Malwarebytes - was mach ich danach?

Tywald · 15.09.2010, 17:07

Sorry, ich das kommt erst... ok tada:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Done;
Press any key to quit...

hmpf, mir schwant was..
Grüße,
R

cosinus · 15.09.2010, 17:52

Zitat:

Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Die Prüfsumme kenn ich mittlerweile, die ist ok, aber lass uns sichergehen:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Tywald · 15.09.2010, 18:39

Ok, das ging mal echt flott:-)

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001d

Kernel Drivers (total 119):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9F22000 dmio.sys
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EEA000 fltmgr.sys
0xB9ED8000 sr.sys
0xB9EC1000 KSecDD.sys
0xB9E34000 Ntfs.sys
0xB9E07000 NDIS.sys
0xB9DED000 Mup.sys
0xBA318000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xBA118000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA59C000 \SystemRoot\system32\DRIVERS\serenum.sys
0xBA3F8000 \SystemRoot\system32\DRIVERS\fdc.sys
0xBA400000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB9D81000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA408000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB9D59000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA128000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA138000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA148000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9D36000 \SystemRoot\system32\DRIVERS\ks.sys
0xB9D1E000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xB9608000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB95F4000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA5A4000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xBA5D2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA6C3000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA158000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB9DC9000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB95DD000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA188000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA168000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA410000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB95CC000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA178000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA418000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA420000 \SystemRoot\system32\DRIVERS\raspti.sys
0xBA5D6000 \SystemRoot\System32\Drivers\RootMdm.sys
0xBA428000 \SystemRoot\System32\Drivers\Modem.SYS
0xB959C000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA198000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA430000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA438000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA5D8000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB9516000 \SystemRoot\system32\DRIVERS\update.sys
0xB9DA9000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB730C000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB72FC000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB4E96000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB4E72000 \SystemRoot\system32\drivers\portcls.sys
0xB72EC000 \SystemRoot\system32\drivers\drmk.sys
0xBA4A0000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xBA64E000 \SystemRoot\system32\DRIVERS\SE27wh.sys
0xBA650000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA7F0000 \SystemRoot\System32\Drivers\Null.SYS
0xBA652000 \SystemRoot\System32\Drivers\Beep.SYS
0xB0587000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB057F000 \SystemRoot\System32\drivers\vga.sys
0xBA654000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA656000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB0577000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB056F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB4DC1000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xABBFC000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xABBA3000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xABB7B000 \SystemRoot\system32\DRIVERS\netbt.sys
0xABB55000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAF26A000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xABA93000 \SystemRoot\System32\drivers\afd.sys
0xAF25A000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB055F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xABA2B000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAB9BB000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xAF23A000 \SystemRoot\System32\Drivers\Fips.SYS
0xBA5C4000 \SystemRoot\system32\DRIVERS\SE27cm.sys
0xAB711000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA5AE000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xBA6F2000 \SystemRoot\system32\DRIVERS\se27cr.sys
0xB5E3C000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB4E25000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xA9405000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xBA2A8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xBA468000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB48CA000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xAB0DD000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xA6A73000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xA7791000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xABA6B000 \SystemRoot\System32\drivers\Dxapi.sys
0xB419E000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA7A9000 \SystemRoot\System32\drivers\dxgthk.sys
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA685F000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB48CE000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA6813000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xA67BE000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA6781000 \SystemRoot\system32\drivers\wdmaud.sys
0xA7132000 \SystemRoot\system32\drivers\sysaudio.sys
0xA64FA000 \SystemRoot\system32\DRIVERS\srv.sys
0xA6121000 \SystemRoot\System32\Drivers\HTTP.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 29):
0 System Idle Process
4 System
616 C:\WINDOWS\system32\smss.exe
844 csrss.exe
868 C:\WINDOWS\system32\winlogon.exe
912 C:\WINDOWS\system32\services.exe
924 C:\WINDOWS\system32\lsass.exe
1128 C:\WINDOWS\system32\svchost.exe
1176 svchost.exe
1320 C:\WINDOWS\system32\svchost.exe
1448 svchost.exe
1548 svchost.exe
1700 C:\WINDOWS\system32\spoolsv.exe
1748 C:\Programme\Avira\AntiVir Desktop\sched.exe
1812 svchost.exe
172 C:\WINDOWS\explorer.exe
436 C:\WINDOWS\RTHDCPL.exe
464 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
656 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
672 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
748 C:\Programme\Avira\AntiVir Desktop\avguard.exe
824 C:\Programme\Java\jre6\bin\jqs.exe
128 C:\Programme\Maxtor\Sync\SyncServices.exe
1760 C:\WINDOWS\system32\svchost.exe
2144 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
2448 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
2504 alg.exe
3756 C:\Programme\Mozilla Firefox\firefox.exe
2628 C:\Dokumente und Einstellungen\XXX\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD250HJ, Rev: FH100-05

