Vundo.gen trojan und andere |
||
---|---|---|
#0
| ||
23.12.2009, 23:05
Member
Beiträge: 11 |
||
|
||
24.12.2009, 11:41
Member
Beiträge: 3716 |
#2
Du hast da eine sehr ungesund wirkende mischung an trojanern, rootkits und backdoors auf dem system.
Wenn du online banking oder sonst etwas mit geld am pc machst, dann teile deiner bank unbedingt das problem mit! Weiterhin müssen alle passwörter von einem sauberen system aus geendert werden, und du solltest dann unsere anleitung zum neu aufsetzen abarbeiten. wenn du das nicht willst, dann http://board.protecus.de/t23188.htm gmer, hijackthis, combofix logs posten. |
|
|
||
25.12.2009, 22:26
Member
Themenstarter Beiträge: 11 |
#3
Hi! Frohe Weihnachten erst mal und danke für die ersten Hinweise und Empfehlungen für das weitere Vorgehen! Bevor ich neu aufsetze,habe ich mich für euren anderen Tip mit dem abarbeiten der verschiedenen Punkte entschieden.Ich habe hier hjt-logfile,gmer-report,uninstall-list,mbam habe ich schon gesendet .Ich würde mich freuen,wenn ihr wieder eine Beurteilung abgeben köntet.
GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2009-12-25 21:28:26 Windows 5.1.2600 Service Pack 2 Running: fhsm42de.exe; Driver: C:\DOKUME~1\Mauke\LOKALE~1\Temp\fxtdypob.sys ---- System - GMER 1.0.15 ---- SSDT F7AA7536 ZwCreateKey SSDT F7AA752C ZwCreateThread SSDT F7AA753B ZwDeleteKey SSDT F7AA7545 ZwDeleteValueKey SSDT sptd.sys ZwEnumerateKey [0xF7395E2C] SSDT sptd.sys ZwEnumerateValueKey [0xF73961BA] SSDT F7AA754A ZwLoadKey SSDT sptd.sys ZwOpenKey [0xF73900B0] SSDT F7AA7518 ZwOpenProcess SSDT F7AA751D ZwOpenThread SSDT sptd.sys ZwQueryKey [0xF7396292] SSDT sptd.sys ZwQueryValueKey [0xF7396112] SSDT F7AA7554 ZwReplaceKey SSDT F7AA754F ZwRestoreKey SSDT F7AA7540 ZwSetValueKey SSDT F7AA7527 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- ? lqjtxp.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload F6EF280C 5 Bytes JMP 860DB758 ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F73A6886] sptd.sys IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F73A6832] sptd.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F73C8892] sptd.sys IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F73A6886] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7390AD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7390C1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7390B9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7391748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F739161E] sptd.sys IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73A5ACA] sptd.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 863641E8 AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 mouclass.sys (Mausklassentreiber/Microsoft Corporation) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \Driver\usbohci \Device\USBPDO-0 860D21E8 Device \Driver\usbohci \Device\USBPDO-1 860D21E8 Device \Driver\usbehci \Device\USBPDO-2 8615C1E8 Device \Driver\usbohci \Device\USBPDO-3 860D21E8 Device \Driver\Ftdisk \Device\HarddiskVolume1 863D21E8 Device \Driver\NetBT \Device\NetBT_Tcpip_{0BC84891-F711-4D22-B557-7044AC35852F} 8604E1E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 863D21E8 Device \Driver\Cdrom \Device\CdRom0 860E31E8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 863651E8 Device \Driver\atapi \Device\Ide\IdePort0 863651E8 Device \Driver\atapi \Device\Ide\IdePort1 863651E8 Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 863651E8 Device \Driver\NetBT \Device\NetBt_Wins_Export 8604E1E8 Device \Driver\NetBT \Device\NetbiosSmb 8604E1E8 Device \Driver\usbohci \Device\USBFDO-0 860D21E8 Device \Driver\usbohci \Device\USBFDO-1 860D21E8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 85DF71E8 Device \Driver\usbohci \Device\USBFDO-2 860D21E8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 85DF71E8 Device \Driver\usbehci \Device\USBFDO-3 8615C1E8 Device \Driver\Ftdisk \Device\FtControl 863D21E8 Device \Driver\NetBT \Device\NetBT_Tcpip_{7AA93E96-5D08-4CA5-8248-2D22CA059EE2} 8604E1E8 Device \FileSystem\Cdfs \Cdfs 861D7458 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 ---- EOF - GMER 1.0.15 ---- Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 22:00:49, on 25.12.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16945) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lmrfrq9lraq5imlwql3eq3l3.antigravitysite1.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202761217584 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 6692 bytes Adobe Flash Player ActiveX Adobe Flash Player Plugin Adobe Reader 8.1.3 - Deutsch Adobe Shockwave Player ANIO Service ANIWZCS2 Service Avance AC'97 Audio Avira AntiVir Personal - Free Antivirus AVS DVD Player version 2.4 Bowling Evolution 1.07 CCleaner (remove only) Conceptronic 54Mbps Wireless Utility EVEREST Home Edition v2.20 Gadu-Gadu 7.7 Google Earth HiJackThis Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix for Windows XP (KB915865) Hotfix for Windows XP (KB926239) Hotfix für Windows Internet Explorer 7 (KB947864) Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB897338) Hotfix für Windows XP (KB898900) Hotfix für Windows XP (KB899271) Hotfix für Windows XP (KB903234) Hotfix für Windows XP (KB904412) Hotfix für Windows XP (KB906569) Hotfix für Windows XP (KB907865) Hotfix für Windows XP (KB912817) Hotfix für Windows XP (KB913538) Hotfix für Windows XP (KB914841) Hotfix für Windows XP (KB917021) Hotfix für Windows XP (KB917730) Hotfix für Windows XP (KB918005) Hotfix für Windows XP (KB924867) Hotfix für Windows XP (KB924941) Hotfix für Windows XP (KB929120) Hotfix für Windows XP (KB935448) Hotfix für Windows XP (KB952287) Hotfix für Windows XP (KB961118) Hotfix für Windows XP (KB970653-v3) Hotfix für Windows XP (KB976098-v2) hp deskjet 3816 series (nur entfernen) ICQ Toolbar ICQ6 IPS Malwarebytes' Anti-Malware McDonald's Dragons Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.0 German Language Pack Microsoft .NET Framework 3.0 German Language Pack Microsoft .NET Framework 3.0 Service Pack 2 Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 SP1 Microsoft AutoRoute 2002 Microsoft Encarta Enzyklopädie 2002 Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Picture It! Foto 2002 Microsoft Rechner-Plus Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Word 2002 Microsoft Works 2002-Setup-Start Microsoft Works 6.0 Microsoft Works Suite-Add-Ins für Microsoft Word Mission Maulwurf Mozilla Firefox (3.0.16) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) MSXML 4.0 SP2 (KB973688) MSXML 6 Service Pack 2 (KB973686) Nero NVIDIA Windows 2000/XP Display Drivers PasswordTools Shockwave Sicherheitsupdate für Step by Step Interactive Training (KB923723) Sicherheitsupdate für Windows Internet Explorer 7 (KB928090) Sicherheitsupdate für Windows Internet Explorer 7 (KB929969) Sicherheitsupdate für Windows Internet Explorer 7 (KB937143) Sicherheitsupdate für Windows Internet Explorer 7 (KB938127) Sicherheitsupdate für Windows Internet Explorer 7 (KB942615) Sicherheitsupdate für Windows Internet Explorer 7 (KB944533) Sicherheitsupdate für Windows Internet Explorer 7 (KB950759) Sicherheitsupdate für Windows Internet Explorer 7 (KB953838) Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows Internet Explorer 7 (KB963027) Sicherheitsupdate für Windows Internet Explorer 7 (KB969897) Sicherheitsupdate für Windows Internet Explorer 7 (KB972260) Sicherheitsupdate für Windows Internet Explorer 7 (KB974455) Sicherheitsupdate für Windows Internet Explorer 7 (KB976325) Sicherheitsupdate für Windows Media Player (KB911564) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player (KB954155) Sicherheitsupdate für Windows Media Player (KB968816) Sicherheitsupdate für Windows Media Player (KB973540) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows Media Player 6.4 (KB925398) Sicherheitsupdate für Windows XP (KB890046) Sicherheitsupdate für Windows XP (KB893756) Sicherheitsupdate für Windows XP (KB896358) Sicherheitsupdate für Windows XP (KB896423) Sicherheitsupdate für Windows XP (KB896424) Sicherheitsupdate für Windows XP (KB896428) Sicherheitsupdate für Windows XP (KB899587) Sicherheitsupdate für Windows XP (KB899589) Sicherheitsupdate für Windows XP (KB899591) Sicherheitsupdate für Windows XP (KB900725) Sicherheitsupdate für Windows XP (KB901017) Sicherheitsupdate für Windows XP (KB901190) Sicherheitsupdate für Windows XP (KB901214) Sicherheitsupdate für Windows XP (KB905414) Sicherheitsupdate für Windows XP (KB905749) Sicherheitsupdate für Windows XP (KB908519) Sicherheitsupdate für Windows XP (KB911562) Sicherheitsupdate für Windows XP (KB911927) Sicherheitsupdate für Windows XP (KB912919) Sicherheitsupdate für Windows XP (KB913580) Sicherheitsupdate für Windows XP (KB914388) Sicherheitsupdate für Windows XP (KB914389) Sicherheitsupdate für Windows XP (KB917537) Sicherheitsupdate für Windows XP (KB917953) Sicherheitsupdate für Windows XP (KB918118) Sicherheitsupdate für Windows XP (KB918439) Sicherheitsupdate für Windows XP (KB919007) Sicherheitsupdate für Windows XP (KB920213) Sicherheitsupdate für Windows XP (KB920214) Sicherheitsupdate für Windows XP (KB920670) Sicherheitsupdate für Windows XP (KB920683) Sicherheitsupdate für Windows XP (KB920685) Sicherheitsupdate für Windows XP (KB921503) Sicherheitsupdate für Windows XP (KB922819) Sicherheitsupdate für Windows XP (KB923191) Sicherheitsupdate für Windows XP (KB923414) Sicherheitsupdate für Windows XP (KB923561) Sicherheitsupdate für Windows XP (KB923694) Sicherheitsupdate für Windows XP (KB923789) Sicherheitsupdate für Windows XP (KB923980) Sicherheitsupdate für Windows XP (KB924191) Sicherheitsupdate für Windows XP (KB924270) Sicherheitsupdate für Windows XP (KB924496) Sicherheitsupdate für Windows XP (KB924667) Sicherheitsupdate für Windows XP (KB925486) Sicherheitsupdate für Windows XP (KB925902) Sicherheitsupdate für Windows XP (KB926255) Sicherheitsupdate für Windows XP (KB926436) Sicherheitsupdate für Windows XP (KB927779) Sicherheitsupdate für Windows XP (KB927802) Sicherheitsupdate für Windows XP (KB928255) Sicherheitsupdate für Windows XP (KB928843) Sicherheitsupdate für Windows XP (KB929123) Sicherheitsupdate für Windows XP (KB930178) Sicherheitsupdate für Windows XP (KB931261) Sicherheitsupdate für Windows XP (KB931784) Sicherheitsupdate für Windows XP (KB932168) Sicherheitsupdate für Windows XP (KB933729) Sicherheitsupdate für Windows XP (KB935839) Sicherheitsupdate für Windows XP (KB935840) Sicherheitsupdate für Windows XP (KB936021) Sicherheitsupdate für Windows XP (KB937894) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB938829) Sicherheitsupdate für Windows XP (KB941202) Sicherheitsupdate für Windows XP (KB941568) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB941644) Sicherheitsupdate für Windows XP (KB941693) Sicherheitsupdate für Windows XP (KB943055) Sicherheitsupdate für Windows XP (KB943460) Sicherheitsupdate für Windows XP (KB943485) Sicherheitsupdate für Windows XP (KB944653) Sicherheitsupdate für Windows XP (KB945553) Sicherheitsupdate für Windows XP (KB946026) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB948590) Sicherheitsupdate für Windows XP (KB948881) Sicherheitsupdate für Windows XP (KB950749) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952004) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956572) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB956844) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958470) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB958869) Sicherheitsupdate für Windows XP (KB959426) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960715) Sicherheitsupdate für Windows XP (KB960803) Sicherheitsupdate für Windows XP (KB960859) Sicherheitsupdate für Windows XP (KB961371) Sicherheitsupdate für Windows XP (KB961373) Sicherheitsupdate für Windows XP (KB961501) Sicherheitsupdate für Windows XP (KB968537) Sicherheitsupdate für Windows XP (KB969059) Sicherheitsupdate für Windows XP (KB969947) Sicherheitsupdate für Windows XP (KB970238) Sicherheitsupdate für Windows XP (KB970430) Sicherheitsupdate für Windows XP (KB971486) Sicherheitsupdate für Windows XP (KB971557) Sicherheitsupdate für Windows XP (KB971633) Sicherheitsupdate für Windows XP (KB971657) Sicherheitsupdate für Windows XP (KB971961) Sicherheitsupdate für Windows XP (KB973346) Sicherheitsupdate für Windows XP (KB973354) Sicherheitsupdate für Windows XP (KB973507) Sicherheitsupdate für Windows XP (KB973525) Sicherheitsupdate für Windows XP (KB973869) Sicherheitsupdate für Windows XP (KB973904) Sicherheitsupdate für Windows XP (KB974112) Sicherheitsupdate für Windows XP (KB974318) Sicherheitsupdate für Windows XP (KB974392) Sicherheitsupdate für Windows XP (KB974571) Sicherheitsupdate für Windows XP (KB975025) Sicherheitsupdate für Windows XP (KB975467) Skype™ 3.8 SMSC IrCC V5.1.3600.2 SP1 Spelling Dictionaries Support For Adobe Reader 8 Synaptics TouchPad Toggolino - Zahlenabenteuer Update for Microsoft .NET Framework 3.5 SP1 (KB963707) Update für Windows Internet Explorer 7 (KB976749) Update für Windows XP (KB896256) Update für Windows XP (KB897663) Update für Windows XP (KB898461) Update für Windows XP (KB900485) Update für Windows XP (KB904942) Update für Windows XP (KB907265) Update für Windows XP (KB908521) Update für Windows XP (KB908531) Update für Windows XP (KB910437) Update für Windows XP (KB911280) Update für Windows XP (KB916595) Update für Windows XP (KB916846) Update für Windows XP (KB920342) Update für Windows XP (KB920872) Update für Windows XP (KB922120) Update für Windows XP (KB922582) Update für Windows XP (KB925720) Update für Windows XP (KB927891) Update für Windows XP (KB930916) Update für Windows XP (KB932823-v3) Update für Windows XP (KB936357) Update für Windows XP (KB938828) Update für Windows XP (KB942763) Update für Windows XP (KB951072-v2) Update für Windows XP (KB955839) Update für Windows XP (KB967715) Update für Windows XP (KB968389) Update für Windows XP (KB971737) Update für Windows XP (KB973687) Update für Windows XP (KB973815) Wichtiges Update für Windows Media Player 11 (KB959772) Windows Imaging Component Windows Installer 3.1 (KB893803) Windows Internet Explorer 7 Windows Media Format 11 runtime Windows Media Format 11 runtime Windows Media Format SDK Hotfix - KB891122 Windows Media Player 11 Windows Media Player 11 Windows Media Player Firefox Plugin Windows Presentation Foundation Windows Presentation Foundation Language Pack (DEU) Windows Workflow Foundation DE Language Pack Windows XP Service Pack 2 Windows XP-Hotfix - KB319740 Windows XP-Hotfix - KB873339 Windows XP-Hotfix - KB884883 Windows XP-Hotfix - KB885222 Windows XP-Hotfix - KB885626 Windows XP-Hotfix - KB885836 Windows XP-Hotfix - KB885884 Windows XP-Hotfix - KB885894 Windows XP-Hotfix - KB886677 Windows XP-Hotfix - KB886716 Windows XP-Hotfix - KB887472 Windows XP-Hotfix - KB888302 Windows XP-Hotfix - KB889016 Windows XP-Hotfix - KB889673 Windows XP-Hotfix - KB890831 Windows XP-Hotfix - KB890859 Windows XP-Hotfix - KB891781 Windows XP-Hotfix - KB896626 WinRAR XML Paper Specification Shared Components Language Pack 1.0 |
|
|
||
25.12.2009, 22:35
Member
Beiträge: 3716 |
#4
ok, nun bitte combofix. schau in deine pm box, du hast ne nachicht.
