Virus, google Schrift im Internetexplorer komisch

#0
16.09.2009, 20:57
Member

Themenstarter

Beiträge: 108
#16 F-Secure Online Scanner 3.0 hat nichts gefunden

und gmer läuft jetzt schon seit vielen Stunden -.-

naja ich lasse es laufen und poste das Log noch
Seitenanfang Seitenende
17.09.2009, 06:46
Member

Themenstarter

Beiträge: 108
#17 GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-17 06:47:52
Windows 5.1.2600 Service Pack 3
Running: v7c9ucer.exe; Driver: C:\DOKUME~1\ROITZH~1\LOKALE~1\Temp\pfdiapow.sys


---- Devices - GMER 1.0.15 ----

Device \Driver\00000071 \Device\0000006d sptd.sys
Device \Driver\Cdrom \Device\CdRom0 86D35850
Device \Driver\Cdrom \Device\CdRom1 86D35850
Device \Driver\Cdrom \Device\CdRom2 86D35850
Device \Driver\Disk \Device\Harddisk0\DR0 86FD7808
Device \Driver\dtscsi \Device\Scsi\dtscsi1 86C4B570
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port3Path0Target0Lun0 86C4B570
Device \Driver\Ftdisk \Device\FtControl 86FD7C78
Device \Driver\Ftdisk \Device\HarddiskVolume1 86FD7C78
Device \Driver\Ftdisk \Device\HarddiskVolume2 86FD7C78
Device \Driver\Ftdisk \Device\HarddiskVolume3 86FD7C78
Device \Driver\NetBT \Device\NetbiosSmb 86B44A10
Device \Driver\NetBT \Device\NetBT_Tcpip_{86F58EC0-34C5-4C5C-A343-06D2AA5B5B85} 86B44A10
Device \Driver\NetBT \Device\NetBt_Wins_Export 86B44A10
Device \FileSystem\Cdfs \Cdfs 86B20D98
Device \FileSystem\Fastfat \Fat 86AD1C00

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Fastfat \FatCdrom 86AD1C00
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86B77580
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86B77580
Device \FileSystem\Msfs \Device\Mailslot 86A2ED48
Device \FileSystem\Npfs \Device\NamedPipe 86B8A0E8
Device \FileSystem\Ntfs \Ntfs 86FD75D0
Device \FileSystem\Rdbss \Device\FsWrap 86A45338

---- System - GMER 1.0.15 ----

SSDT F7C4A730 ZwOpenProcess
SSDT F7C4A735 ZwOpenThread
SSDT F7C4A73F ZwTerminateProcess
SSDT F7C4A744 ZwCreateThread
SSDT F7C4A74E ZwCreateKey
SSDT F7C4A753 ZwDeleteKey
SSDT F7C4A758 ZwSetValueKey
SSDT F7C4A75D ZwDeleteValueKey
SSDT F7C4A762 ZwLoadKey
SSDT F7C4A767 ZwRestoreKey
SSDT F7C4A76C ZwReplaceKey

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 17081B02B3D7422C39A094EE706F066F368015C9A856E45AA84268C77324823C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Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x89 0xAF 0x47 0xFB ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x7E 0xEE 0x18 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6B 0x84 0x6A 0xAB ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x89 0xAF 0x47 0xFB ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x7E 0xEE 0x18 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x7E 0x4B 0xBC 0xDE ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 -672187030
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 2027942169
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1430325466
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x89 0xAF 0x47 0xFB ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x7E 0xEE 0x18 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x7E 0x4B 0xBC 0xDE ...

SSDT sptd.sys ZwEnumerateKey [0xF748CC22]
SSDT sptd.sys ZwEnumerateValueKey [0xF748CF9A]
SSDT sptd.sys ZwOpenKey [0xF748C98E]
SSDT sptd.sys ZwQueryKey [0xF748D064]
SSDT sptd.sys ZwQueryValueKey [0xF748CEFC]

---- EOF - GMER 1.0.15 ----
Seitenanfang Seitenende
17.09.2009, 23:22
Moderator

Beiträge: 5694
#18 >>
Wende Superantispyware an und poste das Log:
http://board.protecus.de/t31252.htm

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

Gruss Swiss
Seitenanfang Seitenende
19.09.2009, 02:55
Member

Themenstarter

Beiträge: 108
#19 SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/19/2009 at 02:28 AM

Application Version : 4.29.1002

Core Rules Database Version : 4110
Trace Rules Database Version: 2050

Scan type : Complete Scan
Total Scan Time : 01:18:48

Memory items scanned : 627
Memory threats detected : 0
Registry items scanned : 6993
Registry threats detected : 0
File items scanned : 36699
File threats detected : 5