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

Wünsche einen angenehmen Feierabend,
R

cosinus · 15.09.2010, 18:48

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Tywald · 15.09.2010, 23:56

ich werde die Nacht unter dem Bodhi-Baum meditieren müssen...

Hier schon mal das Ergebnis von Malwarebytes

droi noie troioner....

ohm

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4623

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.09.2010 00:07:28
mbam-log-2010-09-16 (00-07-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 206920
Laufzeit: 43 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{024A0C6A-BF3F-41E2-8C63-2F1415C2D4D3}\RP343\A0037671.exe (Trojan.KillProc) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{024A0C6A-BF3F-41E2-8C63-2F1415C2D4D3}\RP343\A0037675.exe (Trojan.KillProc) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{024A0C6A-BF3F-41E2-8C63-2F1415C2D4D3}\RP343\A0037680.exe (Adware.ADON) -> Quarantined and deleted successfully.

om, ich werde ganz ruhig bleiben heiter und gelassen, om

viele Grüße,
Rainer

cosinus · 16.09.2010, 10:00

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Mach dann mit SUPERAntiSpyware weiter.

Tywald · 16.09.2010, 15:26

Tadaaa

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 09/16/2010 bei 04:21 PM

Version der Applikation : 4.42.1000

Version der Kern-Datenbank : 5516
Version der Spur-Datenbank : 3328

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:01:25

Gescannte Speicherelemente : 444
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 7095
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 70154
Erfasste Datei-Elemente : 0

Bis hierhin noch mal vielen Dank!
Auch wenn es das noch nicht gewesen sein sollte.

Viele Grüße,
R

cosinus · 16.09.2010, 19:17

Sieht ok aus.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Tywald · 23.09.2010, 15:39

Hallo Arne,

entrschuldige, dass ich mich soi lange nicht gemeldet habe:
Bis jetzt scheint alles in Ordnung zu sein und prima zu laufen.
Deshalb sage ich noch mal ganz besonders herzlich Danke (dem Forum im Allgemeinen und) Dir (im Besonderen).

Irgendwann werde ich mich wohl auch mal das Notebook vorknöpfen...

Viele Grüße,
R.

cosinus · 23.09.2010, 16:06

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Tywald · 29.09.2010, 15:19

ok,

wenn auch mal wieder nach längerer Zeit:

Auch dies ist erledigt. Ich danke nochmal herzlich und hoffe mein bescheidener Be(i)trag unterstützt Euch.

Viele Grüße,
R

15.09.2010, 18:48	#19
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Malwarebytes - was mach ich danach? Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

16.09.2010, 19:17	#23
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Malwarebytes - was mach ich danach? Sieht ok aus. Noch Probleme oder weitere Funde in der Zwischenzeit? __________________ Logfiles bitte immer in CODE-Tags posten

Malwarebytes - was mach ich danach?

Antiviren-, Firewall- und andere Schutzprogramme: Malwarebytes - was mach ich danach?