Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: T-Online meldet Torpig und Mebroot

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.08.2011, 21:42   #1
Mic4
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Guten Tag allerseits,

mein Problem ist dem Problem von MfromH sehr ähnlich, deswegen habe ich denselben Titel gewählt.
Ein Freund hat von der Telekom Abuse Team eine Warnung erhalten, dass von seinem Anschluss aus Angriffe auf andere Rechner erfolgen. Auf Nachfrage wurde mitgeteilt, dass er ein Sinkhole kontaktiert hat.
Zitat:
> Anhand der gemeldeten IP-Adresse und des exakten Zeitpunktes des
> Zugriffs können wir für einen begrenzten Zeitraum (sieben Tage) den
> missbrauchten Internetzugang ermitteln und schreiben den Inhaber dieses
> Zugangs an. Wichtig: Uns liegen keinerlei Informationen darüber vor,
> welcher Rechner "hinter" Ihrem Router das Problem aufweist.
In dem Haushalt werden zwei PCs verwendet.
Ich habe im oben genannten Thread mitgelesen, konnte daraufhin mit GMER einen vermutlich mit dem Rootkit

Sinowal verseuchten Rechner identifizieren, siehe GMER-Log.
Reicht es, den Rechner von einer CD zu booten und den MBR neu zu schreiben? Kann man die atksgt.sys und xcpip.sys löschen, wenn der Rechner von einer CD gebootet wurde ?
Vielen Dank für eure Hilfe, in der Hoffnung noch einige Tipps zu bekommen
Michael

MBAM Logging
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7336

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

31.07.2011 15:37:58
mbam-log-2011-07-31 (15-37-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 257908
Laufzeit: 2 Stunde(n), 52 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
GMER Logging

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-01 19:51:37
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380022A rev.3.33
Running: qtr3zz9c.exe; Driver: C:\DOKUME~1\Hauke\LOKALE~1\Temp\uxtdapoc.sys


---- System - GMER 1.0.15 ----

SSDT    BA9BBB3E                                                                                              ZwCreateKey
SSDT    BA9BBB34                                                                                              ZwCreateThread
SSDT    BA9BBB43                                                                                              ZwDeleteKey
SSDT    BA9BBB4D                                                                                              ZwDeleteValueKey
SSDT    sptd.sys                                                                                              ZwEnumerateKey [0xF750BC7E]
SSDT    sptd.sys                                                                                              ZwEnumerateValueKey [0xF750BFF6]
SSDT    BA9BBB52                                                                                              ZwLoadKey
SSDT    sptd.sys                                                                                              ZwOpenKey [0xF750BA18]
SSDT    BA9BBB20                                                                                              ZwOpenProcess
SSDT    BA9BBB25                                                                                              ZwOpenThread
SSDT    sptd.sys                                                                                              ZwQueryKey [0xF750C0C0]
SSDT    sptd.sys                                                                                              ZwQueryValueKey [0xF750BF58]
SSDT    BA9BBB5C                                                                                              ZwReplaceKey
SSDT    BA9BBB57                                                                                              ZwRestoreKey
SSDT    BA9BBB48                                                                                              ZwSetValueKey
SSDT    BA9BBB2F                                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?       C:\WINDOWS\system32\drivers\sptd.sys                                                                  Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
?       C:\WINDOWS\System32\Drivers\SPTD0045.SYS                                                              Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
?       system32\drivers\xpsec.sys                                                                            Das System kann den angegebenen Pfad nicht finden. !
.text   C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                section is writeable [0xAFBAA300, 0x3ACC8, 0xE8000020]
?       system32\drivers\xcpip.sys                                                                            Das System kann den angegebenen Pfad nicht finden. !
.text   C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                section is writeable [0xF781F300, 0x1B7E, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text   C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!closesocket        71A13E2B 5 Bytes  JMP 00759F7E 
.text   C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!send               71A14C27 5 Bytes  JMP 00759B1B 
.text   C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!WSARecv            71A14CB5 5 Bytes  JMP 00759E30 
.text   C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!recv               71A1676F 5 Bytes  JMP 00759BFC 
.text   C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!WSASend            71A168FA 5 Bytes  JMP 00759CCF 
.text   C:\WINDOWS\system32\winlogon.exe[788] Secur32.dll!LsaLogonUser                                        77FC33D8 5 Bytes  JMP 01482C81 
.text   C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!closesocket                             71A13E2B 5 Bytes  JMP 01879F7E 
.text   C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!send                                    71A14C27 5 Bytes  JMP 01879B1B 
.text   C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!WSARecv                                 71A14CB5 5 Bytes  JMP 01879E30 
.text   C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!recv                                    71A1676F 5 Bytes  JMP 01879BFC 
.text   C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!WSASend                                 71A168FA 5 Bytes  JMP 01879CCF 
.text   C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!closesocket                           71A13E2B 5 Bytes  JMP 03F69F7E 
.text   C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!send                                  71A14C27 5 Bytes  JMP 03F69B1B 
.text   C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!WSARecv                               71A14CB5 5 Bytes  JMP 03F69E30 
.text   C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!recv                                  71A1676F 5 Bytes  JMP 03F69BFC 
.text   C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!WSASend                               71A168FA 5 Bytes  JMP 03F69CCF 
.text   C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!closesocket                                 71A13E2B 5 Bytes  JMP 01839F7E 
.text   C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!send                                        71A14C27 5 Bytes  JMP 01839B1B 
.text   C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!WSARecv                                     71A14CB5 5 Bytes  JMP 01839E30 
.text   C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!recv                                        71A1676F 5 Bytes  JMP 01839BFC 
.text   C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!WSASend                                     71A168FA 5 Bytes  JMP 01839CCF 
.text   C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!closesocket                                              71A13E2B 5 Bytes  JMP 00B39F7E 
.text   C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!send                                                     71A14C27 5 Bytes  JMP 00B39B1B 
.text   C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!WSARecv                                                  71A14CB5 5 Bytes  JMP 00B39E30 
.text   C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!recv                                                     71A1676F 5 Bytes  JMP 00B39BFC 
.text   C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!WSASend                                                  71A168FA 5 Bytes  JMP 00B39CCF 
.text   C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!closesocket                                    71A13E2B 5 Bytes  JMP 00B99F7E 
.text   C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!send                                           71A14C27 5 Bytes  JMP 00B99B1B 
.text   C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 00B99E30 
.text   C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!recv                                           71A1676F 5 Bytes  JMP 00B99BFC 
.text   C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 00B99CCF 
.text   C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!closesocket                                         71A13E2B 5 Bytes  JMP 01249F7E 
.text   C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!send                                                71A14C27 5 Bytes  JMP 01249B1B 
.text   C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!WSARecv                                             71A14CB5 5 Bytes  JMP 01249E30 
.text   C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!recv                                                71A1676F 5 Bytes  JMP 01249BFC 
.text   C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!WSASend                                             71A168FA 5 Bytes  JMP 01249CCF 
.text   C:\WINDOWS\Explorer.EXE[3496] USER32.dll!DisplayExitWindowsWarnings                                   7E3A9F91 5 Bytes  JMP 00EF2A93 
.text   C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!closesocket                                                  71A13E2B 5 Bytes  JMP 00DE9F7E 
.text   C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!send                                                         71A14C27 5 Bytes  JMP 00DE9B1B 
.text   C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!WSARecv                                                      71A14CB5 5 Bytes  JMP 00DE9E30 
.text   C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!recv                                                         71A1676F 5 Bytes  JMP 00DE9BFC 
.text   C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!WSASend                                                      71A168FA 5 Bytes  JMP 00DE9CCF 
.text   C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!closesocket                   71A13E2B 5 Bytes  JMP 012A9F7E 
.text   C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!send                          71A14C27 5 Bytes  JMP 012A9B1B 
.text   C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!WSARecv                       71A14CB5 5 Bytes  JMP 012A9E30 
.text   C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!recv                          71A1676F 5 Bytes  JMP 012A9BFC 
.text   C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!WSASend                       71A168FA 5 Bytes  JMP 012A9CCF 
.text   C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!closesocket                                     71A13E2B 5 Bytes  JMP 01079F7E 
.text   C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!send                                            71A14C27 5 Bytes  JMP 01079B1B 
.text   C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!WSARecv                                         71A14CB5 5 Bytes  JMP 01079E30 
.text   C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!recv                                            71A1676F 5 Bytes  JMP 01079BFC 
.text   C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!WSASend                                         71A168FA 5 Bytes  JMP 01079CCF 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT     pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                  [F7514DB2] sptd.sys
IAT     pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                     [F752A71E] sptd.sys
IAT     ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference]                                                 [F75153B2] sptd.sys
IAT     ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer]                                                     [F75152B6] sptd.sys
IAT     ftdisk.sys[ntoskrnl.exe!IofCallDriver]                                                                [F7515482] sptd.sys
IAT     PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                 [F752A032] sptd.sys
IAT     PartMgr.sys[ntoskrnl.exe!IoDetachDevice]                                                              [F7514F6E] sptd.sys
IAT     atapi.sys[ntoskrnl.exe!IofCompleteRequest]                                                            [F7529C76] sptd.sys
IAT     atapi.sys[ntoskrnl.exe!IoConnectInterrupt]                                                            [F7514E06] sptd.sys
IAT     atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                    [F7507A32] sptd.sys
IAT     atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                            [F7507B6E] sptd.sys
IAT     atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                   [F7507AF6] sptd.sys
IAT     atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                           [F75086CC] sptd.sys
IAT     atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                   [F75085A2] sptd.sys
IAT     disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                    [F752A864] sptd.sys
IAT     \WINDOWS\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice]                                   [F7519F78] sptd.sys
IAT     \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                    [F7529C82] sptd.sys
IAT     \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                      [F752A864] sptd.sys
IAT     \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest]                             [F7529C76] sptd.sys
IAT     \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver]                                    [F7507020] sptd.sys
IAT     \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver]                                   [F7507020] sptd.sys

