Google verweist mich auf falsche Seiten |
||
---|---|---|
#0
| ||
25.06.2009, 16:22
...neu hier
Beiträge: 10 |
||
|
||
25.06.2009, 16:39
Moderator
Beiträge: 7805 |
#2
Arbeite bitte noch die Punkte 2-4 aus http://board.protecus.de/t23188.htm ab und poste die entsprechenden Reporte.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.06.2009, 16:58
...neu hier
Themenstarter Beiträge: 10 |
#3
Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2333 Windows 5.1.2600 Service Pack 3 25.06.2009 16:56:59 mbam-log-2009-06-25 (16-56-59).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 80269 Laufzeit: 2 minute(s), 49 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
|
||
25.06.2009, 17:28
Moderator
Beiträge: 7805 |
||
|
||
25.06.2009, 17:31
...neu hier
Themenstarter Beiträge: 10 |
#5
ComboFix 09-06-24.05 - Sylvia 25.06.2009 17:16.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.703.497 [GMT 2:00] ausgeführt von:: d:\downloads\ComboFix.exe AV: Norton 360 Online *On-access scanning disabled* (Updated) {A5F1BC7C-EA33-4247-961C-0217208396C4} FW: Norton 360 Online *disabled* {371C0A40-5A0C-4AD2-A6E5-69C02037FBF3} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\drivers\SKYNETkjkimuht.sys c:\windows\system32\SKYNETnbvwrrxf.dll c:\windows\system32\SKYNETpydofdpd.dat c:\windows\system32\SKYNETrtdbothr.dat c:\windows\system32\SKYNETsdfuyybn.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_SKYNETllpxrgby ((((((((((((((((((((((( Dateien erstellt von 2009-05-25 bis 2009-06-25 )))))))))))))))))))))))))))))) . 2009-06-25 15:14 . 2009-06-25 15:14 -------- d-sh--w- C:\FOUND.000 2009-06-25 14:43 . 2009-06-25 14:43 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\Malwarebytes 2009-06-25 14:43 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-06-25 14:43 . 2009-06-25 14:43 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-06-25 14:43 . 2009-06-25 14:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-06-25 14:43 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-06-25 14:36 . 2009-06-25 14:36 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Lokale Einstellungen\Anwendungsdaten\Eraser 2009-06-25 14:35 . 2009-06-25 14:35 -------- d-----w- c:\programme\Eraser 2009-06-25 14:35 . 2009-06-10 13:22 83344 ----a-w- c:\windows\system32\Erasext.dll 2009-06-25 14:35 . 2009-06-10 13:22 307088 ----a-w- c:\windows\system32\Eraser.dll 2009-06-25 14:35 . 2009-06-10 13:22 73104 ----a-w- c:\windows\system32\Eraserl.exe 2009-06-25 14:08 . 2009-06-25 14:08 -------- d-----w- c:\programme\Trend Micro 2009-06-24 19:25 . 2009-06-24 19:25 34062 ----a-w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\Move Networks\ie_bin\Uninst.exe 2009-06-24 19:25 . 2009-06-24 19:25 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\Move Networks 2009-06-24 18:12 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-06-24 17:08 . 2009-06-24 17:08 -------- d-----w- c:\programme\A-FF Find and Mount 2009-06-24 16:53 . 2009-06-24 16:53 4 ----a-w- c:\windows\vx86036.dat 2009-06-24 16:53 . 2009-06-24 16:53 -------- d-----w- c:\dokumente und einstellungen\All Users\CrypKey 2009-06-24 16:52 . 2008-05-07 23:29 122880 ----a-w- c:\windows\system32\Crypserv.exe 2009-06-24 16:52 . 2008-03-17 16:45 19584 ----a-w- c:\windows\system32\Ckldrv.sys 2009-06-24 16:52 . 1999-06-18 20:49 165888 ----a-w- c:\windows\Ckconfig.exe 2009-06-24 16:52 . 1996-05-03 16:21 27648 ----a-r- c:\windows\Setup_ck.exe 2009-06-24 16:52 . 1996-05-03 14:36 18432 ----a-w- c:\windows\Setup_ck.dll 2009-06-24 16:52 . 1995-07-04 17:33 11776 ----a-w- c:\windows\Ckrfresh.exe 2009-06-24 16:52 . 2009-06-24 16:52 -------- d-----w- c:\programme\Stellar Phoenix Windows Data Recovery 2009-06-24 15:12 . 2009-06-24 15:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\mergeparts 2009-06-24 15:12 . 2009-06-24 15:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\redistpart 2009-06-24 15:12 . 2009-06-24 15:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\createpart 2009-06-24 15:12 . 2009-06-24 15:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\deletepart 2009-06-24 15:12 . 2009-06-24 15:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\explauncher 2009-06-24 15:12 . 2009-06-24 15:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\launcher 2009-06-24 15:11 . 2009-04-08 15:59 40560 ----a-w- c:\windows\system32\drivers\hotcore3.sys 2009-06-24 15:11 . 2009-06-24 15:11 -------- d-----w- c:\programme\Paragon Software 2009-06-23 16:58 . 2009-06-23 16:58 -------- d-----w- c:\programme\WBFS 2009-06-23 16:42 . 2009-06-23 16:42 -------- d-----w- c:\programme\Unlocker 2009-06-23 14:18 . 2009-06-23 16:11 114048 ----a-w- c:\windows\system32\drivers\snapman.sys 2009-06-22 21:09 . 2009-06-22 21:09 -------- d-----w- c:\windows\system32\NtmsData 2009-06-22 20:19 . 2009-06-22 20:19 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Lokale Einstellungen\Anwendungsdaten\WBFSManager 2009-06-22 20:17 . 2006-06-29 11:07 14048 ------w- c:\windows\system32\spmsg2.dll 2009-06-22 20:14 . 2009-06-24 17:37 173488 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-06-22 20:12 . 2009-06-22 20:12 -------- d-----w- c:\windows\system32\XPSViewer 2009-06-22 20:12 . 2009-06-22 20:12 -------- d-----w- c:\programme\MSBuild 2009-06-22 20:12 . 2009-06-22 20:12 -------- d-----w- c:\programme\Reference Assemblies 2009-06-22 20:11 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-06-22 20:11 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll 2009-06-22 20:11 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll 2009-06-22 20:11 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll 2009-06-22 20:11 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll 2009-06-22 20:11 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll 2009-06-22 20:11 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-06-15 17:32 . 2009-06-15 17:32 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Lokale Einstellungen\Anwendungsdaten\PokerStrategy 2009-06-15 17:28 . 2009-06-15 17:28 -------- d-----w- c:\programme\PokerStrategy 2009-06-15 17:12 . 2009-06-15 17:12 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\PacificPoker 2009-06-15 17:11 . 2009-06-15 17:11 -------- d-----w- c:\programme\PacificPoker 2009-06-15 15:11 . 2009-06-15 15:11 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Lokale Einstellungen\Anwendungsdaten\Boss Media 2009-06-15 15:10 . 2009-06-15 15:10 -------- d-----w- c:\programme\Mermaid Poker 2009-06-13 12:09 . 2009-06-13 12:09 -------- d-----w- C:\Musik 2009-06-11 07:20 . 2009-06-11 07:20 -------- d-----w- c:\windows\ServicePackFiles 2009-06-11 07:11 . 2009-06-11 07:11 -------- d-----w- c:\windows\EHome 2009-06-08 18:57 . 2009-06-08 18:57 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\vlc . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-22 20:58 . 2008-11-05 19:19 43264 ----a-w- c:\dokumente und einstellungen\Sylvia\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-06-22 20:14 . 1979-12-31 22:00 81178 ----a-w- c:\windows\system32\perfc007.dat 2009-06-22 20:14 . 1979-12-31 22:00 450556 ----a-w- c:\windows\system32\perfh007.dat 2009-06-11 07:30 . 2004-09-13 10:32 76487 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2009-05-13 15:06 . 2009-05-13 15:05 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-05-09 12:37 . 2009-05-09 12:37 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\FRITZ! 2009-05-09 12:36 . 2009-05-09 12:36 -------- d-----w- c:\programme\1&1 2009-05-07 15:32 . 1979-12-31 22:00 348160 ----a-w- c:\windows\system32\localspl.dll 2009-05-07 00:01 . 2009-05-07 00:01 69120 ----a-w- c:\windows\system32\avmadd32.dll 2009-05-07 00:01 . 