Provider warnt vor Viren |
||
---|---|---|
#0
| ||
01.04.2010, 21:38
Member
Beiträge: 24 |
||
|
||
01.04.2010, 21:58
Member
Beiträge: 3716 |
#2
1. später solltest du dir über dein update verhalten gedanken machen, ist nicht besonders :-)
2. komplett abarbeiten, logs posten http://board.protecus.de/t23188.htm 3. wenn der pc nicht unbedingt im netz sein muss, ziehe das netzwerkkabel bis wir fertig sind. |
|
|
||
02.04.2010, 14:46
Member
Themenstarter Beiträge: 24 |
#3
ich habe es doch noch geschafft hijack laufen zu lassen schien anscheinend vorhin an etwas anderem zulegen hier die log
Zitat Logfile of Trend Micro HijackThis v2.0.3 (BETA)HIER die Uninstalllist Zitat AC3Filter (remove only) |
|
|
||
02.04.2010, 15:04
Member
Beiträge: 3716 |
#4
lass erst mal gmer weg und mach combofix
|
|
|
||
02.04.2010, 15:37
Member
Themenstarter Beiträge: 24 |
||
|
||
02.04.2010, 16:02
Member
Beiträge: 3716 |
#6
versuche erneut gmer.
|
|
|
||
02.04.2010, 16:31
Member
Themenstarter Beiträge: 24 |
#7
leider selbe problem wieder
nachdem ich gmer starte und er anfängt zu scannen switcht mein xp style auf den alten style um und ich bekomme einen bluescreen mit folgendem inhalt " [...] Ein Treiber hat den stapelbasierten Puffer überschritten. Dieser Überlauf könnte es einem bösartigen Benutzer ermöglichen die Steuerung des Computers zuübernehmen [...]" |
|
|
||
02.04.2010, 16:37
Member
Beiträge: 3716 |
#8
ok download radix:
http://www.chip.de/downloads/Radix-Antirootkit_33955330.html schalte alle aktieven programme, wie das antivirus programm aus. trenne die internetverbindung, in dem du wlan ausschaltest, bzw das netzwerkkabel ziehst, dann öffne radix, registerkarte 1-klick wartung, alles aktivieren, scan starten, log hochladen. während des scans nicht am pc arbeiten. falls meldungen auftauchen, poste diese. |
|
|
||
02.04.2010, 17:05
Member
Themenstarter Beiträge: 24 |
#9
nach ner minute kam das
it is possible to do an extendet search for hidden drivers, i you enable the global flag FLG_MAINTAIN_OBJECT_TYPELIST of the windows kernel. this parameter is normally used for driver debugging purposes. Generally enabling it doesnt harm your system the perfomance penalty of telling the kernel that is has to keep a Typelist is neglegible in most cases Do you want me to enable this flag? please note that the setting will become effective after the next reboot so it wont be available for this scan you can always change this settings dialog hab JA angekreuzt danach füllte sich das vorher leere fenster dann kam eine fehlermeldung "Das Laufwekr ist nicht bereit . die verriegelung könnte geöffnet sein. stellen sie sicher, dass ein datenräger in laufwerk eingelegt und die laufwerkverggleung geschlossen ist hab weiter gedrückt da kein laufwerk offen ist danach kam die selbe fehlermeldung hab dann abbrechen gedrückt daraus folgte dass bei IRP hooks, Patched modules,SDT hooks, IDT hooks und bei IAT hooksein Warndreieck anstatt ein grüner hacken auftaucht Anhang: radixanti.txt
|
|
|
||
02.04.2010, 17:18
Member
Beiträge: 3716 |
#10
kannst du mal nen neustart machen und das noch mal probieren? schau mal ob die meldung auftritt, falls ja versuch erst mal weiter oder dann abbrechen. sehe mir das log an, aber die obere endung wird ja, wie geschrieben erst nach neustart gültig
aber ich hab dein rootkit schon gefunden, das kriegen wir hin. |
|
|
||
02.04.2010, 17:41
Member
Themenstarter Beiträge: 24 |
#11
habe deinen rat befolgt und einen neustart gemacht.....
