Tastatur und Touchpad nach Malwarescan totThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
04.01.2010, 20:31
Member
Themenstarter Beiträge: 13 |
||
|
||
04.01.2010, 20:39
Moderator
Beiträge: 5694 |
#17
Versuche nocheinmal mit GMER zu scannen und poste das aktuelle Log.
|
|
|
||
04.01.2010, 21:36
Member
Themenstarter Beiträge: 13 |
#18
Diesmal hat es mit dem Scan von GMER geklappt. hier das Log:
GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-04 21:19:30 Windows 6.0.6000 Running: 4ljet6ou.exe; Driver: C:\Users\Uwe\AppData\Local\Temp\kfldapog.sys ---- System - GMER 1.0.15 ---- SSDT 8D52E7F8 ZwConnectPort SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0x8DC3214C] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0x8DC3208C] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0x8DC320F0] ---- Kernel code sections - GMER 1.0.15 ---- .text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8B933340, 0x3481F7, 0xE8000020] ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Windows\system32\services.exe[664] @ C:\Windows\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00070002 IAT C:\Windows\system32\services.exe[664] @ C:\Windows\system32\services.exe [KERNEL32.dll!CreateProcessW] 00070000 ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\tdx \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\tdx \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001f3ade97cb Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001f3ade97cb (not active ControlSet) ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 08: copy of MBR ---- Files - GMER 1.0.15 ---- File C:\RRbackups\common 0 bytes File C:\RRbackups\common\bmgrmode.dat 29 bytes File C:\RRbackups\common\css.dat 8192 bytes File C:\RRbackups\common\hints.dat 8192 bytes File C:\RRbackups\common\mnd.dat 8192 bytes File C:\RRbackups\common\regcerts.dat 8192 bytes File C:\RRbackups\common\restore.log 110 bytes File C:\RRbackups\common\rr.log 7124 bytes File C:\RRbackups\common\rr_bcdenum.dat 2991 bytes File C:\RRbackups\common\SAM 262144 bytes File C:\RRbackups\common\seccache.dat 8192 bytes File C:\RRbackups\common\secpolicy.dat 24576 bytes File C:\RRbackups\common\settings.dat 32768 bytes File C:\RRbackups\common\system.dat 12288 bytes File C:\RRbackups\common\tvtcmn.dat 8192 bytes File C:\RRbackups\common\tvtns.bin 23 bytes File C:\RRbackups\common\usersids.dat 20800 bytes File C:\RRbackups\Documents and Settings 0 bytes File C:\RRbackups\Documents and Settings\Administrator 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Crypto 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Crypto\RSA 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1411152908-1974720859-479091762-500 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1411152908-1974720859-479091762-500\a077ead69703e3bf1fd373a3c9376faa_d80c5ac8-9741-433e-b319-b6d345055f41 77 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\CREDHIST 24 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\S-1-5-21-1411152908-1974720859-479091762-500 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\S-1-5-21-1411152908-1974720859-479091762-500\a927465e-5ca8-4a77-8ec5-b5b2857f6106 388 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\S-1-5-21-1411152908-1974720859-479091762-500\Preferred 24 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500\9220b9fb-43f7-4d54-94fa-682be39e25cd 388 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500\Preferred 24 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\SystemCertificates 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs 0 bytes File C:\RRbackups\Documents and Settings\Default 0 bytes File C:\RRbackups\Documents and Settings\Default\AppData 0 bytes File C:\RRbackups\Documents and Settings\Default\AppData\Roaming 0 bytes File C:\RRbackups\Documents and Settings\Default\AppData\Roaming\Microsoft 0 bytes File C:\RRbackups\Documents and Settings\Default\AppData\Roaming\Microsoft\Protect 0 bytes File C:\RRbackups\Documents and Settings\Default\AppData\Roaming\Microsoft\Protect\CREDHIST 24 bytes File C:\RRbackups\Documents and Settings\Default\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500 0 bytes File C:\RRbackups\Documents and Settings\Default\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500\9220b9fb-43f7-4d54-94fa-682be39e25cd 388 bytes File C:\RRbackups\Documents and Settings\Default\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500\Preferred 24 bytes File C:\RRbackups\Documents and Settings\Default\AppData\Roaming\Microsoft\SystemCertificates 0 bytes File C:\RRbackups\Documents and Settings\Default\AppData\Roaming\Microsoft\SystemCertificates\My 0 bytes File C:\RRbackups\Documents and Settings\Default\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates 0 bytes File C:\RRbackups\Documents and Settings\Default\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs 0 