Verdacht auf Rootkits / Malware. Bitte dringend um Hilfe!

MALICODE? · 06.08.2008, 16:37

Hallo,

vielen Dank Root24 für Deine Beitrag-Lösungen.
Ich habe sie genau durchgeführt.

Log nach Lösung 1:

Code:

ATTFilter

C:\mbr.exe -f
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x4a85062 size 0x1c6 !
C:\mbr.exe
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x4a85062 size 0x1c6 !

Lösung 2.
Beide Befehle sind einwandfrei durchgeführt worden.
Hier Log2:

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x4a85062 size 0x1c6 !

Ich muss dazu sagen, dass die Wiederherstellungskonsole nicht von der XP-CD-ROM, sondern mit dem Befehl:

Code:

ATTFilter

C:\I386\WINNT32.EXE /cmdcons

gestartet habe.
Die fehlende Daten wurden von Internet Microsoft Corporation downgeloadet.

Kann jetzt allerdings nicht so richtig nachvollziehen, ob der Schädling wirklich gravierenden Schaden auf meinem System anrichtet. Kann er übers Internet ???? aktiviert werden?????

Was kann ich noch machen ?
Danke für Deine Hilfe! MALICODE?

cosinus · 06.08.2008, 16:44

Das kann echt nicht mehr sein.

Ich vermute da wird bei Dir immer noch was aktiv sein, was ständig den MBR wieder befällt - laß mal bitte Combofix durchlaufen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

KarlKarl · 06.08.2008, 17:13

Hi,

der fett formatierte Teil ist wichtig:

Zitat:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a85062 size 0x1c6 !

Dein MBR ist ok. Die letzte Zeile ist ein Hinweis auf einen verbleibenden Überrest, der nicht aktiv ist. sector 0x4a85062 ist nicht der MBR. Dieses Überleibsel wirst Du auch mit Windowsmitteln nicht mehr entfernen können. Da würde nur helfen, die Festplatte komplett zu löschen (z.B. von Linux aus mit dd) und neu einzurichten.

Gruß, Karl

cosinus · 06.08.2008, 20:33

Ach ich bin ein Honk -

Ständig hab ich nur diesen malicious code im Fokus gehabt ohne zu sehen, daß user & kernel MBR OK ist....

Danke für den Hinweis Karl!

MALICODE? · 07.08.2008, 08:46

Hallo,

danke für Deine Hilfe Root24 und KarlKarl für den Hinweis.
Mein System ist jetzt stabil.

Gruß MALICODE?

cosinus · 07.08.2008, 12:12

Ein paar Fragen zu der mbr.exe hab ich noch. Zuerst dachte ich, die scannt wirklich nur den MBR auf Befall, aber anhand dieses Beispiels wurde ja bewiesen, daß das Tool auch noch andere Blöcke scannt.

1.) Was für ein Sektor ist das? (malicious code @ sector 0x4a85062 size 0x1c6 ! ) Kann es auch einer aus freiem Speicher sein?
2.) Wieso kann mbr.exe den nicht entfernen, wo es doch nur ein Überrest ist und das Teil auch von der mbr.exe erkannt wurde?
3.) Von welchem Schädling wurde dieser Sektor manipuliert?

KarlKarl · 07.08.2008, 19:09

Zitat:

1.) Was für ein Sektor ist das? (malicious code @ sector 0x4a85062 size 0x1c6 ! ) Kann es auch einer aus freiem Speicher sein?

0x4a85062 ist hexadezimal (kenntlich an "0x" am Anfang, so die Darstellung von Wertten in C/C++, manches geht mit Visiual Basic eben nicht). Dezimal ergibt das 78139490. Wenn ich mich jetzt nicht verrechnet habe ist das ein Sektor der ca. 37,26 GByte hinter dem Anfang der Festplatte liegt. Da müsste man jetzt die Einteilung deiner Platte untersuchen und zwar mit exakten Daten, nicht nur den GByte-Daten die man in der LAufwerksverwaltung von Windows ersehen kann. Ich gehe erstmal stark davon aus, dass das ein ansonsten unbenutzer Sektor ist, z.B. im Raum zwischen zwei Partitionen. Ein Sektor ist 0x200 (= 512 dezimal) Byte groß, 0x1c6 (der Windowstaschenrechner kann übrigens hexadezimal) ist der Code, der dahinterliegende Teil ist die Partitionstabelle.

Zitat:

2.) Wieso kann mbr.exe den nicht entfernen, wo es doch nur ein Überrest ist und das Teil auch von der mbr.exe erkannt wurde?

Gegenfrage: Wieso sollte er diesen Sektor schreiben? Entscheidend ist der MBR, der sehr einfach zu adressieren ist, da er am Anfang liegt. Einen Sektor irgendwo auf dem Laufwerk zu schreiben unter Umgehung des Dateisystems (dort ist er nicht zu erreichen) bedeutet mehr Risiko als den allerersten Sektor zu schreiben. Da sorgen Unterschiede zwischen verschiedenen Laufwerks- und Adressierungstypen für. Versehentlich einen falschen Sektor gelesen zu haben ist harmlos (abgesehen vom falschen Ergebnis), versehentlich einen falschen Sektor zu überschreiben kann der Tod des Dateisystems mit allen Daten sein. Ich denke dass das eine Entscheidung für größte Sicherheit ist (und vielleicht kleineren Entwicklungsaufwand, Gmer arbeitet auch an anderen Sachen und hat hoffentlich auch noch Leben ohne Computer). Wer ein System frei von allen Restspuren braucht (so als ob es niemals infiziert gewesen wäre), der muss sowieso die gesamte Platte überschreiben und komplett neu einrichten.

Zitat:

3.) Von welchem Schädling wurde dieser Sektor manipuliert?

Aller Wahrscheinlichkeit nach eine Sinoval Variante, Backdoor, Rootkit. Die Aussage einfach, weil es in mindestens 99% der Fälle der ist.

MALICODE? · 11.08.2008, 10:58

Zitat:

Zitat von root24

Ich vermute da wird bei Dir immer noch was aktiv sein,

Hallo,
da ich den Verdacht habe, dass auf mein Rechner immer noch Schädlinge aktiv sind, habe ComboFix nach der Anleitung laufen lassen.
Davor habe den Rechner mit CCleaner, Ad-Aware2008, Spybot und Avira AntiVir Premium bereinigt.

Hier die Scans und Logfiles:

ComboFix:

Code:

ATTFilter

ComboFix 08-08-09.04 - '*****' 2008-08-10 16:30:49.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.193 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\'*****'\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\'*****'\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-10 bis 2008-08-10  ))))))))))))))))))))))))))))))
.