Trojan.Downloader-Gen/A
C:\DOKUMENTE UND EINSTELLUNGEN\ROITZHEIM\DESKTOP\SPIELE\MINISPIELE\MINISPIELE\TT\A.EXE

Trojan.Agent/Gen
C:\SYSTEM VOLUME INFORMATION\_RESTORE{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP111\A0016235.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP111\A0016342.EXE
C:\WINDOWS\PEV.EXE

Trojan.Dropper/Win-NV
C:\WINDOWS\TWAIN_32\A4CIS600\SERVICE.EXE


Hier schonmal das Superantispywarelog
datfind folgt noch
Seitenanfang Seitenende
19.09.2009, 22:50
Member

Themenstarter

Beiträge: 108
#20 Datenträger in Laufwerk C: ist boot
Volumeseriennummer: F0ED-29D3

Verzeichnis von c:\

19.09.2009 22:47 0 dirdat.txt
19.09.2009 02:54 1.073.270.784 hiberfil.sys
19.09.2009 02:54 1.610.612.736 pagefile.sys
06.09.2009 16:56 110.128 lxcf.log
23.08.2009 11:07 57.667 ComboFix.txt
21.07.2009 13:15 279 default.set
26 Datei(en) 2.685.766.030 Bytes
0 Verzeichnis(se), 30.886.825.984 Bytes frei
Datenträger in Laufwerk C: ist boot
Volumeseriennummer: F0ED-29D3




Verzeichnis von C:\WINDOWS\system32

19.09.2009 02:55 2.206 wpa.dbl
28.08.2009 23:38 24.689.600 MRT.exe
26.08.2009 20:19 838.620 TZLog.log
05.08.2009 10:59 206.336 mswebdvd.dll
19.07.2009 18:41 11.067.392 ieframe.dll
19.07.2009 15:11 5.937.152 mshtml.dll
17.07.2009 21:01 58.880 atl.dll
14.07.2009 13:03 46.080 tzchange.exe
13.07.2009 23:43 10.841.088 wmp.dll
13.07.2009 23:43 286.208 wmpdxm.dll
03.07.2009 18:55 915.456 wininet.dll
03.07.2009 18:55 206.848 occache.dll
03.07.2009 18:55 1.208.832 urlmon.dll
03.07.2009 18:55 594.432 msfeeds.dll
03.07.2009 18:55 55.296 msfeedsbs.dll
03.07.2009 18:55 25.600 jsproxy.dll
03.07.2009 18:55 1.469.440 inetcpl.cpl
03.07.2009 18:55 1.985.536 iertutil.dll
03.07.2009 18:55 184.320 iepeers.dll
03.07.2009 18:55 386.048 iedkcs32.dll
03.07.2009 13:01 173.056 ie4uinit.e 2448 Datei(en) 568.404.014 Bytes
0 Verzeichnis(se), 30.886.699.008 Bytes frei
Datenträger in Laufwerk C: ist boot
Volumeseriennummer: F0ED-29D3


Verzeichnis von C:\WINDOWS

19.09.2009 22:24 425.037 setupapi.log
19.09.2009 21:43 1.507.693 WindowsUpdate.log
19.09.2009 10:23 202 NeroDigital.ini
19.09.2009 02:55 0 0.log
19.09.2009 02:54 6.104 ModemLog_Bluetooth DUN Modem.txt
19.09.2009 02:54 4.246 ModemLog_Agere Systems PCI Soft Modem.txt
19.09.2009 02:54 159 wiadebug.log
19.09.2009 02:54 50 wiaservc.log
19.09.2009 02:54 2.048 bootstat.dat
19.09.2009 02:53 32.598 SchedLgU.Txt
17.09.2009 17:33 1.073.274.880 MEMORY.DMP
09.09.2009 22:23 9.234 ocmsn.log
09.09.2009 22:23 1.355 imsins.log
09.09.2009 22:23 55.647 comsetup.log
09.09.2009 22:23 33.710 ntdtcsetup.log
09.09.2009 22:23 63.696 tsoc.log
09.09.2009 22:23 26.448 iis6.log
09.09.2009 22:23 8.297 KB968816.log
09.09.2009 22:23 79.812 ocgen.log
09.09.2009 22:23 8.343 msgsocm.log
09.09.2009 22:23 166.282 FaxSetup.log
09.09.2009 22:23 56.207 updspapi.log
09.09.2009 22:23 1.355 imsins.BAK
09.09.2009 22:23 7.657 KB956844.log
09.09.2009 22:23 8.043 KB971961-IE8.log
04.09.2009 20:53 1.461 scummvm.ini
29.08.2009 23:28 54.156 QTFont.qfn
27.08.2009 17:40 5.937 wmsetup.log
26.08.2009 20:19 8.692 KB970653-v3.log
23.08.2009 11:04 227 system.ini
16.08.2009 22:05 8.517 spupdsvc.log
16.08.2009 22:02 84.295 KB968389.log
16.08.2009 22:01 59.674 ie8_main.log
16.08.2009 22:00 95.634 KB972260-IE8.log
16.08.2009 22:00 85.909 KB972636-IE8.log
16.08.2009 21:59 87.413 ie8.log
13.08.2009 08:34 13.600 KB960859.log
13.08.2009 08:34 13.646 KB971657.log
13.08.2009 08:34 13.144 KB971557.log
13.08.2009 08:34 8.811 KB956744.log
13.08.2009 08:33 8.397 KB973869.log
13.08.2009 08:33 13.785 KB973507.log
13.08.2009 08:33 8.156 KB973354.log
13.08.2009 08:33 8.114 KB973540.log
13.08.2009 08:29 13.042 KB973815.log
10.08.2009 18:34 1.409 QTFont.for
29.07.2009 15:02 96.613 KB972260-IE7.log
21.07.2009 13:18 843 Ulead32.ini
15.07.2009 19:38 6.525 KB973346.log
15.07.2009 19:38 11.508 KB971633.log
15.07.2009 19:36 11.786 KB961371.log
04.07.2009 09:40 2.179 setupact.log
04.07.2009 09:31 11.277 Wdf01005Inst.log