bytes File C:\RRbackups\Documents and Settings\Default\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs 0 bytes File C:\RRbackups\Documents and Settings\Default User 0 bytes File C:\RRbackups\Documents and Settings\Default User\AppData 0 bytes File C:\RRbackups\Documents and Settings\Default User\AppData\Roaming 0 bytes File C:\RRbackups\Documents and Settings\Default User\AppData\Roaming\Microsoft 0 bytes File C:\RRbackups\Documents and Settings\Default User\AppData\Roaming\Microsoft\Protect 0 bytes File C:\RRbackups\Documents and Settings\Default User\AppData\Roaming\Microsoft\Protect\CREDHIST 24 bytes File C:\RRbackups\Documents and Settings\Default User\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500 0 bytes File C:\RRbackups\Documents and Settings\Default User\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500\9220b9fb-43f7-4d54-94fa-682be39e25cd 388 bytes File C:\RRbackups\Documents and Settings\Default User\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500\Preferred 24 bytes File C:\RRbackups\Documents and Settings\Default User\AppData\Roaming\Microsoft\SystemCertificates 0 bytes File C:\RRbackups\Documents and Settings\Default User\AppData\Roaming\Microsoft\SystemCertificates\My 0 bytes File C:\RRbackups\Documents and Settings\Default User\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates 0 bytes File C:\RRbackups\Documents and Settings\Default User\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs 0 bytes File C:\RRbackups\Documents and Settings\Default User\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs 0 bytes File C:\RRbackups\Documents and Settings\Ewa 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Lenovo 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Lenovo\Client Security Solution 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Lenovo\Client Security Solution\config.ini 61 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Lenovo\Client Security Solution\cspContainer.dat 332 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Lenovo\Client Security Solution\cssversion.dat 1908 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Lenovo\Client Security Solution\encobject.dat 14472 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Lenovo\Client Security Solution\hibernation.dat 4 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Lenovo\Client Security Solution\hwkeys.dat 8496 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Lenovo\Client Security Solution\symkeys.dat 1968 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Crypto 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Crypto\RSA 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1411152908-1974720859-479091762-1003 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1411152908-1974720859-479091762-1003\49ac1cf87687c5a4c794042acbff288e_d80c5ac8-9741-433e-b319-b6d345055f41 2097 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1411152908-1974720859-479091762-1003\533145ef011ddf5ca3983e2545a902b4_d80c5ac8-9741-433e-b319-b6d345055f41 2097 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1411152908-1974720859-479091762-1003\eb51f407699b8da55d2678d4ef8cc545_d80c5ac8-9741-433e-b319-b6d345055f41 44 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Protect 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Protect\CREDHIST 160 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Protect\S-1-5-21-1411152908-1974720859-479091762-1003 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Protect\S-1-5-21-1411152908-1974720859-479091762-1003\2c661c15-3d5a-4362-848f-835682037cd8 388 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Protect\S-1-5-21-1411152908-1974720859-479091762-1003\Preferred 24 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500\9220b9fb-43f7-4d54-94fa-682be39e25cd 388 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500\Preferred 24 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\SystemCertificates 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\SystemCertificates\My 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs 0 bytes File C:\RRbackups\Documents and Settings\Ewa\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs 0 bytes File C:\RRbackups\Documents and Settings\Uwe 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Lenovo 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Lenovo\Client Security Solution 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Lenovo\Client Security Solution\config.ini 61 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Lenovo\Client Security Solution\cspContainer.dat 332 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Lenovo\Client Security Solution\cssversion.dat 1908 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Lenovo\Client Security Solution\encobject.dat 14472 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Lenovo\Client Security Solution\hibernation.dat 4 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Lenovo\Client Security Solution\hwkeys.dat 8496 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Lenovo\Client Security Solution\symkeys.dat 1968 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Crypto 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Crypto\RSA 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1411152908-1974720859-479091762-1002 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1411152908-1974720859-479091762-1002\49ac1cf87687c5a4c794042acbff288e_d80c5ac8-9741-433e-b319-b6d345055f41 2097 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1411152908-1974720859-479091762-1002\533145ef011ddf5ca3983e2545a902b4_d80c5ac8-9741-433e-b319-b6d345055f41 2097 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1411152908-1974720859-479091762-1002\6b29ae44e85efac3c72ff4d1865d73f1_d80c5ac8-9741-433e-b319-b6d345055f41 53 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1411152908-1974720859-479091762-1002\83aa4cc77f591dfc2374580bbd95f6ba_d80c5ac8-9741-433e-b319-b6d345055f41 45 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1411152908-1974720859-479091762-1002\a7611203b9949f06f81bda36bcbdd954_d80c5ac8-9741-433e-b319-b6d345055f41 44 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Protect 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Protect\CREDHIST 24 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Protect\S-1-5-21-1411152908-1974720859-479091762-1002 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Protect\S-1-5-21-1411152908-1974720859-479091762-1002\a0db7a05-2bc8-4707-8b91-000a74fe0eeb 388 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Protect\S-1-5-21-1411152908-1974720859-479091762-1002\Preferred 24 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500\9220b9fb-43f7-4d54-94fa-682be39e25cd 388 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\Protect\S-1-5-21-51003140-4199384537-3980697693-500\Preferred 24 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\SystemCertificates 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\SystemCertificates\My 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs 0 bytes File C:\RRbackups\Documents and Settings\Uwe\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs 0 bytes File C:\RRbackups\ProgramData 0 bytes File C:\RRbackups\ProgramData\Lenovo 0 bytes File C:\RRbackups\ProgramData\Lenovo\Client Security Solution 0 bytes File C:\RRbackups\ProgramData\Lenovo\Client Security Solution\encobject.dat 1608 bytes File C:\RRbackups\ProgramData\Lenovo\Client Security Solution\hwkeys.dat 4248 bytes File C:\RRbackups\ProgramData\Lenovo\Client Security Solution\symkeys.dat 656 bytes File C:\RRbackups\ProgramData\Microsoft 0 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto 0 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto\RSA 0 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto\RSA\MachineKeys 0 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto\RSA\MachineKeys\a077ead69703e3bf1fd373a3c9376faa_d80c5ac8-9741-433e-b319-b6d345055f41 77 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto\RSA\MachineKeys\capilock.dat 8 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto\RSA\S-1-5-18 0 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\8f71098770f72c7a67cd8f1151619865_d80c5ac8-9741-433e-b319-b6d345055f41 54 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d42cc0c3858a58db2db37658219e6400_d80c5ac8-9741-433e-b319-b6d345055f41 915 bytes ---- EOF - GMER 1.0.15 ---- |
|
|
||
04.01.2010, 21:47
Moderator
Beiträge: 5694 |
#19
Schritt 1
Wie siehts dann nun aus mit Rootrepeal? Falls es nicht geht, dann fahre direkt bei Schritt 2 weiter. Rootkitscan mit RootRepeal • Gehe hierhin, scrolle runter und downloade RootRepeal.zip. • Entpacke die Datei auf Deinen Desktop. • Doppelklicke die RootRepeal.exe, um den Scanner zu starten. • Klicke auf den Reiter Report und dann auf den Button Scan. • Mache einen Haken bei den folgenden Elementen und klicke Ok. . Drivers Files Processes SSDT Stealth Objects Hidden Services Shadow SSDT . • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. • Wähle C:\ und klicke wieder Ok. • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. • Wenn der Suchlauf beendet ist, klicke auf Save Report. • Speichere das Logfile als RootRepeal.txt auf dem Desktop. • Kopiere den Inhalt hier in den Thread. Schritt 2 Danach mach bitte noch folgende Onlinescans: FSecure, Bitdefender, ESET: http://forum.hijackthis.de/allgemeines/25893-kostenlose-online-scanner.html |
|
|
||
05.01.2010, 06:36
Member
Themenstarter Beiträge: 13 |
#20
Hi, bei Schritt 1 kam dieselbe Fehlermeldung wie oben (unter Nr. 8) beschrieben. Dann hab ich mit Bitdefender gescant: keine Viren, mit ESET: keine Viren, aber F-Secure wurde fündig, hier der Bericht. Jetzt versuche ich nochmal Schritt 1.
