Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: T-Online meldet Torpig und Mebroot

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.07.2011, 10:33   #1
MFromH
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Hallo Profis,

ein Freund von mir hat letzten Samstag bei Surfen eine englischsprachige Meldung der Art "Sie haben 50 Viren. Hier klicken zum Entfernen" erhalten. Er hat nicht geklickt, sondern das Fenster einfach nur geschlossen. Ist aber offensichtlich trotzdem schief gegangen. Browsen ist z.T. quälend langsam und es kommt auch zu Hängern im IE.

Kurz danach kam ein E-Mail von T-Online, in welchem mein Freund darauf hingewiesen wurde, dass er sich bei einem sog. "Sinkhole" angemeldet hätte, und dass man vermutete, er hätte die Malware "Torpig" in Verbindung mit dem Rootkit "Mebroot".

Ich habe den Rechner daraufhin mit OTL und GMER untersucht (Dateien anbei). Es laufen u.a. 3 Prozesse ohne zugehörige Dateien
Zitat:
? system32\drivers\xpsec.sys Das System kann den angegebenen Pfad nicht finden. !
? system32\drivers\xcpip.sys Das System kann den angegebenen Pfad nicht finden. !
? system32\DRIVERS\1644098drv.sys Das System kann den angegebenen Pfad nicht finden. !
Zwei Fragen hätte ich an Euch:

1. Wie bekomme ich heraus, um welche Malware es sich überhaupt handelt? Karspersky Virus Removal Tool und Antivir finden nämlich nichts.

2. Gibt es einen Weg, die Malware zu killen, oder muss der Rechner neu aufgesetzt werden?

Danke im Voraus für Eure Hilfe.

--
BFN
Michael
Angehängte Dateien
Dateityp: zip MFromH.zip (20,9 KB, 48x aufgerufen)

Alt 28.07.2011, 14:14   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________

__________________

Alt 28.07.2011, 16:14   #3
MFromH
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Bitteschön.

Zitat:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7309

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.07.2011 16:00:33
mbam-log-2011-07-28 (16-00-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 248505
Laufzeit: 1 Stunde(n), 17 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{5137e032-1f4a-41af-86fe-3837f8aa3109}\RP320\A0032646.dll (Spyware.Passwords.XGen) -> No action taken.
Außer so 'ner ollen Datei in der Systemwiederherstellung findet er aber nix. Und nu?

--
BFN
Michael

"There I was on a July morning - looking for live" Uriah Heep
Aber erstmal muss der Virus weg ...
__________________

Alt 28.07.2011, 16:24   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Zitat:
-> No action taken.
Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.07.2011, 17:54   #5
MFromH
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Here you are:
Zitat:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7309

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.07.2011 17:45:24
mbam-log-2011-07-28 (17-45-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 248756
Laufzeit: 59 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Danke schon mal für Deine Hilfe :-)

--
BFN
Michael


Geändert von MFromH (28.07.2011 um 18:36 Uhr)

Alt 28.07.2011, 21:41   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
DRV - File not found [Kernel | On_Demand | Running] --  -- (xpsec)
DRV - File not found [Kernel | On_Demand | Running] --  -- (xcpip)
DRV - File not found [File_System | Unknown | Running] --  -- (1644098drv)
DRV - [2011.07.28 07:25:05 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\14796489.sys -- (14796489)
O4 - HKLM..\RunOnceEx: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.02.24 16:47:09 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{2063c4d5-9302-11df-89ed-00123f5d5dac}\Shell\AutoRun\command - "" = E:\wubi.exe --cdmenu
O33 - MountPoints2\{965cf926-2512-11df-8969-00123f5d5dac}\Shell - "" = AutoRun
O33 - MountPoints2\{965cf926-2512-11df-8969-00123f5d5dac}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{965cf926-2512-11df-8969-00123f5d5dac}\Shell\AutoRun\command - "" = E:\AutoRun.exe
:Files
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
--> T-Online meldet Torpig und Mebroot

Alt 29.07.2011, 08:56   #7
MFromH
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Und hier der Fix-Log:
Zitat:
========== OTL ==========
Error: Unable to stop service xpsec!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xpsec deleted successfully.
Error: Unable to stop service xcpip!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xcpip deleted successfully.
Error: Unable to stop service 1644098drv!
Service\Driver key 1644098drv not found.
Error: Unable to stop service 14796489!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\14796489 deleted successfully.
C:\WINDOWS\system32\drivers\14796489.sys moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2063c4d5-9302-11df-89ed-00123f5d5dac}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2063c4d5-9302-11df-89ed-00123f5d5dac}\ not found.
File E:\wubi.exe --cdmenu not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{965cf926-2512-11df-8969-00123f5d5dac}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{965cf926-2512-11df-8969-00123f5d5dac}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{965cf926-2512-11df-8969-00123f5d5dac}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{965cf926-2512-11df-8969-00123f5d5dac}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{965cf926-2512-11df-8969-00123f5d5dac}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{965cf926-2512-11df-8969-00123f5d5dac}\ not found.
File E:\AutoRun.exe not found.
========== FILES ==========
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0\Drivers\Win64\2\600 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0\Drivers\Win64\2\501 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0\Drivers\Win64\2 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0\Drivers\Win64\1 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0\Drivers\Win64 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0\Drivers\Win32\2\600 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0\Drivers\Win32\2\501 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0\Drivers\Win32\2 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0\Drivers\Win32\1 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0\Drivers\Win32 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0\Drivers folder moved successfully.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0 scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\x64 scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\temp scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\sounds scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc\ru\images scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc\ru scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc\fr scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc\en scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc\de\images scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc\de scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\layout scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\images\tasks scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\images\radar scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\images scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\0C scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\0B scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\0A scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\09 scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\08 scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\07 scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\06 scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\05 scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\04 scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\03 scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\02 scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\01 scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\00 scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\QB scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Doc\ru scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Doc\fr scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Doc\en scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Doc\de scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Doc scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\bases\Stat scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\bases scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004 scheduled to be moved on reboot.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 07282011_223243

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\x64 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\temp folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\sounds folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc\ru\images folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc\ru folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc\fr folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc\en folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc\de\images folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc\de folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\loc folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\layout folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\images\tasks folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\images\radar folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin\images folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\skin folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\0C folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\0B folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\0A folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\09 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\08 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\07 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\06 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\05 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\04 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\03 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\02 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\01 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report\00 folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Report folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\QB folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Doc\ru folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Doc\fr folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Doc\en folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Doc\de folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\Doc folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\bases\Stat folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004\bases folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\7524004 folder moved successfully.

Registry entries deleted on Reboot...
Sieht dass gut aus?