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Ntfs \Ntfs                                                                                8A34A808
Device  \FileSystem\Udfs \UdfsCdRom                                                                           89EABD80
Device  \FileSystem\Udfs \UdfsDisk                                                                            89EABD80
Device  \Driver\NetBT \Device\NetBT_Tcpip_{3A4D1200-9397-4E8E-9F22-0F3FA3CC45E6}                              8A0D30E8
Device  \Driver\Ftdisk \Device\HarddiskVolume1                                                                8A34AEB0
Device  \Driver\NetBT \Device\NetBT_Tcpip_{041FEC7F-1FC5-42C2-872E-33B4CD361153}                              8A0D30E8
Device  \Driver\Cdrom \Device\CdRom0                                                                          8A16BEB0
Device  \FileSystem\Rdbss \Device\FsWrap                                                                      8A11A6B0
Device  \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17                                                          [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device  \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                           [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device  \Driver\atapi \Device\Ide\IdePort0                                                                    [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device  \Driver\atapi \Device\Ide\IdePort1                                                                    [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device  \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f                                                           [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device  \Driver\Cdrom \Device\CdRom1                                                                          8A16BEB0
Device  \Driver\USBSTOR \Device\00000076                                                                      8A26B7F8
Device  \Driver\NetBT \Device\NetBt_Wins_Export                                                               8A0D30E8
Device  \Driver\USBSTOR \Device\00000078                                                                      8A26B7F8
Device  \Driver\NetBT \Device\NetbiosSmb                                                                      8A0D30E8
Device  \Driver\Disk \Device\Harddisk0\DR0                                                                    8A34AA40
Device  \Driver\Disk \Device\Harddisk1\DR4                                                                    8A34AA40
Device  \Driver\Disk \Device\Harddisk1\DP(1)0-0+5                                                             8A34AA40
Device  \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                     8A219EB0
Device  \FileSystem\MRxSmb \Device\LanmanRedirector                                                           8A219EB0
Device  \FileSystem\Npfs \Device\NamedPipe                                                                    8A1BA9F0
Device  \Driver\Ftdisk \Device\FtControl                                                                      8A34AEB0
Device  \FileSystem\Msfs \Device\Mailslot                                                                     8A11B0E8
Device  \FileSystem\Cdfs \Cdfs                                                                                8A3870E8

---- Registry - GMER 1.0.15 ----

Reg     HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0009dd508cbc (not active ControlSet)       
Reg     HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0009dd508cbc@0025676a5a50                  0x9E 0x03 0xB4 0xEC ...
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)  
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                       C:\Programme\Alcohol Soft\Alcohol 120\
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)  
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                       C:\Programme\Alcohol Soft\Alcohol 120\
Reg     HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd508cbc                           
Reg     HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd508cbc@0025676a5a50              0x9E 0x03 0xB4 0xEC ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0                                                    -1708384478
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                    36670921
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                    1319591190
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                      
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                   C:\Programme\Alcohol Soft\Alcohol 120\
Reg     HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)  
Reg     HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                       C:\Programme\Alcohol Soft\Alcohol 120\

---- Disk sectors - GMER 1.0.15 ----

Disk    \Device\Harddisk0\DR0                                                                                 sector 00: rootkit-like behavior
Disk    \Device\Harddisk0\DR0                                                                                 malicious Win32:MBRoot code @ sector 156296388
Disk    \Device\Harddisk0\DR0                                                                                 PE file @ sector 156296410
Disk    \Device\Harddisk0\DR0                                                                                 MBRoot/Sinowal@MBR code has been found                                                                          <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----
         
--- --- ---

Alt 01.08.2011, 22:12   #2
Mic4
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



ich gehe davon aus, dass der zweite Rechner nicht verseucht ist, oder muss ich wegen der ntoskernel Hinweise den Rechner genauer prüfen?

GMER Log
[code]
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-01 12:35:24
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD800BB-75FJA1 rev.14.03G14
Running: 8vvh58qk.exe; Driver: C:\DOKUME~1\Walter\LOKALE~1\Temp\pxtdapob.sys


---- System - GMER 1.0.15 ----

SSDT   F059906C                                  ZwClose
SSDT   F0599026                                  ZwCreateKey
SSDT   F0599076                                  ZwCreateSection
SSDT   F059901C                                  ZwCreateThread
SSDT   F059902B                                  ZwDeleteKey
SSDT   F0599035                                  ZwDeleteValueKey
SSDT   F0599067                                  ZwDuplicateObject
SSDT   F059903A                                  ZwLoadKey
SSDT   F0599008                                  ZwOpenProcess
SSDT   F059900D                                  ZwOpenThread
SSDT   F0599044                                  ZwReplaceKey
SSDT   F059903F                                  ZwRestoreKey
SSDT   F059907B                                  ZwSetContextThread
SSDT   F0599030                                  ZwSetValueKey
SSDT   F0599017                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntoskrnl.exe!_abnormal_termination + 148  804E27B4 2 Bytes  [2B, 90]
.text  ntoskrnl.exe!_abnormal_termination + 14B  804E27B7 1 Byte  [F0]
.text  ntoskrnl.exe!_abnormal_termination + 150  804E27BC 2 Bytes  [35, 90]
.text  ntoskrnl.exe!_abnormal_termination + 153  804E27BF 1 Byte  [F0]

---- EOF - GMER 1.0.15 ----
         
--- --- ---
__________________


Alt 03.08.2011, 01:04   #3
Swisstreasure
/// Malwareteam
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Kümmern wir uns in erster Linie mal um den infizierten Rechner.

Schritt 1
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
  • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
  • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

Schritt 2

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Klicke auf Scan
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt 3

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________

Alt 04.08.2011, 09:35   #4
Mic4
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Vielen Dank für die Hilfe,
damit du nicht glaubst, es besteht kein Interesse mehr an einer Hilfestellung, eine kurze Rückmeldung.
Ich habe dem Benutzer des Computers den Link zu diesem Thread gesendet, aber er fühlt sich mit den Anweisungen und Hinweisen überfordert (wieso eigentlich, ist doch klar beschrieben?).
Ich kann also noch keine Logs liefern.
Ich denke, ich werde einen Hausbesuch machen oder muss Teamviewer auf dem betroffenen Computer installieren.
Du wirst von mir hören, wenn die geforderten Logs verfügbar sind.

Michael

Alt 04.08.2011, 13:42   #5
Swisstreasure
/// Malwareteam
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Ok, melde Dich wieder.


Alt 05.08.2011, 01:48   #6
Swisstreasure
/// Malwareteam
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Ich bin bis am Sonntag abwesend. Melde mich dann aber gleich wieder.

Alt 07.08.2011, 01:13   #7
Mic4
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Nachdem GMER den Rechner untersucht hatte, habe ich den Rechner von der WinXP CD gestartet, in der WiederherstellungsKonsole den MBR und den Bootsektor neu geschrieben, zwei Dienste xpsec und xcpip deaktivert, die atapi.sys von der CD zu C:\WINDOWS\system32\drivers kopiert:
in der Wiederherstellungskonsole folgende Befehle eingegeben:
Code:
ATTFilter
fixmbr
fixboot
listsvc
disable xpsec
disable xcpip
         

Combofix Log
[code]
Combofix Logfile:
Code:
ATTFilter
ComboFix 11-08-03.03 - Hauke 07.08.2011   0:24.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1535.1095 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Hauke\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\1.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\4489.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\a.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\b.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\c.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\d.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\e.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\f.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\g.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\h.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\i.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\j.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\k.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\l.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\m.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\n.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\o.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\p.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\q.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\r.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\s.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\t.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\u.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\v.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\w.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\wlu.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\x.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\y.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\z.txt
c:\dokumente und einstellungen\Hauke\WINDOWS
c:\dokumente und einstellungen\HelpAssistant\WINDOWS
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-06 bis 2011-08-06  ))))))))))))))))))))))))))))))
.
.
2011-08-01 09:08 . 2011-08-01 09:08	--------	d-----w-	C:\spoolerlogs
2011-07-31 11:12 . 2011-07-31 11:13	--------	d-----w-	c:\programme\Audacity 1.3 Beta (Unicode)
2011-07-26 13:37 . 2011-07-26 13:37	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2011-07-24 12:36 . 2011-07-24 12:36	--------	d-----w-	c:\dokumente und einstellungen\Hauke\Anwendungsdaten\DVDVideoSoft
2011-07-24 12:03 . 2011-07-30 09:59	--------	d-----w-	c:\dokumente und einstellungen\Hauke\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2011-07-24 12:03 . 2011-07-24 12:03	--------	d-----w-	c:\programme\Conduit
2011-07-24 12:02 . 2011-07-24 12:03	--------	d-----w-	c:\dokumente und einstellungen\Hauke\Lokale Einstellungen\Anwendungsdaten\Conduit
2011-07-24 12:02 . 2011-07-24 12:02	--------	d-----w-	c:\programme\DVDVideoSoftTB
2011-07-24 12:02 . 2011-07-24 12:02	--------	d-----w-	c:\dokumente und einstellungen\Hauke\Lokale Einstellungen\Anwendungsdaten\Temp
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-06 17:52 . 2011-02-19 17:56	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-06 17:52 . 2011-02-19 17:56	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-06-25 16:54 . 2011-05-27 15:29	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-03-09 08:58 . 2011-04-15 16:27	1456640	----a-w-	c:\programme\Gemeinsame Dateien\Falk Navi-Manager.msi
2011-06-29 16:55 . 2011-05-15 09:57	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54	175912	----a-w-	c:\programme\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2011-01-17 14:54	175912	----a-w-	c:\programme\DVDVideoSoftTB\prxtbDVDV.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-11-11 1451520]
"ICQ"="c:\programme\ICQ7.5\ICQ.exe" [2011-08-01 124480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 77824]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\ICQ7.5\\ICQ.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"3246:TCP"= 3246:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"2413:TCP"= 2413:TCP:Services
"3326:TCP"= 3326:TCP:Services
"5320:TCP"= 5320:TCP:Services
"9140:TCP"= 9140:TCP:Services
"4100:TCP"= 4100:TCP:Services
"4194:TCP"= 4194:TCP:Services
"9569:TCP"= 9569:TCP:Services
"6632:TCP"= 6632:TCP:Services
"3991:TCP"= 3991:TCP:Services
"2772:TCP"= 2772:TCP:Services
"3741:TCP"= 3741:TCP:Services
"2647:TCP"= 2647:TCP:Services
"5460:TCP"= 5460:TCP:Services
"2850:TCP"= 2850:TCP:Services
"2491:TCP"= 2491:TCP:Services
"2194:TCP"= 2194:TCP:Services
"5319:TCP"= 5319:TCP:Services
"9442:TCP"= 9442:TCP:Services
"4928:TCP"= 4928:TCP:Services
"9407:TCP"= 9407:TCP:Services
"3632:TCP"= 3632:TCP:Services
"6694:TCP"= 6694:TCP:Services
"2678:TCP"= 2678:TCP:Services
"9538:TCP"= 9538:TCP:Services
"3335:TCP"= 3335:TCP:Services
"5085:TCP"= 5085:TCP:Services
"3085:TCP"= 3085:TCP:Services
"4835:TCP"= 4835:TCP:Services
"5741:TCP"= 5741:TCP:Services
"5225:TCP"= 5225:TCP:Services
"5053:TCP"= 5053:TCP:Services
"4147:TCP"= 4147:TCP:Services
"2569:TCP"= 2569:TCP:Services
"9460:TCP"= 9460:TCP:Services
"7069:TCP"= 7069:TCP:Services
"9272:TCP"= 9272:TCP:Services
"3803:TCP"= 3803:TCP:Services
"3819:TCP"= 3819:TCP:Services
"3257:TCP"= 3257:TCP:Services
"3038:TCP"= 3038:TCP:Services
"3007:TCP"= 3007:TCP:Services
"4975:TCP"= 4975:TCP:Services
"7132:TCP"= 7132:TCP:Services
"4944:TCP"= 4944:TCP:Services
"5866:TCP"= 5866:TCP:Services
"3897:TCP"= 3897:TCP:Services
"5991:TCP"= 5991:TCP:Services
"4428:TCP"= 4428:TCP:Services
"3835:TCP"= 3835:TCP:Services
"3944:TCP"= 3944:TCP:Services
"4163:TCP"= 4163:TCP:Services
"4725:TCP"= 4725:TCP:Services
"5100:TCP"= 5100:TCP:Services
"7647:TCP"= 7647:TCP:Services
"9741:TCP"= 9741:TCP:Services
"6492:TCP"= 6492:TCP:Services
"7444:TCP"= 7444:TCP:Services
"4522:TCP"= 4522:TCP:Services
"9350:TCP"= 9350:TCP:Services
"6928:TCP"= 6928:TCP:Services
"2039:TCP"= 2039:TCP:Services
"8147:TCP"= 8147:TCP:Services
"5382:TCP"= 5382:TCP:Services
"6569:TCP"= 6569:TCP:Services
"2147:TCP"= 2147:TCP:Services
"3397:TCP"= 3397:TCP:Services
"2522:TCP"= 2522:TCP:Services
"4569:TCP"= 4569:TCP:Services
"3100:TCP"= 3100:TCP:Services
"4757:TCP"= 4757:TCP:Services
"4397:TCP"= 4397:TCP:Services
"5316:TCP"= 5316:TCP:Services
"1601:TCP"= 1601:TCP:Services
"4710:TCP"= 4710:TCP:Services
"5366:TCP"= 5366:TCP:Services
"4788:TCP"= 4788:TCP:Services
"6048:TCP"= 6048:TCP:Services
"5130:TCP"= 5130:TCP:Services
"2709:TCP"= 2709:TCP:Services
"3912:TCP"= 3912:TCP:Services
"4959:TCP"= 4959:TCP:Services
"6256:TCP"= 6256:TCP:Services
"7281:TCP"= 7281:TCP:Services
"8020:TCP"= 8020:TCP:Services
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [02.02.2008 17:29 642560]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.07.2009 11:20 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [02.07.2008 13:22 247608]
S3 BELKIN;Belkin Wireless G USB Network Adapter;c:\windows\system32\drivers\BLKWGU.sys [12.07.2009 16:46 273280]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [23.04.2010 18:21 136704]
S3 vaxscsi;vaxscsi;c:\windows\system32\drivers\vaxscsi.sys [02.02.2008 17:31 223128]
S4 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
S4 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Free YouTube Download - c:\dokumente und einstellungen\Hauke\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Hauke\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\programme\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Hauke\Anwendungsdaten\Mozilla\Firefox\Profiles\z6rk1ub9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - DVDVideoSoftTB Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=13
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.2.6&q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\programme\AskBarDis\bar\bin\askBar.dll
MSConfigStartUp-ICQ - c:\programme\ICQ7.4\ICQ.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-07 00:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1935655697-630328440-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:63,b2,65,21,3d,e0,d4,bb,56,14,a0,ec,56,e7,9a,0a,de,90,fa,9a,e6,54,56,
   21,89,6d,aa,9a,ad,d5,27,89,a6,5c,2e,41,67,1b,20,de,8b,4a,4d,69,ef,32,10,9b,\
"??"=hex:76,1f,c9,8c,f0,e9,00,63,34,03,41,31,54,46,d1,b9
.
[HKEY_USERS\S-1-5-21-1935655697-630328440-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:b4,25,b7,a6,98,33,29,b6,c3,f4,49,31,83,af,76,24,77,43,be,d3,78,
   55,e1,ab,20,7b,8f,ef,0b,0e,55,22,66,55,a7,07,15,67,60,c5,47,af,e5,bf,20,31,\
"rkeysecu"=hex:bb,4a,6a,18,90,8d,9b,d5,a9,94,cc,ab,2a,47,58,59
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-08-07  00:36:16
ComboFix-quarantined-files.txt  2011-08-06 22:35
.
Vor Suchlauf: 15 Verzeichnis(se), 39.301.582.848 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 39.354.675.200 Bytes frei
.
Current=3 Default=3 Failed=2 LastKnownGood=1 Sets=1,2,3,4
- - End Of File - - 93EC8FC3A226B10DB13BF528D98710C3
         
--- --- ---


aswMBR Log
Code:
ATTFilter
aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-07 00:39:13
-----------------------------
00:39:13.265    OS Version: Windows 5.1.2600 Service Pack 3
00:39:13.265    Number of processors: 1 586 0x207
00:39:13.265    ComputerName: PC193  UserName: Hauke
00:39:15.031    Initialize success
00:39:33.156    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
00:39:33.156    Disk 0 Vendor: ST380022A 3.33 Size: 76319MB BusType: 3
00:39:35.171    Disk 0 MBR read successfully
00:39:35.171    Disk 0 MBR scan
00:39:35.171    Disk 0 Windows XP default MBR code
00:39:35.171    Disk 0 scanning sectors +156296385
00:39:35.218    Disk 0 malicious Win32:MBRoot code @ sector 156296388 !
00:39:35.234    Disk 0 PE file @ sector 156296410 !
00:39:35.281    Disk 0 scanning C:\WINDOWS\system32\drivers
00:39:55.046    Service scanning
00:39:57.343    Service sptd C:\WINDOWS\System32\Drivers\sptd.sys **LOCKED** 32
00:39:57.875    Modules scanning
00:40:22.093    Disk 0 trace - called modules:
00:40:22.109    ntoskrnl.exe >>UNKNOWN [0x8a34aa40]<<
00:40:22.109    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a2f9ab8]
00:40:22.109    \Driver\Disk[0x8a368340] -> IRP_MJ_CREATE -> 0x8a34aa40
00:40:22.109    Scan finished successfully
00:41:04.781    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Hauke\Desktop\MBR.dat"
00:41:04.781    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Hauke\Desktop\aswMBR.txt"
         
MBRCheck Log
Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000001d

Kernel Drivers (total 130):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x806EE000 \WINDOWS\system32\hal.dll
  0xF7987000 \WINDOWS\system32\KDCOM.DLL
  0xF7897000 \WINDOWS\system32\BOOTVID.dll
  0xF7506000 sptd.sys
  0xF7989000 \WINDOWS\System32\Drivers\WMILIB.SYS
  0xF74EE000 \WINDOWS\System32\Drivers\SPTD0045.SYS
  0xF74BF000 ACPI.sys
  0xF74AE000 pci.sys
  0xF75F7000 isapnp.sys
  0xF7607000 ohci1394.sys
  0xF7617000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7A4F000 pciide.sys
  0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7627000 MountMgr.sys
  0xF7878000 ftdisk.sys
  0xF770F000 PartMgr.sys
  0xF7637000 VolSnap.sys
  0xF7860000 atapi.sys
  0xF7647000 disk.sys
  0xF7657000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF7840000 fltmgr.sys
  0xF782E000 sr.sys
  0xF7667000 PxHelp20.sys
  0xBAFE9000 KSecDD.sys
  0xBAFD6000 WudfPf.sys
  0xBAF49000 Ntfs.sys
  0xBAF1C000 NDIS.sys
  0xF7677000 SISAGPX.sys
  0xBAE62000 Mup.sys
  0xF76A7000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xF76B7000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xBAC43000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xBAC2F000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF76C7000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7747000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF7757000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7767000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xF76D7000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF7943000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xBAC1B000 \SystemRoot\system32\DRIVERS\parport.sys
  0xBAE3E000 \SystemRoot\system32\DRIVERS\gameenum.sys
  0xF7AAE000 \SystemRoot\system32\drivers\msmpu401.sys
  0xBABF7000 \SystemRoot\system32\drivers\portcls.sys
  0xF76E7000 \SystemRoot\system32\drivers\drmk.sys
  0xBABD4000 \SystemRoot\system32\drivers\ks.sys
  0xF76F7000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF749E000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xBAE2E000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
  0xF748E000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBA8DA000 \SystemRoot\system32\drivers\ALCXWDM.SYS
  0xF7787000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xBA8B6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF77B7000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF77C7000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
  0xF7A56000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF747E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xBAE1A000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xBA89F000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF746E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF745E000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF780F000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xBA88E000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF744E000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7737000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF774F000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF743E000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF799F000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xBA830000 \SystemRoot\system32\DRIVERS\update.sys
  0xBADFA000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF742E000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF77FF000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0xBAEEC000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF79A5000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF79A9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7A9B000 \SystemRoot\System32\Drivers\Null.SYS
  0xF79AD000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF773F000 \SystemRoot\System32\drivers\vga.sys
  0xF79B1000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF79B5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF776F000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF777F000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF794B000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB26BB000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB2662000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB263A000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB2614000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xBAECC000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB25CA000 \SystemRoot\System32\drivers\afd.sys
  0xBAEBC000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xBAEAC000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF77AF000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB259F000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB252F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xBAE9C000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB2513000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF79C5000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xBABB4000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB24FB000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF79CF000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xBAB24000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF77A7000 \SystemRoot\System32\watchdog.sys
  0xBF9C3000 \SystemRoot\System32\drivers\dxg.sys
  0xF7A60000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF9D5000 \SystemRoot\System32\ati2dvag.dll
  0xBFA18000 \SystemRoot\System32\ati2cqag.dll
  0xBFA5D000 \SystemRoot\System32\atikvmag.dll
  0xBFA93000 \SystemRoot\System32\ati3duag.dll
  0xBFD25000 \SystemRoot\System32\ativvaxx.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB03A7000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB029B000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB0337000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0xB0078000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF79E5000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xAFF45000 \SystemRoot\system32\DRIVERS\atksgt.sys
  0xAFF08000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB00FD000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB26CE000 \SystemRoot\system32\DRIVERS\lirsgt.sys
  0xAFC4F000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB26F6000 \SystemRoot\System32\Drivers\TDTCP.SYS
  0xAFC04000 \SystemRoot\System32\Drivers\RDPWD.SYS
  0xAF993000 \SystemRoot\System32\Drivers\HTTP.sys
  0xF79B9000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
  0xF77E7000 \??\C:\DOKUME~1\Hauke\LOKALE~1\Temp\catchme.sys
  0xAF419000 \SystemRoot\system32\drivers\kmixer.sys
  0xAFE4D000 \??\C:\DOKUME~1\Hauke\LOKALE~1\Temp\aswMBR.sys
  0xAF3F5000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 42):
       0 System Idle Process
       4 System
     536 C:\WINDOWS\system32\smss.exe
     600 csrss.exe
     632 C:\WINDOWS\system32\winlogon.exe
     684 C:\WINDOWS\system32\services.exe
     700 C:\WINDOWS\system32\lsass.exe
     880 C:\WINDOWS\system32\ati2evxx.exe
     904 C:\WINDOWS\system32\svchost.exe
     992 svchost.exe
    1040 C:\WINDOWS\system32\svchost.exe
    1080 C:\WINDOWS\system32\svchost.exe
    1208 svchost.exe
    1244 svchost.exe
    1368 C:\WINDOWS\system32\spoolsv.exe
    1404 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1448 svchost.exe
    1508 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1568 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    1608 svchost.exe
    1648 C:\WINDOWS\system32\ati2evxx.exe
    1644 C:\Programme\ICQ6Toolbar\ICQ Service.exe
    1808 C:\Programme\Canon\IJPLM\ijplmsvc.exe
    1860 C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    1872 C:\WINDOWS\system32\svchost.exe
     560 C:\WINDOWS\system32\wscntfy.exe
    1076 C:\WINDOWS\SOUNDMAN.EXE
    1140 C:\Programme\iTunes\iTunesHelper.exe
    1504 C:\Programme\Canon\MyPrinter\BJMYPRT.EXE
    1544 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    1540 C:\WINDOWS\system32\ctfmon.exe
    1564 C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
     988 C:\Programme\ICQ7.5\ICQ.exe
    2312 C:\Programme\iPod\bin\iPodService.exe
    2436 C:\Programme\PC Connectivity Solution\ServiceLayer.exe
    2576 alg.exe
    2620 C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
    2652 C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
     348 C:\WINDOWS\system32\cmd.exe
     464 C:\WINDOWS\system32\notepad.exe
    3108 C:\WINDOWS\explorer.exe
    3688 C:\Dokumente und Einstellungen\Hauke\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: ST380022A, Rev: 3.33    

      Size  Device Name          MBR Status
  --------------------------------------------
     74 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!
         

Alt 07.08.2011, 14:45   #8
Swisstreasure
/// Malwareteam
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
  • Schließe alle laufenden Programme.
  • Trenne dich von Internet.
  • Deaktiviere deine AntiViren Software.
  • Starte TDSSkiller.exe mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Drücke auf Start scan.
    Mache während dem Scan nichts am Rechner
    1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
    2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
      Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
  • Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
  • Bitte poste mir den Inhalt hier in deinen Thread.
Bebilderte Anleitung zur Benutzung von TDSSKiller.

Alt 07.08.2011, 21:47   #9
Mic4
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



TDSS hat nichts gefunden
Code:
ATTFilter
2011/08/07 21:30:33.0328 3400	TDSS rootkit removing tool 2.5.14.0 Aug  5 2011 16:09:29
2011/08/07 21:30:33.0359 3400	================================================================================
2011/08/07 21:30:33.0359 3400	SystemInfo:
2011/08/07 21:30:33.0359 3400	
2011/08/07 21:30:33.0359 3400	OS Version: 5.1.2600 ServicePack: 3.0
2011/08/07 21:30:33.0359 3400	Product type: Workstation
2011/08/07 21:30:33.0359 3400	ComputerName: PC193
2011/08/07 21:30:33.0375 3400	UserName: Hauke
2011/08/07 21:30:33.0375 3400	Windows directory: C:\WINDOWS
2011/08/07 21:30:33.0375 3400	System windows directory: C:\WINDOWS
2011/08/07 21:30:33.0375 3400	Processor architecture: Intel x86
2011/08/07 21:30:33.0375 3400	Number of processors: 1
2011/08/07 21:30:33.0375 3400	Page size: 0x1000
2011/08/07 21:30:33.0375 3400	Boot type: Normal boot
2011/08/07 21:30:33.0375 3400	================================================================================
2011/08/07 21:30:35.0000 3400	Initialize success
2011/08/07 21:30:40.0937 3424	================================================================================
2011/08/07 21:30:40.0937 3424	Scan started
2011/08/07 21:30:40.0937 3424	Mode: Manual; 
2011/08/07 21:30:40.0937 3424	================================================================================
2011/08/07 21:30:41.0734 3424	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/08/07 21:30:41.0875 3424	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/08/07 21:30:42.0031 3424	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/08/07 21:30:42.0156 3424	AFD             (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/08/07 21:30:42.0500 3424	ALCXWDM         (4e0aca5290b2966f24c45250a56c2da1) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2011/08/07 21:30:42.0812 3424	Arp1394         (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/08/07 21:30:43.0062 3424	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/08/07 21:30:43.0171 3424	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/08/07 21:30:43.0390 3424	ati2mtag        (492bd2a5f65f218d4ede5764a3bb67e9) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/08/07 21:30:43.0593 3424	atksgt          (6e996cf8459a2594e0e9609d0e34d41f) C:\WINDOWS\system32\DRIVERS\atksgt.sys
2011/08/07 21:30:43.0734 3424	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/08/07 21:30:43.0828 3424	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/08/07 21:30:43.0921 3424	avgio           (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/08/07 21:30:44.0031 3424	avgntflt        (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/08/07 21:30:44.0125 3424	avipbb          (6d52060b59e7d79cd2a044b6add1f1ef) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/08/07 21:30:44.0250 3424	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/08/07 21:30:44.0312 3424	BELKIN          (bb3eb3535856adbead55a8b932f69d25) C:\WINDOWS\system32\DRIVERS\BLKWGU.sys
2011/08/07 21:30:44.0453 3424	BthEnum         (b279426e3c0c344893ed78a613a73bde) C:\WINDOWS\system32\DRIVERS\BthEnum.sys
2011/08/07 21:30:44.0593 3424	BTHMODEM        (fca6f069597b62d42495191ace3fc6c1) C:\WINDOWS\system32\DRIVERS\bthmodem.sys
2011/08/07 21:30:44.0703 3424	BthPan          (80602b8746d3738f5886ce3d67ef06b6) C:\WINDOWS\system32\DRIVERS\bthpan.sys
2011/08/07 21:30:44.0828 3424	BTHPORT         (592e1cedbe314d0ef184dc6f46141e76) C:\WINDOWS\system32\Drivers\BTHport.sys
2011/08/07 21:30:44.0953 3424	BTHUSB          (61364cd71ef63b0f038b7e9df00f1efa) C:\WINDOWS\system32\Drivers\BTHUSB.sys
2011/08/07 21:30:45.0203 3424	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/08/07 21:30:45.0359 3424	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/08/07 21:30:45.0468 3424	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/08/07 21:30:45.0609 3424	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/08/07 21:30:45.0984 3424	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/08/07 21:30:46.0140 3424	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/08/07 21:30:46.0312 3424	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/08/07 21:30:46.0421 3424	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/08/07 21:30:46.0546 3424	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/08/07 21:30:46.0750 3424	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/08/07 21:30:46.0906 3424	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/08/07 21:30:47.0031 3424	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/08/07 21:30:47.0125 3424	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/08/07 21:30:47.0187 3424	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/08/07 21:30:47.0296 3424	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/08/07 21:30:47.0453 3424	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/08/07 21:30:47.0531 3424	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/08/07 21:30:47.0656 3424	gameenum        (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/08/07 21:30:47.0734 3424	GEARAspiWDM     (5dc17164f66380cbfefd895c18467773) C:\WINDOWS\system32\Drivers\GEARAspiWDM.sys
2011/08/07 21:30:47.0828 3424	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/08/07 21:30:48.0000 3424	HTTP            (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/08/07 21:30:48.0234 3424	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/08/07 21:30:48.0359 3424	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/08/07 21:30:48.0562 3424	intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/08/07 21:30:48.0703 3424	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/08/07 21:30:48.0781 3424	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/08/07 21:30:48.0890 3424	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/08/07 21:30:49.0015 3424	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/08/07 21:30:49.0125 3424	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/08/07 21:30:49.0250 3424	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/08/07 21:30:49.0390 3424	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/08/07 21:30:49.0468 3424	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/08/07 21:30:49.0609 3424	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/08/07 21:30:49.0718 3424	KSecDD          (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/08/07 21:30:49.0921 3424	lirsgt          (975b6cf65f44e95883f3855bae8cecaf) C:\WINDOWS\system32\DRIVERS\lirsgt.sys
2011/08/07 21:30:50.0046 3424	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/08/07 21:30:50.0156 3424	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/08/07 21:30:50.0265 3424	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/08/07 21:30:50.0375 3424	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/08/07 21:30:50.0531 3424	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/08/07 21:30:50.0718 3424	MRxSmb          (60ae98742484e7ab80c3c1450e708148) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/08/07 21:30:50.0875 3424	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/08/07 21:30:50.0968 3424	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/08/07 21:30:51.0078 3424	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/08/07 21:30:51.0421 3424	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/08/07 21:30:51.0562 3424	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/08/07 21:30:51.0687 3424	ms_mpu401       (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys
2011/08/07 21:30:51.0781 3424	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/08/07 21:30:51.0890 3424	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/08/07 21:30:51.0984 3424	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/08/07 21:30:52.0093 3424	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/08/07 21:30:52.0187 3424	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/08/07 21:30:52.0296 3424	NDProxy         (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/08/07 21:30:52.0437 3424	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/08/07 21:30:52.0562 3424	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/08/07 21:30:52.0703 3424	NIC1394         (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/08/07 21:30:52.0812 3424	nmwcd           (357ddb51e03cae598c096d95497373d0) C:\WINDOWS\system32\drivers\ccdcmb.sys
2011/08/07 21:30:52.0921 3424	nmwcdc          (7cd443f9d36c80e152fadb274089577a) C:\WINDOWS\system32\drivers\ccdcmbo.sys
2011/08/07 21:30:53.0015 3424	nmwcdnsu        (02120406f27f5895dfce4c640e6ee237) C:\WINDOWS\system32\drivers\nmwcdnsu.sys
2011/08/07 21:30:53.0125 3424	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/08/07 21:30:53.0250 3424	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/08/07 21:30:53.0375 3424	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/08/07 21:30:53.0453 3424	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/08/07 21:30:53.0625 3424	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/08/07 21:30:53.0765 3424	ohci1394        (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/08/07 21:30:53.0859 3424	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/08/07 21:30:53.0968 3424	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/08/07 21:30:54.0078 3424	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/08/07 21:30:54.0171 3424	PCANDIS5        (2f9806b52cb3748b1e49222744b28e3c) C:\WINDOWS\system32\PCANDIS5.SYS
2011/08/07 21:30:54.0312 3424	pccsmcfd        (fd2041e9ba03db7764b2248f02475079) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
2011/08/07 21:30:54.0406 3424	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/08/07 21:30:54.0562 3424	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/08/07 21:30:54.0656 3424	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/08/07 21:30:55.0062 3424	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/08/07 21:30:55.0203 3424	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/08/07 21:30:55.0328 3424	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/08/07 21:30:55.0421 3424	PxHelp20        (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/08/07 21:30:55.0750 3424	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/08/07 21:30:55.0859 3424	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/08/07 21:30:55.0968 3424	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/08/07 21:30:56.0062 3424	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/08/07 21:30:56.0171 3424	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/08/07 21:30:56.0265 3424	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/08/07 21:30:56.0359 3424	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/08/07 21:30:56.0468 3424	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/08/07 21:30:56.0640 3424	RFCOMM          (851c30df2807fcfa21e4c681a7d6440e) C:\WINDOWS\system32\DRIVERS\rfcomm.sys
2011/08/07 21:30:56.0796 3424	rspndr          (a3b23fb3f295694091f51865f98588b2) C:\WINDOWS\system32\DRIVERS\rspndr.sys
2011/08/07 21:30:56.0968 3424	rtl8139         (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
2011/08/07 21:30:57.0156 3424	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/08/07 21:30:57.0265 3424	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/08/07 21:30:57.0406 3424	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/08/07 21:30:57.0546 3424	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/08/07 21:30:57.0734 3424	sisagp          (61ca562def09a782d26b3e7edec5369a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys
2011/08/07 21:30:57.0906 3424	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/08/07 21:30:58.0062 3424	sptd            (2831986cf9ba7cdf41568b062682657d) C:\WINDOWS\system32\Drivers\sptd.sys
2011/08/07 21:30:58.0062 3424	Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: 2831986cf9ba7cdf41568b062682657d
2011/08/07 21:30:58.0093 3424	sptd - detected LockedFile.Multi.Generic (1)
2011/08/07 21:30:58.0187 3424	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/08/07 21:30:58.0296 3424	Srv             (3bb03f2ba89d2be417206c373d2af17c) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/08/07 21:30:58.0453 3424	ssmdrv          (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/08/07 21:30:58.0578 3424	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/08/07 21:30:58.0640 3424	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/08/07 21:30:58.0906 3424	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/08/07 21:30:59.0046 3424	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/08/07 21:30:59.0171 3424	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/08/07 21:30:59.0281 3424	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/08/07 21:30:59.0375 3424	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/08/07 21:30:59.0953 3424	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/08/07 21:31:00.0125 3424	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/08/07 21:31:00.0265 3424	upperdev        (15629e4d65f97ab5432d6d9597cf6a33) C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys
2011/08/07 21:31:00.0390 3424	USBAAPL         (f340199e8cb097e1acd58a967c665919) C:\WINDOWS\system32\Drivers\usbaapl.sys
2011/08/07 21:31:00.0484 3424	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/08/07 21:31:00.0656 3424	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/08/07 21:31:00.0796 3424	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/08/07 21:31:00.0937 3424	usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/08/07 21:31:01.0062 3424	usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/08/07 21:31:01.0156 3424	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/08/07 21:31:01.0265 3424	usbser          (1c888b000c2f9492f4b15b5b6b84873e) C:\WINDOWS\system32\drivers\usbser.sys
2011/08/07 21:31:01.0375 3424	UsbserFilt      (5c17e6a11aa8be53f79fd364ba19f0ce) C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys
2011/08/07 21:31:01.0484 3424	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/08/07 21:31:01.0609 3424	vaxscsi         (92cebc2bc7be2c8d49391b365569f306) C:\WINDOWS\System32\Drivers\vaxscsi.sys
2011/08/07 21:31:01.0750 3424	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/08/07 21:31:01.0906 3424	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/08/07 21:31:02.0015 3424	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/08/07 21:31:02.0140 3424	wceusbsh        (46a247f6617526afe38b6f12f5512120) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
2011/08/07 21:31:02.0250 3424	Wdf01000        (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/08/07 21:31:02.0484 3424	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/08/07 21:31:02.0656 3424	WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/08/07 21:31:02.0765 3424	WudfPf          (6ff66513d372d479ef1810223c8d20ce) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/08/07 21:31:02.0875 3424	WudfRd          (ac13cb789d93412106b0fb6c7eb2bcb6) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/08/07 21:31:03.0140 3424	MBR (0x1B8)     (8f558eb6672622401da993e1e865c861) \Device\Harddisk0\DR0
2011/08/07 21:31:03.0281 3424	Boot (0x1200)   (22ec678784f549ba2c3aee12daac077c) \Device\Harddisk0\DR0\Partition0
2011/08/07 21:31:03.0296 3424	================================================================================
2011/08/07 21:31:03.0296 3424	Scan finished
2011/08/07 21:31:03.0296 3424	================================================================================
2011/08/07 21:31:03.0328 3416	Detected object count: 1
2011/08/07 21:31:03.0328 3416	Actual detected object count: 1
2011/08/07 21:31:46.0468 3416	LockedFile.Multi.Generic(sptd) - User select action: Skip
         

Alt 08.08.2011, 13:37   #10
Swisstreasure
/// Malwareteam
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Bestehen noch Probleme?

Alt 08.08.2011, 21:25   #11
Mic4
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Vielen Dank für deine Hilfe, ich denke, wir sollten den Thread jetzt beenden.
Ich denke/hoffe dass die Aktionen in der Wiederherstellungskonsole den Sinowal unwirksam gemacht hat.
Zitat:
Bestehen noch Probleme?
Der Benutzer des PCs hat "eigentlich" nie Probleme gehabt, ausser dass sein PC vermutlich permanent versucht hat, SPAM zu versenden.
Er konnte mit dem PC normal arbeiten.

Kurze Zusammenfassung

Vor einigen Monaten erhielt der Besitzer des PCs, genauer sein Vater als Anschlussinhaber eine Warnung der Telekom, dass
"Angriffe von seinen Anschluss aus" durchgeführt werden.
Eine Komplett Suche mit AVIRA und Malwarebytes Anti Malware lieferten keine Ergebnisse - wie auch, wenn ein aktives Rootkit mir zeigte, was ich sehen sollte.

Der Grund meiner Anfrage war, weil die Telekom vor einigen Tagen erneut eine Warnung gesendet hatte.
Ich habe dort einmal nachgefragt, erhielt einen Hinweis auf Torpig und Mebroot.

Eine Überprüfung beider PCs mit GMER lieferte den Sinowal auf einem der PCs.
Ich denke/hoffe dass die Aktionen in der Wiederherstellungskonsole den Sinowal unwirksam gemacht hat.

Ich werde erfahren, wenn erneut eine Warnung der Telekom eintrifft.

Michael

Alt 09.08.2011, 14:00   #12
Swisstreasure
/// Malwareteam
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Logfile ist sauber

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Systemwiederherstellung mit OTL leeren

Lade Dir (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
  • Starte die OTL.exe.
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Kopiere folgendes Skript:
Code:
ATTFilter
:Commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[reboot]
         
  • und füge es hier ein:
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klicke auf .
  • OTL verlangt einen Neustart. Bitte zulassen.
  • Nach dem Neustart wird Dein Editor mit einem Textdokument geöffnet.
  • Kopiere den Inhalt hier in Code-Tags in Deinen Thread.


Schritt 2

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


Schritt 3

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 4

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.
  • SpywareBlaster
    Eine kurze Einführung findest du Hier

  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
    Hinweis: MBAM ersetzt keine Anti- Viren- Software.

  • Temp File Cleaner
    TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
    Ausserdem hilft es Deinen Computer zu beschleunigen.
    Du kannst Dir TFC ( by OldTimer ) hier downloaden.

  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.

  • Halte Dein System aktuell
    Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
    Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
    Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.

  • Halte Deine Software aktuell
    Der einfachste Weg dafür ist der Secunia Online Software.


Schritt 5

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.

  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Alt 09.08.2011, 22:05   #13
Mic4
 
T-Online meldet Torpig und Mebroot - Standard

T-Online meldet Torpig und Mebroot



Vielen Dank für die Tipps, dieser Thread kann jetzt beendet werden.
weiterhin viel Erfolg bei der Malware Beseitigung,
Michael

Antwort

Themen zu T-Online meldet Torpig und Mebroot
.dll, abuse team, anschluss, antivir, avira, booten, classpnp.sys, desktop, explorer, hal.dll, harddisk, icq, ip-adresse, löschen, malicious win32:mbroot code, mbroot, mebroot, neu, port, problem, programme, registry, rootkit, router, scan, sched.exe, secur, sinkhole, sinowal, sptd.sys, system, telekom abuse team, temp, usbport.sys, warnung, winlogon.exe



Ähnliche Themen: T-Online meldet Torpig und Mebroot


  1. Spamhaus meldet verschiedenste Botnetze, Zbot, Torpig, etc (2. PC)
    Log-Analyse und Auswertung - 03.10.2013 (14)
  2. Windows XP: Avira meldet mehrere Trojaner, wurde beim Online Banking auf falsche Seite geleitet...
    Log-Analyse und Auswertung - 09.09.2013 (13)
  3. Spamhaus meldet verschiedenste Botnetze, Zbot, Torpig, etc
    Log-Analyse und Auswertung - 14.07.2013 (17)
  4. MITB - online Banking gesperrt - 1&1 meldet Zeus per Mail
    Plagegeister aller Art und deren Bekämpfung - 05.06.2013 (29)
  5. !EILT! Microsoft meldet PWS:Win32/Zbot - ESET Online- und OTL-Scan durchgeführt
    Plagegeister aller Art und deren Bekämpfung - 18.04.2013 (8)
  6. Rechner mit 'Torpig' und/oder 'Mebroot' infiziert
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (31)
  7. Laut Telekom: Torpig/Mebroot - aber keine Funde
    Log-Analyse und Auswertung - 31.10.2012 (5)
  8. T-Online meldet Infektion mit Torpig/Sinowal und Mebroot - 3 PCs, welcher hats?
    Plagegeister aller Art und deren Bekämpfung - 28.10.2012 (34)
  9. Mebroot/Torpig/Sinowal, Warnung der Uni
    Log-Analyse und Auswertung - 06.06.2012 (22)
  10. Online-Banking gesperrt wegen torpig-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.02.2012 (22)
  11. torpig und/oder Mebroot infizierung
    Log-Analyse und Auswertung - 16.10.2011 (5)
  12. T-Online meldet Torpig und Mebroot
    Log-Analyse und Auswertung - 03.08.2011 (18)
  13. Nod32 meldet Mebroot.Trojaner
    Plagegeister aller Art und deren Bekämpfung - 16.02.2011 (14)
  14. boot.mebroot bzw. win32/mebroot.mbr Problem - Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (10)
  15. Kaspersky meldet:http:///notifier/signal_notifier.xml T-Online eMail-Anzeige Verboten
    Plagegeister aller Art und deren Bekämpfung - 25.02.2009 (0)
  16. Symantec Online meldet ADWARE.PREFIX
    Log-Analyse und Auswertung - 01.07.2007 (4)
  17. AntiVir meldet Funde, T-Online Software verhält sich merkwürdig
    Plagegeister aller Art und deren Bekämpfung - 27.06.2007 (3)

Zum Thema T-Online meldet Torpig und Mebroot - Guten Tag allerseits, mein Problem ist dem Problem von MfromH sehr ähnlich, deswegen habe ich denselben Titel gewählt. Ein Freund hat von der Telekom Abuse Team eine Warnung erhalten, dass - T-Online meldet Torpig und Mebroot...
Archiv
Du betrachtest: T-Online meldet Torpig und Mebroot auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.