2008-08-09 20:32 . 2008-08-09 20:32	<DIR>	d--------	C:\Programme\CCleaner
2008-08-07 20:15 . 2008-08-07 20:15	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-08-07 16:18 . 2008-08-07 16:18	<DIR>	d--------	C:\Programme\Lavasoft
2008-08-07 16:15 . 2008-08-07 16:15	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-06 18:12 . 2008-08-06 18:12	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-08-06 18:09 . 2008-08-06 18:09	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\ElsterFormular
2008-08-06 15:22 . 2008-08-05 08:55	66,048	--a------	C:\mbr.exe
2008-08-02 17:15 . 2008-08-02 17:16	<DIR>	d--------	C:\Programme\pdf24
2008-08-02 15:40 . 2008-08-10 12:04	250	--a------	C:\WINDOWS\gmer.ini
2008-08-02 14:58 . 2008-08-04 17:17	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\LightScribe
2008-08-02 14:44 . 2008-08-04 17:17	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Ahead
2008-08-02 14:40 . 2008-08-02 14:40	<DIR>	d--------	C:\Programme\Nero
2008-08-02 14:40 . 2008-08-02 14:45	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Ahead
2008-08-02 14:40 . 2008-08-02 14:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-08-02 10:49 . 2008-08-06 09:32	<DIR>	d--------	C:\Programme\Mozilla Sunbird
2008-08-02 10:49 . 2008-08-02 10:49	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Talkback
2008-08-02 09:50 . 2008-08-02 09:51	<DIR>	d--------	C:\Programme\Conference
2008-08-02 09:21 . 2008-08-02 09:21	<DIR>	d--------	C:\Programme\ElsterFormular
2008-08-02 09:13 . 2008-08-02 09:13	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Avira
2008-08-02 08:31 . 2008-08-02 08:31	<DIR>	d--------	C:\Internetdienstleistungen
2008-08-02 08:29 . 2008-08-02 08:30	<DIR>	d--------	C:\Online Marketing & Vertrieb
2008-08-01 22:04 . 2008-08-01 22:48	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-01 21:54 . 2008-08-09 18:08	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\StarOffice8
2008-08-01 21:53 . 2008-08-01 21:53	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\skypePM
2008-08-01 21:53 . 2008-08-01 21:53	32	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-08-01 21:50 . 2008-08-01 22:50	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Skype
2008-08-01 21:35 . 2008-08-10 16:23	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-01 21:15 . 2008-08-01 21:15	<DIR>	d--------	C:\Programme\Sun
2008-08-01 21:15 . 2007-12-14 01:59	69,632	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-08-01 21:10 . 2008-08-01 21:10	<DIR>	d--------	C:\Programme\Skype
2008-08-01 21:10 . 2008-08-01 21:10	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Skype
2008-08-01 21:10 . 2008-08-01 21:10	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-01 21:09 . 2008-08-01 21:09	<DIR>	d--------	C:\Programme\Real
2008-08-01 21:09 . 2008-08-01 21:09	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\xing shared
2008-08-01 21:09 . 2008-08-01 21:09	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Real
2008-08-01 21:07 . 2008-08-02 15:34	<DIR>	d--------	C:\Programme\Google
2008-08-01 21:07 . 2008-08-10 15:04	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-01 21:04 . 2008-08-01 21:04	0	--a------	C:\WINDOWS\nsreg.dat
2008-08-01 19:55 . 2008-04-23 06:16	6,066,176	-----c---	C:\WINDOWS\system32\dllcache\ieframe.dll
2008-08-01 19:55 . 2007-04-17 11:32	2,455,488	-----c---	C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-08-01 19:55 . 2007-03-08 07:09	1,040,384	-----c---	C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-08-01 19:55 . 2008-04-23 06:16	459,264	-----c---	C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-08-01 19:55 . 2008-04-23 06:16	383,488	-----c---	C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-08-01 19:55 . 2008-04-23 06:16	267,776	-----c---	C:\WINDOWS\system32\dllcache\iertutil.dll
2008-08-01 19:55 . 2008-04-23 06:16	63,488	-----c---	C:\WINDOWS\system32\dllcache\icardie.dll
2008-08-01 19:55 . 2008-04-23 06:16	52,224	-----c---	C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-08-01 19:55 . 2008-04-22 09:39	13,824	-----c---	C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-01 19:47 . 2008-08-01 19:47	<DIR>	d--------	C:\Programme\MSXML 4.0
2008-08-01 19:35 . 2008-08-01 19:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-08-01 19:35 . 2008-08-02 10:34	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\HP
2008-08-01 19:33 . 2008-08-01 19:33	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Sonic Shared
2008-08-01 19:33 . 2008-08-01 19:33	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic
2008-08-01 19:33 . 2008-08-01 19:33	<DIR>	d--------	C:\bin
2008-08-01 19:31 . 2008-08-01 19:32	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\HP
2008-08-01 19:29 . 2008-08-01 19:30	<DIR>	d--------	C:\Programme\Hewlett-Packard
2008-08-01 19:29 . 2008-08-01 19:29	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-08-01 19:28 . 1998-10-29 16:45	306,688	--a------	C:\WINDOWS\IsUninst.exe
2008-08-01 19:28 . 2006-03-03 21:03	282,680	--a------	C:\WINDOWS\system32\HPZidr12.dll
2008-08-01 19:28 . 2006-03-03 21:02	204,800	--a------	C:\WINDOWS\system32\HPZipr12.dll
2008-08-01 19:28 . 2006-03-03 21:02	94,208	--a------	C:\WINDOWS\system32\HPZipt12.dll
2008-08-01 19:28 . 2006-03-03 21:03	69,632	--a------	C:\WINDOWS\system32\HPZipm12.exe
2008-08-01 19:28 . 2006-03-03 21:03	65,536	--a------	C:\WINDOWS\system32\HPZinw12.exe
2008-08-01 19:28 . 2006-03-03 21:02	57,344	--a------	C:\WINDOWS\system32\HPZisn12.dll
2008-08-01 19:27 . 2008-08-01 19:35	<DIR>	d--------	C:\Programme\HP
2008-08-01 19:25 . 2006-04-13 03:04	282,624	-ra------	C:\WINDOWS\system32\HPZc3212.dll
2008-08-01 19:25 . 2008-08-01 19:36	127,854	--a------	C:\WINDOWS\hpoins11.dat
2008-08-01 19:25 . 2006-01-04 11:12	77,824	-ra------	C:\WINDOWS\system32\HPZIDS01.dll
2008-08-01 19:25 . 2006-04-13 03:04	49,664	-ra------	C:\WINDOWS\system32\drivers\HPZid412.sys
2008-08-01 19:25 . 2006-04-10 14:03	38,400	--a------	C:\WINDOWS\system32\hpz3l054.dll
2008-08-01 19:25 . 2006-04-13 03:04	21,568	-ra------	C:\WINDOWS\system32\drivers\HPZius12.sys
2008-08-01 19:25 . 2006-04-13 03:04	16,496	-ra------	C:\WINDOWS\system32\drivers\HPZipr12.sys
2008-08-01 19:24 . 2006-04-13 03:02	827,392	-ra------	C:\WINDOWS\system32\hpotiop2.dll
2008-08-01 19:24 . 2006-04-13 03:02	659,456	-ra------	C:\WINDOWS\system32\hpowiax2.dll
2008-08-01 19:24 . 2006-04-13 03:02	254,026	-ra------	C:\WINDOWS\system32\hpovst09.dll
2008-08-01 19:24 . 2008-04-13 20:45	15,104	--a------	C:\WINDOWS\system32\drivers\usbscan.sys
2008-08-01 19:24 . 2008-04-13 20:45	15,104	--a--c---	C:\WINDOWS\system32\dllcache\usbscan.sys
2008-08-01 19:16 . 2008-08-01 19:56	<DIR>	d--------	C:\WINDOWS\system32\de-de
2008-08-01 19:16 . 2008-08-01 19:16	<DIR>	d--------	C:\WINDOWS\system32\de
2008-08-01 19:16 . 2008-08-01 19:16	<DIR>	d--------	C:\WINDOWS\system32\bits
2008-08-01 19:16 . 2008-08-01 19:16	<DIR>	d--------	C:\WINDOWS\l2schemas
2008-08-01 19:13 . 2008-08-01 19:16	<DIR>	d--------	C:\WINDOWS\ServicePackFiles
2008-08-01 19:08 . 2008-08-01 19:08	<DIR>	d--------	C:\WINDOWS\EHome
2008-08-01 19:01 . 2004-08-04 00:38	327,168	---------	C:\WINDOWS\system32\drivers\ati2mtaa.sys
2008-08-01 18:51 . 2008-05-08 16:02	203,136	-----c---	C:\WINDOWS\system32\dllcache\rmcast.sys
2008-08-01 18:50 . 2006-12-07 08:40	2,362,184	-----c---	C:\WINDOWS\system32\dllcache\wmvcore.dll
2008-08-01 18:41 . 2008-06-14 19:32	273,024	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-08-01 18:41 . 2008-06-14 19:32	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-01 18:39 . 2007-08-10 20:44	26,488	--a------	C:\WINDOWS\system32\spupdsvc.exe
2008-08-01 18:34 . 2008-08-01 18:34	<DIR>	d--hs----	C:\Dokumente und Einstellungen\'*****'\UserData
2008-08-01 18:17 . 2008-08-01 18:17	<DIR>	d--------	C:\Programme\Avira
2008-08-01 18:17 . 2008-08-01 18:17	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-01 17:54 . 2008-04-13 20:45	32,128	--a------	C:\WINDOWS\system32\drivers\usbccgp.sys
2008-08-01 17:54 . 2008-04-13 20:47	25,856	--a------	C:\WINDOWS\system32\drivers\usbprint.sys
2008-08-01 17:47 . 2008-08-01 17:47	<DIR>	d--------	C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-08-01 17:47 . 2008-08-01 17:47	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Netzwerkumgebung
2008-08-01 17:46 . 2005-09-08 11:42	<DIR>	dr-------	C:\WINDOWS\system32\config\systemprofile\Eigene Dateien
2008-08-01 17:46 . 2008-08-01 17:46	<DIR>	d--------	C:\Programme\Atheros
2008-08-01 17:46 . 2005-08-04 15:30	<DIR>	d--h-----	C:\Dokumente und Einstellungen\'*****'\Vorlagen
2008-08-01 17:46 . 2005-08-04 16:25	<DIR>	dr-------	C:\Dokumente und Einstellungen\'*****'\Startmenü
2008-08-01 17:46 . 2005-08-04 16:25	<DIR>	d--h-----	C:\Dokumente und Einstellungen\'*****'\Lokale Einstellungen
2008-08-01 17:46 . 2008-08-01 19:52	<DIR>	dr-------	C:\Dokumente und Einstellungen\'*****'\Favoriten
2008-08-01 17:46 . 2008-08-09 18:03	<DIR>	dr-------	C:\Dokumente und Einstellungen\'*****'\Eigene Dateien
2008-08-01 17:46 . 2005-08-04 16:25	<DIR>	d--h-----	C:\Dokumente und Einstellungen\'*****'\Druckumgebung
2008-08-01 17:46 . 2005-08-05 07:18	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\toshiba
2008-08-01 17:46 . 2005-08-05 07:36	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Sonic
2008-08-01 17:46 . 2008-08-09 19:52	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten
2008-08-01 17:45 . 2005-09-08 11:42	<DIR>	dr-------	C:\Dokumente und Einstellungen\Default User\Eigene Dateien
2008-08-01 17:29 . 2001-08-18 04:22	12,288	--a------	C:\WINDOWS\system32\drivers\mouhid.sys
2008-08-01 17:29 . 2008-04-13 20:45	10,368	--a------	C:\WINDOWS\system32\drivers\hidusb.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-03 16:31	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe

Gmer:

Code:

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-10 12:23:40
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT            F7BFD6FC                                 ZwCreateThread
SSDT            F7BFD6E8                                 ZwOpenProcess
SSDT            F7BFD6ED                                 ZwOpenThread
SSDT            F7BFD6F7                                 ZwTerminateProcess
SSDT            F7BFD6F2                                 ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \FileSystem\Cdfs \Cdfs                   tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

---- Disk sectors - GMER 1.0.14 ----

Disk            \Device\Harddisk0\DR0                    sector 61: malicious code @ sector 0x4a85062 size 0x1c6

---- EOF - GMER 1.0.14 ----

mbr.exe:

Code:

ATTFilter

C:\mbr.exe
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x4a85062 size 0x1c6 !

Über Auswertung und Hilfe würde ich mich freuen.

Gruß
MALICODE?

cosinus · 11.08.2008, 11:30

Hallo

Das Combofix Log ist unvollständig. Die anderen Logs sind soweit okay, bis auf den bösartigen Sektor, der zwischen den Partitionen liegt, wie Karl schon schrieb.

MALICODE? · 11.08.2008, 11:54

Hallo,

wie kann ich ein vollständiger ComboFix Log produzieren?
Was fehlt genau?

Danke!

cosinus · 11.08.2008, 12:09

Zitat:

Zitat von MALICODE?

Hallo,

wie kann ich ein vollständiger ComboFix Log produzieren?
Was fehlt genau?

Danke!

Überprüf doch einfach mal das was Du gepostet hast mit dem Original-Logfile

Lad die Combofix-Logdatei notfalls bei file-upload.net hoch und verlink es hier wenn die zu groß sein sollte.

MALICODE? · 11.08.2008, 13:04

Sorry, ich bin ein Trottel.

Combofix Logfile:

Code:

ATTFilter

ComboFix 08-08-09.04 - '*****' 2008-08-10 16:30:49.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.193 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\'*****'\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\'*****'\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-10 bis 2008-08-10  ))))))))))))))))))))))))))))))
.

2008-08-09 20:32 . 2008-08-09 20:32	<DIR>	d--------	C:\Programme\CCleaner
2008-08-07 20:15 . 2008-08-07 20:15	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-08-07 16:18 . 2008-08-07 16:18	<DIR>	d--------	C:\Programme\Lavasoft
2008-08-07 16:15 . 2008-08-07 16:15	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-06 18:12 . 2008-08-06 18:12	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-08-06 18:09 . 2008-08-06 18:09	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\ElsterFormular
2008-08-06 15:22 . 2008-08-05 08:55	66,048	--a------	C:\mbr.exe
2008-08-02 17:15 . 2008-08-02 17:16	<DIR>	d--------	C:\Programme\pdf24
2008-08-02 15:40 . 2008-08-10 12:04	250	--a------	C:\WINDOWS\gmer.ini
2008-08-02 14:58 . 2008-08-04 17:17	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\LightScribe
2008-08-02 14:44 . 2008-08-04 17:17	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Ahead
2008-08-02 14:40 . 2008-08-02 14:40	<DIR>	d--------	C:\Programme\Nero
2008-08-02 14:40 . 2008-08-02 14:45	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Ahead
2008-08-02 14:40 . 2008-08-02 14:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-08-02 10:49 . 2008-08-06 09:32	<DIR>	d--------	C:\Programme\Mozilla Sunbird
2008-08-02 10:49 . 2008-08-02 10:49	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Talkback
2008-08-02 09:50 . 2008-08-02 09:51	<DIR>	d--------	C:\Programme\Conference
2008-08-02 09:21 . 2008-08-02 09:21	<DIR>	d--------	C:\Programme\ElsterFormular
2008-08-02 09:13 . 2008-08-02 09:13	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Avira
2008-08-02 08:31 . 2008-08-02 08:31	<DIR>	d--------	C:\Internetdienstleistungen
2008-08-02 08:29 . 2008-08-02 08:30	<DIR>	d--------	C:\Online Marketing & Vertrieb
2008-08-01 22:04 . 2008-08-01 22:48	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-01 21:54 . 2008-08-09 18:08	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\StarOffice8
2008-08-01 21:53 . 2008-08-01 21:53	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\skypePM
2008-08-01 21:53 . 2008-08-01 21:53	32	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-08-01 21:50 . 2008-08-01 22:50	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Skype
2008-08-01 21:35 . 2008-08-10 16:23	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-01 21:15 . 2008-08-01 21:15	<DIR>	d--------	C:\Programme\Sun
2008-08-01 21:15 . 2007-12-14 01:59	69,632	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-08-01 21:10 . 2008-08-01 21:10	<DIR>	d--------	C:\Programme\Skype
2008-08-01 21:10 . 2008-08-01 21:10	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Skype
2008-08-01 21:10 . 2008-08-01 21:10	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-01 21:09 . 2008-08-01 21:09	<DIR>	d--------	C:\Programme\Real
2008-08-01 21:09 . 2008-08-01 21:09	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\xing shared
2008-08-01 21:09 . 2008-08-01 21:09	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Real
2008-08-01 21:07 . 2008-08-02 15:34	<DIR>	d--------	C:\Programme\Google
2008-08-01 21:07 . 2008-08-10 15:04	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-01 21:04 . 2008-08-01 21:04	0	--a------	C:\WINDOWS\nsreg.dat
2008-08-01 19:55 . 2008-04-23 06:16	6,066,176	-----c---	C:\WINDOWS\system32\dllcache\ieframe.dll
2008-08-01 19:55 . 2007-04-17 11:32	2,455,488	-----c---	C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-08-01 19:55 . 2007-03-08 07:09	1,040,384	-----c---	C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-08-01 19:55 . 2008-04-23 06:16	459,264	-----c---	C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-08-01 19:55 . 2008-04-23 06:16	383,488	-----c---	C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-08-01 19:55 . 2008-04-23 06:16	267,776	-----c---	C:\WINDOWS\system32\dllcache\iertutil.dll
2008-08-01 19:55 . 2008-04-23 06:16	63,488	-----c---	C:\WINDOWS\system32\dllcache\icardie.dll
2008-08-01 19:55 . 2008-04-23 06:16	52,224	-----c---	C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-08-01 19:55 . 2008-04-22 09:39	13,824	-----c---	C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-01 19:47 . 2008-08-01 19:47	<DIR>	d--------	C:\Programme\MSXML 4.0
2008-08-01 19:35 . 2008-08-01 19:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-08-01 19:35 . 2008-08-02 10:34	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\HP
2008-08-01 19:33 . 2008-08-01 19:33	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Sonic Shared
2008-08-01 19:33 . 2008-08-01 19:33	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic
2008-08-01 19:33 . 2008-08-01 19:33	<DIR>	d--------	C:\bin
2008-08-01 19:31 . 2008-08-01 19:32	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\HP
2008-08-01 19:29 . 2008-08-01 19:30	<DIR>	d--------	C:\Programme\Hewlett-Packard
2008-08-01 19:29 . 2008-08-01 19:29	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-08-01 19:28 . 1998-10-29 16:45	306,688	--a------	C:\WINDOWS\IsUninst.exe
2008-08-01 19:28 . 2006-03-03 21:03	282,680	--a------	C:\WINDOWS\system32\HPZidr12.dll
2008-08-01 19:28 . 2006-03-03 21:02	204,800	--a------	C:\WINDOWS\system32\HPZipr12.dll
2008-08-01 19:28 . 2006-03-03 21:02	94,208	--a------	C:\WINDOWS\system32\HPZipt12.dll
2008-08-01 19:28 . 2006-03-03 21:03	69,632	--a------	C:\WINDOWS\system32\HPZipm12.exe
2008-08-01 19:28 . 2006-03-03 21:03	65,536	--a------	C:\WINDOWS\system32\HPZinw12.exe
2008-08-01 19:28 . 2006-03-03 21:02	57,344	--a------	C:\WINDOWS\system32\HPZisn12.dll
2008-08-01 19:27 . 2008-08-01 19:35	<DIR>	d--------	C:\Programme\HP
2008-08-01 19:25 . 2006-04-13 03:04	282,624	-ra------	C:\WINDOWS\system32\HPZc3212.dll
2008-08-01 19:25 . 2008-08-01 19:36	127,854	--a------	C:\WINDOWS\hpoins11.dat
2008-08-01 19:25 . 2006-01-04 11:12	77,824	-ra------	C:\WINDOWS\system32\HPZIDS01.dll
2008-08-01 19:25 . 2006-04-13 03:04	49,664	-ra------	C:\WINDOWS\system32\drivers\HPZid412.sys