|
|
|
||
25.12.2009, 23:53
Member
Themenstarter Beiträge: 11 |
#5
Hi! So,habe jetzt auch noch Combofix durchlaufen lassen und hier ist die log-Datei,bitte wieder um eine Beurteilung und weiteres Vorgehen,schon mal im Voraus danke!ComboFix 09-12-25.02 - Mauke 25.12.2009 23:36:46.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1021.767 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Mauke\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_MSUPDATE ((((((((((((((((((((((( Dateien erstellt von 2009-11-25 bis 2009-12-25 )))))))))))))))))))))))))))))) . 2009-12-25 20:54 . 2009-12-25 20:54 388096 ----a-r- c:\dokumente und einstellungen\Mauke\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe 2009-12-25 20:54 . 2009-12-25 20:54 -------- d-----w- c:\programme\TrendMicro 2009-12-23 20:53 . 2009-12-23 20:53 -------- d-----w- c:\dokumente und einstellungen\Mauke\Anwendungsdaten\Malwarebytes 2009-12-23 20:53 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-12-23 20:53 . 2009-12-23 20:53 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-12-23 20:53 . 2009-12-23 20:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-12-23 20:53 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-12-13 00:22 . 2001-08-18 12:00 80306 ----a-w- c:\windows\system32\perfc007.dat 2009-12-13 00:22 . 2001-08-18 12:00 449044 ----a-w- c:\windows\system32\perfh007.dat 2009-12-08 19:06 . 2009-11-01 19:05 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-11-03 21:32 . 2009-11-03 21:32 -------- d-----w- c:\programme\Avira 2009-11-03 21:32 . 2009-11-03 21:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-10-29 07:41 . 2001-08-18 12:00 832512 ----a-w- c:\windows\system32\wininet.dll 2009-10-29 07:40 . 2008-02-11 17:05 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-10-29 07:40 . 2001-08-18 12:00 17408 ----a-w- c:\windows\system32\corpol.dll 2009-10-27 16:30 . 2008-02-11 17:10 58128 ----a-w- c:\dokumente und einstellungen\Mauke\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-10-21 06:00 . 2008-02-11 17:05 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-21 06:00 . 2008-02-11 17:05 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-20 14:58 . 2008-02-11 17:05 263552 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-13 10:44 . 2001-08-18 12:00 271360 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:51 . 2001-08-18 12:00 69632 ----a-w- c:\windows\system32\raschap.dll 2009-10-12 13:51 . 2001-08-18 12:00 113152 ----a-w- c:\windows\system32\rastls.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2008-09-26 2356088] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="NvQTwk" [X] "SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2003-02-09 106496] "SoundMan"="SOUNDMAN.EXE" [2003-02-09 46592] "nwiz"="nwiz.exe" [2003-02-09 372736] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-02-09 126976] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-02-09 557056] "Conceptronic Conceptronic 54Mbps Wireless Utility"="c:\programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe" [2006-01-25 950272] "ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152] "NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "WorksFUD"="c:\programme\Microsoft Works\wkfud.exe" [2001-10-09 24576] "Microsoft Works Portfolio"="c:\programme\Microsoft Works\WksSb.exe" [2001-10-04 331830] "Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-04 28738] "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-06-06 188416] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Erinnerungen in Microsoft Works-Kalender.lnk - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [2001-10-4 24633] Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Gadu-Gadu\\gg.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11.02.2008 20:53 682232] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.11.2009 22:32 108289] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [18.08.2008 23:35 222456] S1 wyoustjm;wyoustjm;\??\c:\windows\system32\drivers\wyoustjm.sys --> c:\windows\system32\drivers\wyoustjm.sys [?] . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://lmrfrq9lraq5imlwql3eq3l3.antigravitysite1.net FF - ProfilePath - c:\dokumente und einstellungen\Mauke\Anwendungsdaten\Mozilla\Firefox\Profiles\yah37our.default\ FF - prefs.js: browser.search.selectedEngine - Wikipedia (de) FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/ FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np32asw.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKU-Default-Run-Win32load - c:\dokumente und einstellungen\LocalService\Anwendungsdaten\50deee.exe HKU-Default-Run-svchost.exe - \svchost.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-12-25 23:42 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x863641E8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf74fcfc3 \Driver\ACPI -> ACPI.sys @ 0xf734ecb8 \Driver\atapi -> 0x863641e8 IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a009d ParseProcedure -> ntoskrnl.exe @ 0x8056d56b \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a009d ParseProcedure -> ntoskrnl.exe @ 0x8056d56b NDIS: -> SendCompleteHandler -> 0x0 PacketIndicateHandler -> 0x0 SendHandler -> 0x0 Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(3824) c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir Desktop\avguard.exe c:\windows\system32\nvsvc32.exe c:\windows\SOUNDMAN.EXE c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-12-25 23:45:33 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-12-25 22:45 Vor Suchlauf: 6 Verzeichnis(se), 69.424.295.936 Bytes frei Nach Suchlauf: 7 Verzeichnis(se), 70.535.651.328 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn - - End Of File - - AD730AEFDC71BFA3AE434D79D83CFFB8 |
|
|
||
26.12.2009, 12:30
Member
Beiträge: 3716 |
#6
1. möchte ich, dass du alle wichtigen daten sicherst.
