Hallo Freunde der Virusjagd
Ich scheine wohl ein ziemlich hartnäckiges exemplar erwischt zu haben.
@Ralf
Also wie gewünscht :
1.) mwb vollscan nach update :
Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
21.01.2010 11:47:30
mbam-log-2010-01-21 (11-47-03).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 256013
Laufzeit: 1 hour(s), 13 minute(s), 19 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\1234\ppbxg.exe \s) Good: (Userinit.exe) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\1234\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\All Users\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\ALT\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Default User\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Gast\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.
15 probleme -> beseitigt.
2.) neuer mwb quickscan :
Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
21.01.2010 12:03:27
mbam-log-2010-01-21 (12-03-10).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118249
Laufzeit: 5 minute(s), 10 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xjikgztd (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Rootkit.Agent) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\drivers\xjikgztd.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\1234\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\All Users\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\ALT\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Default User\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Gast\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.
13 probleme -> beseitigt
3.) neuer mwb quickscan :
Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
21.01.2010 12:21:56
mbam-log-2010-01-21 (12-21-45).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118218
Laufzeit: 4 minute(s), 23 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
1 problem -> beseitigt
4.) neuer mwb quickscan :
Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
21.01.2010 12:26:09
mbam-log-2010-01-21 (12-26-07).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118148
Laufzeit: 2 minute(s), 37 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
1 problem -> beseitigt
5.) neuer S&D scan :
Code:
--- Search result list ---
Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride
Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride
Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start
Microsoft.Windows.disableSystemRestore: [SBI $1645D19C] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig
4 probleme -> beseitigt
6.) neuer mwb quickscan :
0 probleme ( kein bericht )
7.) neuer mwb vollscan :
0 probleme ( kein bericht )
Das problem ist aber leider noch vorhanden.
Über deinen link konnte ich nachwie vor nicht auf GMER zugreifen
Habe mir die version 1.0.15.15281 von CHIP besorgt
8.) gmer scan :
Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-21 20:56:08
Windows 5.1.2600 Service Pack 2
Running: kdqmv7y2.exe; Driver: C:\DOKUME~1\1234\LOKALE~1\Temp\kwliraoc.sys
---- System - GMER 1.0.15 ----
SSDT 89403260 ZwConnectPort
---- Kernel code sections - GMER 1.0.15 ----
? uehg.sys Das System kann die angegebene Datei nicht finden. !
? C:\DOKUME~1\1234\LOKALE~1\Temp\aunasnkj.sys Das System kann die angegebene Datei nicht finden. !
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\000000a7 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\000000a9 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\USBSTOR \Device\000000aa sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\000000ab sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\000000ac sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
---- EOF - GMER 1.0.15 ----
Tja was tun sprach zeus, noch 'n guten tip ?
Jedenfalls schon mal vielen dank für deine/eure geduld
Gruss
handyandy