WinCtrl32.dll (Trojan.Agent) - gsbgqpwwfw.sys (Rootkit.Rustock)

#0
24.05.2008, 12:21
...neu hier

Beiträge: 10
#1 Hallo,

ich habe vor einigen Tagen ausversehen eine infizierte Datei gedownloadet und ausgeführt. Nach einer kurzen Zeit wurde mein Bildschirm durch Symantec E-Mail Proxys zugespammt. Ich konnte durch Symantec und Spybot den Virus nicht enfernen, habe aber geschafft die Warnungen auf dem Bildschirm auszuschalten. (Auf Symantec in den E-mail Einstellungen). Doch die Fehler häufen sich, ich enfernte ein paar Viren mit Malware, was aber nicht weiter geholfen hat. Vor kurzem hatte ich einen Absturz, das Fehlerprotokoll was ich an Windows senden wollte war fehlerhaft, was nach Windows auf ein starkes PC Problem hinweist.

Immer wenn ich den Computer starte, kommt die Virenwarnung vor folgender Datei:
cbOCR.dll

Hier das aktuelle MalwareBytes Log:

Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winctrl32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\tcpsr (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\7CF28762C38CA0D4.tmp (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\AE8AB41F91F72503.tmp (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\gsbgqpwwfw.sys (Rootkit.Rustock) -> No action taken.


Wäre echt nett wenn mir jemand helfen könnte.

Edit: Symantec AntiVirus hat eine neue Bedrohung festgestellt:

Prüfungstyp: Auto-Protect Prüfung
Ereignis: Bedrohung erkannt!
Bedrohung: Trojan.Zlob
Datei: C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP835\A0166383.dll
Ablageort: C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP835
Computer: *****-PC
Benutzer: SYSTEM
Durchgeführte Aktion: Säubern fehlgeschlagen : Isolierung fehlgeschlagen : Löschen erfolgreich : Zugriff verweigert
Gefundenes Datum: Samstag, 24. Mai 2008 13:14:47
Dieser Beitrag wurde am 24.05.2008 um 13:18 Uhr von Silmarillion editiert.
Seitenanfang Seitenende
24.05.2008, 13:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo Silmarillion

«
Avenger
http://virus-protect.org/artikel/tools/avenger.html

setze ein Häkchen in: "Automatically disable any rootkits found"
Das Häkchen "Scan for Rootkits" sollte angehakt sein.

kopiere in das weisse Feld:

Zitat

Drivers to disable:
gsbgqpwwfw
tcpsr

Drivers to delete:
gsbgqpwwfw
tcpsr

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32

Files to delete:
C:\WINDOWS\system32\cbOCR.dll
C:\WINDOWS\Temp\AE8AB41F91F72503.tmp
C:\WINDOWS\Temp\7CF28762C38CA0D4.tmp
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\system32\gsbgqpwwfw.sys
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), , kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

--------------------------
«
wende helios lite an + poste die 3 reporte (helios, helios1 und helios2)
http://virus-protect.org/artikel/tools/helios.html

«
versuche combofix auszufuehren + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.05.2008, 13:31
...neu hier

Themenstarter

Beiträge: 10
#3 Danke für die Antwort.

Ich scanne gerade meine Festplatte mit Helios. KKann mir einer die Risiken mit Combofix erklären? Was kann da schief gehen?
Seitenanfang Seitenende
24.05.2008, 13:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 wende erst mal avenger an, dann helios, dann combofix ... combofix ist sicher, keine angst, wenn combofix nicht funktioniert, habe ich noch andere tools in petto ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.05.2008, 14:04
...neu hier

Themenstarter

Beiträge: 10
#5 Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "gsbgqpwwfw" disabled successfully.
Driver "tcpsr" disabled successfully.
Driver "gsbgqpwwfw" deleted successfully.
Driver "tcpsr" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\cbOCR.dll" not found!
Deletion of file "C:\WINDOWS\system32\cbOCR.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\Temp\AE8AB41F91F72503.tmp" deleted successfully.
File "C:\WINDOWS\Temp\7CF28762C38CA0D4.tmp" deleted successfully.
File "C:\WINDOWS\system32\WinCtrl32.dll" deleted successfully.

Error: file "C:\WINDOWS\System32\drivers\tcpsr.sys" not found!
Deletion of file "C:\WINDOWS\System32\drivers\tcpsr.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\gsbgqpwwfw.sys" deleted successfully.
Registry key "HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



So, und Helios ist am laufen. Aber bei Helios1 sind eine Menge private Daten enthalten, und soetwas sollte man ja nicht im Internet posten (die pfade sind alle angegeben.)
Seitenanfang Seitenende
24.05.2008, 14:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 poste die helios-Daten als Anhang (siehe unten), so kann man sie dann wieder rausnehmen) - oder schicke sie mir als pn
und poste unbedingt das log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.05.2008, 14:20
...neu hier

Themenstarter

Beiträge: 10
#7 Hier der Helios2 Report. Den Report über versteckte Prozesse kann er aus unerfindlichen Gründen nicht machen. "Unespected Error - Scan can not proceed"