--
BfN
Michael

Alt 29.07.2011, 10:31   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.07.2011, 15:17   #9
MFromH
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Log1:
Zitat:
2011/07/29 15:01:31.0281 2332 TDSS rootkit removing tool 2.5.12.0 Jul 29 2011 12:58:14
2011/07/29 15:01:31.0515 2332 ================================================================================
2011/07/29 15:01:31.0515 2332 SystemInfo:
2011/07/29 15:01:31.0515 2332
2011/07/29 15:01:31.0515 2332 OS Version: 5.1.2600 ServicePack: 3.0
2011/07/29 15:01:31.0515 2332 Product type: Workstation
2011/07/29 15:01:31.0515 2332 ComputerName: ****-PC1
2011/07/29 15:01:31.0515 2332 UserName: ****
2011/07/29 15:01:31.0515 2332 Windows directory: C:\WINDOWS
2011/07/29 15:01:31.0515 2332 System windows directory: C:\WINDOWS
2011/07/29 15:01:31.0515 2332 Processor architecture: Intel x86
2011/07/29 15:01:31.0515 2332 Number of processors: 2
2011/07/29 15:01:31.0515 2332 Page size: 0x1000
2011/07/29 15:01:31.0515 2332 Boot type: Normal boot
2011/07/29 15:01:31.0515 2332 ================================================================================
2011/07/29 15:01:32.0828 2332 Initialize success
2011/07/29 15:01:35.0734 3184 ================================================================================
2011/07/29 15:01:35.0734 3184 Scan started
2011/07/29 15:01:35.0734 3184 Mode: Manual;
2011/07/29 15:01:35.0734 3184 ================================================================================
2011/07/29 15:01:37.0375 3184 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/07/29 15:01:37.0453 3184 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/07/29 15:01:37.0562 3184 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/07/29 15:01:37.0671 3184 AFD (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
2011/07/29 15:01:38.0281 3184 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/07/29 15:01:38.0359 3184 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/07/29 15:01:38.0406 3184 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/07/29 15:01:38.0593 3184 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/07/29 15:01:38.0750 3184 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/07/29 15:01:38.0828 3184 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/07/29 15:01:38.0906 3184 avipbb (6d52060b59e7d79cd2a044b6add1f1ef) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/07/29 15:01:38.0984 3184 AVMWAN (c997af59c54d69232fb7bbea4dad86e2) C:\WINDOWS\system32\DRIVERS\avmwan.sys
2011/07/29 15:01:39.0062 3184 b57w2k (241474d01380e9ed41d4c07f4f5fd401) C:\WINDOWS\system32\DRIVERS\b57xp32.sys
2011/07/29 15:01:39.0156 3184 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/07/29 15:01:39.0250 3184 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/07/29 15:01:39.0375 3184 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/07/29 15:01:39.0500 3184 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/07/29 15:01:39.0546 3184 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/07/29 15:01:39.0625 3184 cercsr6 (84853b3fd012251690570e9e7e43343f) C:\WINDOWS\system32\drivers\cercsr6.sys
2011/07/29 15:01:39.0921 3184 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/07/29 15:01:40.0000 3184 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/07/29 15:01:40.0078 3184 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/07/29 15:01:40.0109 3184 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/07/29 15:01:40.0156 3184 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/07/29 15:01:40.0265 3184 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/07/29 15:01:40.0437 3184 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/07/29 15:01:40.0500 3184 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/07/29 15:01:40.0562 3184 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/07/29 15:01:40.0625 3184 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/07/29 15:01:40.0703 3184 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/07/29 15:01:40.0781 3184 fpcibase (45b5129aeae91ea096a9bbebff99e098) C:\WINDOWS\system32\DRIVERS\fpcibase.sys
2011/07/29 15:01:40.0875 3184 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/07/29 15:01:40.0921 3184 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/07/29 15:01:40.0984 3184 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/07/29 15:01:41.0093 3184 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/07/29 15:01:41.0250 3184 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/07/29 15:01:41.0437 3184 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/07/29 15:01:41.0578 3184 ialm (5a8e05f1d5c36abd58cffa111eb325ea) C:\WINDOWS\system32\DRIVERS\ialmnt5.sys
2011/07/29 15:01:41.0765 3184 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/07/29 15:01:41.0906 3184 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/07/29 15:01:41.0968 3184 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/07/29 15:01:42.0046 3184 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/07/29 15:01:42.0187 3184 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/07/29 15:01:42.0265 3184 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/07/29 15:01:42.0359 3184 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/07/29 15:01:42.0437 3184 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/07/29 15:01:42.0500 3184 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/07/29 15:01:42.0546 3184 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/07/29 15:01:42.0609 3184 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/07/29 15:01:42.0703 3184 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/07/29 15:01:42.0812 3184 MBAMProtector (eca00eed9ab95489007b0ef84c7149de) C:\WINDOWS\system32\drivers\mbam.sys
2011/07/29 15:01:42.0890 3184 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/07/29 15:01:42.0968 3184 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/07/29 15:01:43.0046 3184 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/07/29 15:01:43.0125 3184 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/07/29 15:01:43.0203 3184 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/07/29 15:01:43.0265 3184 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/07/29 15:01:43.0359 3184 MRxSmb (0dc719e9b15e902346e87e9dcd5751fa) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/07/29 15:01:43.0406 3184 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/07/29 15:01:43.0437 3184 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/07/29 15:01:43.0484 3184 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/07/29 15:01:43.0531 3184 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/07/29 15:01:43.0609 3184 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/07/29 15:01:43.0703 3184 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