wenn er bei HIDDEN REGISTRY ENTRIES angelangt ist kommt diese meldung due to the undocumented nature of the registry, this check may return invalid results deleting data from the registry can do serious harm to your system therefore you shoudl be very cautious when interpreting the output of this scan are you sure taht you want to scan? hab JA angekreuzt dann kommt wieder die meldung mit dem laufwerk, hab auf weiter geklickt > selbe meldung...hab auch wiederholen geklickt > selbe meldung selbe spiel IRP HOOKS,Patched modules,SDT hooks und IAT hooks bekommen ein warndreieck ( kann es vllt im zusammenhang mit der fehlermeldung liegen dass mein laufwerk schon seitlängeren aus unergreiflichen gründen keine cd's mehr liest ? sobald ich eine cd im laufwerk habe tut er so als ob keine drin wäre, ich habe mir das immer dadurch erklärt dass das laufwerk vllt an altersschwäche leidet und es auch dabei belassen) Anhang: 2te.txt
|
|
|
||
02.04.2010, 17:53
Member
Beiträge: 3716 |
#12
nein, die meldung verursacht das rootkit. ich muss erst durch schauen, moment
|
|
|
||
02.04.2010, 17:57
Member
Beiträge: 3716 |
#13
start programme zubehör, editor, kopiere ein:
Killall:: Rootkit:: C:\WINDOWS\system32\drivers\vpjrp.sys C:\WINDOWS\system32\drivers\ayh0iouy.SYS Driver:: ayh0iouy vpjrp Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vpjrp] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vpjrp] datei speichern unter, typ, alle dateien, name cfscript.txt speicherort, dort wo sich combofix befindet. ziehe cfscript.txt auf combofix.exe programm startet, log posten. |
|
|
||
02.04.2010, 18:24
Member
Themenstarter Beiträge: 24 |
#14
ComboFix 10-04-01.02 - Marko 02.04.2010 18:05:36.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2047.1389 [GMT 2:00] ausgeführt von:: e:\mp3player\ComboFix.exe Benutzte Befehlsschalter :: e:\mp3player\cfscript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_VPJRP -------\Service_vpjrp ((((((((((((((((((((((( Dateien erstellt von 2010-03-02 bis 2010-04-02 )))))))))))))))))))))))))))))) . 2010-04-02 13:17 . 2010-04-02 13:33 -------- d-----w- C:\test 2010-04-02 12:48 . 2010-04-02 12:48 -------- d-----w- c:\programme\TrendMicro 2010-04-01 22:42 . 2010-04-01 22:42 0 ----a-w- c:\windows\system32\cd.dat 2010-04-01 21:36 . 2010-04-01 21:36 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Malwarebytes 2010-04-01 21:36 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-01 21:36 . 2010-04-01 21:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-04-01 21:36 . 2010-04-01 21:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-04-01 21:36 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-31 12:00 . 2010-03-31 12:00 75 ----a-w- c:\windows\system32\nvUnsupRes.dat 2010-03-24 10:50 . 2010-03-24 10:51 -------- d-----w- C:\Hotspot Shield 2010-03-24 10:50 . 2010-03-24 10:51 -------- d-----w- c:\programme\Hotspot Shield 2010-03-17 14:20 . 2009-04-10 16:19 185344 ----a-w- c:\windows\system32\PCGW32.DLL 2010-03-17 14:20 . 2010-03-17 14:20 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\iZ3D Driver 2010-03-17 14:20 . 2010-03-17 14:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\iZ3D Driver 2010-03-17 14:20 . 2010-03-17 14:20 -------- d-----w- c:\programme\iZ3D Driver 2010-03-05 23:53 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-02 12:48 . 2010-04-02 12:48 388096 ----a-r- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe 2010-04-01 17:17 . 2009-07-09 13:12 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-04-01 15:45 . 2009-07-09 13:12 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\MyPhoneExplorer 2010-04-01 11:58 . 2010-01-28 18:14 1 ----a-w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-03-31 09:33 . 2010-03-31 09:33 8 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\jasltw.dat 2010-03-29 15:53 . 2010-03-29 15:53 1925088 ----a-w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe 2010-03-28 06:31 . 2001-08-23 12:00 84318 ----a-w- c:\windows\system32\perfc007.dat 2010-03-28 06:31 . 2001-08-23 12:00 458476 ----a-w- c:\windows\system32\perfh007.dat 2010-03-27 15:03 . 2009-07-08 21:09 -------- d-----w- c:\programme\Wilmaa 2010-03-23 13:10 . 2009-07-01 08:18 37888 ----a-w- c:\dokumente und einstellungen\Marko\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-03-22 18:51 . 2009-06-30 22:56 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-03-22 18:49 . 