| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: malwarebytes findet trojan.zbot - brauch hilfeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
17.09.2012, 14:56
| #16 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  malwarebytes findet trojan.zbot - brauch hilfe Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
17.09.2012, 15:31
| #17 |
 | malwarebytes findet trojan.zbot - brauch hilfe geht ja richtig vorwärts heute, thx^^
__________________[code] Combofix Logfile: Code:
ATTFilter ComboFix 12-09-16.01 - Christopher 17.09.2012 16:14:27.4.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.373 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Christopher\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-08-17 bis 2012-09-17 ))))))))))))))))))))))))))))))
.
.
2012-09-15 06:42 . 2012-09-15 06:42 -------- d-----w- c:\programme\ESET
2012-09-04 16:19 . 2012-09-04 16:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\YTD Video Downloader
2012-08-31 13:13 . 2012-09-06 16:12 -------- d-----w- c:\programme\IndustrieGigant 2
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-07 15:04 . 2012-08-07 12:47 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-24 14:29 . 2012-03-31 06:57 696520 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-24 14:29 . 2011-05-23 10:32 73416 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-07-06 13:59 . 2004-08-04 13:00 78336 ----a-w- c:\windows\system32\browser.dll
2012-07-04 14:05 . 2004-08-04 13:00 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:25 . 2004-08-04 13:00 1866240 ----a-w- c:\windows\system32\win32k.sys
2012-07-02 17:39 . 2004-08-04 13:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-07-02 17:39 . 2004-08-04 13:00 43520 ------w- c:\windows\system32\licmgr10.dll
2012-07-02 17:39 . 2004-08-04 13:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-07-02 12:05 . 2004-08-04 13:00 385024 ------w- c:\windows\system32\html.iec
2012-09-07 15:54 . 2012-09-07 15:54 266720 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
2006-05-03 10:06 163328 --sh--r- c:\windows\SYSTEM32\flvDX.dll
2007-02-21 11:47 31232 --sh--r- c:\windows\SYSTEM32\msfDX.dll
2008-03-16 13:30 216064 --sh--r- c:\windows\SYSTEM32\nbDX.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-06-28 67128]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\programme\Intel\Intel Application Accelerator\iaanotif.exe" [2004-06-29 135168]
"CTSysVol"="c:\programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"CTDVDDET"="c:\programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE" [2003-06-18 45056]
"CTHelper"="CTHELPER.EXE" [2004-03-11 28672]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-12-06 127035]
"DMXLauncher"="c:\programme\Dell\Media Experience\DMXLauncher.exe" [2005-01-27 86016]
"bacstray"="c:\programme\Broadcom\BACS\\BacsTray.exe" [2004-04-20 118784]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2011-01-12 49208]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 49152]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-08-25 1753192]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"Ocs_SM"="c:\dokumente und einstellungen\Christopher\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe" [2011-06-12 106496]
"Launch LGDCore"="c:\programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 1126400]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-10 348664]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"TkBellExe"="c:\program files\real\realplayer\update\realsched.exe" [2012-06-21 296056]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-4 258048]
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-6-28 67128]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2007-4-11 434176]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-07-31 11:20 38872 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
2004-10-12 15:54 57344 ----a-w- c:\programme\CyberLink\PowerDVD\DVDLauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2006-02-23 13:45 278528 ----a-w- c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2011-11-03 09:20 220744 ----a-w- c:\programme\pdf24\pdf24.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38 421888 ----a-w- c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2006-11-23 23:06 487424 ----a-r- c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2012-06-21 07:51 296056 ----a-w- c:\program files\Real\realplayer\Update\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2009-08-27 15:05 247144 ----a-w- c:\programme\TomTom HOME 2\TomTomHOMERunner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
2004-01-07 00:01 110592 ----a-w- c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
.
R1 avkmgr;avkmgr;c:\windows\SYSTEM32\DRIVERS\avkmgr.sys [10.12.2011 17:09 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [10.12.2011 17:09 86224]
R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [12.09.2012 11:25 399432]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [07.08.2012 14:47 676936]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\SYSTEM32\DRIVERS\fwlanusb.sys [02.12.2005 14:49 265088]
R3 MBAMProtector;MBAMProtector;c:\windows\SYSTEM32\DRIVERS\mbam.sys [07.08.2012 14:47 22856]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [10.04.2011 19:54 136176]
S2 MOBCleanup;MOBCleanup;"c:\dokume~1\CHRIST~1\LOKALE~1\Temp\MOBCleanup.exe" --> c:\dokume~1\CHRIST~1\LOKALE~1\Temp\MOBCleanup.exe [?]
S2 SearchAnonymizer;SearchAnonymizer;c:\dokumente und einstellungen\Christopher\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe [31.05.2011 17:52 40960]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SYSTEM32\Macromed\Flash\FlashPlayerUpdateService.exe [31.03.2012 08:57 250568]
S3 avmeject;AVM Eject;c:\windows\SYSTEM32\DRIVERS\avmeject.sys [20.01.2011 17:10 4352]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [10.04.2011 19:54 136176]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [03.05.2012 13:10 114144]
S3 siusbmod;siusbmod;c:\windows\SYSTEM32\DRIVERS\siusbmod.sys [27.03.2008 19:14 26624]
S4 sptd;sptd;c:\windows\SYSTEM32\DRIVERS\sptd.sys [12.06.2011 17:39 697328]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 04625535
*NewlyCreated* - 13484690
*Deregistered* - 04625535
*Deregistered* - 13484690
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-17 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 14:29]
.
2012-09-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-04-10 17:54]
.
2012-09-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-04-10 17:54]
.
2012-09-17 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 16:36]
.
2005-05-20 c:\windows\Tasks\ISP-Anmeldungserinnerung 1.job
- c:\windows\system32\OOBE\OOBEBALN.EXE [2004-08-04 02:22]
.
2012-09-17 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2257774982-1209123923-1774505960-1006.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-04-30 16:21]
.
2012-09-07 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2257774982-1209123923-1774505960-1006.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-04-30 16:21]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://de.search.yahoo.com/search?fr=mcafee&p=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\programme\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 192.168.178.1
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\dokumente und einstellungen\Christopher\Anwendungsdaten\Mozilla\Firefox\Profiles\e9r827ci.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - www.google.de
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-17 16:26
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2257774982-1209123923-1774505960-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:5e,83,41,d5,3b,69,51,e1,dc,d2,ed,e5,47,fe,b0,ec,13,ec,ed,78,24,95,4f,
e4,0a,40,89,00,8e,f7,7d,b7,35,b6,c7,2e,c5,df,7b,78,89,30,ed,ce,30,85,a0,7b,\
"??"=hex:f1,14,a9,de,97,cf,aa,85,e5,5d,d7,b7,5c,0a,de,bf
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(716)
c:\programme\Logitech\SetPoint\GameHook.dll
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-09-17 16:30:35
ComboFix-quarantined-files.txt 2012-09-17 14:30
.
Vor Suchlauf: 29 Verzeichnis(se), 199.395.418.112 Bytes frei
Nach Suchlauf: 30 Verzeichnis(se), 199.357.849.600 Bytes frei
.
- - End Of File - - F7406FA7B0C41F0623DDEEE7A2738722
|
|
17.09.2012, 19:57
| #18 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | malwarebytes findet trojan.zbot - brauch hilfe Bitte nun Logs mit GMER und OSAM erstellen und posten.
__________________GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________ |
|
18.09.2012, 14:50
| #19 |
| | malwarebytes findet trojan.zbot - brauch hilfe gmer: [code] GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-09-18 12:49:15
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Intel___ rev.0.1.
Running: p1itllnz.exe; Driver: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\fxtyapog.sys
---- System - GMER 1.0.15 ----
SSDT B7BF58C4 ZwClose
SSDT B7BF587E ZwCreateKey
SSDT B7BF58CE ZwCreateSection
SSDT B7BF5874 ZwCreateThread
SSDT B7BF5883 ZwDeleteKey
SSDT B7BF588D ZwDeleteValueKey
SSDT B7BF58BF ZwDuplicateObject
SSDT B7BF5892 ZwLoadKey
SSDT B7BF5860 ZwOpenProcess
SSDT B7BF5865 ZwOpenThread
SSDT B7BF58E7 ZwQueryValueKey
SSDT B7BF589C ZwReplaceKey
SSDT B7BF58D8 ZwRequestWaitReplyPort
SSDT B7BF5897 ZwRestoreKey
SSDT B7BF58D3 ZwSetContextThread
SSDT B7BF58DD ZwSetSecurityObject
SSDT B7BF5888 ZwSetValueKey
SSDT B7BF58E2 ZwSystemDebugControl
SSDT B7BF586F ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF4D073A0, 0x5CC259, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB08A1300, 0x3B6D8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB1E31300, 0x1BEE, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\program files\real\realplayer\update\realsched.exe[2460] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Udfs \UdfsCdRom tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Udfs \UdfsDisk tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \Driver\prodrv06 \Device\ProDrv06 E1FCDC30
Device \Driver\iaStor \Device\Ide\iaStor0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\prohlp02 \Device\ProHlp02 E1001568
Device \FileSystem\Fastfat \Fat AEB55D20
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
---- EOF - GMER 1.0.15 ----
osam: Code:
ATTFilter OSAM Logfile: Code:
ATTFilter aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-09-18 12:56:27
-----------------------------
12:56:27.421 OS Version: Windows 5.1.2600 Service Pack 3
12:56:27.421 Number of processors: 2 586 0x403
12:56:27.421 ComputerName: D67S0N1J UserName:
12:56:28.437 Initialize success
13:01:20.609 AVAST engine defs: 12091400
13:18:27.875 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
13:18:27.875 Disk 0 Vendor: Intel___ 0.1. Size: 305175MB BusType: 3
13:18:28.078 Disk 0 MBR read successfully
13:18:28.078 Disk 0 MBR scan
13:18:28.171 Disk 0 unknown MBR code
13:18:28.203 Disk 0 Partition 1 00 DE Dell Utility Dell 4.1 47 MB offset 63
13:18:28.281 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 302309 MB offset 96390
13:18:28.343 Disk 0 Partition 3 00 DB CP/M / CTOS MSWIN4.1 2816 MB offset 619225425
13:18:28.515 Disk 0 scanning sectors +624992760
13:18:28.953 Disk 0 scanning C:\WINDOWS\system32\drivers
13:20:05.437 Service scanning
13:20:21.687 Modules scanning
13:22:27.562 Disk 0 trace - called modules:
13:22:27.625 ntkrnlpa.exe CLASSPNP.SYS disk.sys prosync1.sys hal.dll iaStor.sys
13:22:27.640 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8716a030]
13:22:27.640 3 CLASSPNP.SYS[f7612fd7] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x86e71030]
13:22:29.312 AVAST engine scan C:\WINDOWS
13:25:45.500 AVAST engine scan C:\WINDOWS\system32
13:46:52.968 AVAST engine scan C:\WINDOWS\system32\drivers
13:50:11.281 AVAST engine scan C:\Dokumente und Einstellungen\Christopher
14:52:21.093 AVAST engine scan C:\Dokumente und Einstellungen\All Users
14:53:30.078 Scan finished successfully
15:27:42.500 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Christopher\Desktop\MBR.dat"
15:27:42.515 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Christopher\Desktop\aswMBR.txt"
|
|
19.09.2012, 12:55
| #20 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | malwarebytes findet trojan.zbot - brauch hilfe Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht. Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar. Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR. Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm! Anschließend Windows neu starten und ein neues Log mit aswMBR machen.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.09.2012, 17:21
| #21 |
| | malwarebytes findet trojan.zbot - brauch hilfe mein system lebt noch, bin ich froh^^ ich hab ausversehen schon vor dem neustart ein neues log erstellt. das hier ist nach dem neustarten: Code:
ATTFilter aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-09-18 12:56:27
-----------------------------
12:56:27.421 OS Version: Windows 5.1.2600 Service Pack 3
12:56:27.421 Number of processors: 2 586 0x403
12:56:27.421 ComputerName: D67S0N1J UserName:
12:56:28.437 Initialize success
13:01:20.609 AVAST engine defs: 12091400
13:18:27.875 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
13:18:27.875 Disk 0 Vendor: Intel___ 0.1. Size: 305175MB BusType: 3
13:18:28.078 Disk 0 MBR read successfully
13:18:28.078 Disk 0 MBR scan
13:18:28.171 Disk 0 unknown MBR code
13:18:28.203 Disk 0 Partition 1 00 DE Dell Utility Dell 4.1 47 MB offset 63
13:18:28.281 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 302309 MB offset 96390
13:18:28.343 Disk 0 Partition 3 00 DB CP/M / CTOS MSWIN4.1 2816 MB offset 619225425
13:18:28.515 Disk 0 scanning sectors +624992760
13:18:28.953 Disk 0 scanning C:\WINDOWS\system32\drivers
13:20:05.437 Service scanning
13:20:21.687 Modules scanning
13:22:27.562 Disk 0 trace - called modules:
13:22:27.625 ntkrnlpa.exe CLASSPNP.SYS disk.sys prosync1.sys hal.dll iaStor.sys
13:22:27.640 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8716a030]
13:22:27.640 3 CLASSPNP.SYS[f7612fd7] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x86e71030]
13:22:29.312 AVAST engine scan C:\WINDOWS
13:25:45.500 AVAST engine scan C:\WINDOWS\system32
13:46:52.968 AVAST engine scan C:\WINDOWS\system32\drivers
13:50:11.281 AVAST engine scan C:\Dokumente und Einstellungen\Christopher
14:52:21.093 AVAST engine scan C:\Dokumente und Einstellungen\All Users
14:53:30.078 Scan finished successfully
15:27:42.500 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Christopher\Desktop\MBR.dat"
15:27:42.515 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Christopher\Desktop\aswMBR.txt"
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-09-19 18:09:26
-----------------------------
18:09:26.109 OS Version: Windows 5.1.2600 Service Pack 3
18:09:26.109 Number of processors: 2 586 0x403
18:09:26.125 ComputerName: D67S0N1J UserName:
18:09:27.500 Initialize success
18:12:50.515 AVAST engine defs: 12091900
18:14:37.671 Verifying
18:14:47.687 Disk 0 Windows 501 MBR fixed successfully
18:15:07.046 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Christopher\Desktop\MBR.dat"
18:15:07.046 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Christopher\Desktop\aswMBR.txt"
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-09-19 18:18:56
-----------------------------
18:18:56.859 OS Version: Windows 5.1.2600 Service Pack 3
18:18:56.859 Number of processors: 2 586 0x403
18:18:56.859 ComputerName: D67S0N1J UserName:
18:18:57.703 Initialize success
18:19:21.171 AVAST engine defs: 12091900
18:19:23.265 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Christopher\Desktop\aswMBR.txt"
|
|
20.09.2012, 09:55
| #22 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | malwarebytes findet trojan.zbot - brauch hilfe Das sind nicht die Logs die ich sehen wollte. Nach dem Fix kommt ein Windows-Neustart, dann machst du ein neues Log mit aswMBR und postest das
__________________ Logfiles bitte immer in CODE-Tags posten |
Linear-Darstellung