2011/07/29 15:01:43.0750 3184 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/07/29 15:01:43.0812 3184 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/07/29 15:01:43.0875 3184 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/07/29 15:01:44.0000 3184 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/07/29 15:01:44.0078 3184 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/07/29 15:01:44.0140 3184 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/07/29 15:01:44.0171 3184 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/07/29 15:01:44.0296 3184 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/07/29 15:01:44.0343 3184 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/07/29 15:01:44.0421 3184 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/07/29 15:01:44.0484 3184 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/07/29 15:01:44.0546 3184 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/07/29 15:01:44.0625 3184 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/07/29 15:01:44.0703 3184 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/07/29 15:01:44.0750 3184 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/07/29 15:01:44.0812 3184 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/07/29 15:01:44.0890 3184 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/07/29 15:01:44.0953 3184 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/07/29 15:01:45.0218 3184 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/07/29 15:01:45.0281 3184 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/07/29 15:01:45.0359 3184 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/07/29 15:01:45.0453 3184 PxHelp20 (1962166e0ceb740704f30fa55ad3d509) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/07/29 15:01:45.0609 3184 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/07/29 15:01:45.0828 3184 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/07/29 15:01:45.0906 3184 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/07/29 15:01:46.0000 3184 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/07/29 15:01:46.0078 3184 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/07/29 15:01:46.0109 3184 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/07/29 15:01:46.0203 3184 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/07/29 15:01:46.0312 3184 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/07/29 15:01:46.0390 3184 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/07/29 15:01:46.0531 3184 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/07/29 15:01:46.0640 3184 senfilt (b9c7617c1e8ab6fdff75d3c8dafcb4c8) C:\WINDOWS\system32\drivers\senfilt.sys
2011/07/29 15:01:46.0750 3184 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/07/29 15:01:46.0812 3184 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/07/29 15:01:46.0890 3184 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/07/29 15:01:47.0031 3184 smwdm (c6d9959e493682f872a639b6ec1b4a08) C:\WINDOWS\system32\drivers\smwdm.sys
2011/07/29 15:01:47.0140 3184 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/07/29 15:01:47.0218 3184 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/07/29 15:01:47.0265 3184 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/07/29 15:01:47.0343 3184 ssmdrv (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/07/29 15:01:47.0421 3184 StarOpen (f92254b0bcfcd10caac7bccc7cb7f467) C:\WINDOWS\system32\drivers\StarOpen.sys
2011/07/29 15:01:47.0500 3184 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/07/29 15:01:47.0640 3184 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/07/29 15:01:47.0828 3184 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/07/29 15:01:47.0921 3184 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/07/29 15:01:48.0031 3184 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/07/29 15:01:48.0093 3184 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/07/29 15:01:48.0171 3184 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/07/29 15:01:48.0281 3184 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/07/29 15:01:48.0375 3184 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/07/29 15:01:48.0468 3184 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/07/29 15:01:48.0546 3184 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/07/29 15:01:48.0625 3184 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/07/29 15:01:48.0750 3184 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/07/29 15:01:48.0875 3184 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/07/29 15:01:48.0953 3184 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/07/29 15:01:49.0031 3184 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/07/29 15:01:49.0109 3184 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/07/29 15:01:49.0203 3184 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/07/29 15:01:49.0281 3184 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/07/29 15:01:49.0500 3184 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/07/29 15:01:49.0703 3184 MBR (0x1B8) (eeadaf356113e54427e990a5bcad82b5) \Device\Harddisk0\DR0
2011/07/29 15:01:49.0703 3184 \Device\Harddisk0\DR0 - detected Backdoor.Win32.Sinowal.knf (0)
2011/07/29 15:01:49.0718 3184 Boot (0x1200) (3bebd4aed9217e916a4d297b542b6c38) \Device\Harddisk0\DR0\Partition0
2011/07/29 15:01:49.0718 3184 ================================================================================
2011/07/29 15:01:49.0718 3184 Scan finished
2011/07/29 15:01:49.0718 3184 ================================================================================
2011/07/29 15:01:49.0765 3880 Detected object count: 1
2011/07/29 15:01:49.0765 3880 Actual detected object count: 1
2011/07/29 15:03:08.0656 3880 \Device\Harddisk0\DR0 (Backdoor.Win32.Sinowal.knf) - will be cured after reboot
2011/07/29 15:03:08.0656 3880 \Device\Harddisk0\DR0 - ok
2011/07/29 15:03:08.0656 3880 Backdoor.Win32.Sinowal.knf(\Device\Harddisk0\DR0) - User select action: Cure
2011/07/29 15:03:18.0375 3180 Deinitialize success
Log2 (nach Reboot):
Zitat:
2011/07/29 15:08:02.0453 3252 TDSS rootkit removing tool 2.5.12.0 Jul 29 2011 12:58:14
2011/07/29 15:08:02.0765 3252 ================================================================================
2011/07/29 15:08:02.0765 3252 SystemInfo:
2011/07/29 15:08:02.0765 3252
2011/07/29 15:08:02.0765 3252 OS Version: 5.1.2600 ServicePack: 3.0
2011/07/29 15:08:02.0765 3252 Product type: Workstation
2011/07/29 15:08:02.0765 3252 ComputerName: ****-PC1
2011/07/29 15:08:02.0765 3252 UserName: ****
2011/07/29 15:08:02.0765 3252 Windows directory: C:\WINDOWS
2011/07/29 15:08:02.0765 3252 System windows directory: C:\WINDOWS
2011/07/29 15:08:02.0765 3252 Processor architecture: Intel x86
2011/07/29 15:08:02.0765 3252 Number of processors: 2
2011/07/29 15:08:02.0765 3252 Page size: 0x1000
2011/07/29 15:08:02.0765 3252 Boot type: Normal boot
2011/07/29 15:08:02.0765 3252 ================================================================================
2011/07/29 15:08:04.0140 3252 Initialize success
2011/07/29 15:08:06.0125 3328 ================================================================================
2011/07/29 15:08:06.0125 3328 Scan started
2011/07/29 15:08:06.0125 3328 Mode: Manual;
2011/07/29 15:08:06.0125 3328 ================================================================================
2011/07/29 15:08:07.0562 3328 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/07/29 15:08:07.0640 3328 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/07/29 15:08:07.0750 3328 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/07/29 15:08:07.0890 3328 AFD (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
2011/07/29 15:08:08.0171 3328 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/07/29 15:08:08.0203 3328 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/07/29 15:08:08.0265 3328 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/07/29 15:08:08.0328 3328 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/07/29 15:08:08.0468 3328 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/07/29 15:08:08.0546 3328 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/07/29 15:08:08.0578 3328 avipbb (6d52060b59e7d79cd2a044b6add1f1ef) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/07/29 15:08:08.0625 3328 AVMWAN (c997af59c54d69232fb7bbea4dad86e2) C:\WINDOWS\system32\DRIVERS\avmwan.sys
2011/07/29 15:08:08.0703 3328 b57w2k (241474d01380e9ed41d4c07f4f5fd401) C:\WINDOWS\system32\DRIVERS\b57xp32.sys
2011/07/29 15:08:08.0765 3328 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/07/29 15:08:08.0859 3328 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/07/29 15:08:08.0953 3328 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/07/29 15:08:09.0015 3328 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/07/29 15:08:09.0265 3328 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/07/29 15:08:09.0328 3328 cercsr6 (84853b3fd012251690570e9e7e43343f) C:\WINDOWS\system32\drivers\cercsr6.sys
2011/07/29 15:08:09.0671 3328 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/07/29 15:08:09.0750 3328 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/07/29 15:08:09.0812 3328 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/07/29 15:08:09.0859 3328 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/07/29 15:08:09.0906 3328 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/07/29 15:08:09.0968 3328 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/07/29 15:08:10.0046 3328 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/07/29 15:08:10.0093 3328 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/07/29 15:08:10.0140 3328 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/07/29 15:08:10.0218 3328 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/07/29 15:08:10.0234 3328 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/07/29 15:08:10.0343 3328 fpcibase (45b5129aeae91ea096a9bbebff99e098) C:\WINDOWS\system32\DRIVERS\fpcibase.sys
2011/07/29 15:08:10.0390 3328 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/07/29 15:08:10.0421 3328 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/07/29 15:08:10.0484 3328 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/07/29 15:08:10.0562 3328 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/07/29 15:08:10.0671 3328 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/07/29 15:08:10.0843 3328 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/07/29 15:08:10.0968 3328 ialm (5a8e05f1d5c36abd58cffa111eb325ea) C:\WINDOWS\system32\DRIVERS\ialmnt5.sys
2011/07/29 15:08:11.0109 3328 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/07/29 15:08:11.0218 3328 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/07/29 15:08:11.0265 3328 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/07/29 15:08:11.0312 3328 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/07/29 15:08:11.0437 3328 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/07/29 15:08:11.0500 3328 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/07/29 15:08:11.0546 3328 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/07/29 15:08:11.0562 3328 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/07/29 15:08:11.0640 3328 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/07/29 15:08:11.0687 3328 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/07/29 15:08:11.0734 3328 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/07/29 15:08:11.0781 3328 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/07/29 15:08:11.0875 3328 MBAMProtector (eca00eed9ab95489007b0ef84c7149de) C:\WINDOWS\system32\drivers\mbam.sys
2011/07/29 15:08:11.0937 3328 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/07/29 15:08:12.0000 3328 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/07/29 15:08:12.0046 3328 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/07/29 15:08:12.0125 3328 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/07/29 15:08:12.0140 3328 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/07/29 15:08:12.0203 3328 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/07/29 15:08:12.0296 3328 MRxSmb (0dc719e9b15e902346e87e9dcd5751fa) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/07/29 15:08:12.0343 3328 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/07/29 15:08:12.0390 3328 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/07/29 15:08:12.0406 3328 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/07/29 15:08:12.0453 3328 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/07/29 15:08:12.0484 3328 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/07/29 15:08:12.0546 3328 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
2011/07/29 15:08:12.0625 3328 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/07/29 15:08:12.0671 3328 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/07/29 15:08:12.0687 3328 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/07/29 15:08:12.0718 3328 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/07/29 15:08:12.0796 3328 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/07/29 15:08:12.0812 3328 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/07/29 15:08:12.0875 3328 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/07/29 15:08:12.0953 3328 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/07/29 15:08:13.0000 3328 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/07/29 15:08:13.0078 3328 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/07/29 15:08:13.0250 3328 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/07/29 15:08:13.0296 3328 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/07/29 15:08:13.0359 3328 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/07/29 15:08:13.0406 3328 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/07/29 15:08:13.0437 3328 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/07/29 15:08:13.0484 3328 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/07/29 15:08:13.0546 3328 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/07/29 15:08:13.0578 3328 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/07/29 15:08:13.0828 3328 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/07/29 15:08:13.0859 3328 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/07/29 15:08:13.0890 3328 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/07/29 15:08:13.0968 3328 PxHelp20 (1962166e0ceb740704f30fa55ad3d509) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/07/29 15:08:14.0156 3328 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/07/29 15:08:14.0250 3328 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/07/29 15:08:14.0281 3328 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/07/29 15:08:14.0312 3328 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/07/29 15:08:14.0343 3328 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/07/29 15:08:14.0390 3328 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/07/29 15:08:14.0421 3328 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/07/29 15:08:14.0484 3328 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/07/29 15:08:14.0546 3328 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/07/29 15:08:14.0671 3328 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/07/29 15:08:14.0750 3328 senfilt (b9c7617c1e8ab6fdff75d3c8dafcb4c8) C:\WINDOWS\system32\drivers\senfilt.sys
2011/07/29 15:08:14.0828 3328 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/07/29 15:08:14.0843 3328 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/07/29 15:08:15.0031 3328 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/07/29 15:08:15.0140 3328 smwdm (c6d9959e493682f872a639b6ec1b4a08) C:\WINDOWS\system32\drivers\smwdm.sys
2011/07/29 15:08:15.0187 3328 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/07/29 15:08:15.0218 3328 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/07/29 15:08:15.0296 3328 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/07/29 15:08:15.0375 3328 ssmdrv (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/07/29 15:08:15.0437 3328 StarOpen (f92254b0bcfcd10caac7bccc7cb7f467) C:\WINDOWS\system32\drivers\StarOpen.sys
2011/07/29 15:08:15.0515 3328 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/07/29 15:08:15.0546 3328 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/07/29 15:08:15.0703 3328 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/07/29 15:08:15.0796 3328 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/07/29 15:08:15.0828 3328 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/07/29 15:08:15.0875 3328 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/07/29 15:08:15.0921 3328 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/07/29 15:08:16.0031 3328 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/07/29 15:08:16.0093 3328 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/07/29 15:08:16.0171 3328 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/07/29 15:08:16.0218 3328 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/07/29 15:08:16.0281 3328 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/07/29 15:08:16.0359 3328 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/07/29 15:08:16.0421 3328 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/07/29 15:08:16.0515 3328 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/07/29 15:08:16.0578 3328 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/07/29 15:08:16.0609 3328 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/07/29 15:08:16.0703 3328 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/07/29 15:08:16.0890 3328 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/07/29 15:08:16.0984 3328 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/07/29 15:08:17.0187 3328 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
2011/07/29 15:08:17.0343 3328 Boot (0x1200) (3bebd4aed9217e916a4d297b542b6c38) \Device\Harddisk0\DR0\Partition0
2011/07/29 15:08:17.0359 3328 ================================================================================
2011/07/29 15:08:17.0359 3328 Scan finished
2011/07/29 15:08:17.0359 3328 ================================================================================
2011/07/29 15:08:17.0390 3364 Detected object count: 0
2011/07/29 15:08:17.0390 3364 Actual detected object count: 0
2011/07/29 15:09:07.0328 2500 Deinitialize success
Was sagt der Experte?

--
BFN
Michael

Alt 29.07.2011, 15:34   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Hattest nen Sinowal drauf
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.07.2011, 16:41   #11
MFromH
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Hier der Combo-Fix-Log:
Code:
ATTFilter
ComboFix 11-07-29.01 - **** 29.07.2011  16:28:08.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.479 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-28 bis 2011-07-29  ))))))))))))))))))))))))))))))
.
.
2011-07-28 20:32 . 2011-07-28 20:32	--------	d-----w-	C:\_OTL
2011-07-28 14:49 . 2011-07-28 14:49	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2011-07-28 12:22 . 2011-07-28 12:22	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2011-07-28 12:22 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-28 12:21 . 2011-07-28 12:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-07-28 12:21 . 2011-07-28 12:22	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-07-28 12:21 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-07-23 10:53 . 2011-07-23 10:53	--------	d-----w-	C:\spoolerlogs
2011-07-18 09:40 . 2011-07-18 09:40	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Dropbox
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-06 11:35 . 2004-08-04 12:00	1859072	----a-w-	c:\windows\system32\win32k.sys
2011-05-04 02:52 . 2010-06-10 07:20	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-05-04 00:25 . 2010-06-10 07:20	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-05-02 15:31 . 2010-02-24 14:44	692736	----a-w-	c:\windows\system32\inetcomm.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-10-14 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-10-14 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-10-14 114688]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2009-07-27 1983816]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-18 767312]
"CNAP2 Launcher"="c:\windows\System32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE" [2007-09-05 406944]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\****\Startmen\Programme\Autostart\
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
_uninst_14796489.lnk - c:\dokumente und einstellungen\****\Lokale Einstellungen\Temp\_uninst_14796489.bat [N/A]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Kodak EasyShare Software.lnk - c:\programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2007-2-20 282624]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.03.2010 11:14 108289]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [28.07.2011 14:22 366640]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [24.02.2010 15:46 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [24.02.2010 15:46 444416]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [28.07.2011 14:21 22712]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [04.08.2010 11:48 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [04.08.2010 11:48 136176]
S3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
S3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 66580816
*Deregistered* - 66580816
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-04 09:48]
.
2011-07-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-04 09:48]
.
2011-07-29 c:\windows\Tasks\User_Feed_Synchronization-{6880333A-E3B8-4608-BE8D-E2780AFA5576}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\7cud36e9.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-29 16:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2156)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2011-07-29  16:34:47
ComboFix-quarantined-files.txt  2011-07-29 14:34
.
Vor Suchlauf: 10 Verzeichnis(se), 49.850.224.640 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 50.418.573.312 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 928619F83BCCA10270644350015BB8C0[/QUOTE]--
         
---
BFN
Michael

Alt 30.07.2011, 18:27   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"=-
"65533:TCP"=-
"52344:TCP"=-

File::
c:\windows\system32\drivers\xcpip.sys
c:\windows\system32\drivers\xpsec.sys

Driver::
xcpip
xpsec
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.08.2011, 09:29   #13
MFromH
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Hallo Arne,

wünsche einen guten Start in den neuen Monat und die neue Woche. Und hier der ComboFix-Log:
Code:
ATTFilter
ComboFix 11-07-29.01 - **** 01.08.2011   9:07.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.501 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\****\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
FILE ::
"c:\windows\system32\drivers\xcpip.sys"
"c:\windows\system32\drivers\xpsec.sys"
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_xcpip
-------\Service_xpsec
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-01 bis 2011-08-01  ))))))))))))))))))))))))))))))
.
.
2011-07-28 20:32 . 2011-07-28 20:32	--------	d-----w-	C:\_OTL
2011-07-28 14:49 . 2011-07-28 14:49	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2011-07-28 12:22 . 2011-07-28 12:22	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2011-07-28 12:22 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-28 12:21 . 2011-07-28 12:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-07-28 12:21 . 2011-07-28 12:22	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-07-28 12:21 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-07-23 10:53 . 2011-07-23 10:53	--------	d-----w-	C:\spoolerlogs
2011-07-18 09:40 . 2011-07-18 09:40	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Dropbox
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-06 11:35 . 2004-08-04 12:00	1859072	----a-w-	c:\windows\system32\win32k.sys
2011-05-04 02:52 . 2010-06-10 07:20	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-05-04 00:25 . 2010-06-10 07:20	73728	----a-w-	c:\windows\system32\javacpl.cpl
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-07-29_14.33.06   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-08-01 07:15 . 2011-08-01 07:15	16384              c:\windows\Temp\Perflib_Perfdata_194.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-10-14 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-10-14 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-10-14 114688]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2009-07-27 1983816]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-18 767312]
"CNAP2 Launcher"="c:\windows\System32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE" [2007-09-05 406944]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\****\Startmen\Programme\Autostart\
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
_uninst_14796489.lnk - c:\dokumente und einstellungen\****\Lokale Einstellungen\Temp\_uninst_14796489.bat [N/A]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Kodak EasyShare Software.lnk - c:\programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2007-2-20 282624]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.03.2010 11:14 108289]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [28.07.2011 14:22 366640]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [24.02.2010 15:46 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [24.02.2010 15:46 444416]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [28.07.2011 14:21 22712]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [04.08.2010 11:48 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [04.08.2010 11:48 136176]
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-04 09:48]
.
2011-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-04 09:48]
.
2011-08-01 c:\windows\Tasks\User_Feed_Synchronization-{6880333A-E3B8-4608-BE8D-E2780AFA5576}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\7cud36e9.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-01 09:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(208)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\windows\System32\spool\DRIVERS\W32X86\3\CNAP2RPK.EXE
c:\windows\System32\spool\DRIVERS\W32X86\3\CNAB9SWK.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-08-01  09:19:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-08-01 07:19
ComboFix2.txt  2011-07-29 14:34
.
Vor Suchlauf: 10 Verzeichnis(se), 50.300.424.192 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 50.284.249.088 Bytes frei
.
- - End Of File - - D7BBB4320B03400DC55F419D753E5370[/QUOTE]--
         
--- --- ---
BFN
Michael

Alt 01.08.2011, 11:07   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.08.2011, 13:41   #15
MFromH
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Alles erledigt. Logs -> Anhang

--
BFN
Michael
Angehängte Dateien
Dateityp: zip 2011_08_01_13_37.zip (5,2 KB, 29x aufgerufen)

Antwort

Themen zu T-Online meldet Torpig und Mebroot
angemeldet, antivir, dateien, e-mail, einfach, entfernen, frage, fragen, gmer, klicke, langsam, malware, mebroot, meldet, meldung, neu, neu aufgesetzt, prozesse, rechner, rootkit, sinkhole, surfen, system, system32, t-online, tool, torpig, verbindung, virus



Ähnliche Themen: T-Online meldet Torpig und Mebroot


  1. Spamhaus meldet verschiedenste Botnetze, Zbot, Torpig, etc (2. PC)
    Log-Analyse und Auswertung - 03.10.2013 (14)
  2. Windows XP: Avira meldet mehrere Trojaner, wurde beim Online Banking auf falsche Seite geleitet...
    Log-Analyse und Auswertung - 09.09.2013 (13)
  3. Spamhaus meldet verschiedenste Botnetze, Zbot, Torpig, etc
    Log-Analyse und Auswertung - 14.07.2013 (17)
  4. MITB - online Banking gesperrt - 1&1 meldet Zeus per Mail
    Plagegeister aller Art und deren Bekämpfung - 05.06.2013 (29)
  5. !EILT! Microsoft meldet PWS:Win32/Zbot - ESET Online- und OTL-Scan durchgeführt
    Plagegeister aller Art und deren Bekämpfung - 18.04.2013 (8)
  6. Rechner mit 'Torpig' und/oder 'Mebroot' infiziert
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (31)
  7. Laut Telekom: Torpig/Mebroot - aber keine Funde
    Log-Analyse und Auswertung - 31.10.2012 (5)
  8. T-Online meldet Infektion mit Torpig/Sinowal und Mebroot - 3 PCs, welcher hats?
    Plagegeister aller Art und deren Bekämpfung - 28.10.2012 (34)
  9. Mebroot/Torpig/Sinowal, Warnung der Uni
    Log-Analyse und Auswertung - 06.06.2012 (22)
  10. Online-Banking gesperrt wegen torpig-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.02.2012 (22)
  11. torpig und/oder Mebroot infizierung
    Log-Analyse und Auswertung - 16.10.2011 (5)
  12. T-Online meldet Torpig und Mebroot
    Log-Analyse und Auswertung - 09.08.2011 (12)
  13. Nod32 meldet Mebroot.Trojaner
    Plagegeister aller Art und deren Bekämpfung - 16.02.2011 (14)
  14. boot.mebroot bzw. win32/mebroot.mbr Problem - Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (10)
  15. Kaspersky meldet:http:///notifier/signal_notifier.xml T-Online eMail-Anzeige Verboten
    Plagegeister aller Art und deren Bekämpfung - 25.02.2009 (0)
  16. Symantec Online meldet ADWARE.PREFIX
    Log-Analyse und Auswertung - 01.07.2007 (4)
  17. AntiVir meldet Funde, T-Online Software verhält sich merkwürdig
    Plagegeister aller Art und deren Bekämpfung - 27.06.2007 (3)

Zum Thema T-Online meldet Torpig und Mebroot - Hallo Profis, ein Freund von mir hat letzten Samstag bei Surfen eine englischsprachige Meldung der Art "Sie haben 50 Viren. Hier klicken zum Entfernen" erhalten. Er hat nicht geklickt, sondern - T-Online meldet Torpig und Mebroot...
Archiv
Du betrachtest: T-Online meldet Torpig und Mebroot auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.