RKIT/Agent.oxr <-- was tun |
||
---|---|---|
#0
| ||
25.08.2009, 22:22
Member
Themenstarter Beiträge: 126 |
||
|
||
26.08.2009, 10:19
Member
Beiträge: 3716 |
#32
Kannst du mbr.exe noch mal löschen, wieder laden und einfach mit doppelklick ausführen?
|
|
|
||
26.08.2009, 20:54
Member
Themenstarter Beiträge: 126 |
#33
Habe ich gemacht. Das Programm blitzt einmal kurz auf und schließt sich dann wieder. Nichts geschiet.
|
|
|
||
27.08.2009, 13:36
Member
Beiträge: 3716 |
#34
evtl. wird auf c: wieder ein log erstellt. hast du ne normale windows cd oder ne recovery?
|
|
|
||
27.08.2009, 19:28
Member
Themenstarter Beiträge: 126 |
#35
Ist ein TARGA Komplett PC mit Recovery CD.
Immerhin geht der Antivir Updater wieder und auch der Guard startet beim Neustart automatisch. |
|
|
||
28.08.2009, 10:54
Member
Beiträge: 3716 |
#36
hast du mal geschaut, ob ein Log erstellt worden ist? nutzt du Avira 8 oder 9
|
|
|
||
28.08.2009, 18:50
Member
Themenstarter Beiträge: 126 |
#37
Hallo,
also es wurde kein Log erstellt und ich nutze Antivir Version 9.0.0.407 |
|
|
||
28.08.2009, 19:44
Member
Beiträge: 3716 |
#38
Konfiguriere Avira wie folgt:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html Instalation weg lassen und Premium auch. danach update Avira, dann öffnen, lokaler Schutz und lokale Laufwerke, Funde in Quarantäne und Log posten. Danach erneut öffnen, lokaler Schutz und Rootkitsuche. Meldung am ende mit Nein anklicken und auch dieses Log posten. edit. lade mbr.exe noch einmal diesmal direkt auf den Desktop in einen eigenen Ordner, führe noch mal aus, es sollte nun auch ein logfile geben. Dieser Beitrag wurde am 28.08.2009 um 20:57 Uhr von virenfinder editiert.
|
|
|
||
28.08.2009, 22:03
Member
Themenstarter Beiträge: 126 |
#39
Hier schonmal der mbr Log. Geändert hat sich nicht viel:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully BIOS signateure not found AntiVir läuft drüber. Aber irgendwie bleibt das Prog beim durchsuchen der Registry hängen. Seit Minuten durchsucht es den Bootsektor P:/. Nichts geschiet. Dieser Beitrag wurde am 28.08.2009 um 22:09 Uhr von Schumi78 editiert.
|
|
|
||
28.08.2009, 22:17
Member
Beiträge: 3716 |
#40
Hallo, wenn das weiterhin so ist, brich den scan ab, gehe dann auf konfiguration scanner suche und stelle das durchsuchen von boot und masterbootsektoren ab, starte dann erneut den scan
|
|
|
||
28.08.2009, 23:17
Member
Themenstarter Beiträge: 126 |
#41
Der Scan mit Rootkitsuche klappte:
Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 28. August 2009 22:13 Es wird nach 1668725 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Kevin Computername : SUERLÄNNER2007 Versionsinformationen: BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 05.08.2009 19:30:12 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:29:38 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 19:48:35 ANTIVIR2.VDF : 7.1.5.146 3087360 Bytes 21.08.2009 19:40:55 ANTIVIR3.VDF : 7.1.5.179 236544 Bytes 28.08.2009 19:34:09 Engineversion : 8.2.1.7 AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 13:33:10 AESCRIPT.DLL : 8.1.2.26 463227 Bytes 26.08.2009 19:33:57 AESCN.DLL : 8.1.2.4 127348 Bytes 22.07.2009 19:27:19 AERDL.DLL : 8.1.2.4 430452 Bytes 14.07.2009 19:32:49 AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 19:18:57 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 19:22:28 AEHEUR.DLL : 8.1.0.155 1921400 Bytes 18.08.2009 19:32:26 AEHELP.DLL : 8.1.6.0 233846 Bytes 18.08.2009 19:32:05 AEGEN.DLL : 8.1.1.59 356725 Bytes 26.08.2009 19:33:56 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 09:49:36 AECORE.DLL : 8.1.7.6 184694 Bytes 22.07.2009 19:27:17 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 09:49:34 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 19:23:59 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Suche nach Rootkits Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp Protokollierung.......................: hoch Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: aus Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Erweiterte Sucheinstellungen..........: 0x00300922 Beginn des Suchlaufs: Freitag, 28. August 2009 22:13 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\modules [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\start [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\type [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\imagepath [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\group [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys\modules [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys\start [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys\type [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys\imagepath [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys\group [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\uac [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\cd042efbbd7f7af1647644e76e06692b [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\threadingmodel [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\bca643cdc5c2726b20d2ecedcc62c59b [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\threadingmodel [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\2c81e34222e8052573023a60d06dd016 [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\threadingmodel [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\2582ae41fb52324423be06337561aa48 [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\threadingmodel [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\caaeda5fd7a9ed7697d9686d4b818472 [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\threadingmodel [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\a4a1bcf2cc2b8bc3716b74b2b4522f5d [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\threadingmodel [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\4d370831d2c43cd13623e232fed27b7b [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\threadingmodel [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\1d68fe701cdea33e477eb204b76f993d [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\threadingmodel [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\1fac81b91d8e3c5aa4b0a51804d844a3 [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\threadingmodel [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\f5f62a6129303efb32fbe080bb27835b [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\threadingmodel [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\fd4e2e1a3940b94dceb5a6a021f2e3c6 [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\threadingmodel [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\8a8aec57dd6508a385616fbc86791ec2 [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag11.00.00.01workstation [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-2304334248-2844320727-2284384132-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C6500930-2FBA-77DB-71E1-BC1C9DD3772D}\paknjpgmpgcjaahcecmhibaiekienbjj [INFO] Der Registrierungseintrag ist nicht sichtbar. Es wurden '278168' Objekte überprüft, '37' versteckte Objekte wurden gefunden. Ende des Suchlaufs: Freitag, 28. August 2009 22:13 Benötigte Zeit: 00:33 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 0 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 0 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 0 Hinweise 278168 Objekte wurden beim Rootkitscan durchsucht 37 Versteckte Objekte wurden gefunden |
|
|
||
29.08.2009, 00:06
Member
Beiträge: 3716 |
#42
was ist mit dem scan nach vieren?
|
|
|
||
29.08.2009, 01:03
Ehrenmitglied
Beiträge: 6028 |
#43
Kreiere auf dein Desktop eine neuen Ordner mit namen z.b Sysprot
Download Sysprot.exe dahin Entpacke SysProt AntiRootkit Schliesse alle Fenster und starte SysProt.exe Klicke auf den Reiter Log und setze ein Häkchen in: * Process * Kernel Modules * SSDT * Kernel Hooks * Hidden Files Ganz unten Hidden Objects Only anhaaken Klicke jetzt Create Log Am Ende erscheint ein Logfile (C:\SysProtLog.txt) poste dessen Inhalt hier im Thread __________ MfG Argus |
|
|
||
29.08.2009, 17:23
Member
Themenstarter Beiträge: 126 |
#44
Müssen auch die Drives und Folders druchsucht werden? Habe einfach auf Ok gedrückt und dieser Log entstand:
SysProt AntiRootkit v1.0.1.0 by swatkat ****************************************************************************************** ****************************************************************************************** No Hidden Processes found ****************************************************************************************** ****************************************************************************************** Kernel Modules: Module Name: \systemroot\system32\drivers\UACkinjuhkqkx.sys Service Name: UACd.sys Module Base: --- Module End: --- Hidden: Yes Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys Service Name: --- Module Base: AABC9000 Module End: AABE1000 Hidden: Yes Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS Service Name: --- Module Base: F79E5000 Module End: F79E7000 Hidden: Yes Module Name: \??\C:\DOKUME~1\Kevin\LOKALE~1\Temp\mbr.sys Service Name: mbr Module Base: A77DA000 Module End: A77DD000 Hidden: Yes ****************************************************************************************** ****************************************************************************************** No SSDT Hooks found ****************************************************************************************** ****************************************************************************************** Kernel Hooks: Hooked Function: ZwFlushInstructionCache At Address: 8057797A Jump To: 86104F9C Module Name: _unknown_ Hooked Function: ZwEnumerateKey At Address: 8056EE68 Jump To: 86105714 Module Name: _unknown_ Hooked Function: IofCompleteRequest At Address: 804E3BF6 Jump To: 86105D73 Module Name: _unknown_ Hooked Function: IofCallDriver At Address: 804E37C5 Jump To: 86105A43 Module Name: _unknown_ ****************************************************************************************** ****************************************************************************************** No hidden files/folders found |
|
|
||
30.08.2009, 01:12
Ehrenmitglied
Beiträge: 6028 |
#45
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Drivers to disable:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb __________ MfG Argus |
|
|
||
mbr hat nichts gefunden außer:
BIOS signateure not found
Halt da isser doch:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
BIOS signateure not found