Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.01.2011, 20:49   #1
MoC-Man
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Hallo an Alle,

Ich habe ein Großes Problem und hoffe, dass ich hier ein wenig hilfe finde. Ich selbst bin mit meinem Latein am ende.

Ich hatten auf Meinem Acer Laptop (WinXP SP3, Avira) Mehere Schädlinge.
Den TR/Cryptet.Xpack.gen2 nen Rootkit.tdl3 und nen TDSS.tdl4

Ich hatte diese mit Hilfe von Kaspersky TDSS.Killer und einem anderen Tool dessen Namen ich nicht mehr weiss gelöscht.
Um auf Nummer sicher zu gehen habe ich heute mein System mit der Acer Wiederherstellungskonsole auf der Gesperrten Partition wiederhergestellt.

Einige Dateien die mir aber während der suche nachen den anderen Schädlingen aufgefallen sind, sind aber wieder vorhanden, das Internet is nach wie vor lahm, und ich muss manche Seiten teilweise 30 eingeben um darauf zugreifen zu können.

Es wurde damals auch ein Trojaner in C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lyloel\rici.exe gefunden

Die Dateien die mir nach dem Neuaufsetzen direkt aufgefallen sind sind :

In C:\Windows\Temp\CLML_AGENT_LOG1.txt
C:\Windows\Temp\sqlite_MuhQ9l6YU9gkTdj

wobei sqlite_ mehrfach vorkommt mit verschiedenen zufälligen endungen

Diese Dateien kann ich nicht verschieben und Löschen, beim Löschen, entsteht sofort eine neue sqlite Datei mit anderer Endung, und es wird ein Ordner erstellt, der sofort von Avirs als TR/Cryptet.Xpack.gen2 erkannt wird.
Diese waren vor dem Formatieren auch schon vorhanden und machten Ärger.

Was mir gerade noch Einfällt, ich habe mein System mit Antivir, NAV, Malwarebytes und OTL gesannt und keine der Scanner hat damals was gefunden.

Leider habe ich keine Logs mehr, da ich davon ausgeganen bin, dass dieses Problem nach dem Neuaufsetzen verschwunden ist.

Dem ist aber wohl nicht so.


Mein Anliegen wäre, mit Fachkundiger Hilfe das System erst mal Entwurmen um es dann komplett neuaufzusetzen.


Soweit ist das alles was mir gerade einfällt. Sollte ich was vergessen haben, bitte nicht schlagen, ich doch neu hier ;-)


Ich mache gerade einen Systemscan mit Mbam und OTL, die Logs hänge ich an, sobald sie fertig sind.


Und jetz Bendanke ich micht schon mal im Vorraus für jeden Fetzen Hilfe den ich kriegen kann.


Schönen Abend noch.


Edit:

Habe jetze noch ein HijackThis Log angehängt, ich hoffe damit schon ein wenig arbeit vorneweggenommen zu haben.

Ich werden jetz noch andere Scanner drüberlaufenlassen. Die logs Speichern und auf das Fixen vorerst noch verzichten.

Geändert von MoC-Man (12.01.2011 um 21:09 Uhr)

Alt 12.01.2011, 21:23   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Hallo,

ich habs schon ein paar mal erlebt, dass durch das Recovern keiner neuer MBR geschrieben wurde. Wenn der auch infiziert wurde bringt das Recovern nicht viel.

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________

__________________

Alt 12.01.2011, 21:35   #3
MoC-Man
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Hallo Cosinus und Danke für die Hilfe

Ich habe das Programm ausgeführt. Er Meldet einen Infizierten MBR

Ich habe 3 Möglichkeiten, welche soll ich nehmen?

1 Dump the Infectet File
2 Restore
3 Exit


Bei 2 Fragt er nach einer nummer des Physikalischen Datenträgers, was ist das?

Mfg
__________________

Alt 12.01.2011, 21:37   #4
MoC-Man
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Sorry für Doppelpost.

Es braucht, ca 20 anläufe bis ich meine Posts schicken kann, manche kommen scheinbar doch durch obwohl es mir einen abbruch anzeigt.

