GMER meldet Rootkit

#0
19.01.2010, 20:30
Member

Themenstarter

Beiträge: 20
#16

Code

Malwarebytes' Anti-Malware 1.44
Database version: 3599
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

19.01.2010 20:25:55
mbam-log-2010-01-19 (20-25-44).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 302984
Time elapsed: 25 minute(s), 40 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 4

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\System Volume Information\_restore{628C661B-679A-47A1-884A-9E7BBE1831E8}\RP1\A0000077.sys (Malware.Trace) -> No action taken.
D:\Win32 Torrents\Soundforge_v8\ftd#350466\keygen\keygen.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\sto452730.dat (Worm.KoobFace) -> No action taken.
C:\WINDOWS\sto453250.dat (Worm.KoobFace) -> No action taken.
Firefox geht nicht mehr - vielleicht sind nurt die Programmdateien durchgeschossen.
Ansonsten ist mir nix negatives mehr aufgefallen - abwarten...
Seitenanfang Seitenende
19.01.2010, 20:44
Member

Beiträge: 3716
#17 hast du die funde entfernt?
wenn ja, neu starten, scahauen ob der ff geht, wenn nicht deinstalieren, aktuellste version vorher laden und instalieren.
Seitenanfang Seitenende
19.01.2010, 20:56
Member

Themenstarter

Beiträge: 20
#18 Funde hatte ich entfernt.
Neu gestartet vorhin glaub ich noch nicht, jetzt ja.

Firefox tuts nicht.
Ich lade neu herunter und spiele auf ->

Auf jeden Fall schonmal !Vielen Dank!
Dieser Beitrag wurde am 19.01.2010 um 21:04 Uhr von Mal editiert.
Seitenanfang Seitenende
19.01.2010, 21:02
Member

Themenstarter

Beiträge: 20
#19 Gerade neu installiert, meine Einstellungen beibehalten, aber leider kommt der noch immer nicht an die Seiten. ;)
Seitenanfang Seitenende
19.01.2010, 21:42
Member

Beiträge: 3716
#20 c:\windows\system32\stu2.exe
c:\windows\system32\wmpns.dll
c--a-w- c:\windows\system32\dllcache\reset.exe


prüfe die bei virustotal poste die ergebnisse, falls dateien bereits analysiert, klicke erneut prüfen.
Seitenanfang Seitenende
19.01.2010, 22:15
Member

Themenstarter

Beiträge: 20
#21 Alle drei sind bereits analysiert worden, alle drei werden auch bei erneuter Prüfung von keiner Virensoftware als schädlich erkannt und alle drei scheinen copyrighted by Microsoft zu sein (zwei Windows und eine Media Player Datei).

Trotzdem die Ergebnisse hier posten?
Seitenanfang Seitenende
20.01.2010, 12:15
Member

Beiträge: 3716
Seitenanfang Seitenende
20.01.2010, 12:36
Member

Themenstarter

Beiträge: 20
#23 Schade, ich hatte mich schon total gefreut als das Programm erst 1 und später sogar zwei Infektionen anzeigte

... leider handelte es sich beide Male um umbenannte combofix Exe-Dateien.


Vielleicht sollte ich erstmal eine Windows-Reparatur versuchen?
Seitenanfang Seitenende
20.01.2010, 12:57
Member

Beiträge: 3716
#24 gibt es denn noch probleme?
Seitenanfang Seitenende
20.01.2010, 13:00
Member

Themenstarter

Beiträge: 20
#25 Firefox funktioniert nicht - den Internet Explorer hab ich nicht versucht und hoffentlich nicht voll installiert.
Seitenanfang Seitenende
20.01.2010, 13:16
Member
Avatar Gool

Beiträge: 4730
#26 Erstelle mal ein neues Firefox Benutzerprofil - unter c:\Dokumente und Einstellungen\Dein Profil\Anwendngsdaten\Mozilla Firefox\profiles müsste eine profiles.ini und ein Ordner mit einem kryptischen Namen liegen - beides einmal umbenennen. Wenn Du das getan hast, starte den Firefox, damit er ein neues Profil anlegt. Die Einstellungen sind dann aber verloren.

Ach ja, installiere UNBEDINGT alle Microsoft Patches. Auch das ServicePack 3 und den IE8, selbst wenn Du ihn normalerweise nicht benutzt.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
20.01.2010, 13:18
Member

Beiträge: 3716
#27 den internetexplorer hat man immer instaliert und er muss auch immer aktuell sein.
Seitenanfang Seitenende
20.01.2010, 13:26
Member

Themenstarter

Beiträge: 20
#28 Ich habe mal den Avira Antivir drüber gejagt und der hat tatsächlich 5 Funde angezeigt:

- (Objekt) H8SRTarubvdppay.dll.vir (Fund: TR/PCK.Tdss.AA.3825)
- (Objekt) H8SRTxlojxnbmxw.dll.vir (Fund: TR/Spy.40960.248)
- (Objekt) A0000004.dll (Fund: TR/PCK.TdssAA.3825)
- (Objekt) A0000006.dll (Fund: TR/Spy.40960.248)
- (Objekt) A0000156.dll (Fund: TR/Trash.Gen)

Ich hab noch nichts gemacht, Antivir fragt, ob ich "alles reparieren" soll?
Seitenanfang Seitenende
20.01.2010, 13:33
Member

Themenstarter

Beiträge: 20
#29 Die obersten beiden wurden doch bereits von Combofix entdeckt.
Aber falls es noch Reste gab, haben die vielleicht wieder ne Ausführung gemacht und die wieder generiert oder aufgespielt?

Bei Malwarebytes konnte ich auch nur "Remove" klicken, wie ich "in Qarantäne" verschiebe, hab ich nicht herausgefunden.
Seitenanfang Seitenende
20.01.2010, 13:45
Member
Avatar Gool

Beiträge: 4730
#30 Die letzten drei Objekte sind in der Systemwiederherstellung. Diese abschalten und wieder anschalten, um die Wiederherstellungspunkte zu löschen.

Die ersten beiden Objekte kannst Du löschen bzw. unbearbeitet lassen. An der Endung .vir siehst Du, dass AntiVir diese Dateien bereits als Virus erkannt und in die Quarantäne verschoben hat.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: