Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.04.2009, 19:36   #1
EVD
 
TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1. - Standard

TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1.



Hab ein HijackThis Log gemacht weil mir ESET Nod32 folgendes Log präsentiert hat nachdem ich eine "Smart-Prüfung" gemacht habe:



Mein System ist zwar nicht verlangsamt, aber ich möchte auf keinen Fall, dass meine Daten gestohlen werden. (Also ich fürchte micham meisten vor Trojanern ) Deswegen hab ich mich auch hier gemeldet.

Meine Systemdaten:
Windows Vista Service Pack 1
32 bit



HiJackThisLog:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:48, on 06.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\wpcumi.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Microsoft Virtual PC\Virtual PC.exe
C:\Program Files\Common Files\Adobe\Updater6\Adobe_Updater.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Eddy\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.deu.chello.at/ssi/welcome/welcome.php?url=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.deu.chello.at/ssi/welcome/welcome.php?url=search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von chello broadband n.v.
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\HomeCinema\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

--
End of file - 8663 bytes




irgendwas auffälliges?
was würdet ihr empfelen?
Danke im vorraus.

Alt 06.04.2009, 20:47   #2
EVD
 
TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1. - Standard

TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1.



*push*

ist irgendwas falsch an meinem post?
__________________


Alt 06.04.2009, 21:27   #3
undoreal
/// AVZ-Toolkit Guru
 
TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1. - Standard

TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1.



Hallöle.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!
__________________
__________________

Alt 07.04.2009, 10:18   #4
EVD
 
TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1. - Standard

TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1.



Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK



hmmm... scheint alles ok zu sein...
warum meldet mir das dann nod32??

Alt 08.04.2009, 12:45   #5
undoreal
/// AVZ-Toolkit Guru
 
TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1. - Standard

TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1.



Das ist ein heuristischer Fund der wahrscheinlich ein Fehlalarm ist.

Führe bitte einen DeepScan durch und poste das log.



AVP-Tool

  • Downloade dir das Tool: Kaspersky Virus Removal Tool Download
  • Installiere es wie vorgeschlagen.
  • Räume mit dem CCleaner auf. Punkte 1&2
  • Starte den Computer im abgesicherten Modus.
  • Starte dort das AVP-Tool.
  • Setze unter Automatic Scan alle verfügbaren Häkchen so dass dein gesammter Computer untersucht wird.
  • Klicke im Hauptfenster unter Settings auf "Security Level".
  • Klicke unter Security Level auf den "Customize..."-Button.
    • General:
      • File types: Scan all files.
      • Productivity: Keine Häkchen setzen.
      • Compound files: Alle Häkchen setzen:
        • Scan All archives.
        • Scan All emdedded OLE objects.
        • Parse e-mail formats.
        • Scan passwort protected archives. (Das wird dazu führen, dass du während des Scans nach den Passwörtern für die Archive gefragt wirst. Weisst du diese grade nicht mehr kannst du die Untersuchung des Archives einfach überspringen.
    • Heuritic analyzer: Alle drei Häkchen setzen und den Schieberegler ganz nach rechts auf "High" stellen.
      • Rootkit Search:
        • Enable rootkits search
        • Enable deep rootkits search
      • Use heuristic analizer:
        • Häkchen setzen
        • Schieberegler ganz nach rechts auf "High" stellen.
  • Übernehme alle Einstellungen durch Klicken des "OK"-Buttons.
  • Stelle im Hauptfenster noch einmal sicher, dass dein gesammter PC untersucht wird und starte den Scan durch Klicken des "Scan"-Buttons.

Der Scan beginnt in einem neuen Fenster.
Er kann je nach Datenvolumen und Leistungsindex des Computers mehrere Stunden dauern.
Nach Abschluss des Scans wirst du über gefundene Objekte informiert.
Folge den empfohlenen Maßnahmen!
Zuerst wird Kaspersky versuchen die schädliche Datei zu desinfizieren.
Ist das nicht möglich wird sie unter Quarantäne gestellt oder gelöscht. Dabei wird immer ein Backup angelegt! Zögere also nicht die Funde löschen zu lassen.
In besonderen Fällen wird Kaspersky eine Desinfektions-Routine einleiten die einen Neustart des PCs beinhaltet. Folge auch hier einfach den Anweisungen.
Nachdem alle Funde gelöscht wurden klicke auf den "Report"-Button und kopiere den kompletten Bericht.
Füge ihn bitte in deinen nächsten Beitrag hier am Forum ein. Dieser Bericht ist für weitere Analysen sehr wichtig und sollte unbedingt gepostet werden!



Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1.
adobe, bho, defender, desktop, dll, ebay, eset nod32, eset smart security, explorer, google, gservice, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, log, menu.exe, nvidia, picasa, realtek, rundll, security, senden, server, service pack 1, smart security, software, system, trojaner, virus, vista, windows, windows defender, windows sidebar



Ähnliche Themen: TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1.


  1. Windows 10 bootet nicht (Reboot and select proper boot device or insert boot media in selected boot device and press a key)
    Alles rund um Windows - 18.10.2015 (4)
  2. virus im bootsektor
    Plagegeister aller Art und deren Bekämpfung - 23.10.2013 (23)
  3. wenig freien physikalischen Speicher
    Netzwerk und Hardware - 08.11.2012 (15)
  4. Bootsektor-Virus
    Log-Analyse und Auswertung - 12.10.2012 (6)
  5. Virus im Bootsektor
    Log-Analyse und Auswertung - 01.04.2012 (1)
  6. Schwarzbild mit aktivem Mauszeiger
    Alles rund um Windows - 02.12.2011 (2)
  7. Bootsektor Virus?
    Log-Analyse und Auswertung - 22.07.2011 (18)
  8. "Fehler beim lesen des Datenträgers. Neustart mit Strg+Alt+Entf" Was tun?
    Log-Analyse und Auswertung - 10.02.2011 (1)
  9. Virus BOO/Sinowal.A auf Bootsektor.....
    Plagegeister aller Art und deren Bekämpfung - 05.02.2011 (26)
  10. BOO/Sinowal.F - Virus im Bootsektor (Windows XP)
    Plagegeister aller Art und deren Bekämpfung - 13.09.2010 (0)
  11. Worm lädt mir den Physikalischen Speicher voll
    Log-Analyse und Auswertung - 07.11.2009 (3)
  12. Neu aufsetzen nach aktivem Backdoor - Fragen
    Plagegeister aller Art und deren Bekämpfung - 19.12.2008 (0)
  13. Problem mit Bootsektor-Virus BOO/Sinowal.A
    Mülltonne - 07.10.2008 (0)
  14. Virus im bootsektor ?
    Plagegeister aller Art und deren Bekämpfung - 14.06.2006 (5)
  15. Virus im Bootsektor
    Plagegeister aller Art und deren Bekämpfung - 08.12.2004 (9)
  16. Der Sinn und Unsinn vom aktivem Desktop
    Plagegeister aller Art und deren Bekämpfung - 11.05.2004 (3)
  17. Bootsektor-Virus entfernen
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (9)

Zum Thema TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1. - Hab ein HijackThis Log gemacht weil mir ESET Nod32 folgendes Log präsentiert hat nachdem ich eine "Smart-Prüfung" gemacht habe: Mein System ist zwar nicht verlangsamt, aber ich möchte auf keinen - TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1....
Archiv
Du betrachtest: TSR.Boot Virus in aktivem Bootsektor des physikalischen Datenträgers 1. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.