2. drweb cureit: http://board.protecus.de/t29351.htm nach anleitung ausführen, das einzige was du anders machen sollst, ist die heuristik angeschalten lassen, log posten. |
|
|
||
27.12.2009, 01:05
Member
Themenstarter Beiträge: 11 |
#7
Hallo,ich bin es wieder mal! Habe jetzt auch noch Dr.Web CureIt gescannt,er hat 23 Infizierungen gefunden,die aber schon in Quarantäne waren(meiner Meinung nach),weil er von infizierten Dateien im Container und Archiv spricht,aber ich denke ,das ihr das besser beurteilen könnt und dann noch eine Frage zu den infizierten Objekten,die ich nach deiner Anweisung erst mal nur verschoben habe,was soll ich damit machen,löschen oder...??
Hier die log:4b43726f.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b43726f.qua;Trojan.PWS.Panda.122;; 4b43726f.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b43727d.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b43727d.qua;Trojan.DownLoad.35952;; 4b43727d.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b456831.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b456831.qua;Trojan.DownLoad.35952;; 4b456831.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b46684e.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b46684e.qua;Trojan.Packed.166;; 4b46684e.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b46728c.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b46728c.qua;Trojan.Packed.166;; 4b46728c.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b47726c.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b47726c.qua;Trojan.Packed.166;; 4b47726c.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b4c726c.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b4c726c.qua;Trojan.PWS.Tanspy.1272;; 4b4c726c.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b4d7269.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b4d7269.qua;Trojan.Siggen.20133;; 4b4d7269.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b566830.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b566830.qua;Trojan.Siggen.20133;; 4b566830.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b576833.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b576833.qua;Trojan.Packed.166;; 4b576833.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b5a6821.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b5a6821.qua;Trojan.Packed.166;; 4b5a6821.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b797261.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b797261.qua;Trojan.DownLoad.35952;; 4b797261.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b846859.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b846859.qua;Trojan.Packed.166;; 4b846859.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b847296.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b847296.qua;Trojan.PWS.Tanspy.1272;; 4b847296.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b876851.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b876851.qua;Trojan.PWS.Panda.122;; 4b876851.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b88684e.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b88684e.qua;BackDoor.Tdss.based.1;; 4b88684e.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b8972a0.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b8972a0.qua;Trojan.Siggen.20133;; 4b8972a0.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4f84301f.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4f84301f.qua;BackDoor.Tdss.based.1;; 4f84301f.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4f850857.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4f850857.qua;BackDoor.Tdss.based.1;; 4f850857.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Dokumente und Einstellungen\Mauke\Desktop\ComboFix.exe;Wahrscheinlich BATCH.Virus;; ComboFix.exe;C:\Dokumente und Einstellungen\Mauke\Desktop;Archiv enthält infizierte Objekte;Verschoben.; A0071880.exe;C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP337;Trojan.DownLoad.35952;Gelöscht.; A0073179.bat;C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP346;Wahrscheinlich BATCH.Virus;; A0073266.exe\32788R22FWJFW\List-C.bat;C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP346\A0073266.exe;Wahrscheinlich BATCH.Virus;; A0073266.exe;C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP346;Archiv enthält infizierte Objekte;Verschoben.; |
|
|
||
27.12.2009, 12:32
Member
Beiträge: 3716 |
#8
hmm der drweb hat nicht das getan, was ich eigendlich wollte.
http://support.kaspersky.com/de/faq/?qid=207620123 versuch mal den tdss killer, berichte obs funktioniert. |
|
|
||
28.12.2009, 17:17
Member
Themenstarter Beiträge: 11 |
#9
Hi! Habe auch noch mit TDSS-Killer gescannt,hie die Log.-Datei,warte weiter auf Ratschläge!!15:39:24:928 1176 TDSSKiller 2.1.1 Dec 20 2009 02:40:02
15:39:24:928 1176 ================================================================================ 15:39:24:928 1176 SystemInfo: 15:39:24:928 1176 OS Version: 5.1.2600 ServicePack: 2.0 15:39:24:928 1176 Product type: Workstation 15:39:24:928 1176 ComputerName: MD5400 15:39:24:928 1176 UserName: Mauke 15:39:24:928 1176 Windows directory: C:\WINDOWS 15:39:24:928 1176 Processor architecture: Intel x86 15:39:24:928 1176 Number of processors: 1 15:39:24:928 1176 Page size: 0x1000 15:39:24:938 1176 Boot type: Normal boot 15:39:24:938 1176 ================================================================================ 15:39:24:938 1176 ForceUnloadDriver: NtUnloadDriver error 2 15:39:24:938 1176 ForceUnloadDriver: NtUnloadDriver error 2 15:39:24:938 1176 ForceUnloadDriver: NtUnloadDriver error 2 15:39:24:938 1176 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\Drivers\KLMD.sys) returned status 0 15:39:24:948 1176 main: Driver KLMD successfully dropped 15:39:24:948 1176 main: Driver KLMD successfully loaded 15:39:24:948 1176 Scanning Registry ... 15:39:24:948 1176 ScanServices: Searching service UACd.sys 15:39:24:948 1176 ScanServices: Open/Create key error 2 15:39:24:948 1176 ScanServices: Searching service TDSSserv.sys 15:39:24:948 1176 ScanServices: Open/Create key error 2 15:39:24:948 1176 ScanServices: Searching service gaopdxserv.sys 15:39:24:948 1176 ScanServices: Open/Create key error 2 15:39:24:948 1176 ScanServices: Searching service gxvxcserv.sys 15:39:24:948 1176 ScanServices: Open/Create key error 2 15:39:24:948 1176 ScanServices: Searching service MSIVXserv.sys 15:39:24:948 1176 ScanServices: Open/Create key error 2 15:39:24:948 1176 UnhookRegistry: Kernel module file name: C:\windows\system32\ntoskrnl.exe, base addr: 804D7000 15:39:24:978 1176 UnhookRegistry: Kernel local addr: A40000 15:39:24:978 1176 UnhookRegistry: KeServiceDescriptorTable addr: AC3120 15:39:24:988 1176 UnhookRegistry: KiServiceTable addr: A4B6A8 15:39:24:988 1176 UnhookRegistry: NtEnumerateKey service number (local): 47 15:39:24:988 1176 UnhookRegistry: NtEnumerateKey local addr: AD9D3E 15:39:24:988 1176 KLMD_OpenDevice: Trying to open KLMD device 15:39:24:988 1176 KLMD_GetSystemRoutineAddressA: Trying to get system routine address ZwEnumerateKey 15:39:24:988 1176 KLMD_GetSystemRoutineAddressW: Trying to get system routine address ZwEnumerateKey 15:39:24:988 1176 KLMD_ReadMem: Trying to ReadMemory 0x804DCC49[0x4] 15:39:24:988 1176 UnhookRegistry: NtEnumerateKey service number (kernel): 47 15:39:24:988 1176 KLMD_ReadMem: Trying to ReadMemory 0x804E27C4[0x4] 15:39:24:988 1176 UnhookRegistry: NtEnumerateKey real addr: 80570D3E 15:39:24:988 1176 UnhookRegistry: NtEnumerateKey calc addr: 80570D3E 15:39:24:988 1176 UnhookRegistry: No SDT hooks found on NtEnumerateKey 15:39:24:988 1176 KLMD_ReadMem: Trying to ReadMemory 0x80570D3E[0xA] 15:39:24:988 1176 UnhookRegistry: No splicing found on NtEnumerateKey 15:39:24:998 1176 Scanning Kernel memory ... 15:39:24:998 1176 KLMD_OpenDevice: Trying to open KLMD device 15:39:24:998 1176 KLMD_GetSystemObjectAddressByNameA: Trying to get system object address by name \Driver\Disk 15:39:24:998 1176 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk 15:39:24:998 1176 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 862C2A08 15:39:24:998 1176 DetectCureTDL3: KLMD_GetDeviceObjectList returned 3 DevObjects 15:39:24:998 1176 DetectCureTDL3: 0 Curr stack PDEVICE_OBJECT: 862B5C68 15:39:24:998 1176 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862B5C68 15:39:24:998 1176 KLMD_ReadMem: Trying to ReadMemory 0x862B5C68[0x38] 15:39:24:998 1176 DetectCureTDL3: DRIVER_OBJECT addr: 862C2A08 15:39:24:998 1176 KLMD_ReadMem: Trying to ReadMemory 0x862C2A08[0xA8] 15:39:24:998 1176 KLMD_ReadMem: Trying to ReadMemory 0xE13870A8[0x208] 15:39:24:998 1176 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk 15:39:24:998 1176 DetectCureTDL3: IrpHandler (0) addr: F74FEC30 15:39:24:998 1176 DetectCureTDL3: IrpHandler (1) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (2) addr: F74FEC30 15:39:24:998 1176 DetectCureTDL3: IrpHandler (3) addr: F74F8D9B 15:39:24:998 1176 DetectCureTDL3: IrpHandler (4) addr: F74F8D9B 15:39:24:998 1176 DetectCureTDL3: IrpHandler (5) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (6) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (7) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (8) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (9) addr: F74F9366 15:39:24:998 1176 DetectCureTDL3: IrpHandler (10) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (11) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (12) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (13) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (14) addr: F74F944D 15:39:24:998 1176 DetectCureTDL3: IrpHandler (15) addr: F74FCFC3 15:39:24:998 1176 DetectCureTDL3: IrpHandler (16) addr: F74F9366 15:39:24:998 1176 DetectCureTDL3: IrpHandler (17) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (18) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (19) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (20) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (21) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (22) addr: F74FAEF3 15:39:24:998 1176 DetectCureTDL3: IrpHandler (23) addr: F74FFA24 15:39:24:998 1176 DetectCureTDL3: IrpHandler (24) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (25) addr: 804FA88E 15:39:24:998 1176 DetectCureTDL3: IrpHandler (26) addr: 804FA88E 15:39:24:998 1176 KLMD_ReadMem: Trying to ReadMemory 0x0[0x400] 15:39:24:998 1176 KLMD_ReadMem: DeviceIoControl error 1 15:39:24:998 1176 TDL3_StartIoHookDetect: Unable to get StartIo handler code 15:39:24:998 1176 TDL3_FileDetect: Processing driver: Disk 15:39:24:998 1176 TDL3_FileDetect: Parameters: C:\WINDOWS\system32\drivers\disk.sys, C:\WINDOWS\system32\Drivers\disk.tsk, SYSTEM\CurrentControlSet\Services\Disk, system32\Drivers\disk.tsk 15:39:24:998 1176 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\drivers\disk.sys 15:39:24:998 1176 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\drivers\disk.sys 15:39:25:008 1176 DetectCureTDL3: 1 Curr stack PDEVICE_OBJECT: 862B6C68 15:39:25:008 1176 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862B6C68 15:39:25:008 1176 KLMD_ReadMem: Trying to ReadMemory 0x862B6C68[0x38] 15:39:25:008 1176 DetectCureTDL3: DRIVER_OBJECT addr: 862C2A08 15:39:25:008 1176 KLMD_ReadMem: Trying to ReadMemory 0x862C2A08[0xA8] 15:39:25:008 1176 KLMD_ReadMem: Trying to ReadMemory 0xE13870A8[0x208] 15:39:25:008 1176 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk 15:39:25:008 1176 DetectCureTDL3: IrpHandler (0) addr: F74FEC30 15:39:25:008 1176 DetectCureTDL3: IrpHandler (1) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (2) addr: F74FEC30 15:39:25:008 1176 DetectCureTDL3: IrpHandler (3) addr: F74F8D9B 15:39:25:008 1176 DetectCureTDL3: IrpHandler (4) addr: F74F8D9B 15:39:25:008 1176 DetectCureTDL3: IrpHandler (5) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (6) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (7) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (8) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (9) addr: F74F9366 15:39:25:008 1176 DetectCureTDL3: IrpHandler (10) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (11) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (12) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (13) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (14) addr: F74F944D 15:39:25:008 1176 DetectCureTDL3: IrpHandler (15) addr: F74FCFC3 15:39:25:008 1176 DetectCureTDL3: IrpHandler (16) addr: F74F9366 15:39:25:008 1176 DetectCureTDL3: IrpHandler (17) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (18) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (19) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (20) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (21) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (22) addr: F74FAEF3 15:39:25:008 1176 DetectCureTDL3: IrpHandler (23) addr: F74FFA24 15:39:25:008 1176 DetectCureTDL3: IrpHandler (24) addr: 804FA88E 15:39:25:008 1176 DetectCureTDL3: IrpHandler (25) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (26) addr: 804FA88E 15:39:25:018 1176 KLMD_ReadMem: Trying to ReadMemory 0x0[0x400] 15:39:25:018 1176 KLMD_ReadMem: DeviceIoControl error 1 15:39:25:018 1176 TDL3_StartIoHookDetect: Unable to get StartIo handler code 15:39:25:018 1176 TDL3_FileDetect: Processing driver: Disk 15:39:25:018 1176 TDL3_FileDetect: Parameters: C:\WINDOWS\system32\drivers\disk.sys, C:\WINDOWS\system32\Drivers\disk.tsk, SYSTEM\CurrentControlSet\Services\Disk, system32\Drivers\disk.tsk 15:39:25:018 1176 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\drivers\disk.sys 15:39:25:018 1176 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\drivers\disk.sys 15:39:25:018 1176 DetectCureTDL3: 2 Curr stack PDEVICE_OBJECT: 862BAAB8 15:39:25:018 1176 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862BAAB8 15:39:25:018 1176 DetectCureTDL3: 2 Curr stack PDEVICE_OBJECT: 862CA158 15:39:25:018 1176 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862CA158 15:39:25:018 1176 DetectCureTDL3: 2 Curr stack PDEVICE_OBJECT: 862C5D98 15:39:25:018 1176 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862C5D98 15:39:25:018 1176 KLMD_ReadMem: Trying to ReadMemory 0x862C5D98[0x38] 15:39:25:018 1176 DetectCureTDL3: DRIVER_OBJECT addr: 862CA720 15:39:25:018 1176 KLMD_ReadMem: Trying to ReadMemory 0x862CA720[0xA8] 15:39:25:018 1176 KLMD_ReadMem: Trying to ReadMemory 0xE1387050[0x208] 15:39:25:018 1176 DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi 15:39:25:018 1176 DetectCureTDL3: IrpHandler (0) addr: 863641E8 15:39:25:018 1176 DetectCureTDL3: IrpHandler (1) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (2) addr: 863641E8 15:39:25:018 1176 DetectCureTDL3: IrpHandler (3) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (4) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (5) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (6) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (7) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (8) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (9) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (10) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (11) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (12) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (13) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (14) addr: 863641E8 15:39:25:018 1176 DetectCureTDL3: IrpHandler (15) addr: 863641E8 15:39:25:018 1176 DetectCureTDL3: IrpHandler (16) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (17) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (18) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (19) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (20) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (21) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (22) addr: 863641E8 15:39:25:018 1176 DetectCureTDL3: IrpHandler (23) addr: 863641E8 15:39:25:018 1176 DetectCureTDL3: IrpHandler (24) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (25) addr: 804FA88E 15:39:25:018 1176 DetectCureTDL3: IrpHandler (26) addr: 804FA88E 15:39:25:018 1176 KLMD_ReadMem: Trying to ReadMemory 0xF72E97C6[0x400] 15:39:25:018 1176 TDL3_StartIoHookDetect: CheckParameters: 0, 0, 229, 0 15:39:25:018 1176 TDL3_FileDetect: Processing driver: atapi 15:39:25:018 1176 TDL3_FileDetect: Parameters: C:\WINDOWS\system32\drivers\atapi.sys, C:\WINDOWS\system32\Drivers\atapi.tsk, SYSTEM\CurrentControlSet\Services\atapi, system32\Drivers\atapi.tsk 15:39:25:018 1176 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\drivers\atapi.sys 15:39:25:018 1176 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\drivers\atapi.sys 15:39:25:028 1176 Completed Results: 15:39:25:028 1176 Infected objects in memory: 0 15:39:25:028 1176 Cured objects in memory: 0 15:39:25:028 1176 Infected objects on disk: 0 15:39:25:028 1176 Objects on disk cured on reboot: 0 15:39:25:028 1176 Objects on disk deleted on reboot: 0 15:39:25:028 1176 Registry nodes deleted on reboot: 0 15:39:25:028 1176 |
|
|
||
28.12.2009, 17:27
Member
Beiträge: 3716 |
||
|
||
28.12.2009, 20:24
Member
Themenstarter Beiträge: 11 |
#11
Hi!Habe mit der mbr.exe gescannt,scheint in Ordnung zu sein,hier die log-datei,habe aber spasshalber auch noch mal mit der mbam(Malwarebytes-antimalware)-exe gescannt,die 1mal fündig wurde(Rootkit.agent),aber wenn man bedenkt,das ich schon mal über 30 Funde hatte ,ist da ja schon nicht schlecht ,bis dannStealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
|
|
||
28.12.2009, 21:14
Member
Beiträge: 3716 |
#12
sieht gut aus, noch probleme?
|
|
|
||
28.12.2009, 21:30
Member
Themenstarter Beiträge: 11 |
#13
Probleme eigentlich nicht,aber was mache ich z.B. mit den infizierten Objekten in Quarantäne?? und wenn ich jetzt demnächst noch infizierte Objekte gemeldet bekomme ,wie heute z.B. bei mbam(Rootkit.agent),einfach löschen und gut,ab wann muss ich mir wieder Gedanken machen???
|
|
|
||
28.12.2009, 21:51
Member
Beiträge: 3716 |
#14
wo hat malwarebytes was gemeldet?
start ausführen, combofix /u enter deinstaliert combofix. http://www.hijackthis-forum.de/tipps-tricks/25986-CCleaner-anleitung.html CCleaner mit zusätzliche ordner bereinigen lassen rechtsklick auf arbeitsplatz, eigenschaften, systemwiederherstellung auf allen laufwerken deaktivieren, übernehmen ok 5 min warten, einschalten. |
|
|
||
28.12.2009, 22:04
Member
Themenstarter Beiträge: 11 |
#15
Habe heute einen C-Scan mi Malwarebytes gemacht und ist 1-mal füngig geworden(Rootkit.agent),den Scan-Report schickr ich hier mit. combofix konnte ich mit deiner Anleitung nicht deinstallieren,kann ich doch auch über Systemsteuerung oder??und was soll das deaktivieren der Systemsteuerung bewirken nur mal so zur Erklärung?
|
|
|
||
Datenbank Version: 3418
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13
23.12.2009 22:36:22
mbam-log-2009-12-23 (22-36-22).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 147141
Laufzeit: 38 minute(s), 36 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 4
Infizierte Dateien: 17
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{73364d99-1240-4dff-b11a-67e448373048} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{73364d99-1240-4dff-b11a-67e448373048} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{73364d99-1240-4dff-b11a-67e448373048} (Trojan.Goldun) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{73364d99-1240-4dff-b11a-67e448373048} (Trojan.Goldun) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msupdate (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\gasfkywtnomabl (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\twain_32 (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\twain_32 (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP334\A0070712.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP334\A0070713.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP337\A0071852.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP337\A0071853.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP337\A0071854.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\twain_32\user.ds (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\twain_32\user.ds (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds.cla (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gasfkylkdvbnre.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gasfkyqkcbdwlg.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gasfkyytjpymwy.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mauke\Lokale Einstellungen\Temp\d.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.