Helios2 Registry

1, SOFTWARE\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY, , Access Denied
2, SECURITY\Policy\Secrets\SAC, , Access Denied
3, SECURITY\Policy\Secrets\SAI, , Access Denied
4, ****************************\Software\Valve\Steam\Steam.exe, UpTimeMostRecent, Data Differs

Soll ich jetzt trotzdem ComboFix laufen lassen?
Seitenanfang Seitenende
24.05.2008, 14:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ja klar, immer her mit combofix, da gibt es bestimmt noch viel , was entfernt werden muss

Zitat

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\regedit.com
c:\windows\system32\Drivers\wpF82.sys
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_tcpsr
-------\Legacy_wpf82
-------\Service_tcpsr
-------\Service_wpF82
-------\Service_wpf82


((((((((((((((((((((((( Dateien erstellt von 2008-04-24 bis 2008-05-24 ))))))))))))))))))))))))))))))
.

2008-05-24 14:35 . 2008-05-24 14:35 192,512 --a------ C:\WINDOWS\system32\cbOCR.dll
2008-05-24 13:58 . 2008-05-24 13:59 14,336 --a------ C:\WINDOWS\system32\WinCtrl32.dll
2008-05-22 19:02 . 27,648 C:\WINDOWS\system32\drivers\Fff33.sys
2008-05-22 16:34 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-22 16:34 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-22 16:23 . 2004-08-04 16:00 153,600 --a------ C:\WINDOWS\R.COM
2008-05-22 16:23 . 2004-08-04 16:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-05-22 16:23 . 2008-05-22 16:23 26 --a------ C:\WINDOWS\Lic.xxx
2008-05-21 16:57 . 2008-05-22 18:59 192,512 --a------ C:\WINDOWS\system32\cbOCR.dll.10307341
2008-05-21 16:15 . 2008-05-21 16:15 80,384 --a------ C:\hyfsshfu.exe
2008-05-21 16:15 . 2008-05-22 16:18 27,648 --a------ C:\WINDOWS\system32\drivers\fFF33.SYS.14713722
2008-05-21 16:15 . 2008-05-21 16:15 4,096 --a------ C:\xtqvpfan.exe
2008-05-21 16:15 . 2008-05-21 16:15 2 --a------ C:\611969315
2008-05-18 22:21 . 2004-08-04 16:00 13,463,552 --a------ C:\WINDOWS\system32\dllcache\hwxjpn.dll

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.05.2008, 15:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 ««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

tcpsr

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

Fff33

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

wpf82

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

----------------------------------------

'««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Driver::
tcpsr
Fff33

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Fff33.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Fff33.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FFF33]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Fff33]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Fff33.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Fff33.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FFF33]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Fff33]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fff33.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Fff33.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FFF33]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fff33]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\wpf82.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\wpf82.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\wpf82]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TCPSR]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCPSR]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Error Safe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Error Safe"=-

File::
C:\WINDOWS\system32\cbOCR.dll
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\system32\drivers\Fff33.sys
C:\WINDOWS\system32\drivers\fFF33.SYS.14713722
C:\WINDOWS\system32\cbOCR.dll.10307341
C:\hyfsshfu.exe
C:\xtqvpfan.exe
C:\611969315

Folder::
C:\Programme\Error Safe Free
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

---

+poste das neue log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.05.2008, 15:25
...neu hier

Themenstarter

Beiträge: 10
#10 Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.05.2008 15:20:08 for strings:
; 'tcpsr'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TCPSR]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TCPSR\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TCPSR\0000]
"Service"="tcpsr"
"DeviceDesc"="tcpsr"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TCPSR\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TCPSR\0000\Control]
"ActiveService"="tcpsr"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCPSR]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCPSR\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCPSR\0000]
"Service"="tcpsr"
"DeviceDesc"="tcpsr"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCPSR\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCPSR\0000\Control]
"ActiveService"="tcpsr"

; End Of The Log...



Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.05.2008 15:22:03 for strings:
; 'fff33'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Fff33.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Fff33.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FFF33]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FFF33\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FFF33\0000]
"Service"="Fff33"
"DeviceDesc"="Fff33"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FFF33\0000\logconf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FFF33\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FFF33\0000\Control]
"ActiveService"="Fff33"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Fff33]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Fff33]
"ImagePath"="System32\\Drivers\\Fff33.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Fff33\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Fff33\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Fff33\Enum]
"0"="Root\\LEGACY_FFF33\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Fff33.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Fff33.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FFF33]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FFF33\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FFF33\0000]
"Service"="Fff33"
"DeviceDesc"="Fff33"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FFF33\0000\logconf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Fff33]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Fff33]
"ImagePath"="System32\\Drivers\\Fff33.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Fff33\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fff33.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Fff33.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FFF33]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FFF33\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FFF33\0000]
"Service"="Fff33"
"DeviceDesc"="Fff33"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FFF33\0000\logconf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FFF33\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FFF33\0000\Control]
"ActiveService"="Fff33"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fff33]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fff33]
"ImagePath"="System32\\Drivers\\Fff33.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fff33\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fff33\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fff33\Enum]
"0"="Root\\LEGACY_FFF33\\0000"

; End Of The Log...



Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.05.2008 15:23:44 for strings:
; 'wpf82'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\wpf82]

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\wpf82]
"ImagePath"="System32\\Drivers\\wpF82.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\wpf82.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\wpf82.sys]

; End Of The Log...
Seitenanfang Seitenende
24.05.2008, 15:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 warete mit dem script, ich werde editieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.05.2008, 15:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 '««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Driver::
tcpsr
Fff33

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Fff33.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Fff33.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FFF33]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Fff33]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Fff33.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Fff33.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FFF33]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Fff33]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fff33.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Fff33.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FFF33]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fff33]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\wpf82.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\wpf82.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\wpf82]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TCPSR]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCPSR]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Error Safe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Error Safe"=-

File::
C:\WINDOWS\system32\cbOCR.dll
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\drivers\wpF82.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\system32\drivers\Fff33.sys
C:\WINDOWS\system32\drivers\fFF33.SYS.14713722
C:\WINDOWS\system32\cbOCR.dll.10307341
C:\hyfsshfu.exe
C:\xtqvpfan.exe
C:\611969315

Folder::
C:\Programme\Error Safe Free
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

---

+poste das neue log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.05.2008, 15:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 danke fuer die pn.

als naechstes, wenn das script fuer combofix durchgelaufen ist, lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html

boote in den abgesicherten modus

RunThis.bat doppelt klicken

nach dem scan poste den report, aber bitte hier, nicht per pn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.05.2008, 16:59
...neu hier

Themenstarter

Beiträge: 10
#14 So, ich lass jetzt noch sdfix durchlaufen

ComboFix 08-05-21.3 - Niklas 2008-05-24 16:11:52.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1452 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Niklas\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Niklas\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\611969315
C:\hyfsshfu.exe
C:\WINDOWS\system32\cbOCR.dll
C:\WINDOWS\system32\cbOCR.dll.10307341
C:\WINDOWS\system32\drivers\Fff33.sys
C:\WINDOWS\system32\drivers\fFF33.SYS.14713722
C:\WINDOWS\system32\WinCtrl32.dll
C:\xtqvpfan.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FFF33
-------\Legacy_TCPSR
-------\Service_Fff33


((((((((((((((((((((((( Dateien erstellt von 2008-04-24 bis 2008-05-24 ))))))))))))))))))))))))))))))
.

2008-05-22 16:34 . 2008-05-22 16:34 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-22 16:34 . 2008-05-22 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\Malwarebytes
2008-05-22 16:34 . 2008-05-22 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-22 16:34 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-22 16:34 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-22 16:23 . 2004-08-04 16:00 153,600 --a------ C:\WINDOWS\R.COM
2008-05-22 16:23 . 2004-08-04 16:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-05-22 16:23 . 2008-05-22 16:23 26 --a------ C:\WINDOWS\Lic.xxx
2008-05-18 22:21 . 2004-08-04 16:00 13,463,552 --a------ C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-05-10 23:35 . 2008-05-11 11:31 <DIR> d-------- C:\Programme\LimeWire

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-24 14:50 --------- d-----w C:\Programme\Symantec AntiVirus
2008-05-24 13:35 --------- d-----w C:\Programme\Steam
2008-05-21 15:49 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-05-21 12:00 --------- d-----w C:\Programme\EA GAMES
2008-05-19 12:59 45,888 ----a-w C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-05-11 08:43 --------- d-----w C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\LimeWire
2008-04-29 14:22 --------- d-----w C:\Programme\Grotesk Gusto
2008-04-19 11:27 --------- d-----w C:\Programme\Apple Software Update
2008-04-16 10:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-12 12:35 --------- d-----w C:\Programme\BitComet
2008-04-10 17:14 --------- d-----w C:\Programme\DivX
2008-04-05 11:20 --------- d-----w C:\Programme\iTunes
2008-04-05 11:19 --------- d-----w C:\Programme\iPod
2008-04-05 11:18 --------- d-----w C:\Programme\QuickTime
2008-03-31 19:38 --------- d-----w C:\Programme\Blender Foundation
2008-03-27 11:37 --------- d-----w C:\Programme\Warcraft III
2008-01-19 16:37 1 ----a-w C:\Dokumente und Einstellungen\Niklas\SI.bin
2007-05-13 22:12 357 ----a-w C:\Dokumente und Einstellungen\Niklas\.cb_layout.bin
2007-05-06 11:58 56 --sh--r C:\WINDOWS\system32\396B6A3CF8.sys
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-05-06 11:58 1,890 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
Seitenanfang Seitenende
24.05.2008, 17:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 ««
als naechstes, wenn das script fuer combofix durchgelaufen ist, lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html

boote in den abgesicherten modus

RunThis.bat doppelt klicken

nach dem scan poste den report, aber bitte hier, nicht per pn.

------------------

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

------------------

««
lade combofix neu + poste den report Komplett (kann per pn sein, oder hier)
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende