win32.AutoRun.tmp trojaner lässt sich nicht entfernen

cosinus · 09.01.2011, 17:44

Stell mal bitte im BIOS den SATA-Controllermodus von AHCI auf IDE bzw. compatible.
Leider kann man dazu keine allgemeingültige Anleitung posten, da jedes BIOS etwas anders ist. Schau dazu ggf. ins Handbuch des Rechners. Probier dann das Booten von der CD nochmal.

Um Vista wieder normal hochfahren zu können, musst du ggf. den Modus wieder zurückstellen.

mr.jones63 · 09.01.2011, 19:50

Habe im BIOS umgestellt, es kommt aber immer noch die gleiche Fehlermeldung.
Ich liste mal genauer auf wie das aussieht:
Windows is loading files...
Windows has encounterd a problem communicating with a device conected to your computer...
...caused by unplugging a removable storage or faulty hardware...
Status: 0*c00000e9
Info: An unexpected error 1/0 has occured

continue?-enter
Boot Manager
Windows Setup [EMS Enabled]-enter und das gleiche geht von vorne los

Im BIOS sind zur Zeit folgende Einstellungen:

Main Menu:

Quiet Boot: Enabled
Power on Display: Auto
Network Boot: Enabled
F12 Boot Menu: Enabled
D2D Recovery: Enabled
Satacontroller: vorher AHCI jetzt IDE

Boot Menu:

1: IDE CD: Slimtype DVD...
2: IDE HDD: WDC WD32ooBEVT...
3: PCI BEV: MBA v9.4.5 slot 0800
4. USB HDD:
5: USB CD ROM:
6: USB FDC:
7: USB Key:
8:

Hoffentlich können diese Details etwas zur Lösung beitragen!?

Gruß

cosinus · 09.01.2011, 20:04

Merkwürdige Geschichte. Hast du schonmal Hinweise auf defekte hardware bekommen? Die machen sich üblicherweise durch völlig spontan auftretende Bluescreens bemerkbar.

lagen diesem Rechner Recovery-Discs bei? Wenn nicht, hast du dir einen solche Satz dieser Medien gebrannt? Kannst du davon booten und wenn ja, hast du da die Möglichkeit mit den Computerreparaturoptionen?

mr.jones63 · 09.01.2011, 20:11

Also ich bin ja eine völlige Computernull. Den Rechner mit aller Software und Hardware hat mein Vater damals eingerichtet. Den werde ich dann auch mal fragen ob er noch eine Vista Installations-DVD und eine Recoverydisc hat. Bluescreens hatte ich bis jetzt noch keine.

Kannst du denn aufgrund der obigen Logdateien erkennen, ob der Trojaner noch an Board ist? Funktionieren tut der Rechner im Moment einwandfrei.

Gruß

cosinus · 09.01.2011, 20:23

Der MBR ist noch einem nicht definierten Zustand. MBR Check kennt ihn nicht. Der kann also einfach nur unbekannt oder infiziert sein.

Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

mr.jones63 · 09.01.2011, 20:24

Würdest du mir eine Wiederherstellung auf den Zustand von vor drei Monaten empfehlen? Bringt das was im Trojanerkrieg? Das haben wir damals gemacht.

cosinus · 09.01.2011, 20:40

Ich glaube nicht, dass der MBR dadurch gefixt wird. Erstmal will ich das Ergebnis vom Bootkit Remover sehen. Vllt ist MBR ja auch i.O.

mr.jones63 · 09.01.2011, 20:46

remover.exe hat folgendes gemeldet:

298 GB \\.\PhysicalDrive0 Unknown MBR code

Unknown boot code has beeen found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output file]
To disinfect the master boot sector, use the following comand:
remover.exe fix <device_name>

Done;

das wars schon, oder muss/kann ich mit dem Programm noch was anderes machen?

Gruß

cosinus · 09.01.2011, 20:48

Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei

Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
Enter your choice: 2
Enter the physical disk number to fix (0-99, -1 to cancel): 0
Please select the MBR code to write to this drive: 3 (für Vista)
Gib nun Yes ein und bestätige mit ENTER.
Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

mr.jones63 · 09.01.2011, 20:56

Here it comes:

Nr. 1:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: Acer, Inc.
BIOS Manufacturer: Acer
System Manufacturer: Acer, inc.
System Product Name: Aspire 5920G
Logical Drives Mask: 0x0000002c

Kernel Drivers (total 174):
0x84643000 \SystemRoot\system32\ntkrnlpa.exe
0x84610000 \SystemRoot\system32\hal.dll
0x80607000 \SystemRoot\system32\kdcom.dll
0x8060E000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8067E000 \SystemRoot\system32\PSHED.dll
0x8068F000 \SystemRoot\system32\BOOTVID.dll
0x80697000 \SystemRoot\system32\CLFS.SYS
0x806D8000 \SystemRoot\system32\CI.dll
0x8C805000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8C881000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8C88E000 \SystemRoot\System32\Drivers\spkr.sys
0x8C981000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x8C98A000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x8C9B0000 \SystemRoot\system32\drivers\acpi.sys
0x8C9F6000 \SystemRoot\system32\drivers\msisadrv.sys
0x807B8000 \SystemRoot\system32\drivers\pci.sys
0x807DF000 \SystemRoot\System32\drivers\partmgr.sys
0x8C800000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x807EE000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8CA00000 \SystemRoot\system32\drivers\volmgr.sys
0x8CA0F000 \SystemRoot\System32\drivers\volmgrx.sys
0x8CA59000 \SystemRoot\system32\drivers\intelide.sys
0x8CA60000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x8CA6E000 \SystemRoot\System32\drivers\mountmgr.sys
0x8CA7E000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8CB46000 \SystemRoot\system32\drivers\atapi.sys
0x8CB4E000 \SystemRoot\system32\drivers\ataport.SYS
0x8CB6C000 \SystemRoot\system32\drivers\fltmgr.sys
0x8CB9E000 \SystemRoot\system32\drivers\fileinfo.sys
0x8CBAE000 \SystemRoot\system32\DRIVERS\psdfilter.sys
0x8CBB7000 \SystemRoot\System32\Drivers\PxHelp20.sys
0x8CC06000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8CC77000 \SystemRoot\system32\drivers\ndis.sys
0x8CD82000 \SystemRoot\system32\drivers\msrpc.sys
0x8CDAD000 \SystemRoot\system32\drivers\NETIO.SYS
0x8CE05000 \SystemRoot\System32\drivers\tcpip.sys
0x8CEEF000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8CF0A000 \SystemRoot\system32\DRIVERS\timntr.sys
0x8D008000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8D118000 \SystemRoot\system32\drivers\volsnap.sys
0x8D205000 \SystemRoot\system32\DRIVERS\tdrpm140.sys
0x8D2F1000 \SystemRoot\System32\Drivers\spldr.sys
0x8D2F9000 \SystemRoot\system32\DRIVERS\snman380.sys
0x8D319000 \SystemRoot\System32\Drivers\mup.sys
0x8D328000 \SystemRoot\System32\drivers\ecache.sys
0x8D34F000 \SystemRoot\system32\drivers\disk.sys
0x8D360000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x8D381000 \SystemRoot\system32\drivers\crcdisk.sys
0x8D3AA000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8D3B5000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8D3BE000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x90C09000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x910AD000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x9114E000 \SystemRoot\System32\drivers\watchdog.sys
0x9115A000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x911E7000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8D151000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8D3CD000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x91208000 \SystemRoot\system32\DRIVERS\NETw5v32.sys
0x915C0000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x915D0000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x915DE000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x8D3DC000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
0x8D18F000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0x8D1A3000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
0x8CF8D000 \SystemRoot\system32\DRIVERS\winbondcir.sys
0x8D3ED000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x911F2000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
0x8D1F5000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8CFA2000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x915F8000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8CFD0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8CFDB000 \SystemRoot\System32\Drivers\AnyDVD.sys
0x8CDE8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x915FA000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
0x915FC000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x90C00000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x8CBC0000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x9160F000 \SystemRoot\system32\DRIVERS\storport.sys