2008-11-05 18:58 97360 ----a-w- c:\windows\system32\drivers\Fwusb1b.bin 2009-05-07 00:01 . 2008-11-05 18:58 4352 ----a-w- c:\windows\system32\drivers\avmeject.sys 2009-05-07 00:01 . 2008-11-05 18:58 265088 ----a-w- c:\windows\system32\drivers\fwlanusb.sys 2009-04-29 04:42 . 1979-12-31 22:00 827392 ----a-w- c:\windows\system32\wininet.dll 2009-04-29 04:41 . 2008-11-20 17:41 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-04-28 11:56 . 2009-04-28 11:56 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\YuLeech 2009-04-19 19:46 . 1979-12-31 22:00 1847296 ----a-w- c:\windows\system32\win32k.sys 2009-04-15 14:51 . 1979-12-31 22:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll 2009-04-08 15:59 . 2009-04-08 15:59 4248848 ----a-w- c:\windows\system32\qtp-mt334.dll 2009-04-08 15:59 . 2009-04-08 15:59 248592 ----a-w- c:\windows\system32\prgiso.dll 2009-03-31 20:46 . 2008-02-24 01:07 9584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\LuRegManifests\Static\NCO20.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "Eraser"="c:\programme\Eraser\Eraser.exe" [2009-06-10 334224] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-13 4141056] "ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-10-17 51048] "osCheck"="c:\programme\Norton 360 Online\osCheck.exe" [2008-02-26 988512] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "VTTrayp"="VTtrayp.exe" - c:\windows\system32\VTTrayp.exe [2004-06-22 143360] "VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2004-09-01 53248] "AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2003-07-25 88363] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Sylvia\Startmen\Programme\Autostart\ DR-EasyUPnP.lnk - c:\programme\Digital Research\EasyUPnP\EasyUPnP.exe [2009-2-15 247296] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WebClient"=2 (0x2) "TermService"=2 (0x2) "TapiSrv"=3 (0x3) "Irmon"=2 (0x2) "Fax"=2 (0x2) "anbmService"=2 (0x2) "wuauserv"=2 (0x2) "idsvc"=3 (0x3) "AVM WLAN Connection Service"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [07.11.2008 17:09 101936] S2 VNVNVNVN;VNVNVNVN;\??\c:\windows\system32\drivers\VNVNVNVN.sys --> c:\windows\system32\drivers\VNVNVNVN.sys [?] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [05.11.2008 20:58 4352] S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [13.01.2008 03:32 23888] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [05.11.2008 20:58 265088] S3 IPN2220;acer IPN2220 Wireless LAN Card Driver;c:\windows\system32\drivers\i2220ntx.sys [16.09.2004 18:58 140288] S3 POWERKEY;POWERKEY;\??\c:\program files\Launch Manager\POWERKEY.sys --> c:\program files\Launch Manager\POWERKEY.sys [?] S3 SliceDisk5;SliceDisk5;c:\programme\A-FF Find and Mount\slicedisk.sys [24.06.2009 19:08 10240] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - COMHOST . Inhalt des "geplante Tasks" Ordners 2009-06-25 c:\windows\Tasks\User_Feed_Synchronization-{752D1A37-DBD7-4D80-AB14-5CEC3A0A92AD}.job - c:\windows\system32\msfeedssync.exe [2007-08-13 16:36] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-nwiz - nwiz.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.web.de/ TCP: {2BAF4008-ABF4-4CED-9C08-96C3241951A1} = 192.168.178.1 DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} - hxxps://spinpalace.gameassists.co.uk/german/FlashAX2.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-25 17:20 Windows 5.1.2600 Service Pack 3 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-06-25 17:21 ComboFix-quarantined-files.txt 2009-06-25 15:21 Vor Suchlauf: 7.179.239.424 Bytes frei Nach Suchlauf: 7.200.866.304 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect 193 --- E O F --- 2009-06-11 20:01 |
|
|
||
25.06.2009, 17:32
...neu hier
Themenstarter Beiträge: 10 |
#6
Hoffe Du Kannst mir Helfen!