HG ustrix Scanbericht Dienstag, Januar 5, 2010 00:02:28 - 06:12:27 Name des Computers: UWE-PC Scantyp: Scansystem für Malware, Spyware und Rootkits Ziel: C:\ ------------------------------------------------------------------------ 10 Malware gefunden TrackingCookie.2o7 <http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.2o7&orig='disk'> (Spyware) * System (Desinfiziert) TrackingCookie.Advertising <http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Advertising&orig='disk'> (Spyware) * System (Desinfiziert) TrackingCookie.Atdmt <http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Atdmt&orig='disk'> (Spyware) * System (Desinfiziert) TrackingCookie.Adtech <http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Adtech&orig='disk'> (Spyware) * System (Desinfiziert) TrackingCookie.Doubleclick <http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Doubleclick&orig='disk'> (Spyware) * System (Desinfiziert) TrackingCookie.Zanox <http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Zanox&orig='disk'> (Spyware) * System (Desinfiziert) TrackingCookie.Mediaplex <http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Mediaplex&orig='disk'> (Spyware) * System (Desinfiziert) TrackingCookie.Tradedoubler <http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Tradedoubler&orig='disk'> (Spyware) * System (Desinfiziert) TrackingCookie.Atwola <http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Atwola&orig='disk'> (Spyware) * System (Desinfiziert) TrackingCookie.Yieldmanager <http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Yieldmanager&orig='disk'> (Spyware) * System (Desinfiziert) ------------------------------------------------------------------------ Statistik Gescannt: * Dateien: 38632 * System: 3874 * Nicht gescannt: 17 Aktionen: * Desinfiziert: 10 * Umbenannt: 0 * Gelöscht: 0 * Nicht bereinigt: 0 * Übermittelt: 0 Nicht gescannte Dateien: * C:\PAGEFILE.SYS * C:\HIBERFIL.SYS * C:\WINDOWS\SYSTEM32\CONFIG\COMPONENTS * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM * C:\WINDOWS\SYSTEM32\CONFIG\SAM * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT * C:\WINDOWS\SYSTEM32\CONFIG\REGBACK\COMPONENTS * C:\WINDOWS\SYSTEM32\CONFIG\REGBACK\DEFAULT * C:\WINDOWS\SYSTEM32\CONFIG\REGBACK\SOFTWARE * C:\WINDOWS\SYSTEM32\CONFIG\REGBACK\SAM * C:\WINDOWS\SYSTEM32\CONFIG\REGBACK\SECURITY * C:\WINDOWS\SYSTEM32\CONFIG\REGBACK\SYSTEM * C:\WINDOWS\SYSTEM32\CATROOT2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\CATDB * C:\WINDOWS\SYSTEM32\CATROOT2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\CATDB * C:\BOOT\BCD ------------------------------------------------------------------------ Optionen Scan-Engines: Scanoptionen: * Festgelegte Dateien scannen: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR * Erweiterte Heuristik verwenden ------------------------------------------------------------------------ Copyright © 1998-2009 Produktsupport <http://www.f-secure.de/estore> | Virusbeispiel an F-Secure senden <http://support.f-secure.com//enu/home/virusproblem/sample/> F-Secure übernimmt keine Verantwortung für Material, das von Drittparteien erstellt oder veröffentlicht wurde, die mit den WWW-Seiten von F-Secure verlinkt sind. Falls von Ihnen nicht ausdrücklich anders angegeben, stimmen Sie durch das Übermitteln von Material auf einen unserer Server, zum Beispiel per E-Mail oder über F-Secure CGI E-Mail, zu, dass das von Ihnen zur Verfügung gestellte Material auf den WWW-Seiten von F-Secure oder in gedruckten Publikationen von F-Secure veröffentlicht werden darf. Sie gelangen auf die öffentliche Website von F-Secure, indem Sie auf unterstrichene Links klicken. Dabei wird Ihr Zugriff in unserer privaten Zugriffsstatistik mit Ihrem Domänennamen protokolliert. Diese Informationen werden nicht an Dritte weitergeleitet. Sie erklären sich damit einverstanden, in Zusammenhang mit von Ihnen übermitteltem Material keine rechtlichen Schritte gegen uns einzuleiten. Falls von Ihnen nicht ausdrücklich anders angegeben, berechtigen Sie F-Secure durch die Übermittlung von Material, alle darin beschriebenen Konzepte in Produkten oder Publikationen von F-Secure zu veröffentlichen, ohne dass F-Secure dafür verantwortlich zeichnet. |
|
|
||
05.01.2010, 06:49
Member
Themenstarter Beiträge: 13 |
||
|
||
05.01.2010, 10:44
Moderator
Beiträge: 5694 |
#22
Das sieht doch sehr gut aus. Also das Gefundene bei FSecure sind lediglich Cookies. Werde am Abend noch die Abschlussanleitung schreiben Muss jetzt noch arbeiten
|
|
|
||
05.01.2010, 19:11
Moderator
Beiträge: 5694 |
#23
Hast Du zur zeit noch Probleme?
|
|
|
||
05.01.2010, 22:53
Member
Themenstarter Beiträge: 13 |
#24
1000 Dank. Hab jetzt zwar ein Problem, dass mein DVD-Laufwerk CDs nicht erkennt (nicht nur selbstgemachte, sondern z.B. auch die Original-Office-Professional-CD von Microsoft), aber ich fürchte, das hat andere Ursachen (Gerätemanager sagt: alles paletti).
Aber alles andere inkl. Sicherheitscenter funktioniert wieder. Ich bin Dir SEHR dankbar für Deinen zuverlässigen Support, sag mir bitte: wo kann ich mich erkenntlich zeigen?? HG ustrix |
|
|
||
06.01.2010, 18:33
Moderator
Beiträge: 5694 |
#25
Das einzige was ich Dir anbieten kann ist
http://board.protecus.de/media.php NACHSORGE Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern.Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra . Erstelle einen neuen Systemwiederherstellungspunkt Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User). • Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung • Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter • Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen. • Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen • Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK. Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen. Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt. Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich CCleaner, (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren. Weitere Massnahmen Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen. Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten. "Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen. Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren: • System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren). • Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen. • Internet Explorer sicher konfigurieren. • Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten. • Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren. • Nicht alles anklicken, wo klickmich draufsteht! • Gesunden Menschenverstand und Vorsicht walten lassen, • insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc., • am besten auf Filesharing über P2P-Programme ganz verzichten. • Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen. • Nicht benötigte Dienste und Programme gar nicht erst starten. Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind. • Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen. • Port-Scan-Test. • WLAN absichern. • Sichere Passwörter vergeben. • Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren. • Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen. • Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen. • Datensicherung nicht vergessen! Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben. |
|
|
||
10.12.2014, 13:19
...neu hier
Beiträge: 1 |
#26
Hallo zusammen.
Ich habe das selbe Problem mit meinem Touchpad. Habe Java neu installiert und auch den Treiber des Touchpads. Habe dann nochmal genau den Quarantäne log angeschaut. Zitat Malwarebytes Anti-MalwareMein Touchpad heißt Synaptics PS / 2 Port TouchPad bitte um hilfe. |
|
|
||
hier der Logfile - Resultat von Schritt 3:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 8 !
Gruß
ustrix