| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: (Unbekanntes) BootkitWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.10.2011, 13:21
| #1 |
| |  (Unbekanntes) Bootkit Hallo erstmal, ich habe folgende Frage, StreamArmor fand bei mir einen unbekannten ADS, den ich dann auch los geworden bin. Habe aber dann über Google heraus gefunden dass ich möglicherweise mit einem Bootkit infiziert sein könnte. Nach weiterem googeln hab ich dann über das Trojaner Board von Bootkit Remover von Esage Lab erfahren. Und tatsächlich wurde ein Bootkit gefunden (controlled by rootkit). Leider konnte ich nicht herausfinden um welches genau es sich handelte was sich jetzt wohl auch nicht mehr nachvollziehen lässt da ich meine Festplatte nun komplett gelöscht und formatiert habe. Nun zur eigentlichen Frage: Sehe ich das richtig, sollte ich nach Löschung und Formatierung gänzlich frei von Schädlingen sein, auch wen der Schädling im MBR versteckt war? Bei Windows Neuinstallation wird ja auch der MBR komplett neu geschrieben, oder? Vielen Dank schon mal. |
|
07.10.2011, 13:50
| #2 |
| /// Malware-holic   | (Unbekanntes) Bootkit lass den bootkit emover doch noch mal laufen.
__________________welches betriebssystem nutzt du denn, damit wir weitere schutzmaßnamen für die zukunft treffen können.
__________________ |
|
07.10.2011, 15:48
| #3 |
| | (Unbekanntes) Bootkit Also das Betriebssystem ist Windows 7 aber Bootkit Remover bringt jetzt nichts mehr bzw. ist auch zu spät da ich jetzt schon am neu aufsetzen bin(schreibe hier gerade von 2. System). Es geht jetzt viel mehr darum ob Schädlinge das komplette Löschen bzw. Formatieren der Festplatte überleben können, gerade wenn der Master Boot Record betroffen war oder ob ich mir sicher sein kann jetzt eine saubere Festplatte zu haben(nach kompletter Windows Neuinstallation)?
__________________ |
|
07.10.2011, 15:51
| #4 |
| /// Malware-holic | (Unbekanntes) Bootkit normalerweise sollte das sicher sein, ich sagte deswegen du kannst ja zur sicherheit dann noch mal bootkit remover auf dem neuen system laufen lassen und das ergebniss posten. wenn du willst gebe ich dir noch tipps um das neue system abzusichern
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
12.10.2011, 11:34
| #5 |
| | (Unbekanntes) Bootkit Hallo markusg, sorry hat jetzt ein bisschen länger gedauert mit der Antwort. Ich bin mir mittlerweile nicht mal mehr sicher ob ich tatsächlich nen Schädling hatte. Hab mir jetzt nach dem Aufsätzen zusätzlich noch MBRCheck.exe runtergeladen nachdem ich nach Neuinstallation wieder einen Fund mit Bootkit Remover hatte. Allerdings bin ich nach MBRCheck.exe clean. Was ich mir jetzt vorstellen könnte ist - ich habe auch Paragon Backup free installiert, wessen Treiber sich auch verdammt tief ins System schreiben - und das dann zu einem false positive fürt. Hier noch die MBRCheck und Highjackthis Logfile: Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer: ASUSTeK Computer INC.
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: System manufacturer
System Product Name: System Product Name
Logical Drives Mask: 0x0000007c
Kernel Drivers (total 163):
0x02C62000 \SystemRoot\system32\ntoskrnl.exe
0x02C19000 \SystemRoot\system32\hal.dll
0x00BA5000 \SystemRoot\system32\kdcom.dll
0x00CE5000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00D34000 \SystemRoot\system32\PSHED.dll
0x00D48000 \SystemRoot\system32\CLFS.SYS
0x00C00000 \SystemRoot\system32\CI.dll
0x00E16000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00EBA000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00EC9000 \SystemRoot\system32\drivers\ACPI.sys
0x00F20000 \SystemRoot\system32\drivers\WMILIB.SYS
0x00F29000 \SystemRoot\system32\drivers\msisadrv.sys
0x00F33000 \SystemRoot\system32\drivers\pci.sys
0x00F66000 \SystemRoot\system32\drivers\vdrvroot.sys
0x00F73000 \SystemRoot\System32\drivers\partmgr.sys
0x00F88000 \SystemRoot\system32\drivers\volmgr.sys
0x00F9D000 \SystemRoot\System32\drivers\volmgrx.sys
0x00FF9000 \SystemRoot\system32\drivers\pciide.sys
0x00E00000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x00CC0000 \SystemRoot\System32\drivers\mountmgr.sys
0x0104A000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x013EC000 \SystemRoot\system32\drivers\atapi.sys
0x01000000 \SystemRoot\system32\drivers\ataport.SYS
0x0102A000 \SystemRoot\system32\drivers\msahci.sys
0x00DA6000 \SystemRoot\system32\DRIVERS\jraid.sys
0x00DC3000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS
0x01035000 \SystemRoot\system32\drivers\amdxata.sys
0x01458000 \SystemRoot\system32\drivers\fltmgr.sys
0x014A4000 \SystemRoot\system32\drivers\fileinfo.sys
0x0162E000 \SystemRoot\System32\Drivers\Ntfs.sys
0x014B8000 \SystemRoot\System32\Drivers\msrpc.sys
0x017D1000 \SystemRoot\System32\Drivers\ksecdd.sys
0x01516000 \SystemRoot\System32\Drivers\cng.sys
0x017EC000 \SystemRoot\System32\drivers\pcw.sys
0x01600000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x018B4000 \SystemRoot\system32\drivers\ndis.sys
0x01800000 \SystemRoot\system32\drivers\NETIO.SYS
0x01860000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01A1D000 \SystemRoot\System32\drivers\tcpip.sys
0x01C21000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x01C6B000 \SystemRoot\system32\drivers\volsnap.sys
0x01CB7000 \SystemRoot\System32\Drivers\spldr.sys
0x01CBF000 \SystemRoot\System32\drivers\rdyboost.sys
0x01CF9000 \SystemRoot\System32\Drivers\mup.sys
0x01D0B000 \SystemRoot\System32\drivers\hwpolicy.sys
0x01D14000 \SystemRoot\system32\DRIVERS\hotcore3.sys
0x01D20000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x01D5A000 \SystemRoot\system32\DRIVERS\disk.sys
0x01D70000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x049D4000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x044A7000 \SystemRoot\System32\Drivers\aswSnx.SYS
0x0453F000 \SystemRoot\System32\Drivers\Null.SYS
0x04548000 \SystemRoot\System32\Drivers\Beep.SYS
0x0454F000 \SystemRoot\System32\drivers\vga.sys
0x0455D000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x04582000 \SystemRoot\System32\drivers\watchdog.sys
0x04592000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x0459B000 \SystemRoot\system32\drivers\rdpencdd.sys
0x045A4000 \SystemRoot\system32\drivers\rdprefmp.sys
0x045AD000 \SystemRoot\System32\Drivers\Msfs.SYS
0x045B8000 \SystemRoot\System32\Drivers\Npfs.SYS
0x045C9000 \SystemRoot\system32\DRIVERS\tdx.sys
0x045EB000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x04400000 \SystemRoot\System32\Drivers\aswTdi.SYS
0x04412000 \SystemRoot\system32\drivers\afd.sys
0x04600000 \SystemRoot\System32\Drivers\aswRdr.SYS
0x01DAE000 \SystemRoot\System32\DRIVERS\netbt.sys
0x0449B000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x0188B000 \SystemRoot\system32\DRIVERS\pacer.sys
0x0460D000 \SystemRoot\system32\DRIVERS\netbios.sys
0x01A00000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x04E35000 \SystemRoot\System32\Drivers\Uim_IMx64.sys
0x04EB9000 \SystemRoot\System32\Drivers\UimFIO.SYS
0x04F20000 \SystemRoot\system32\DRIVERS\uimx64.sys
0x04F2F000 \SystemRoot\system32\drivers\termdd.sys
0x04F43000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x04F94000 \SystemRoot\system32\drivers\nsiproxy.sys
0x04FA0000 \SystemRoot\system32\drivers\mssmbios.sys
0x04FAB000 \SystemRoot\System32\drivers\discache.sys
0x04FBA000 \SystemRoot\System32\Drivers\dfsc.sys
0x04FD8000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x019A7000 \SystemRoot\System32\Drivers\aswSP.SYS
0x04E00000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x04FE9000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x01588000 \SystemRoot\system32\DRIVERS\atikmpag.sys
0x05AE2000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x064F0000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x05A00000 \SystemRoot\System32\drivers\dxgmms1.sys
0x05A46000 \SystemRoot\system32\drivers\HDAudBus.sys
0x05A6A000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x05A77000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x05ACD000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x04C6A000 \SystemRoot\system32\DRIVERS\Rt64win7.sys
0x04CF7000 \SystemRoot\system32\drivers\1394ohci.sys
0x04D35000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0x04D3D000 \SystemRoot\system32\drivers\wmiacpi.sys
0x04D46000 \SystemRoot\system32\drivers\CompositeBus.sys
0x04D56000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x04D6C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x04D90000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x04D9C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x04DCB000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x04C00000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x04C21000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x04C3B000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x04C4A000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x04C59000 \SystemRoot\system32\drivers\swenum.sys
0x01400000 \SystemRoot\system32\drivers\ks.sys
0x04C5B000 \SystemRoot\system32\drivers\LGBusEnum.sys
0x04DE6000 \SystemRoot\system32\drivers\umbus.sys
0x0563D000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x05697000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x056AC000 \SystemRoot\system32\drivers\AtihdW76.sys
0x056EA000 \SystemRoot\system32\drivers\portcls.sys
0x05727000 \SystemRoot\system32\drivers\drmk.sys
0x05749000 \SystemRoot\system32\drivers\ksthunk.sys
0x0574F000 \SystemRoot\system32\drivers\ADIHdAud.sys
0x057C8000 \SystemRoot\system32\drivers\MCfilt64.sys
0x057D6000 \SystemRoot\System32\Drivers\crashdmp.sys
0x0461C000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x057E4000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x00060000 \SystemRoot\System32\win32k.sys
0x05600000 \SystemRoot\System32\drivers\Dxapi.sys
0x0560C000 \SystemRoot\System32\Drivers\LUsbFilt.Sys
0x0561C000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x065E4000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x0562A000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x05633000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x049BE000 \SystemRoot\system32\DRIVERS\LHidFilt.Sys
0x04E26000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x0160A000 \SystemRoot\system32\DRIVERS\LMouFilt.Sys
0x015DB000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x01DA0000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x0161E000 \SystemRoot\system32\DRIVERS\monitor.sys
0x005C0000 \SystemRoot\System32\TSDDD.dll
0x00670000 \SystemRoot\System32\cdd.dll
0x03C0D000 \SystemRoot\system32\drivers\luafv.sys
0x03C30000 \??\C:\Windows\system32\drivers\aswMonFlt.sys
0x03C6A000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
0x03C73000 \SystemRoot\system32\drivers\WudfPf.sys
0x03C94000 \??\d:\Program Files\Sandboxie\SbieDrv.sys
0x03CBE000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x03CEF000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x03D04000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x03D1C000 \SystemRoot\system32\drivers\HTTP.sys
0x0746F000 \SystemRoot\system32\DRIVERS\bowser.sys
0x0748D000 \SystemRoot\System32\drivers\mpsdrv.sys
0x074A5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x074D2000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x07520000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x07544000 \SystemRoot\system32\drivers\peauth.sys
0x075EA000 \SystemRoot\System32\Drivers\secdrv.SYS
0x07400000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x07431000 \SystemRoot\System32\drivers\tcpipreg.sys
0x0CEB4000 \SystemRoot\System32\DRIVERS\srv2.sys
0x0CF1D000 \SystemRoot\system32\drivers\LGVirHid.sys
0x0CF20000 \SystemRoot\System32\DRIVERS\srv.sys
0x0CE71000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x0CE7C000 \??\C:\Windows\system32\drivers\EagleX64.sys
0x771E0000 \Windows\System32\ntdll.dll
0x47B30000 \Windows\System32\smss.exe
0xFF500000 \Windows\System32\apisetschema.dll
0xFF520000 \Windows\System32\autochk.exe
Processes (total 79):
0 System Idle Process
4 System
428 C:\Windows\System32\smss.exe
524 csrss.exe
604 C:\Windows\System32\wininit.exe
628 csrss.exe
664 C:\Windows\System32\services.exe
684 C:\Windows\System32\lsass.exe
692 C:\Windows\System32\lsm.exe
808 C:\Windows\System32\svchost.exe
884 C:\Windows\System32\winlogon.exe
952 C:\Windows\System32\svchost.exe
1000 C:\Windows\System32\atiesrxx.exe
484 C:\Windows\System32\svchost.exe
656 C:\Windows\System32\svchost.exe
632 C:\Windows\System32\svchost.exe
1116 C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
1168 C:\Windows\System32\svchost.exe
1216 D:\Program Files\Sandboxie\SbieSvc.exe
1312 WUDFHost.exe
1368 C:\Windows\System32\atieclxx.exe
1404 WUDFHost.exe
1464 C:\Windows\System32\svchost.exe
1524 C:\Program Files\AVAST Software\Avast\AvastSvc.exe
1724 C:\Windows\System32\dwm.exe
1928 C:\Windows\explorer.exe
1200 C:\Windows\System32\rundll32.exe
1536 C:\Windows\System32\spoolsv.exe
2056 C:\Windows\System32\taskhost.exe
2128 C:\Windows\System32\svchost.exe
2228 C:\Windows\System32\taskeng.exe
2488 C:\Windows\System32\AEADISRV.EXE
2536 C:\Windows\System32\svchost.exe
2568 C:\Program Files\Logitech\GamePanel Software\LGDevAgt.exe
2616 C:\Windows\System32\VSSVC.exe
2720 C:\Program Files\Logitech\SetPoint\SetPoint.exe
2792 C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
2820 C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
2844 D:\Program Files\Sandboxie\SbieCtrl.exe
2916 C:\Program Files\AVAST Software\Avast\AvastUI.exe
3060 C:\Program Files\Logitech\GamePanel Software\Applets\LCDClock.exe
2096 C:\Program Files\Logitech\GamePanel Software\Applets\LCDCountdown.exe
2188 C:\Program Files\Logitech\GamePanel Software\Applets\LCDPop3.exe
1052 C:\Program Files\Logitech\GamePanel Software\Applets\LCDMedia.exe
136 C:\Program Files\Logitech\GamePanel Software\Applets\LCDRSS.exe
1700 C:\Program Files (x86)\Creative\SB X-Fi MB\Volume Panel\VolPanlu.exe
2516 C:\Windows\System32\AMBSpiE.exe
2860 C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe
1712 C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.exe
3240 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
3784 C:\Windows\System32\SearchIndexer.exe
3192 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
4364 taskhost.exe
4684 C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe
840 C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
4984 C:\Windows\System32\svchost.exe
1164 C:\Windows\System32\taskhost.exe
4212 D:\Program Files\Sandboxie\SandboxieRpcSs.exe
832 D:\Program Files\Sandboxie\SandboxieDcomLaunch.exe
508 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
4848 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
4000 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
3284 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
1396 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
4916 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
1460 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
512 D:\Program Files\Sandboxie\SandboxieCrypto.exe
1088 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
3536 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
3920 C:\Windows\SysWOW64\rundll32.exe
1552 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
2404 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
1548 C:\Windows\System32\SearchProtocolHost.exe
4240 C:\Windows\System32\SearchFilterHost.exe
900 C:\Windows\System32\audiodg.exe
2428 dllhost.exe
200 dllhost.exe
3852 C:\Users\MPPsychocat\Desktop\downloads\MBRCheck.exe
2704 C:\Windows\System32\conhost.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000018`6a000000 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000029`81100000 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000061`a8200000 (NTFS)
PhysicalDrive0 Model Number: SAMSUNGHD502HJ, Rev: 1AJ10001
Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
Done!
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 13:04:36, on 12.10.2011 Platform: Windows 7 SP1 (WinNT 6.00.3505) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\Program Files\AVAST Software\Avast\AvastUI.exe C:\Program Files (x86)\Creative\SB X-Fi MB\Volume Panel\VolPanlu.exe C:\Program Files\Logitech\GamePanel Software\Applets\LCDMedia.exe C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui O4 - HKLM\..\Run: [VolPanel] "C:\Program Files (x86)\Creative\SB X-Fi MB\Volume Panel\VolPanlu.exe" /r O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKCU\..\Run: [SandboxieControl] "d:\Program Files\Sandboxie\SbieCtrl.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing) O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing) O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - d:\Program Files\Sandboxie\SbieSvc.exe O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: Volumeschattenkopie (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) -- End of file - 6115 bytes Geändert von snufforama (12.10.2011 um 12:22 Uhr) |
|
12.10.2011, 13:05
| #6 |
| /// Malware-holic | (Unbekanntes) Bootkit schau mal: 465 GB \\.\PhysicalDrive0 Windows 7 MBR code detected da steht doch windows 7 mbr detected, also ist doch alles gut :-) wir können uns also, wenn du magst, um die absicherung des systems kümmern
__________________ --> (Unbekanntes) Bootkit |
|
12.10.2011, 13:21
| #7 |
| | (Unbekanntes) Bootkit Nach MBRCheck ist es schon ok aber Bootkit Remover sagt: Code:
ATTFilter Bootkit Remover
(c) 2009 Esage Lab
www.esagelab.com
Program version: 1.2.0.1
OS Version: Microsoft Windows 7 Home Premium Edition Service Pack 1 (build 7601)
, 64-bit
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`06500000
Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Controlled by rootkit!
Boot code on some of your physical disks is hidden by a rootkit.
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
Done;
Press any key to quit...
|
|
| Themen zu (Unbekanntes) Bootkit |
| ads, board, festplatte, folge, folgende, formatierung, frage, gelöscht, google, herausfinden, infiziert, komplett, löschung, nachvollziehen, neuinstallation, nicht mehr, platte, remover, rootkit, schädlinge, trojaner, trojaner board, unbekannte, unbekanntes, windows |
Linear-Darstellung