|
|
|
||
25.06.2009, 17:39
Moderator
Beiträge: 7805 |
#7
Deinstalliere bitte Combofix via Start/Ausfuehren, dort
combofix /u eingeben und enter druecken. Loesche den Ordner C:\FOUND.000 Erstelle zur Kontrolle noch ein Gmer Report: Nutze den "Download now" Button von hier http://www.gmer.net/#files starte die Date, druecke im Reiter Rootkits auf scan. Nach ende des Scans bitte mit Hilfe von Copy den Report hier einfuegen... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.06.2009, 18:04
...neu hier
Themenstarter Beiträge: 10 |
#8
Find die datei C:/Found.000 nicht und ich weiß nicht wie ich die copy wiederfinde schreibt irgendwas von clipboard aber wo ist das?
|
|
|
||
25.06.2009, 18:37
Moderator
Beiträge: 7805 |
#9
Wenn du einmal Copy gedrueckt hast, gehst du mit der Maus hier in das Fenster, wo du deine Antwort schreibst, drueckst die rechte Maustaste und dann einfuegen waehlen....
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.06.2009, 18:41
...neu hier
Themenstarter Beiträge: 10 |
#10
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-25 18:04:54 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT 830FCB00 ZwAlertResumeThread SSDT 831050C0 ZwAlertThread SSDT 8303C1B8 ZwAllocateVirtualMemory SSDT 831EFFB0 ZwConnectPort SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xF6226020] SSDT 830F78A0 ZwCreateMutant SSDT 830FE300 ZwCreateThread SSDT 830F1798 ZwDebugActiveProcess SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xF62262A0] SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xF6226800] SSDT sptd.sys ZwEnumerateKey [0xF7ACBE2C] SSDT sptd.sys ZwEnumerateValueKey [0xF7ACC1BA] SSDT 83041370 ZwFreeVirtualMemory SSDT 830F3300 ZwImpersonateAnonymousToken SSDT 830FAD90 ZwImpersonateThread SSDT 830FE778 ZwMapViewOfSection SSDT 830F2BC8 ZwOpenEvent SSDT sptd.sys ZwOpenKey [0xF7AC60B0] SSDT 8322FF58 ZwOpenProcessToken SSDT 830F1F30 ZwOpenSection SSDT 8308A120 ZwOpenThreadToken SSDT sptd.sys ZwQueryKey [0xF7ACC292] SSDT sptd.sys ZwQueryValueKey [0xF7ACC112] SSDT 832D1880 ZwResumeThread SSDT 8311D0C0 ZwSetContextThread SSDT 83135120 ZwSetInformationProcess SSDT 831F7180 ZwSetInformationThread SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xF6226A50] SSDT 830F2208 ZwSuspendProcess SSDT 831070B0 ZwSuspendThread SSDT 831273F0 ZwTerminateProcess SSDT 83110298 ZwTerminateThread SSDT 832C44A8 ZwUnmapViewOfSection SSDT 8303DAB8 ZwWriteVirtualMemory Code \??\C:\DOKUME~1\Sylvia\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload F76BD8AC 5 Bytes JMP 82E4E578 ? C:\DOKUME~1\Sylvia\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467178F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671710 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671754 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467169C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446716D6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446717CA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7AC6AD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7AC6C1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7AC6B9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7AC7748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F7AC761E] sptd.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7ADBACA] sptd.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 82F277A0 Device \FileSystem\Fastfat \FatCdrom 833441E8 AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \Driver\usbuhci \Device\USBPDO-0 82F05598 Device \Driver\usbuhci \Device\USBPDO-1 82F05598 Device \Driver\usbuhci \Device\USBPDO-2 82F05598 Device \Driver\NetBT \Device\NetBT_Tcpip_{59C49FCB-1FC9-4849-9305-4182034288C8} 831BA7A0 Device \Driver\usbehci \Device\USBPDO-3 82EF61E8 AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) Device \Driver\Ftdisk \Device\HarddiskVolume1 833611E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume2 833611E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Cdrom \Device\CdRom0 82E361E8 Device \Driver\Ftdisk \Device\HarddiskVolume3 833611E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume4 833611E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\NetBT \Device\NetBt_Wins_Export 831BA7A0 Device \Driver\NetBT \Device\NetbiosSmb 831BA7A0 Device \Driver\usbstor \Device\000000c6 830821E8 Device \Driver\usbstor \Device\000000c7 830821E8 AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) Device \Driver\usbuhci \Device\USBFDO-0 82F05598 Device \Driver\usbuhci \Device\USBFDO-1 82F05598 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 830151E8 Device \Driver\usbuhci \Device\USBFDO-2 82F05598 Device \FileSystem\MRxSmb \Device\LanmanRedirector 830151E8 Device \Driver\usbehci \Device\USBFDO-3 82EF61E8 Device \Driver\Ftdisk \Device\FtControl 833611E8 Device \FileSystem\Fastfat \Fat 833441E8 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs 8312A610 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 ---- EOF - GMER 1.0.15 ---- |
|
|
||
25.06.2009, 18:43
...neu hier
Themenstarter Beiträge: 10 |
#11
Find die datei C:/Found.000 nicht wo kann sie sein über Gmer1.o15 sehe ich sie aber über Arbeitsplatz nicht!
|
|
|
||
25.06.2009, 18:49
Moderator
Beiträge: 7805 |
#12
Nutz bitte zur Kontrolle KAVs AVPtool: http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/
Sollte es etwas melden, poste den Report. Zu dem Ordner. Den findest du, wenn du folgendes einstellst: http://freenet-homepage.de/rene-gad/invisible.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.06.2009, 19:31
...neu hier
Themenstarter Beiträge: 10 |
#13
SUUUUUUPER PC LÄUFT!!!!
Mache jetzt noch den Scan und poste dir wenn noch was ist aber dank deiner Anleitung habe ich auch noch diverse andere Probleme gelöst was ich echt spitze finde!! Gut das es Menschen wie dich gibt die blöden Menschen wie mir helfen du bist der grösste!!! Noch eine frage wie kann es sein das so ein Virus sich einschleicht ob wohl ich norten 360 was sich jeden Tag updatet und scan und den virus angeblich gelöscht hat trotzdem im system hängt? |
|
|
||
25.06.2009, 19:35
Moderator
Beiträge: 7805 |
#14
Das Problem ist, das die Malwareschreiber sehr schnell ihre Programme so aendern, das sie von AV-Programmen nicht mehr gemeldet werden. Es kann sehr gut sein, das dein Norton diese Malware erst in ein paar Tagen erkennt.
Das haette wahrscheinlich auch nichts mehr genutzt, da die Malware Rootkitfaehigkeiten besitzt und sich so vor Programmen, speziell Av Programmen, versteckt... Programme wie Threatfire, Online Armor,Norton Antibot (oder Norton 360 V3 hat es wohl auch) haetten das Eindringen wohl verhindert. Das nutzen eines eingeschraenkten Benutzerkontos haette es aber auch schon getan... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.06.2009, 22:27
...neu hier
Themenstarter Beiträge: 10 |
#15
Scan
---- Scanned: 318646 Detected: 0 Untreated: 0 Start time: 25.06.2009 19:10:20 Duration: 02:57:03 Finish time: 25.06.2009 22:07:23 Detected -------- Status Object ------ ------ Events ------ Time Name Status Reason ---- ---- ------ ------ 25.06.2009 19:10:30 Running module: SMSS.EXE\smss.exe ok scanned Statistics ---------- Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted ------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ --------- Settings -------- Parameter Value --------- ----- Security Level Recommended Action Prompt for action when the scan is complete Run mode Manually File types Scan all files Scan only new and changed files No Scan archives All Scan embedded OLE objects All Skip if object is larger than No Skip if scan takes longer than No Parse email formats No Scan password-protected archives No Enable iChecker technology No Enable iSwift technology No Show detected threats on "Detected" tab Yes Rootkits search Yes Deep rootkits search No Use heuristic analyzer Yes Quarantine ---------- Status Object Size Added ------ ------ ---- ----- Backup ------ Status Object Size ------ ------ ---- |
|
|
||
auskennen und durch die log die ursache finden können! Bitte deswegen um eure mithilfe! Möchte gerne IE behalten weil es mit Norten 360 läuft!
Hier der LOG:
ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:58, on 25.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Digital Research\EasyUPnP\EasyUPnP.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton 360 Online\osCheck.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DR-EasyUPnP.lnk = C:\Programme\Digital Research\EasyUPnP\EasyUPnP.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://spinpalace.gameassists.co.uk/german/FlashAX2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BAF4008-ABF4-4CED-9C08-96C3241951A1}: NameServer = 192.168.178.1
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec RemoteAssist - Symantec, Inc. - C:\Programme\Gemeinsame Dateien\Symantec Shared\Support Controls\ssrc.exe
--
End of file - 5948 bytes