Also ich hab jetz folgendes ausgeführt. MBR.check
- Auf fix - die 2 Partitionen meiner Platte - und dort die 1 für XP

Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 2 (build 2600)
Logical Drives Mask:		0x0000003c

Kernel Drivers (total 195):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E3000 \WINDOWS\system32\hal.dll
  0xBADA8000 \WINDOWS\system32\KDCOM.DLL
  0xBACB8000 \WINDOWS\system32\BOOTVID.dll
  0xBA778000 ACPI.sys
  0xBADAA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xBA767000 pci.sys
  0xBA8A8000 isapnp.sys
  0xBA8B8000 ohci1394.sys
  0xBA8C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xBACBC000 compbatt.sys
  0xBACC0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
  0xBAE70000 pciide.sys
  0xBAB28000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBADAC000 aliide.sys
  0xBADAE000 intelide.sys
  0xBADB0000 toside.sys
  0xBADB2000 viaide.sys
  0xBADB4000 cmdide.sys
  0xBA749000 pcmcia.sys
  0xBA8D8000 MountMgr.sys
  0xBA72A000 ftdisk.sys
  0xBACC4000 ACPIEC.sys
  0xBAE71000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xBAB30000 PartMgr.sys
  0xBACC8000 UBHelper.sys
  0xBA8E8000 VolSnap.sys
  0xBACCC000 cpqarray.sys
  0xBA712000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
  0xBA6FA000 atapi.sys
  0xBACD0000 aha154x.sys
  0xBAB38000 sparrow.sys
  0xBACD4000 symc810.sys
  0xBA8F8000 aic78xx.sys
  0xBACD8000 dac960nt.sys
  0xBA908000 ql10wnt.sys
  0xBACDC000 amsint.sys
  0xBAB40000 asc.sys
  0xBACE0000 asc3550.sys
  0xBAB48000 mraid35x.sys
  0xBAB50000 i2omp.sys
  0xBACE4000 ini910u.sys
  0xBA918000 ql1240.sys
  0xBA928000 aic78u2.sys
  0xBAB58000 symc8xx.sys
  0xBAB60000 sym_hi.sys
  0xBAB68000 sym_u3.sys
  0xBAB70000 ABP480N5.SYS
  0xBAB78000 asc3350p.sys
  0xBADB6000 cd20xrnt.sys
  0xBA938000 ultra.sys
  0xBA6E1000 adpu160m.sys
  0xBAB80000 dpti2o.sys
  0xBA948000 ql1080.sys
  0xBA958000 ql1280.sys
  0xBA968000 ql12160.sys
  0xBAB88000 perc2.sys
  0xBADB8000 perc2hib.sys
  0xBAB90000 hpn.sys
  0xBACE8000 cbidf2k.sys
  0xBA6B5000 dac2w2k.sys
  0xBA978000 disk.sys
  0xBA988000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xBA696000 fltMgr.sys
  0xBA684000 sr.sys
  0xBA661000 Fastfat.sys
  0xBA64A000 KSecDD.sys
  0xBA61D000 NDIS.sys
  0xBA998000 sisagp.sys
  0xBA9A8000 viaagp.sys
  0xBA602000 Mup.sys
  0xBA9B8000 agp440.sys
  0xBA9C8000 alim1541.sys
  0xBA9D8000 amdagp.sys
  0xBA9E8000 agpCPQ.sys
  0xBAA08000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xBAD6C000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0xBA16D000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xBA159000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xBA134000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xBA111000 \SystemRoot\system32\DRIVERS\b57xp32.sys
  0xB9FB4000 \SystemRoot\system32\DRIVERS\w39n51.sys
  0xBAC00000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB9F91000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBAC08000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xBAA18000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xBAA28000 \SystemRoot\system32\DRIVERS\EMS7SK.sys
  0xB9F80000 \SystemRoot\system32\DRIVERS\sdbus.sys
  0xB9F6D000 \SystemRoot\system32\DRIVERS\ESM7SK.sys
  0xBAA38000 \SystemRoot\system32\DRIVERS\ESD7SK.sys
  0xBAD80000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xBAA48000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBAC10000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
  0xBAC18000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xB9F16000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xBADBA000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xBAC20000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBAA58000 \SystemRoot\system32\DRIVERS\smcirda.sys
  0xBAD84000 \SystemRoot\system32\DRIVERS\irenum.sys
  0xBAA68000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBAA78000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBAA88000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB9E53000 \SystemRoot\system32\DRIVERS\ks.sys
  0xBADBC000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
  0xB9D87000 \SystemRoot\system32\DRIVERS\btkrnl.sys
  0xBAF29000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBAC28000 \SystemRoot\system32\DRIVERS\rasirda.sys
  0xBAC30000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xBAA98000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xBAD94000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB9D70000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBAAA8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBAAB8000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xB9D5F000 \SystemRoot\system32\DRIVERS\psched.sys
  0xBAAC8000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBAC38000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBAC40000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xBAAD8000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBADBE000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB9D2B000 \SystemRoot\system32\DRIVERS\update.sys
  0xBAD9C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB9CDD000 \SystemRoot\system32\drivers\btaudio.sys
  0xB9CB9000 \SystemRoot\system32\drivers\portcls.sys
  0xBAAE8000 \SystemRoot\system32\drivers\drmk.sys
  0xBAAF8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB7883000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xB784D000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
  0xB7759000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
  0xB76A8000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
  0xBAC48000 \SystemRoot\System32\Drivers\Modem.SYS
  0xBAB18000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBADC4000 \SystemRoot\System32\Drivers\i2omgmt.SYS
  0xBADC6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBAF8F000 \SystemRoot\System32\Drivers\Null.SYS
  0xBADC8000 \SystemRoot\System32\Drivers\Beep.SYS
  0xBAC68000 \SystemRoot\System32\drivers\vga.sys