2008-08-01 19:25 . 2006-04-10 14:03	38,400	--a------	C:\WINDOWS\system32\hpz3l054.dll
2008-08-01 19:25 . 2006-04-13 03:04	21,568	-ra------	C:\WINDOWS\system32\drivers\HPZius12.sys
2008-08-01 19:25 . 2006-04-13 03:04	16,496	-ra------	C:\WINDOWS\system32\drivers\HPZipr12.sys
2008-08-01 19:24 . 2006-04-13 03:02	827,392	-ra------	C:\WINDOWS\system32\hpotiop2.dll
2008-08-01 19:24 . 2006-04-13 03:02	659,456	-ra------	C:\WINDOWS\system32\hpowiax2.dll
2008-08-01 19:24 . 2006-04-13 03:02	254,026	-ra------	C:\WINDOWS\system32\hpovst09.dll
2008-08-01 19:24 . 2008-04-13 20:45	15,104	--a------	C:\WINDOWS\system32\drivers\usbscan.sys
2008-08-01 19:24 . 2008-04-13 20:45	15,104	--a--c---	C:\WINDOWS\system32\dllcache\usbscan.sys
2008-08-01 19:16 . 2008-08-01 19:56	<DIR>	d--------	C:\WINDOWS\system32\de-de
2008-08-01 19:16 . 2008-08-01 19:16	<DIR>	d--------	C:\WINDOWS\system32\de
2008-08-01 19:16 . 2008-08-01 19:16	<DIR>	d--------	C:\WINDOWS\system32\bits
2008-08-01 19:16 . 2008-08-01 19:16	<DIR>	d--------	C:\WINDOWS\l2schemas
2008-08-01 19:13 . 2008-08-01 19:16	<DIR>	d--------	C:\WINDOWS\ServicePackFiles
2008-08-01 19:08 . 2008-08-01 19:08	<DIR>	d--------	C:\WINDOWS\EHome
2008-08-01 19:01 . 2004-08-04 00:38	327,168	---------	C:\WINDOWS\system32\drivers\ati2mtaa.sys
2008-08-01 18:51 . 2008-05-08 16:02	203,136	-----c---	C:\WINDOWS\system32\dllcache\rmcast.sys
2008-08-01 18:50 . 2006-12-07 08:40	2,362,184	-----c---	C:\WINDOWS\system32\dllcache\wmvcore.dll
2008-08-01 18:41 . 2008-06-14 19:32	273,024	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-08-01 18:41 . 2008-06-14 19:32	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-01 18:39 . 2007-08-10 20:44	26,488	--a------	C:\WINDOWS\system32\spupdsvc.exe
2008-08-01 18:34 . 2008-08-01 18:34	<DIR>	d--hs----	C:\Dokumente und Einstellungen\'*****'\UserData
2008-08-01 18:17 . 2008-08-01 18:17	<DIR>	d--------	C:\Programme\Avira
2008-08-01 18:17 . 2008-08-01 18:17	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-01 17:54 . 2008-04-13 20:45	32,128	--a------	C:\WINDOWS\system32\drivers\usbccgp.sys
2008-08-01 17:54 . 2008-04-13 20:47	25,856	--a------	C:\WINDOWS\system32\drivers\usbprint.sys
2008-08-01 17:47 . 2008-08-01 17:47	<DIR>	d--------	C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-08-01 17:47 . 2008-08-01 17:47	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Netzwerkumgebung
2008-08-01 17:46 . 2005-09-08 11:42	<DIR>	dr-------	C:\WINDOWS\system32\config\systemprofile\Eigene Dateien
2008-08-01 17:46 . 2008-08-01 17:46	<DIR>	d--------	C:\Programme\Atheros
2008-08-01 17:46 . 2005-08-04 15:30	<DIR>	d--h-----	C:\Dokumente und Einstellungen\'*****'\Vorlagen
2008-08-01 17:46 . 2005-08-04 16:25	<DIR>	dr-------	C:\Dokumente und Einstellungen\'*****'\Startmenü
2008-08-01 17:46 . 2005-08-04 16:25	<DIR>	d--h-----	C:\Dokumente und Einstellungen\'*****'\Lokale Einstellungen
2008-08-01 17:46 . 2008-08-01 19:52	<DIR>	dr-------	C:\Dokumente und Einstellungen\'*****'\Favoriten
2008-08-01 17:46 . 2008-08-09 18:03	<DIR>	dr-------	C:\Dokumente und Einstellungen\'*****'\Eigene Dateien
2008-08-01 17:46 . 2005-08-04 16:25	<DIR>	d--h-----	C:\Dokumente und Einstellungen\'*****'\Druckumgebung
2008-08-01 17:46 . 2005-08-05 07:18	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\toshiba
2008-08-01 17:46 . 2005-08-05 07:36	<DIR>	d--------	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Sonic
2008-08-01 17:46 . 2008-08-09 19:52	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten
2008-08-01 17:45 . 2005-09-08 11:42	<DIR>	dr-------	C:\Dokumente und Einstellungen\Default User\Eigene Dateien
2008-08-01 17:29 . 2001-08-18 04:22	12,288	--a------	C:\WINDOWS\system32\drivers\mouhid.sys
2008-08-01 17:29 . 2008-04-13 20:45	10,368	--a------	C:\WINDOWS\system32\drivers\hidusb.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-03 16:31	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-08-02 13:07	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-01 19:15	---------	d-----w	C:\Programme\Java
2008-08-01 16:44	---------	d-----w	C:\Programme\Symantec
2008-08-01 16:12	---------	d-----w	C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-01 16:02	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-08-01 15:46	17,801	----a-w	C:\WINDOWS\system32\drivers\AegisP.sys
2008-08-01 15:46	0	--sha-r	C:\WINDOWS\system32\drivers\TOSHIBA_Satellite L20_03412000-GR_PSL2XE-01300.MRK
2008-06-20 17:46	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51	361,600	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40	138,496	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08	225,856	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
2008-05-16 09:58	12,632	----a-w	C:\WINDOWS\system32\lsdelete.exe
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 10:05 65536]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 21:05 344064]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 23:44 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 23:43 688218]
"Toshiba Hotkey Utility"="C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" [2005-08-27 03:14 1093632]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 11:01 118784]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 10:56 1077327]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2005-05-31 05:33 122941]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-08-01 18:21 266497]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-08-01 21:09 185632]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
"PDFPrint"="C:\Programme\pdf24\PDFBackend.exe" [2008-01-31 08:17 134144]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22 288472]
HP Photosmart Premier - Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 07:56:20 73728]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Conference\\Conference.dll"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=

R2 AntiVirMailService;Avira AntiVir Premium MailGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-08-01 18:21]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE [2008-08-01 18:21]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-08-01 18:21]
R3 BoiHwsetup;Access 32bits INT15 routine;C:\WINDOWS\system32\drivers\BoiHwSetup.sys [2005-06-11 06:42]
R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2005-04-01 02:08]
R3 qkbfiltr;Quanta HotKey Keyboard Filter Driver;C:\WINDOWS\system32\drivers\qkbfiltr.sys [2005-05-09 15:17]
R3 qmofiltr;Quanta HotKey Mouse Filter Driver;C:\WINDOWS\system32\drivers\qmofiltr.sys [2005-05-05 14:27]

*Newly Created Service* - CATCHME
*Newly Created Service* - HTTPFILTER
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-01 C:\WINDOWS\Tasks\Registrierungserinnerung 2.job
- C:\WINDOWS\system32\OOBE\oobebaln.exe [2008-04-14 04:22]

2008-08-01 C:\WINDOWS\Tasks\Registrierungserinnerung 3.job
- C:\WINDOWS\system32\OOBE\oobebaln.exe [2008-04-14 04:22]

2008-08-08 C:\WINDOWS\Tasks\WebReg Photosmart C4100 series.job
- C:\Programme\HP\Digital Imaging\bin\hpqwrg.exe [2006-02-19 05:09]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Mozilla\Firefox\Profiles\t1z755vs.default\
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1273.1045\npCIDetect12.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-10 16:32:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-10 16:33:20
ComboFix-quarantined-files.txt  2008-08-10 14:33:17

Pre-Run: 12 Verzeichnis(se), 29,350,838,272 Bytes frei
Post-Run: 16 Verzeichnis(se), 29,338,652,672 Bytes frei

226	--- E O F ---	2008-08-01 16:43:44

Danke!

06.08.2008, 20:33	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verdacht auf Rootkits / Malware. Bitte dringend um Hilfe! Ach ich bin ein Honk - Ständig hab ich nur diesen malicious code im Fokus gehabt ohne zu sehen, daß user & kernel MBR OK ist.... Danke für den Hinweis Karl! __________________ Logfiles bitte immer in CODE-Tags posten

11.08.2008, 11:30	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verdacht auf Rootkits / Malware. Bitte dringend um Hilfe! Hallo Das Combofix Log ist unvollständig. Die anderen Logs sind soweit okay, bis auf den bösartigen Sektor, der zwischen den Partitionen liegt, wie Karl schon schrieb. __________________ Logfiles bitte immer in CODE-Tags posten

Verdacht auf Rootkits / Malware. Bitte dringend um Hilfe!

Log-Analyse und Auswertung: Verdacht auf Rootkits / Malware. Bitte dringend um Hilfe!