0x91650000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x9165B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x91672000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x9167D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x916A0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x916AF000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x916C3000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x916D8000 \SystemRoot\system32\DRIVERS\termdd.sys
0x916E8000 \SystemRoot\system32\DRIVERS\swenum.sys
0x916EA000 \SystemRoot\system32\DRIVERS\ks.sys
0x91714000 \SystemRoot\system32\DRIVERS\circlass.sys
0x91722000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x9172C000 \SystemRoot\system32\DRIVERS\MarvinBus.sys
0x9175A000 \SystemRoot\system32\DRIVERS\umbus.sys
0x91767000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x9179C000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x917AD000 \SystemRoot\system32\drivers\HdAudio.sys
0x9180D000 \SystemRoot\system32\drivers\portcls.sys
0x9183A000 \SystemRoot\system32\drivers\drmk.sys
0x91C03000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x9185F000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
0x9189C000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
0x91E07000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
0x91EBC000 \SystemRoot\system32\drivers\modem.sys
0x91EC9000 \SystemRoot\system32\DRIVERS\hidir.sys
0x91ED4000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x91EE4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x91EEB000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x91EF4000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x92002000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
0x921A9000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0x921B6000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
0x921BD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x921C6000 \SystemRoot\System32\Drivers\Null.SYS
0x921CD000 \SystemRoot\System32\Drivers\Beep.SYS
0x921D4000 \SystemRoot\System32\drivers\vga.sys
0x91EFC000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x921E0000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x921E8000 \SystemRoot\system32\drivers\rdpencdd.sys
0x921F0000 \SystemRoot\System32\Drivers\Msfs.SYS
0x91F1D000 \SystemRoot\System32\Drivers\Npfs.SYS
0x91F2B000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x91F34000 \SystemRoot\system32\DRIVERS\tdx.sys
0x91F4A000 \SystemRoot\System32\Drivers\aswTdi.SYS
0x91F54000 \SystemRoot\system32\DRIVERS\smb.sys
0x91F68000 \SystemRoot\system32\drivers\afd.sys
0x921FB000 \SystemRoot\System32\Drivers\aswRdr.SYS
0x91FB0000 \SystemRoot\System32\DRIVERS\netbt.sys
0x91FE2000 \SystemRoot\system32\DRIVERS\pacer.sys
0x91DDE000 \SystemRoot\system32\DRIVERS\netbios.sys
0x91FF8000 \SystemRoot\System32\Drivers\StarOpen.SYS
0x91DEC000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x9199F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x919DB000 \SystemRoot\system32\drivers\nsiproxy.sys
0x91E00000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0x919E5000 \SystemRoot\System32\Drivers\dfsc.sys
0x93E08000 \SystemRoot\System32\Drivers\aswSP.SYS
0x93E2F000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x93E38000 \SystemRoot\system32\DRIVERS\udfs.sys
0x93E73000 \SystemRoot\System32\Drivers\crashdmp.sys
0x93E80000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x93E8B000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xA0030000 \SystemRoot\System32\win32k.sys
0x93E93000 \SystemRoot\System32\drivers\Dxapi.sys
0x93E9D000 \SystemRoot\system32\DRIVERS\monitor.sys
0xA0250000 \SystemRoot\System32\TSDDD.dll
0xA0270000 \SystemRoot\System32\cdd.dll
0x93EAC000 \SystemRoot\system32\drivers\luafv.sys
0x93EC7000 \??\C:\Windows\system32\drivers\aswMonFlt.sys
0x93EFE000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
0x93F01000 \SystemRoot\system32\DRIVERS\tifsfilt.sys
0x93F0B000 \SystemRoot\system32\drivers\spsys.sys
0x93FBB000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x93FCB000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x93FF5000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x917EC000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xA4404000 \SystemRoot\system32\drivers\HTTP.sys
0xA4471000 \SystemRoot\System32\DRIVERS\srvnet.sys
0xA448E000 \SystemRoot\system32\DRIVERS\bowser.sys
0xA44A7000 \SystemRoot\System32\drivers\mpsdrv.sys
0xA44BC000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA44DB000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0xA4514000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0xA452C000 \SystemRoot\System32\DRIVERS\srv2.sys
0xA4554000 \SystemRoot\System32\DRIVERS\srv.sys
0xA45BA000 \??\C:\Acer\Empowering Technology\eRecovery\int15.sys
0xA45C1000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xA6C06000 \SystemRoot\system32\drivers\peauth.sys
0xA6CE4000 \SystemRoot\system32\DRIVERS\PSDNServ.sys
0xA6CED000 \SystemRoot\system32\DRIVERS\PSDVdisk.sys
0xA6CFF000 \SystemRoot\System32\Drivers\secdrv.SYS
0xA6D09000 \SystemRoot\System32\drivers\tcpipreg.sys
0xA6D15000 \SystemRoot\system32\DRIVERS\xaudio.sys
0xA6D1D000 \??\C:\Program Files\Acer Arcade Deluxe\Play Movie\000.fcl
0x77990000 \Windows\System32\ntdll.dll

Processes (total 84):
0 System Idle Process
4 System
696 C:\Windows\System32\smss.exe
764 csrss.exe
824 C:\Windows\System32\wininit.exe
836 csrss.exe
868 C:\Windows\System32\services.exe
880 C:\Windows\System32\lsass.exe
888 C:\Windows\System32\lsm.exe
1024 C:\Windows\System32\svchost.exe
1116 C:\Windows\System32\winlogon.exe
1132 C:\Windows\System32\svchost.exe
1176 C:\Windows\System32\Ati2evxx.exe
1220 C:\Windows\System32\svchost.exe
1248 C:\Windows\System32\svchost.exe
1264 C:\Windows\System32\svchost.exe
1344 C:\Windows\System32\audiodg.exe
1364 C:\Windows\System32\svchost.exe
1380 C:\Windows\System32\SLsvc.exe
1424 C:\Windows\System32\svchost.exe
1536 C:\Windows\System32\svchost.exe
1664 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
1672 C:\Windows\System32\wlanext.exe
1900 C:\Windows\System32\Ati2evxx.exe
1332 C:\Windows\System32\spoolsv.exe
1484 C:\Windows\System32\svchost.exe
2064 C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
2080 C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
2124 C:\Acer\ALaunch\ALaunchSvc.exe
2168 C:\Windows\System32\svchost.exe
2220 C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
2304 C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
2364 C:\Acer\Empowering Technology\eNet\eNet Service.exe
2436 C:\Program Files\Intel\WiFi\bin\EvtEng.exe
2484 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
2540 C:\Program Files\Common Files\LightScribe\LSSrvc.exe
2592 C:\Acer\Mobility Center\MobilityService.exe
2712 C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
2740 C:\Program Files\CyberLink\Shared Files\RichVideo.exe
2792 C:\Windows\System32\svchost.exe
2868 C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
2892 C:\Windows\System32\TUProgSt.exe
2936 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
2976 C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
3028 C:\Windows\System32\atwtusb.exe
3196 WmiPrvSE.exe
3292 C:\Windows\System32\drivers\XAudio.exe
3300 C:\Windows\System32\atwtusb.exe
3312 C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
3356 C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
3404 unsecapp.exe
3580 C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
3840 WmiPrvSE.exe
3892 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
3912 C:\Windows\System32\taskeng.exe
3100 C:\Windows\System32\dwm.exe
3068 C:\Windows\explorer.exe
992 C:\Windows\System32\taskeng.exe
4108 C:\Program Files\Synaptics\SynTP\SynTPStart.exe
4116 C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
4124 C:\Acer\Empowering Technology\eAudio\eAudio.exe
4132 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
4140 C:\Windows\RtHDVCpl.exe
4180 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
4304 C:\Program Files\Launch Manager\QtZgAcer.EXE
4356 C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
4364 C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
4372 C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
4380 C:\Windows\System32\WTMKM.exe
4396 C:\Program Files\Alwil Software\Avast5\AvastUI.exe
4412 C:\Program Files\Windows Sidebar\sidebar.exe
4704 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
4760 C:\Acer\Empowering Technology\eNet\eNMTray.exe
4776 C:\Users\Admini\AppData\Local\temp\RtkBtMnt.exe
4836 C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
4876 C:\Acer\Empowering Technology\Acer.Empowering.Framework.Supervisor.exe
4920 C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
5700 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
5800 C:\Program Files\Mozilla Firefox\firefox.exe
2208 C:\Program Files\Mozilla Firefox\plugin-container.exe
4244 C:\Windows\explorer.exe
3980 C:\Windows\System32\conime.exe
2752 C:\Users\Admini\Downloads\MBRCheck.exe
5288 taskeng.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`af600000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000026`a2300000 (NTFS)

PhysicalDrive0 Model Number: WDCWD3200BEVT-22ZCT0, Rev: 11.01A11

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 31171527C24A94682C92F34EB1E387CDC8AD21FC

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
[ 0] Default (Windows Vista)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 3
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Y

Done!

Nr.2:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: Acer, Inc.
BIOS Manufacturer: Acer
System Manufacturer: Acer, inc.
System Product Name: Aspire 5920G
Logical Drives Mask: 0x0000002c

Kernel Drivers (total 174):
0x84643000 \SystemRoot\system32\ntkrnlpa.exe
0x84610000 \SystemRoot\system32\hal.dll
0x80607000 \SystemRoot\system32\kdcom.dll
0x8060E000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8067E000 \SystemRoot\system32\PSHED.dll
0x8068F000 \SystemRoot\system32\BOOTVID.dll
0x80697000 \SystemRoot\system32\CLFS.SYS
0x806D8000 \SystemRoot\system32\CI.dll
0x8C805000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8C881000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8C88E000 \SystemRoot\System32\Drivers\spkr.sys
0x8C981000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x8C98A000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x8C9B0000 \SystemRoot\system32\drivers\acpi.sys
0x8C9F6000 \SystemRoot\system32\drivers\msisadrv.sys
0x807B8000 \SystemRoot\system32\drivers\pci.sys
0x807DF000 \SystemRoot\System32\drivers\partmgr.sys
0x8C800000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x807EE000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8CA00000 \SystemRoot\system32\drivers\volmgr.sys
0x8CA0F000 \SystemRoot\System32\drivers\volmgrx.sys
0x8CA59000 \SystemRoot\system32\drivers\intelide.sys
0x8CA60000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x8CA6E000 \SystemRoot\System32\drivers\mountmgr.sys
0x8CA7E000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8CB46000 \SystemRoot\system32\drivers\atapi.sys
0x8CB4E000 \SystemRoot\system32\drivers\ataport.SYS
0x8CB6C000 \SystemRoot\system32\drivers\fltmgr.sys
0x8CB9E000 \SystemRoot\system32\drivers\fileinfo.sys
0x8CBAE000 \SystemRoot\system32\DRIVERS\psdfilter.sys
0x8CBB7000 \SystemRoot\System32\Drivers\PxHelp20.sys
0x8CC06000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8CC77000 \SystemRoot\system32\drivers\ndis.sys
0x8CD82000 \SystemRoot\system32\drivers\msrpc.sys
0x8CDAD000 \SystemRoot\system32\drivers\NETIO.SYS
0x8CE05000 \SystemRoot\System32\drivers\tcpip.sys
0x8CEEF000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8CF0A000 \SystemRoot\system32\DRIVERS\timntr.sys
0x8D008000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8D118000 \SystemRoot\system32\drivers\volsnap.sys
0x8D205000 \SystemRoot\system32\DRIVERS\tdrpm140.sys
0x8D2F1000 \SystemRoot\System32\Drivers\spldr.sys
0x8D2F9000 \SystemRoot\system32\DRIVERS\snman380.sys
0x8D319000 \SystemRoot\System32\Drivers\mup.sys
0x8D328000 \SystemRoot\System32\drivers\ecache.sys
0x8D34F000 \SystemRoot\system32\drivers\disk.sys
0x8D360000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x8D381000 \SystemRoot\system32\drivers\crcdisk.sys
0x8D3AA000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8D3B5000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8D3BE000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x90C09000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x910AD000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x9114E000 \SystemRoot\System32\drivers\watchdog.sys
0x9115A000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x911E7000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8D151000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8D3CD000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x91208000 \SystemRoot\system32\DRIVERS\NETw5v32.sys
0x915C0000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x915D0000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x915DE000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x8D3DC000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
0x8D18F000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0x8D1A3000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
0x8CF8D000 \SystemRoot\system32\DRIVERS\winbondcir.sys
0x8D3ED000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x911F2000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
0x8D1F5000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8CFA2000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x915F8000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8CFD0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8CFDB000 \SystemRoot\System32\Drivers\AnyDVD.sys
0x8CDE8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x915FA000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
0x915FC000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x90C00000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x8CBC0000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x9160F000 \SystemRoot\system32\DRIVERS\storport.sys
0x91650000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x9165B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x91672000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x9167D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x916A0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x916AF000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x916C3000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x916D8000 \SystemRoot\system32\DRIVERS\termdd.sys
0x916E8000 \SystemRoot\system32\DRIVERS\swenum.sys
0x916EA000 \SystemRoot\system32\DRIVERS\ks.sys
0x91714000 \SystemRoot\system32\DRIVERS\circlass.sys
0x91722000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x9172C000 \SystemRoot\system32\DRIVERS\MarvinBus.sys
0x9175A000 \SystemRoot\system32\DRIVERS\umbus.sys
0x91767000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x9179C000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x917AD000 \SystemRoot\system32\drivers\HdAudio.sys

mr.jones63 · 09.01.2011, 21:20

Hatte vorhin nicht neugestartet bevor ich den zweiten Durchlauf ausgeführt habe. Das ist jetzt das aktuelle Ergebnis:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: Acer, Inc.
BIOS Manufacturer: Acer
System Manufacturer: Acer, inc.
System Product Name: Aspire 5920G
Logical Drives Mask: 0x0000002c

Kernel Drivers (total 174):
0x8463A000 \SystemRoot\system32\ntkrnlpa.exe
0x84607000 \SystemRoot\system32\hal.dll
0x80608000 \SystemRoot\system32\kdcom.dll
0x8060F000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8067F000 \SystemRoot\system32\PSHED.dll
0x80690000 \SystemRoot\system32\BOOTVID.dll
0x80698000 \SystemRoot\system32\CLFS.SYS
0x806D9000 \SystemRoot\system32\CI.dll
0x8C80C000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8C888000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8C895000 \SystemRoot\System32\Drivers\spoo.sys
0x8C988000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x8C991000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x8C9B7000 \SystemRoot\system32\drivers\acpi.sys
0x8C800000 \SystemRoot\system32\drivers\msisadrv.sys
0x807B9000 \SystemRoot\system32\drivers\pci.sys
0x807E0000 \SystemRoot\System32\drivers\partmgr.sys
0x8C808000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x807EF000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8CA0B000 \SystemRoot\system32\drivers\volmgr.sys
0x8CA1A000 \SystemRoot\System32\drivers\volmgrx.sys

cosinus · 09.01.2011, 21:51

Ist unvollständig

mr.jones63 · 09.01.2011, 22:03

Merkwürdig

! Nächster Versuch:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: Acer, Inc.
BIOS Manufacturer: Acer
System Manufacturer: Acer, inc.
System Product Name: Aspire 5920G
Logical Drives Mask: 0x0000002c

Kernel Drivers (total 174):
0x8463A000 \SystemRoot\system32\ntkrnlpa.exe
0x84607000 \SystemRoot\system32\hal.dll
0x80608000 \SystemRoot\system32\kdcom.dll
0x8060F000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8067F000 \SystemRoot\system32\PSHED.dll
0x80690000 \SystemRoot\system32\BOOTVID.dll
0x80698000 \SystemRoot\system32\CLFS.SYS
0x806D9000 \SystemRoot\system32\CI.dll
0x8C80C000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8C888000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8C895000 \SystemRoot\System32\Drivers\spoo.sys
0x8C988000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x8C991000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x8C9B7000 \SystemRoot\system32\drivers\acpi.sys
0x8C800000 \SystemRoot\system32\drivers\msisadrv.sys
0x807B9000 \SystemRoot\system32\drivers\pci.sys
0x807E0000 \SystemRoot\System32\drivers\partmgr.sys
0x8C808000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x807EF000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8CA0B000 \SystemRoot\system32\drivers\volmgr.sys
0x8CA1A000 \SystemRoot\System32\drivers\volmgrx.sys
0x8CA64000 \SystemRoot\system32\drivers\intelide.sys
0x8CA6B000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x8CA79000 \SystemRoot\System32\drivers\mountmgr.sys
0x8CA89000 \SystemRoot\system32\DRIVERS\iaStor.sys

mr.jones63 · 09.01.2011, 22:04

Sieht immer noch zu wenig aus, aber mehr kommt nicht.

cosinus · 09.01.2011, 22:07

Wie lange lässt du das Tool laufen?

09.01.2011, 20:40	#22
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	win32.AutoRun.tmp trojaner lässt sich nicht entfernen Ich glaube nicht, dass der MBR dadurch gefixt wird. Erstmal will ich das Ergebnis vom Bootkit Remover sehen. Vllt ist MBR ja auch i.O. __________________ Logfiles bitte immer in CODE-Tags posten

09.01.2011, 21:51	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	win32.AutoRun.tmp trojaner lässt sich nicht entfernen Ist unvollständig __________________ Logfiles bitte immer in CODE-Tags posten

09.01.2011, 22:07	#30
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	win32.AutoRun.tmp trojaner lässt sich nicht entfernen Wie lange lässt du das Tool laufen? __________________ Logfiles bitte immer in CODE-Tags posten

win32.AutoRun.tmp trojaner lässt sich nicht entfernen

Plagegeister aller Art und deren Bekämpfung: win32.AutoRun.tmp trojaner lässt sich nicht entfernen