237 Datei(en) 1.100.436.458 Bytes
0 Verzeichnis(se), 30.886.690.816 Bytes frei
Datenträger in Laufwerk C: ist boot
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\DOKUME~1\ROITZH~1\LOKALE~1\Temp

19.09.2009 22:47 0 etilqs_VYkV7rYemsIuHpER9jGz
19.09.2009 22:24 860 TWAIN.LOG
19.09.2009 22:24 5 Twain001.Mtx
19.09.2009 22:24 156 Twunk001.MTX
19.09.2009 10:14 102.244 jusched.log
19.09.2009 10:14 934 jinstall.cfg
19.09.2009 10:13 8.989 au-descriptor-1.6.0_15-b71.xml
18.09.2009 18:18 714.528 jre-6u15-windows-i586-iftw.exe
17.09.2009 23:08 1.692 wmplog01.sqm
17.09.2009 17:31 0 etilqs_DitNaPcxnQlh6U4TljlZ
17.09.2009 17:22 0 JETA9BD.tmp
17.09.2009 17:15 11.514.901 fla393.tmp
16.09.2009 20:44 1.464 wmplog00.sqm
15.09.2009 20:38 303.104 fsclm.dll
15.09.2009 20:38 1.754.016 fsonlinescanner.exe
15.09.2009 20:38 121.856 xmllite.dll
15.09.2009 16:52 1.409 Z@S342.tmp
15.09.2009 16:52 9.232 Z@R341.tmp
15.09.2009 16:52 1.409 Z@S340.tmp
15.09.2009 16:52 29.344 Z@R33F.tmp
15.09.2009 16:52 1.409 Z@S33E.tmp
15.09.2009 16:52 21.084 Z@R33D.tmp
15.09.2009 16:52 1.409 Z@S33B.tmp
15.09.2009 16:52 9.712 Z@R33A.tmp
15.09.2009 16:52 1.409 Z@S339.tmp
15.09.2009 16:52 28.500 Z@R338.tmp
15.09.2009 16:52 1.409 Z@S337.tmp
15.09.2009 16:52 22.124 Z@R336.tmp
15.09.2009 11:42 158.960 SSUPDATE.EXE
14.09.2009 15:36 2.744 java_install_reg.log
02.09.2009 23:35 761 jar_cache4054472867425929764.tmp
28.08.2009 22:38 0 5xyB8.tmp
27.08.2009 23:06 0 nhc70.tmp
26.08.2009 16:00 16.670 dd_vcredistUI04F4.txt
26.08.2009 16:00 521.220 dd_vcredistMSI04F4.txt
23.08.2009 17:15 0 Twunk002.MTX
36 Datei(en) 15.353.554 Bytes
0 Verzeichnis(se), 30.886.690.816 Bytes frei











Übrigens hat mir Antivir nochmal eine Meldung gemacht

In der Datei 'C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP130\A0017929.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
Seitenanfang Seitenende
20.09.2009, 03:01
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#21 Systemwiederherstellung
Systemwiederherstellung (de)aktivieren
__________
MfG Argus
Seitenanfang Seitenende
20.09.2009, 14:11
Member

Themenstarter

Beiträge: 108
#22 okay hab ich jetzt gemacht und nun?
Seitenanfang Seitenende