:14:48:964 3780    IRP_MJ_QUERY_EA                    : 866E7AC8
14:14:48:964 3780    IRP_MJ_SET_EA                      : 866E7AC8
14:14:48:964 3780    IRP_MJ_FLUSH_BUFFERS               : 866E7AC8
14:14:48:964 3780    IRP_MJ_QUERY_VOLUME_INFORMATION    : 866E7AC8
14:14:48:964 3780    IRP_MJ_SET_VOLUME_INFORMATION      : 866E7AC8
14:14:48:964 3780    IRP_MJ_DIRECTORY_CONTROL           : 866E7AC8
14:14:48:964 3780    IRP_MJ_FILE_SYSTEM_CONTROL         : 866E7AC8
14:14:48:964 3780    IRP_MJ_DEVICE_CONTROL              : 866E7AC8
14:14:48:964 3780    IRP_MJ_INTERNAL_DEVICE_CONTROL     : 866E7AC8
14:14:48:964 3780    IRP_MJ_SHUTDOWN                    : 866E7AC8
14:14:48:964 3780    IRP_MJ_LOCK_CONTROL                : 866E7AC8
14:14:48:964 3780    IRP_MJ_CLEANUP                     : 866E7AC8
14:14:48:964 3780    IRP_MJ_CREATE_MAILSLOT             : 866E7AC8
14:14:48:964 3780    IRP_MJ_QUERY_SECURITY              : 866E7AC8
14:14:48:964 3780    IRP_MJ_SET_SECURITY                : 866E7AC8
14:14:48:964 3780    IRP_MJ_POWER                       : 866E7AC8
14:14:48:964 3780    IRP_MJ_SYSTEM_CONTROL              : 866E7AC8
14:14:48:964 3780    IRP_MJ_DEVICE_CHANGE               : 866E7AC8
14:14:48:964 3780    IRP_MJ_QUERY_QUOTA                 : 866E7AC8
14:14:48:964 3780    IRP_MJ_SET_QUOTA                   : 866E7AC8
14:14:48:964 3780    Driver "iaStor" infected by TDSS rootkit!
14:14:48:964 3780    I:\Windows\system32\drivers\tsk8539.tmp - Verdict: 3
14:14:48:964 3780    
14:14:48:964 3780    Driver Name: iaStor
14:14:48:964 3780    IRP_MJ_CREATE                      : 8B07992E
14:14:48:964 3780    IRP_MJ_CREATE_NAMED_PIPE           : 81CEA447
14:14:48:964 3780    IRP_MJ_CLOSE                       : 8B07992E
14:14:48:964 3780    IRP_MJ_READ                        : 81CEA447
14:14:48:964 3780    IRP_MJ_WRITE                       : 81CEA447
14:14:48:964 3780    IRP_MJ_QUERY_INFORMATION           : 81CEA447
14:14:48:964 3780    IRP_MJ_SET_INFORMATION             : 81CEA447
14:14:48:964 3780    IRP_MJ_QUERY_EA                    : 81CEA447
14:14:48:964 3780    IRP_MJ_SET_EA                      : 81CEA447
14:14:48:964 3780    IRP_MJ_FLUSH_BUFFERS               : 81CEA447
14:14:48:964 3780    IRP_MJ_QUERY_VOLUME_INFORMATION    : 81CEA447
14:14:48:964 3780    IRP_MJ_SET_VOLUME_INFORMATION      : 81CEA447
14:14:48:964 3780    IRP_MJ_DIRECTORY_CONTROL           : 81CEA447
14:14:48:964 3780    IRP_MJ_FILE_SYSTEM_CONTROL         : 81CEA447
14:14:48:964 3780    IRP_MJ_DEVICE_CONTROL              : 8B076B28
14:14:48:964 3780    IRP_MJ_INTERNAL_DEVICE_CONTROL     : 8B073988
14:14:48:964 3780    IRP_MJ_SHUTDOWN                    : 81CEA447
14:14:48:964 3780    IRP_MJ_LOCK_CONTROL                : 81CEA447
14:14:48:964 3780    IRP_MJ_CLEANUP                     : 81CEA447
14:14:48:964 3780    IRP_MJ_CREATE_MAILSLOT             : 81CEA447
14:14:48:964 3780    IRP_MJ_QUERY_SECURITY              : 81CEA447
14:14:48:964 3780    IRP_MJ_SET_SECURITY                : 81CEA447
14:14:48:964 3780    IRP_MJ_POWER                       : 8B06E9D6
14:14:48:964 3780    IRP_MJ_SYSTEM_CONTROL              : 8B06DD68
14:14:48:964 3780    IRP_MJ_DEVICE_CHANGE               : 81CEA447
14:14:48:964 3780    IRP_MJ_QUERY_QUOTA                 : 81CEA447
14:14:48:964 3780    IRP_MJ_SET_QUOTA                   : 81CEA447
14:14:48:964 3780    I:\Windows\system32\drivers\tsk8539.tmp - Verdict: 3
14:14:48:964 3780    
14:14:48:964 3780    Completed
14:14:48:964 3780    
14:14:48:964 3780    Results:
14:14:48:964 3780    Memory objects infected / cured / cured on reboot:    1 / 0 / 0
14:14:48:964 3780    Registry objects infected / cured / cured on reboot:    0 / 0 / 0
14:14:48:967 3780    File objects infected / cured / cured on reboot:    0 / 0 / 0
14:14:48:967 3780    
14:14:48:967 3780    fclose_ex: Trying to close file I:\Windows\system32\config\system
14:14:48:967 3780    fclose_ex: Trying to close file I:\Windows\system32\config\software
14:14:48:967 3780    UnloadDriverW: NtUnloadDriver error 1
14:14:48:967 3780    KLMD(ARK) unloaded successfully
Seitenanfang Seitenende
18.04.2010, 14:20
Member