2009-12-21 23:50 -------- d-----w- c:\programme\Pcsx2 2010-03-22 17:31 . 2009-10-05 10:04 -------- d-----w- c:\programme\Electronic Arts 2010-03-18 18:56 . 2009-07-24 18:18 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\dvdcss 2010-03-06 17:43 . 2009-07-02 08:47 -------- d-----w- c:\programme\iTunes 2010-03-06 17:18 . 2009-07-02 08:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple 2010-03-04 12:20 . 2009-12-19 00:23 -------- d-----w- c:\programme\PokerStars 2010-03-01 19:12 . 2010-03-01 18:42 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\FreeFLVConverter 2010-03-01 18:42 . 2010-03-01 18:42 -------- d-----w- c:\programme\Free FLV Converter 2010-02-26 15:33 . 2010-02-26 15:33 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Thinstall 2010-02-26 06:10 . 2004-08-03 22:57 667648 ------w- c:\windows\system32\wininet.dll 2010-02-26 06:10 . 2004-08-03 22:57 81920 ----a-w- c:\windows\system32\ieencode.dll 2010-02-20 01:30 . 2010-02-20 01:30 -------- d-----w- c:\programme\Animake 2010-02-20 01:29 . 2009-10-30 20:08 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Winamp 2010-02-20 00:38 . 2010-02-20 00:37 -------- d-----w- c:\programme\ManyCam 2.4 2010-02-20 00:38 . 2010-02-20 00:37 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\ManyCam 2010-02-17 18:00 . 2010-02-17 18:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM 2010-02-17 18:00 . 2009-07-02 17:18 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-02-11 10:45 . 2010-02-11 10:45 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9} 2010-01-28 18:00 . 2009-07-08 21:24 411368 ----a-w- c:\windows\system32\deploytk.dll 2010-01-08 23:42 . 2010-01-08 23:42 37376 ----a-w- c:\windows\system32\drivers\HssDrv.sys 2010-01-08 23:42 . 2010-01-08 23:42 32768 ----a-w- c:\windows\system32\drivers\taphss.sys 2010-01-07 17:19 . 2010-01-07 17:19 138 ----a-w- c:\dokumente und einstellungen\Marko\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat 2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . ((((((((((((((((((((((((((((( SnapShot@2010-04-02_13.31.57 ))))))))))))))))))))))))))))))))))))))))) . + 2010-04-02 16:14 . 2010-04-02 16:14 16384 c:\windows\temp\Perflib_Perfdata_760.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}] 2010-03-24 10:50 220208 ----a-w- c:\programme\Hotspot Shield\hssie\HssIE.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-01 524632] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-28 149280] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Marko^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk] path=c:\dokumente und einstellungen\Marko\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2009-02-27 15:10 35696 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager] 2008-08-14 05:58 611712 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDRegion] 2009-02-28 17:40 75048 ----a-w- c:\programme\CyberLink\Shared Files\brs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2009-06-05 11:39 292136 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] 2009-11-20 19:32 12669544 ----a-w- c:\windows\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] 2009-11-20 19:32 110184 ----a-w- c:\windows\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD9LanguageShortcut] 2008-10-13 18:41 50472 ------w- c:\programme\CyberLink\PowerDVD9\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE] 2008-03-14 23:50 233472 ----a-w- c:\programme\PowerISO\PWRISOVM.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2009-05-26 15:18 413696 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] 2009-10-06 14:34 18750976 ----a-w- c:\windows\RTHDCPL.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System Files Updater] 2006-02-25 11:58 118485 ----a-w- c:\windows\FlyakiteOSX\Tools\System Files Updater.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2] 2007-08-02 19:08 95504 ----a-w- c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2009-07-01 16:37 37888 ----a-w- c:\programme\Winamp\winampa.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Programme\\CyberLink\\PowerDVD9\\PowerDVD Cinema\\PowerDVDCinema.exe"= "c:\\Programme\\CyberLink\\PowerDVD9\\PowerDVD9.exe"= "c:\\Programme\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\SopCast\\SopCast.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\Ubisoft\\James Cameron's AVATAR - DAS SPIEL\\bin\\Avatar.exe"= "c:\\Programme\\Ubisoft\\James Cameron's AVATAR - DAS SPIEL\\bin\\AvatarLauncher.exe"= "c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"= "c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"= "c:\\Programme\\FlashFXP\\FlashFXP.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [01.07.2009 21:22 64160] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [02.07.2009 18:06 721904] R1 iZ3DInjectionDriver;Driver inject our D3D and OGL wrappers;c:\programme\iZ3D Driver\Win32\S3DInjectionDriver.sys [17.03.2010 16:20 34968] R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2009/07/24 22:08];c:\programme\CyberLink\PowerDVD9\000.fcl [28.02.2009 19:40 87536] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.07.2009 10:22 108289] R2 HssWd;Hotspot Shield Monitoring Service;c:\programme\Hotspot Shield\bin\hsswd.exe [09.01.2010 01:42 285744] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 10:14 87344] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [09.03.2009 21:06 1029456] R2 S3D Service (Win32);S3D Service (Win32);c:\programme\iZ3D Driver\Win32\S3DCService.exe [17.03.2010 16:20 360960] R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14.01.2008 12:06 21632] S3 AIDA32Driver;AIDA32Driver;\??\c:\programme\AIDA32 - Enterprise System Information\aida32.sys --> c:\programme\AIDA32 - Enterprise System Information\aida32.sys [?] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [21.10.2009 16:30 1684736] . Inhalt des "geplante Tasks" Ordners 2010-03-31 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 20:22] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uInternet Settings,ProxyOverride = *.local IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe FF - ProfilePath - c:\dokumente und einstellungen\Marko\Anwendungsdaten\Mozilla\Firefox\Profiles\eg3jxmit.default\ FF - prefs.js: browser.startup.homepage - about:blank FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\dokumente und einstellungen\Marko\Anwendungsdaten\Mozilla\Firefox\Profiles\eg3jxmit.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-04-02 18:14 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A7431F8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xb80ecfc3 \Driver\ACPI -> ACPI.sys @ 0xb7e65cb8 \Driver\atapi -> 0x8a7431f8 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c ParseProcedure -> ntkrnlpa.exe @ 0x8058155c \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c ParseProcedure -> ntkrnlpa.exe @ 0x8058155c NDIS: VIA Rhine II Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xb7bd3ba0 PacketIndicateHandler -> NDIS.sys @ 0xb7bc2a0b SendHandler -> NDIS.sys @ 0xb7bd6b31 Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}] "ImagePath"="\??\c:\programme\CyberLink\PowerDVD9\000.fcl" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1292428093-1532298954-1801674531-1003\Software\SecuROM\License information*] "datasecu"=hex:3e,d7,c1,1d,0b,40,f3,56,3e,8a,80,ca,c9,50,6f,22,39,f3,a4,e3,b2, 5f,91,3d,fa,69,4d,66,c7,e0,f9,e6,c0,61,93,ba,0f,5d,6c,65,3a,55,87,9b,fc,4f,\ "rkeysecu"=hex:fc,a2,2d,0b,24,2f,b9,0c,6d,b2,57,fb,87,ea,5b,26 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(932) c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll - - - - - - - > 'explorer.exe'(4080) c:\programme\iZ3D Driver\Win32\S3DInjector.dll c:\windows\system32\msi.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll c:\programme\WinRAR\rarext.dll c:\programme\Avira\AntiVir Desktop\shlext.dll c:\programme\PowerISO\PWRISOSH.DLL c:\programme\Malwarebytes' Anti-Malware\mbamext.dll c:\programme\Lavasoft\Ad-Aware\ShellExt.dll c:\windows\system32\browselc.dll c:\programme\Spybot - Search & Destroy\SDHelper.dll c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll c:\windows\system32\shdoclc.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\nvsvc32.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Hotspot Shield\bin\openvpnas.exe c:\programme\Hotspot Shield\HssWPR\hsssrv.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Sitecom\Common\RegistryWriter.exe c:\windows\system32\wbem\unsecapp.exe c:\programme\Hotspot Shield\bin\openvpntray.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-04-02 18:21:07 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-04-02 16:21 ComboFix2.txt 2010-04-02 13:33 Vor Suchlauf: 10 Verzeichnis(se), 50.483.392.512 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 50.502.844.416 Bytes frei - - End Of File - - D798EBAEC65A03A9406BEF9859CCA867 |
|
|
||
02.04.2010, 18:30
Member
Beiträge: 3716 |
#15
ok, folgendes.
rechtsklick avira schirm, guard deaktivieren. öffne arbeitsplatz, c: dort den ordner qoobox suchen und mit winzip oder rar packen. lad ihn hoch zu www.file-upload.net sende mir den download link als pm. du hast dort nen rootkit driver, den ich mir ansehen will. danach gehts weiter. |
|
|
||
ich habe heute mittag ne mail von meinem Provider (1&1) bekommen ich zitiere
Zitat
hier mal der hijacklogZitat
eben war mein pc auch total lahm...weil svchost verrückt spinnt ich habe diesen prozess beendet und dann kam ein fenster mit dem hinweis dass mein pc automatisch heruntergefahren wird diesen vorgang habe ich dann mit shutdown -a unterbrochenich kann mich erinnern vor ein paar jahren machte ein wurm die runde der immer das herunterfahren des pc's erzwingen wollte aber seitdem ich ihn damals mit einem tool beseitigt hatte kam es nie mehr vor dass svchost auf über 70% steigt
mein pc spinnt in letzter zeit sowieso er freezt ohne jeglichen grund immer wieder ein aber das schon seitmonaten mal läuft alles reibungslos paar tage dann freezt er 2 mal hintereinander ein also quasi direkt nachdem neustart wieder und dann läuft alles soweit wieder normal ....vllt hängt das ja auch nicht jetzt unbedingt mit meinem befall zusammen aber hat jmd dazu vllt ach einen zusätzlichen rat?
bin über jegliche hilfe dankbar
EDIT://////
nachdem ich den 3. schritt befolgt und den rechner neugestartet hatte bekam ich 2 mal hintereinander kurz nach dem windows lade bildschirm einen bluescreen ich bin dann durch "letzte verfügbare konfi." wieder in windows hineingelangt
sobald ich dann den 4. schritt befolgen und einen Gmer Report erstellen will fragt bzw warnt das programm mich anfangs
"WARNING GMER has found system modification, which might have been caused by ROOTkit activity do you want to fully scan your system?"
wenn ich danach YES anklicke scant er ca 2 min danach verschwindet meine taskleiste so als ob ich im taskmanager explorer.exe beenden würde
wenn ich dann durch umwege versuche (z.B. weil ich noch firefox anhabe) den taskmanager manuel zu starten bleibt erstmal alles kurz hängen und ich bekomm einen bluescreen
also kann ich diesen schritt leider nicht machen
falls sich was verändert hat lass ich hijack jetzt nochmal durchlaufen
/////EDIT!!!!!
als ich eben hijack starten wollte stellte sich mein xp style automatisch auf den alten um also die fenster&taskleiste wurden eckig
danach startete mein pc sich einfach von selbst neu
also kann ich anscheinend hijack auch nicht mehr öffnen
WAS ISN AUFEINMAL LOS MIT MEINEM PC :S:S HILFE!! xDDD