Virus, google Schrift im Internetexplorer komisch |
||
---|---|---|
#0
| ||
16.09.2009, 20:57
Member
Themenstarter Beiträge: 108 |
||
|
||
17.09.2009, 06:46
Member
Themenstarter Beiträge: 108 |
#17
GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-17 06:47:52 Windows 5.1.2600 Service Pack 3 Running: v7c9ucer.exe; Driver: C:\DOKUME~1\ROITZH~1\LOKALE~1\Temp\pfdiapow.sys ---- Devices - GMER 1.0.15 ---- Device \Driver\00000071 \Device\0000006d sptd.sys Device \Driver\Cdrom \Device\CdRom0 86D35850 Device \Driver\Cdrom \Device\CdRom1 86D35850 Device \Driver\Cdrom \Device\CdRom2 86D35850 Device \Driver\Disk \Device\Harddisk0\DR0 86FD7808 Device \Driver\dtscsi \Device\Scsi\dtscsi1 86C4B570 Device \Driver\dtscsi \Device\Scsi\dtscsi1Port3Path0Target0Lun0 86C4B570 Device \Driver\Ftdisk \Device\FtControl 86FD7C78 Device \Driver\Ftdisk \Device\HarddiskVolume1 86FD7C78 Device \Driver\Ftdisk \Device\HarddiskVolume2 86FD7C78 Device \Driver\Ftdisk \Device\HarddiskVolume3 86FD7C78 Device \Driver\NetBT \Device\NetbiosSmb 86B44A10 Device \Driver\NetBT \Device\NetBT_Tcpip_{86F58EC0-34C5-4C5C-A343-06D2AA5B5B85} 86B44A10 Device \Driver\NetBT \Device\NetBt_Wins_Export 86B44A10 Device \FileSystem\Cdfs \Cdfs 86B20D98 Device \FileSystem\Fastfat \Fat 86AD1C00 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Fastfat \FatCdrom 86AD1C00 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86B77580 Device \FileSystem\MRxSmb \Device\LanmanRedirector 86B77580 Device \FileSystem\Msfs \Device\Mailslot 86A2ED48 Device \FileSystem\Npfs \Device\NamedPipe 86B8A0E8 Device \FileSystem\Ntfs \Ntfs 86FD75D0 Device \FileSystem\Rdbss \Device\FsWrap 86A45338 ---- System - GMER 1.0.15 ---- SSDT F7C4A730 ZwOpenProcess SSDT F7C4A735 ZwOpenThread SSDT F7C4A73F ZwTerminateProcess SSDT F7C4A744 ZwCreateThread SSDT F7C4A74E ZwCreateKey SSDT F7C4A753 ZwDeleteKey SSDT F7C4A758 ZwSetValueKey SSDT F7C4A75D ZwDeleteValueKey SSDT F7C4A762 ZwLoadKey SSDT F7C4A767 ZwRestoreKey SSDT F7C4A76C ZwReplaceKey ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 17081B02B3D7422C39A094EE706F066F368015C9A856E45AA84268C77324823C E03EBD45017580C421436A7901B627FBAE657FB9DC78624FB0E02F49C1D28DA8 E384003C73E2131E1B30D06E7AC855A58AE7AE809CC6EB68EF6A796BA1E1B412 FB675827FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E12 7BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667C038D530 D6EB3452A6171C11EC38DE3D8EDD5E5BE2F6E667BBB1BD13294C725BBCE73CBF FB4B096EBD05A4622A8F13EBF7191341005BDE3868B82677D71751B5182401D30 702E0EFB481B43EA36F5542789CDFB39215DE266244B452E96BFAFE41AD3E739A 18A6FB86E805D4FCF1E211F66B7353958A0D6F1BA417B7BCCD7FA38D242D0D8B 3586AC0FCEFB8F1E7F27B772AA01242502B05D56AD71634388247625ACFC35BE 43E47CF94975FA0542C1FC3E80B3497409459E2A3957B184285FAE867251A1B16 FD34ACA7443453F2A82870199278A47EEFA4204A354269AFC60678122412D722 C20D8566DA7447369F2E4B525EDD6774834BF24CB6664321D071D3AEED6D525A FC4D1C5D7DA6E59F74B84AA578BBE71EC096E9C19FEB8906165B32B0C91C080F 4753F1959095F3C91FB3B0266F8F63879C50E55F1831009E647709F3565B34F399 511209D53D8FC342641331024575F4E68BD8BC44F7C070F28FE3927389 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x89 0xAF 0x47 0xFB ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x7E 0xEE 0x18 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6B 0x84 0x6A 0xAB ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x89 0xAF 0x47 0xFB ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x7E 0xEE 0x18 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x7E 0x4B 0xBC 0xDE ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 -672187030 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 2027942169 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1430325466 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x89 0xAF 0x47 0xFB ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x7E 0xEE 0x18 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x7E 0x4B 0xBC 0xDE ... SSDT sptd.sys ZwEnumerateKey [0xF748CC22] SSDT sptd.sys ZwEnumerateValueKey [0xF748CF9A] SSDT sptd.sys ZwOpenKey [0xF748C98E] SSDT sptd.sys ZwQueryKey [0xF748D064] SSDT sptd.sys ZwQueryValueKey [0xF748CEFC] ---- EOF - GMER 1.0.15 ---- |
|
|
||
17.09.2009, 23:22
Moderator
Beiträge: 5694 |
#18
>>
Wende Superantispyware an und poste das Log: http://board.protecus.de/t31252.htm >> Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate: http://www.virus-protect.org/datfindbat.html Gruss Swiss |
|
|
||
19.09.2009, 02:55
Member
Themenstarter Beiträge: 108 |
#19
SUPERAntiSpyware Scan Log
http://www.superantispyware.com Generated 09/19/2009 at 02:28 AM Application Version : 4.29.1002 Core Rules Database Version : 4110 Trace Rules Database Version: 2050 Scan type : Complete Scan Total Scan Time : 01:18:48 Memory items scanned : 627 Memory threats detected : 0 Registry items scanned : 6993 Registry threats detected : 0 File items scanned : 36699 File threats detected : 5 Trojan.Downloader-Gen/A C:\DOKUMENTE UND EINSTELLUNGEN\ROITZHEIM\DESKTOP\SPIELE\MINISPIELE\MINISPIELE\TT\A.EXE Trojan.Agent/Gen C:\SYSTEM VOLUME INFORMATION\_RESTORE{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP111\A0016235.EXE C:\SYSTEM VOLUME INFORMATION\_RESTORE{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP111\A0016342.EXE C:\WINDOWS\PEV.EXE Trojan.Dropper/Win-NV C:\WINDOWS\TWAIN_32\A4CIS600\SERVICE.EXE Hier schonmal das Superantispywarelog datfind folgt noch |
|
|
||
19.09.2009, 22:50
Member
Themenstarter Beiträge: 108 |
#20
Datenträger in Laufwerk C: ist boot
Volumeseriennummer: F0ED-29D3 Verzeichnis von c:\ 19.09.2009 22:47 0 dirdat.txt 19.09.2009 02:54 1.073.270.784 hiberfil.sys 19.09.2009 02:54 1.610.612.736 pagefile.sys 06.09.2009 16:56 110.128 lxcf.log 23.08.2009 11:07 57.667 ComboFix.txt 21.07.2009 13:15 279 default.set 26 Datei(en) 2.685.766.030 Bytes 0 Verzeichnis(se), 30.886.825.984 Bytes frei Datenträger in Laufwerk C: ist boot Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS\system32 19.09.2009 02:55 2.206 wpa.dbl 28.08.2009 23:38 24.689.600 MRT.exe 26.08.2009 20:19 838.620 TZLog.log 05.08.2009 10:59 206.336 mswebdvd.dll 19.07.2009 18:41 11.067.392 ieframe.dll 19.07.2009 15:11 5.937.152 mshtml.dll 17.07.2009 21:01 58.880 atl.dll 14.07.2009 13:03 46.080 tzchange.exe 13.07.2009 23:43 10.841.088 wmp.dll 13.07.2009 23:43 286.208 wmpdxm.dll 03.07.2009 18:55 915.456 wininet.dll 03.07.2009 18:55 206.848 occache.dll 03.07.2009 18:55 1.208.832 urlmon.dll 03.07.2009 18:55 594.432 msfeeds.dll 03.07.2009 18:55 55.296 msfeedsbs.dll 03.07.2009 18:55 25.600 jsproxy.dll 03.07.2009 18:55 1.469.440 inetcpl.cpl 03.07.2009 18:55 1.985.536 iertutil.dll 03.07.2009 18:55 184.320 iepeers.dll 03.07.2009 18:55 386.048 iedkcs32.dll 03.07.2009 13:01 173.056 ie4uinit.e 2448 Datei(en) 568.404.014 Bytes 0 Verzeichnis(se), 30.886.699.008 Bytes frei Datenträger in Laufwerk C: ist boot Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS 19.09.2009 22:24 425.037 setupapi.log 19.09.2009 21:43 1.507.693 WindowsUpdate.log 19.09.2009 10:23 202 NeroDigital.ini 19.09.2009 02:55 0 0.log 19.09.2009 02:54 6.104 ModemLog_Bluetooth DUN Modem.txt 19.09.2009 02:54 4.246 ModemLog_Agere Systems PCI Soft Modem.txt 19.09.2009 02:54 159 wiadebug.log 19.09.2009 02:54 50 wiaservc.log 19.09.2009 02:54 2.048 bootstat.dat 19.09.2009 02:53 32.598 SchedLgU.Txt 17.09.2009 17:33 1.073.274.880 MEMORY.DMP 09.09.2009 22:23 9.234 ocmsn.log 09.09.2009 22:23 1.355 imsins.log 09.09.2009 22:23 55.647 comsetup.log 09.09.2009 22:23 33.710 ntdtcsetup.log 09.09.2009 22:23 63.696 tsoc.log 09.09.2009 22:23 26.448 iis6.log 09.09.2009 22:23 8.297 KB968816.log 09.09.2009 22:23 79.812 ocgen.log 09.09.2009 22:23 8.343 msgsocm.log 09.09.2009 22:23 166.282 FaxSetup.log 09.09.2009 22:23 56.207 updspapi.log 09.09.2009 22:23 1.355 imsins.BAK 09.09.2009 22:23 7.657 KB956844.log 09.09.2009 22:23 8.043 KB971961-IE8.log 04.09.2009 20:53 1.461 scummvm.ini 29.08.2009 23:28 54.156 QTFont.qfn 27.08.2009 17:40 5.937 wmsetup.log 26.08.2009 20:19 8.692 KB970653-v3.log 23.08.2009 11:04 227 system.ini 16.08.2009 22:05 8.517 spupdsvc.log 16.08.2009 22:02 84.295 KB968389.log 16.08.2009 22:01 59.674 ie8_main.log 16.08.2009 22:00 95.634 KB972260-IE8.log 16.08.2009 22:00 85.909 KB972636-IE8.log 16.08.2009 21:59 87.413 ie8.log 13.08.2009 08:34 13.600 KB960859.log 13.08.2009 08:34 13.646 KB971657.log 13.08.2009 08:34 13.144 KB971557.log 13.08.2009 08:34 8.811 KB956744.log 13.08.2009 08:33 8.397 KB973869.log 13.08.2009 08:33 13.785 KB973507.log 13.08.2009 08:33 8.156 KB973354.log 13.08.2009 08:33 8.114 KB973540.log 13.08.2009 08:29 13.042 KB973815.log 10.08.2009 18:34 1.409 QTFont.for 29.07.2009 15:02 96.613 KB972260-IE7.log 21.07.2009 13:18 843 Ulead32.ini 15.07.2009 19:38 6.525 KB973346.log 15.07.2009 19:38 11.508 KB971633.log 15.07.2009 19:36 11.786 KB961371.log 04.07.2009 09:40 2.179 setupact.log 04.07.2009 09:31 11.277 Wdf01005Inst.log 237 Datei(en) 1.100.436.458 Bytes 0 Verzeichnis(se), 30.886.690.816 Bytes frei Datenträger in Laufwerk C: ist boot Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\DOKUME~1\ROITZH~1\LOKALE~1\Temp 19.09.2009 22:47 0 etilqs_VYkV7rYemsIuHpER9jGz 19.09.2009 22:24 860 TWAIN.LOG 19.09.2009 22:24 5 Twain001.Mtx 19.09.2009 22:24 156 Twunk001.MTX 19.09.2009 10:14 102.244 jusched.log 19.09.2009 10:14 934 jinstall.cfg 19.09.2009 10:13 8.989 au-descriptor-1.6.0_15-b71.xml 18.09.2009 18:18 714.528 jre-6u15-windows-i586-iftw.exe 17.09.2009 23:08 1.692 wmplog01.sqm 17.09.2009 17:31 0 etilqs_DitNaPcxnQlh6U4TljlZ 17.09.2009 17:22 0 JETA9BD.tmp 17.09.2009 17:15 11.514.901 fla393.tmp 16.09.2009 20:44 1.464 wmplog00.sqm 15.09.2009 20:38 303.104 fsclm.dll 15.09.2009 20:38 1.754.016 fsonlinescanner.exe 15.09.2009 20:38 121.856 xmllite.dll 15.09.2009 16:52 1.409 Z@S342.tmp 15.09.2009 16:52 9.232 Z@R341.tmp 15.09.2009 16:52 1.409 Z@S340.tmp 15.09.2009 16:52 29.344 Z@R33F.tmp 15.09.2009 16:52 1.409 Z@S33E.tmp 15.09.2009 16:52 21.084 Z@R33D.tmp 15.09.2009 16:52 1.409 Z@S33B.tmp 15.09.2009 16:52 9.712 Z@R33A.tmp 15.09.2009 16:52 1.409 Z@S339.tmp 15.09.2009 16:52 28.500 Z@R338.tmp 15.09.2009 16:52 1.409 Z@S337.tmp 15.09.2009 16:52 22.124 Z@R336.tmp 15.09.2009 11:42 158.960 SSUPDATE.EXE 14.09.2009 15:36 2.744 java_install_reg.log 02.09.2009 23:35 761 jar_cache4054472867425929764.tmp 28.08.2009 22:38 0 5xyB8.tmp 27.08.2009 23:06 0 nhc70.tmp 26.08.2009 16:00 16.670 dd_vcredistUI04F4.txt 26.08.2009 16:00 521.220 dd_vcredistMSI04F4.txt 23.08.2009 17:15 0 Twunk002.MTX 36 Datei(en) 15.353.554 Bytes 0 Verzeichnis(se), 30.886.690.816 Bytes frei Übrigens hat mir Antivir nochmal eine Meldung gemacht In der Datei 'C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP130\A0017929.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen |
|
|
||
20.09.2009, 03:01
Ehrenmitglied
Beiträge: 6028 |
||
|
||
20.09.2009, 14:11
Member
Themenstarter Beiträge: 108 |
#22
okay hab ich jetzt gemacht und nun?
|
|
|
||
und gmer läuft jetzt schon seit vielen Stunden -.-
naja ich lasse es laufen und poste das Log noch