Beiträge: 3716
#22 neustart, schauen obs besser läuft.
Seitenanfang Seitenende
18.04.2010, 14:23
Member

Beiträge: 17
#23 Ja, lief besser.

Ergebnis:
0 / 0 / 0
0 / 0 / 0
0 / 0 / 0

Log ist im Anhang.

Seitenanfang Seitenende
18.04.2010, 14:28
Member

Beiträge: 3716
#24 Kaspersky avp:
http://www.computerschutz.net/tutorials/3094-kaspersky-avp-tool.html
Bitte im normalen modus nutzen, antivirus und alles sonstige laufende aus, funde in quarantäne log posetn
Seitenanfang Seitenende
18.04.2010, 16:11
Member

Beiträge: 17
#25 Hier die Logdatei:

Anhang: krt_log.txt
Seitenanfang Seitenende
18.04.2010, 16:21
Member

Beiträge: 3716
#26 hast du start scan gewählt und das so eingestellt wie angezeigt? sieht irgendwie nicht so aus :-)
Seitenanfang Seitenende
18.04.2010, 17:45
Member

Beiträge: 17
#27 Ne, sry.
Das Programm stürzt stets ab, wenn ich versuche, den Report komplett zu markieren und zu kopieren.
Gibt es da noch einen anderen Weg, als den Report Stück für Stück stundenlang zu kopieren? Ich hab leider keine Datei gefunden, in der der Report abgelegt wird.

Kann noch etwas dauern... sobald ich die Log kopieren konnte, editiere ich diesen Beitrag und schicke dir ne Nachricht.
Seitenanfang Seitenende
18.04.2010, 17:58
Member

Beiträge: 3716
#28 sorry da bin ich echt überfragt. aber kannst du das nicht selbst speichern. datei speichern unter?
Seitenanfang Seitenende
18.04.2010, 18:35
Member

Beiträge: 17
#29 Man muss die "Events" anscheind leider einzeln markieren und in einen Editor kopieren.

Hier nun die Datei:

Anhang: krt_log3.zip
Seitenanfang Seitenende
18.04.2010, 19:39
Member

Beiträge: 3716
#30 wie läuft er
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »