Taskleiste hängt sich auf, wird weiß, Task Manager lässt sich nicht öffnen!!!

    Hi malwi,

    die gute Nachricht - dein MasterBootRecord ist sauber.
    de.wikipedia.org/wiki/Master_Boot_Record

    Die schlechte: Dein PC war mit hoher Wahrscheinlichkeit Teil eines Botnetzes:
    de.wikipedia.org/wiki/Botnet

    Du solltest auf diesem PC kein Online Banking durchführen, auch nicht nach einer vollständigen Bereinigung. Der PC sollte erst wieder für Online Geschäfte verwendet werden, nach einer vollständigen Formatierung aller Festplatten.

    Du musst UNBEDINGT alle deine Passwörter von einem sauberen, zweiten PC ändern. Erstelle sichere Passwörter:
    aktuell.de.selfhtml.org/artikel/gedanken/passwort/

    Zur Bereinigung:
    Wir nähern uns dem Abschluss.
    Norman Malware Cleaner hat gute Arbeit geleistet, sowohl bei der Datei, wie auch der Registry Säuberung. Bei dir war Malware auf sowohl C:/ D:/ und G:/. Der USB Stick war stark verseucht. Es wurden bei dir auch Rootkit Infektion gefunden:
    de.wikipedia.org/wiki/Rootkit

    > Bitte noch folgendes durchführen:

    Führe noch mal das Tool Avenger aus, wie schon beschrieben wurde, diesmal kopiere aber genau diesen Codebefehl in das Fenster:


    Drivers to delete:
    abvhk945

    Files to delete:
    C:\WINDOWS\system32\drivers\abvhk945.sys
    C:\winvnc.exe
    D:\Programme\Adope Reader\Reader\Reader_sl.exe

    Folders to delete:
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}



    klicke auf "Execute"
    antworte auf "Script ausführen" und dann auf
    "Rebot now" mit ja.
    Der Pc macht einen Neustart und nach dem Popup eines Fenster kommt der Log,
    : C:\avenger.txt
    kopiere den hier ab.

    > Diese Dateien möchte ich überprüft haben: Hier virustotal.com/
    D:\Programme\COD 5\CoDWaWmp.exe
    D:\Programme\winzip\iw3mp.exe

    Dein Problem/ der Grund der Malware Infektion: Crack/ Unsichere Downloads. 99,99% dieser Art von Downlads enthalten Schädlinge. Bitte unbedingt in Zukunft die Finger davon lassen.

    > Wichtig!: Systemwiederherstellung deaktivieren, Computer Restarten und Systemwiederherstellung wieder aktivieren.
    windows-tweaks.info/html/nosysrec.html

    > Abschliessend noch ein Online Scan mit Panda machen und das Log posten.
    pandasecurity.com/activescan/index/?track=100723

    GAV.
    Logfile of The Avenger Version 2.0, (c) by Swandog46
    swandog46.geekstogo.com

    Platform: Windows XP

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!


    Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\abvhk945" not found!
    Deletion of driver "abvhk945" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist


    Error: file "C:\WINDOWS\system32\drivers\abvhk945.sys" not found!
    Deletion of file "C:\WINDOWS\system32\drivers\abvhk945.sys" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    File "C:\winvnc.exe" deleted successfully.
    File "D:\Programme\Adope Reader\Reader\Reader_sl.exe" deleted successfully.
    Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}" deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.





    a-squared4.5.0.502010.05.05-AhnLab-V32010.05.05.002010.05.05-AntiVir8.2.1.2362010.05.05-Antiy-AVL2.0.3.72010.05.05-Authentium5.2.0.52010.05.05-Avast4.8.1351.02010.05.05-Avast55.0.332.02010.05.05-AVG9.0.0.7872010.05.04-BitDefender7.22010.05.05-CAT-QuickHeal10.002010.05.04-ClamAV0.96.0.3-git2010.05.05-Comodo47702010.05.05-DrWeb5.0.2.033002010.05.05-eSafe7.0.17.02010.05.05-eTrust-Vet35.2.74692010.05.05-F-Prot4.5.1.852010.05.05-F-Secure9.0.15370.02010.05.05-Fortinet4.0.14.02010.05.03-GData212010.05.05-IkarusT3.1.1.84.02010.05.05-Jiangmin13.0.9002010.05.05-Kaspersky7.0.0.1252010.05.05-McAfee5.400.0.11582010.05.05-McAfee-GW-Edition2010.12010.05.05-Microsoft1.57032010.05.04-NOD3250872010.05.05-Norman6.04.122010.05.05-nProtect2010-05-05.012010.05.05-Panda10.0.2.72010.05.04-PCTools7.0.3.52010.05.05-Prevx3.02010.05.05-Rising22.46.02.032010.05.05-Sophos4.53.02010.05.05-Sunbelt62632010.05.05-Symantec20091.2.0.412010.05.05-TheHacker6.5.2.0.2752010.05.03-TrendMicro9.120.0.10042010.05.05-TrendMicro-HouseCall9.120.0.10042010.05.05-VBA323.12.12.42010.05.05-ViRobot2010.5.4.23032010.05.05-VirusBuster5.0.27.02010.05.04-



    !!!!!!!!!!!!!!!!!!!!!!!!!!!!sag mal norman hat doch die infizierten dateien gelöscht oder? weil die cod... ist nicht mehr da wo sie mal war, also weg

    !!!!!!!!!!!!!!!!!!!!!die andere is da und das spuckt virustotal aus:

    a-squared4.5.0.502010.05.05-AhnLab-V32010.05.05.002010.05.05-AntiVir8.2.1.2362010.05.05-Antiy-AVL2.0.3.72010.05.05-Authentium5.2.0.52010.05.05-Avast4.8.1351.02010.05.05-Avast55.0.332.02010.05.05-AVG9.0.0.7872010.05.04-BitDefender7.22010.05.05-CAT-QuickHeal10.002010.05.04-ClamAV0.96.0.3-git2010.05.05-Comodo47702010.05.05-DrWeb5.0.2.033002010.05.05-eSafe7.0.17.02010.05.05-eTrust-Vet35.2.74692010.05.05-F-Prot4.5.1.852010.05.05-F-Secure9.0.15370.02010.05.05-Fortinet4.0.14.02010.05.03-GData212010.05.05-IkarusT3.1.1.84.02010.05.05-Jiangmin13.0.9002010.05.05-Kaspersky7.0.0.1252010.05.05-McAfee5.400.0.11582010.05.05-McAfee-GW-Edition2010.12010.05.05-Microsoft1.57032010.05.04-NOD3250872010.05.05-Norman6.04.122010.05.05-nProtect2010-05-05.012010.05.05-Panda10.0.2.72010.05.04-PCTools7.0.3.52010.05.05-Prevx3.02010.05.05-Rising22.46.02.032010.05.05-Sophos4.53.02010.05.05-Sunbelt62632010.05.05-Symantec20091.2.0.412010.05.05-TheHacker6.5.2.0.2752010.05.03-TrendMicro9.120.0.10042010.05.05-TrendMicro-HouseCall9.120.0.10042010.05.05-VBA323.12.12.42010.05.05-ViRobot2010.5.4.23032010.05.05-VirusBuster5.0.27.02010.05.04-
    weitere Informationen File size: 3330048 bytesMD5...: 8c40cde102a9d8297a8674cb149f96edSHA1..: 3323b3882f9465a4c66cf298833435150effb153SHA256: e41fcd5921dfdcb8c71a76a605f71df4b5f6a525b5859e590e2dd9645f1fa893ssdeep: 98304:5r9Jwi+bwCCCXj7mikZM9YpkGTjxFb+sOo0M4XoX0Ap:5r9Jwi6CCXj7mp
    ZM9YpkGPx4M0MeoX00
    PEiD..: -PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x27493c
    timedatestamp.....: 0x4859a219 (Thu Jun 19 00:02:33 2008)
    machinetype.......: 0x14c (I386)

    ( 5 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x28f429 0x290000 6.72 70e54dc165b044bb33115323664dc87a
    .rdata 0x291000 0x8987a 0x8a000 5.67 1f590bfeecf55775c065e828f94288cc
    .data 0x31b000 0xd218680 0x10000 3.94 edf6d26d41fdff049e180fed4f7ee2f5
    .tls 0xd534000 0x21 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
    .rsrc 0xd535000 0xe7c 0x1000 5.50 d66e8e7253db4f230cbef7036cfd1166

    ( 13 imports )
    > WINMM.dll: timeBeginPeriod, mixerGetLineInfoA, mixerGetLineControlsA, waveInGetNumDevs, mixerOpen, mixerSetControlDetails, timeEndPeriod, timeGetTime, mixerClose, mixerGetNumDevs, mixerGetControlDetailsA
    > WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
    > mss32.dll: _AIL_set_sample_3D_distances@16, _AIL_speaker_configuration@20, _AIL_stream_sample_handle@4, _AIL_open_stream@12, _AIL_digital_CPU_percent@4, _AIL_sample_3D_position@16, _AIL_startup@0, _AIL_set_stream_ms_position@8, _AIL_open_digital_driver@16, _AIL_stream_status@4, _AIL_sample_playback_rate@4, _AIL_set_speaker_configuration@16, _AIL_open_filter@8, _AIL_end_sample@4, _AIL_set_sample_volume_levels@12, _AIL_find_filter@8, _AIL_sample_status@4, _AIL_set_sample_3D_position@16, _AIL_sample_volume_pan@12, _AIL_sample_stage_property@24, _AIL_set_sample_channel_levels@12, _AIL_sample_ms_position@12, _AIL_WAV_info@8, _AIL_process_digital_audio@24, _AIL_init_sample@12, _AIL_stream_info@20, _AIL_set_sample_ms_position@8, _AIL_set_preference@8, _AIL_set_stream_loop_count@8, _AIL_set_sample_playback_rate@8, _AIL_size_processed_digital_audio@16, _AIL_stream_ms_position@12, _AIL_set_digital_master_reverb_levels@12, _AIL_stop_sample@4, _AIL_sample_volume_levels@12, _AIL_sample_channel_levels@8, _AIL_pause_stream@8, _AIL_set_3D_distance_factor@8, _AIL_allocate_sample_handle@4, _AIL_last_error@0, _AIL_set_sample_info@8, _AIL_set_file_callbacks@16, _AIL_resume_sample@4, _AIL_set_3D_rolloff_factor@8, _AIL_set_room_type@8, _AIL_set_sample_reverb_levels@12, _AIL_shutdown@0, _AIL_set_redist_directory@4, _AIL_close_stream@4, _AIL_set_sample_processor@12, _AIL_set_DirectSound_HWND@8, _AIL_set_sample_loop_count@8
    > binkw32.dll: _BinkGetFrameBuffersInfo@8, _BinkPause@8, _BinkClose@4, _BinkGetError@0, _BinkOpen@8, _BinkSetSoundTrack@8, _BinkOpenMiles@4, _BinkControlBackgroundIO@8, _BinkSetMixBinVolumes@20, _BinkDoFrame@4, _BinkSetIOSize@4, _BinkSetMemory@8, _BinkRegisterFrameBuffers@8, _BinkWait@4, _BinkGetRealtime@12, _BinkNextFrame@4, _BinkGetRects@8, _BinkSetSoundSystem@8
    > d3d9.dll: Direct3DCreate9
    > d3dx9_34.dll: D3DXCompileShader, D3DXGetShaderConstantTable, D3DXGetShaderInputSemantics, D3DXGetShaderOutputSemantics, D3DXCreateBuffer
    > DSOUND.dll: -, -
    > KERNEL32.dll: SetEnvironmentVariableA, CompareStringW, CompareStringA, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, FlushFileBuffers, HeapSize, GetTimeZoneInformation, SetFilePointer, GetFileType, SetHandleCount, GetConsoleMode, GetConsoleCP, GetStdHandle, DeleteCriticalSection, HeapCreate, HeapDestroy, LCMapStringW, MultiByteToWideChar, WideCharToMultiByte, LCMapStringA, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, SetLastError, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetDateFormatA, GetTimeFormatA, GetStartupInfoA, GetProcessHeap, GetCommandLineA, GetFullPathNameA, CreateDirectoryA, FileTimeToLocalFileTime, FileTimeToSystemTime, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, ExitProcess, HeapReAlloc, RtlUnwind, HeapAlloc, MoveFileA, HeapFree, GetSystemTimeAsFileTime, GetSystemTime, FindClose, SetStdHandle, RemoveDirectoryA, SystemTimeToFileTime, FindFirstFileA, FindNextFileA, GetTickCount, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetEndOfFile, InterlockedCompareExchange, InterlockedExchangeAdd, GetLastError, ReadFileEx, GetFileSize, InterlockedIncrement, CloseHandle, SleepEx, CreateFileA, InterlockedDecrement, InterlockedExchange, SetThreadPriority, RaiseException, ResetEvent, GetProcessAffinityMask, GetCurrentProcess, GetCurrentThreadId, SetThreadAffinityMask, WaitForSingleObject, DuplicateHandle, SetEvent, SuspendThread, ResumeThread, GetCurrentThread, CreateThread, Sleep, CreateEventA, GetFileAttributesA, SetFileAttributesA, VirtualFree, VirtualAlloc, QueryPerformanceCounter, QueryPerformanceFrequency, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetModuleFileNameA, GetModuleHandleA, SetProcessAffinityMask, GlobalMemoryStatus, GetProcAddress, GetThreadPriority, GetCurrentDirectoryA, CreateToolhelp32Snapshot, Module32Next, GetVersionExA, GetCurrentProcessId, DeleteFileA, CreateProcessA, SetErrorMode, ReadFile, GlobalSize, GlobalUnlock, GlobalLock, Module32First, FormatMessageA, WriteFile, GetDriveTypeA, OpenProcess, MulDiv, SetPriorityClass, SetThreadExecutionState, LoadLibraryA, FreeLibrary, SetEnvironmentVariableW, CompareFileTime, VirtualQuery
    > USER32.dll: SetWindowLongA, GetActiveWindow, MessageBoxA, ClientToScreen, PostMessageA, GetCursorPos, SetCursorPos, GetForegroundWindow, ShowCursor, SetFocus, GetWindowRect, ScreenToClient, PeekMessageA, GetClipboardData, CloseClipboard, GetMessageA, LoadCursorA, OpenClipboard, TranslateMessage, DispatchMessageA, ShowWindow, LoadIconA, RegisterClassExA, DestroyWindow, RegisterClassA, GetWindowLongA, UpdateWindow, LoadImageA, GetSystemMetrics, SetWindowPos, DefWindowProcA, CreateWindowExA, SendMessageA, PostQuitMessage, CallWindowProcA, CloseWindow, SetWindowTextA, MoveWindow, MonitorFromWindow, MapVirtualKeyA, GetMonitorInfoA, RegisterWindowMessageA, ChangeDisplaySettingsA, EnumThreadWindows, GetDC, GetWindowTextA, UnregisterClassA, KillTimer, SetTimer, AdjustWindowRectEx, MonitorFromPoint, IsWindow, EnumDisplayMonitors, ReleaseDC, AdjustWindowRect, GetDesktopWindow
    > GDI32.dll: CreateFontA, CreateSolidBrush, GetDeviceCaps, SetDeviceGammaRamp
    > ADVAPI32.dll: RegQueryValueExA, GetUserNameA, RegSetValueExA, RegOpenKeyA, RegCreateKeyA, RegCloseKey
    > SHELL32.dll: ShellExecuteA
    > DDRAW.dll: DirectDrawCreateEx, DirectDrawEnumerateExA

    ( 0 exports )
    RDS...: NSRL Reference Data Set
    -pdfid.: -trid..: Win32 Executable Generic (68.0%)
    Generic Win/DOS Executable (15.9%)
    DOS Executable Generic (15.9%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    jo is ok, is post dann noch den trendmicro log hier

    Nur noch eine allgemeine frage: wenn ich den autorun von meinem usb unterdrücke diesen aber dann öffne, hol ich mir dann viren auf meinen jetzt sauberen laptop?
    z.b. wenn ich von einem anderen pc ein logfile erstelle und das dann über meinen laptop posten möchte. geht das überhaupt ohne infizierung? Wie machst du das mit usb sticks?

    Danke nochmal, bis zur nächsten frage ;)

    mawi schrieb:

    jo is ok, is post dann noch den trendmicro log hier

    Nur noch eine allgemeine frage: wenn ich den autorun von meinem usb unterdrücke diesen aber dann öffne, hol ich mir dann viren auf meinen jetzt sauberen laptop?


    Ja, wenn du eine infizierte Datei öffnest (eine ausführbare Datei oder auch andere Dateien) Im Augenblick des Zugriffs erwacht der Schädling und wird sozusagen von dir selbst ausgeführt.

    GAV