  0xBADCA000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBADCC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xBAC70000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xBAC78000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xBA512000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB755D000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB7505000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB74E4000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB74A9000 \SystemRoot\System32\Drivers\SYMTDI.SYS
  0xB7487000 \??\C:\Programme\Symantec\SYMEVENT.SYS
  0xB745F000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB743D000 \SystemRoot\System32\drivers\afd.sys
  0xBA5D2000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB73DB000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys
  0xBA502000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xBA5C2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xBAC90000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xB73AF000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB9F69000 \??\C:\WINDOWS\system32\drivers\OsaFsLoc.sys
  0xB7340000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xBA5B2000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB728B000 \SystemRoot\System32\Drivers\Ntfs.SYS
  0xBA592000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xBA582000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xBAC98000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xB9CB5000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xBA572000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB7273000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xBADCE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xBACA0000 \SystemRoot\System32\watchdog.sys
  0xB9CAD000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBF9C1000 \SystemRoot\System32\drivers\dxg.sys
  0xBAF0B000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF9D3000 \SystemRoot\System32\nv4_disp.dll
  0xBACA8000 \SystemRoot\system32\DRIVERS\AegisP.sys
  0xB5EE4000 \SystemRoot\system32\DRIVERS\irda.sys
  0xB6022000 \SystemRoot\system32\DRIVERS\s24trans.sys
  0xB600A000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB59DF000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB59A2000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB5BBC000 \SystemRoot\system32\drivers\sysaudio.sys
  0xBACB0000 \??\C:\WINDOWS\system32\drivers\btserial.sys
  0xBAFA1000 \??\C:\WINDOWS\system32\drivers\epm-psd.sys
  0xB575D000 \??\C:\WINDOWS\system32\drivers\epm-shd.sys
  0xB5642000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB5977000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
  0xBAE62000 \??\C:\WINDOWS\system32\drivers\osaio.sys
  0xBAF5A000 \??\C:\WINDOWS\system32\drivers\osanbm.sys
  0xB5246000 \??\C:\Programme\Norton AntiVirus\SAVRTPEL.SYS
  0xBABD0000 \??\C:\WINDOWS\system32\drivers\symlcbrd.sys
  0xB5166000 \SystemRoot\System32\Drivers\SYMREDRV.SYS
  0xB4BFC000 \??\C:\Programme\Norton AntiVirus\SAVRT.SYS
  0xB4B5A000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20051012.006\NAVEX15.SYS
  0xB4B48000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20051012.006\NAVENG.SYS
  0xB4B07000 \SystemRoot\System32\Drivers\HTTP.sys
  0xBAE0E000 \SystemRoot\System32\Drivers\NdisFilt.sys
  0xB4ACE000 \??\C:\Acer\Empowering Technology\eRecovery\int15.sys
  0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 55):
       0 System Idle Process
       4 System
     436 C:\WINDOWS\System32\smss.exe
     856 csrss.exe
     884 C:\WINDOWS\System32\winlogon.exe
     928 C:\WINDOWS\System32\services.exe
     940 C:\WINDOWS\System32\lsass.exe
    1084 C:\WINDOWS\System32\svchost.exe
    1168 svchost.exe
    1208 C:\WINDOWS\System32\svchost.exe
    1276 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
    1300 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
    1408 svchost.exe
    1476 svchost.exe
    1860 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    1996 C:\WINDOWS\Explorer.EXE
    2020 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
     256 C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
     668 C:\WINDOWS\System32\spoolsv.exe
     780 C:\Acer\Empowering Technology\admServ.exe
    1396 svchost.exe
    1508 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
     988 C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
    1704 C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
    1592 C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
    1756 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    1828 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    1920 C:\Programme\Acer\Acer Arcade\PCMService.exe
     168 C:\Programme\Norton AntiVirus\navapsvc.exe
     512 C:\Programme\QuickTime\qttask.exe
     516 C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
     544 C:\Acer\Empowering Technology\admtray.exe
     580 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
     816 C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
     860 C:\WINDOWS\System32\nvsvc32.exe
    1124 C:\WINDOWS\RTHDCPL.EXE
    1404 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
    1492 C:\Programme\CyberLink\Shared Files\RichVideo.exe
    1744 C:\WINDOWS\System32\RUNDLL32.EXE
    1884 C:\WINDOWS\System32\RUNDLL32.EXE
    1916 C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    2168 C:\Programme\Launch Manager\LManager.exe
    2220 C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    2288 C:\WINDOWS\System32\ctfmon.exe
    2348 C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
    2352 C:\Programme\Messenger\msmsgs.exe
    2500 C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
    3204 wmiprvse.exe
    3252 C:\WINDOWS\System32\wbem\unsecapp.exe
    3332 wmiprvse.exe
    3364 C:\Dokumente und Einstellungen\MoC\Lokale Einstellungen\Temp\RtkBtMnt.exe
    3980 alg.exe
    3656 C:\WINDOWS\System32\wuauclt.exe
    3580 C:\Programme\Mozilla Firefox\firefox.exe
    3420 C:\Dokumente und Einstellungen\MoC\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00  (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000e`85adbe00  (NTFS)
\\.\F: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: TOSHIBAMK1234GSX, Rev: AH001A  
PhysicalDrive1 Model Number: ToshibaStorE HDD, Rev: 

      Size  Device Name          MBR Status
  --------------------------------------------
    111 GB  \\.\PhysicalDrive0   Unknown MBR code
            SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F
    465 GB  \\.\PhysicalDrive1   MBR Code Faked!
            SHA1: EE090A7417B01D4EA752D4996173A8477699C9C6


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
 [ 0] Default (Windows XP)
 [ 1] Windows XP
 [ 2] Windows Server 2003
 [ 3] Windows Vista
 [ 4] Windows 2008
 [ 5] Windows 7
 [-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code?  Type 'YES' and hit ENTER to continue: yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!
         

Edit:

So ich hab als letzte Aktion für heute den MBRCheck zur sicherheit nochmal aufgeführt und siehe da, der Infizierte MBR ist immer noch da und lässt sich nicht ändern ( Ich habe MBRCheck 5x ausgeführt, jeweils mit Neustart, jedesmal meldet das Programm

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F
465 GB \\.\PhysicalDrive1 MBR Code Faked!
SHA1: EE090A7417B01D4EA752D4996173A8477699C9C6)

was auch nicht stimmen kann, da ich nur eine 120GB Hdd verbaut habe.


Danke und Gute Nacht allerseits!

Geändert von MoC-Man (12.01.2011 um 22:28 Uhr)

Alt 12.01.2011, 22:38   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Zitat:
was auch nicht stimmen kann, da ich nur eine 120GB Hdd verbaut habe.
111 GB Angabe vom Betriebssystem entsprechend 120 GB der Festplattenhersteller, Grund sind die verschiedenen Einheiten. => http://de.wikipedia.org/wiki/Byte#Be...rpr.C3.A4fixen
Die andere Platte könnte eine 500GB ext. Platte sein.

Um den MBR zu fixen:
Am besten du installierst dir die Wiederherstellungskonsole. Wenn du eine Windows-XP-CD hast, kannst du diese davon installieren oder direkt die WHK von der CD starten.
Wenn du keine CD hast, können wir mit Combofix die WHK installieren:



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.01.2011, 07:32   #6
MoC-Man
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Guten Morgen.

Hab heute früh erstmal den MBRCheck nochmal laufen lassen. Diesesmal fand er keinen Infekt mehr, sondern nur noch einen ungültigen MBR. Log kann ich posten, falls erwünscht.

Dannach hab ich CCleaner ausgeführt.

Und Combofix ( Jetzt wo du den Namen sagtes, ist mir wieder eingefallen, dass dieses Programm vor der Neuinstallation, das Programm war das die Schadsoftware als einziges gefunden hatte. Leider aber scheinbar nicht entfernen konnte.)

Hier der Log

Code:
ATTFilter
ComboFix 11-01-12.03 - MoC 13.01.2011   7:11.1.2 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.3070.2541 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\MoC\Desktop\CoFi.exe
AV: Norton AntiVirus 2006 *Disabled/Updated* {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Worm Protection *Enabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\WinPCap
c:\programme\WinPCap\daemon_mgm.exe
c:\programme\WinPCap\npf_mgm.exe
c:\programme\WinPCap\rpcapd.exe
c:\windows\fix.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2010-12-13 bis 2011-01-13  ))))))))))))))))))))))))))))))
.

2011-01-13 06:06 . 2011-01-13 06:06    --------    d-----w-    c:\programme\CCleaner
2011-01-13 06:02 . 2011-01-13 06:02    --------    d-----w-    c:\windows\ServicePackFiles
2011-01-13 06:01 . 2011-01-13 06:01    --------    d-----w-    c:\programme\MSXML 4.0
2011-01-13 06:00 . 2011-01-13 06:00    --------    d-----w-    c:\windows\LastGood.Tmp
2011-01-12 21:28 . 2010-02-12 10:03    293376    ------w-    c:\windows\system32\browserchoice.exe
2011-01-12 21:21 . 2011-01-12 21:21    --------    d-----w-    C:\FOUND.000
2011-01-12 20:01 . 2011-01-12 20:02    --------    d-----w-    c:\programme\Trend Micro
2011-01-12 18:46 . 2010-12-20 17:09    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-12 18:46 . 2011-01-12 18:46    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-12 18:46 . 2011-01-12 18:46    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2011-01-12 18:46 . 2010-12-20 17:08    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2011-01-12 18:20 . 2004-08-04 04:00    26496    ----a-w-    c:\windows\system32\dllcache\usbstor.sys
2011-01-12 18:20 . 2011-01-12 18:20    --------    d-----w-    c:\dokumente und einstellungen\NetworkService\Startmenü
2011-01-12 16:10 . 2011-01-12 16:10    --------    d-----w-    c:\windows\Acer
2011-01-12 16:08 . 2005-09-26 15:40    258048    ----a-w-    c:\windows\system32\Uninstall_eRecovery.exe
2011-01-12 16:05 . 2006-01-23 11:41    78208    ----a-w-    c:\windows\system32\drivers\epm-shd.sys
2011-01-12 16:05 . 2006-01-23 11:41    4096    ----a-w-    c:\windows\system32\drivers\epm-psd.sys
2011-01-12 16:04 . 2011-01-12 16:04    21275    ----a-w-    c:\windows\system32\drivers\AegisP.sys
2011-01-12 16:04 . 2011-01-12 16:04    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2011-01-12 16:04 . 2006-04-10 09:09    61440    ----a-w-    c:\windows\system32\acerGina.dll
2011-01-12 16:03 . 2011-01-12 16:04    --------    d-----w-    c:\programme\Launch Manager
2011-01-12 16:03 . 2004-12-09 11:04    5120    ----a-w-    c:\windows\system32\FILTRCOI.DLL
2011-01-12 16:03 . 2004-12-08 13:10    16896    ----a-w-    c:\windows\system32\drivers\DKbFltr.SYS
2011-01-12 16:03 . 2005-10-03 16:21    225350    ----a-w-    c:\windows\system32\Epm-Po.dll
2011-01-12 16:00 . 2004-08-04 04:00    100992    ----a-w-    c:\windows\system32\drivers\bthpan.sys
2011-01-12 16:00 . 2004-08-04 04:00    100992    ----a-w-    c:\windows\system32\dllcache\bthpan.sys
2011-01-12 16:00 . 2004-08-04 04:00    59648    ----a-w-    c:\windows\system32\drivers\rfcomm.sys
2011-01-12 16:00 . 2004-08-04 04:00    59648    ----a-w-    c:\windows\system32\dllcache\rfcomm.sys
2011-01-12 16:00 . 2004-08-04 04:00    17024    ----a-w-    c:\windows\system32\drivers\BthEnum.sys
2011-01-12 16:00 . 2004-08-04 04:00    17024    ----a-w-    c:\windows\system32\dllcache\bthenum.sys
2011-01-12 16:00 . 2011-01-12 16:00    --------    d-----w-    c:\programme\WIDCOMM
2011-01-12 16:00 . 2004-08-04 04:00    275200    ----a-w-    c:\windows\system32\drivers\bthport.sys
2011-01-12 16:00 . 2004-08-04 04:00    275200    ----a-w-    c:\windows\system32\dllcache\bthport.sys
2011-01-12 16:00 . 2004-08-04 04:00    18944    ----a-w-    c:\windows\system32\drivers\BTHUSB.SYS
2011-01-12 16:00 . 2004-08-04 04:00    18944    ----a-w-    c:\windows\system32\dllcache\bthusb.sys
2011-01-12 15:58 . 2006-01-05 01:17    180224    ----a-w-    c:\windows\system32\NVUNINST.EXE
2011-01-12 15:58 . 2003-11-10 17:14    729088    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2011-01-12 15:58 . 2003-11-10 17:13    69715    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2011-01-12 15:58 . 2003-11-10 17:12    266240    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2011-01-12 15:58 . 2003-11-10 17:12    192512    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2011-01-12 15:58 . 2003-11-10 17:11    5632    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2011-01-12 15:58 . 2011-01-12 15:58    188548    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll
2011-01-12 15:58 . 2011-01-12 15:58    311428    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2011-01-12 15:57 . 2011-01-12 15:57    --------    d-----w-    c:\dokumente und einstellungen\MoC
2011-01-12 15:56 . 2006-06-28 01:16    --------    d-----w-    c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2011-01-12 15:56 . 2005-02-15 02:01    --------    d-----w-    c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Acer Arcade
2011-01-12 15:56 . 2005-02-14 11:26    --------    d-----w-    c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
2011-01-12 15:47 . 2001-08-18 03:22    12288    ----a-w-    c:\windows\system32\drivers\mouhid.sys
2011-01-12 15:47 . 2004-08-04 04:00    9600    ----a-w-    c:\windows\system32\drivers\hidusb.sys
2011-01-12 15:47 . 2011-01-12 15:47    --------    d-----w-    c:\windows\nview
2011-01-12 15:47 . 2006-01-04 08:28    180224    ----a-w-    c:\windows\system32\nvudisp.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-12 16:45 . 2004-06-25 00:13    70    ----a-w-    c:\windows\HotFix.bat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-07-20 729177]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PCMService"="c:\programme\Acer\Acer Arcade\PCMService.exe" [2005-12-13 151552]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-02-15 98304]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-09-17 52848]
"SSC_UserPrompt"="c:\programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-11-09 218240]
"ntiMUI"="c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-19 15797248]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-04 7393280]
"nwiz"="nwiz.exe" [2006-01-04 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-01-04 86016]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 110592]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-01-17 344064]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-01-16 3080192]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-03-28 593920]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Acer\\Acer Arcade\\PCMService.exe"=

.
Inhalt des "geplante Tasks" Ordners

2011-01-13 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2005-09-22 17:23]

2011-01-13 c:\windows\Tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - MoC.job
- c:\progra~1\NORTON~1\Navw32.exe [2005-10-21 16:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aceradvantage.com/stdreg
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\MoC\Anwendungsdaten\Mozilla\Firefox\Profiles\yoem30kq.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-13 07:17
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2324)
c:\windows\system32\MSNChatHook.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\MSVCR71.dll
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\acer\Empowering Technology\admServ.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\rundll32.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Norton AntiVirus\navapsvc.exe
c:\programme\Norton AntiVirus\IWP\NPFMntor.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\dokume~1\MoC\LOKALE~1\Temp\RtkBtMnt.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-13  07:18:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-13 06:18

Vor Suchlauf: 11 Verzeichnis(se), 45.891.321.856 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 45.766.082.560 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - B1277F70BB83AD2A365583D4E3523643
         

MfG MoC-Man

Alt 13.01.2011, 10:50   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck nochmals aus und poste das neue Log.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.01.2011, 12:55   #8
MoC-Man
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Mahlzeit,


So habe alles Ausgeführt. MBRCheck scheint nun gut zu sein.

Log

Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:            
Windows Version:        Windows XP Home Edition
Windows Information:        Service Pack 2 (build 2600)
Logical Drives Mask:        0x0000001c

Kernel Drivers (total 201):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E3000 \WINDOWS\system32\hal.dll
  0xBADA8000 \WINDOWS\system32\KDCOM.DLL
  0xBACB8000 \WINDOWS\system32\BOOTVID.dll
  0xBA778000 ACPI.sys
  0xBADAA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xBA767000 pci.sys
  0xBA8A8000 isapnp.sys
  0xBA8B8000 ohci1394.sys
  0xBA8C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xBACBC000 compbatt.sys
  0xBACC0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
  0xBAE70000 pciide.sys
  0xBAB28000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBADAC000 aliide.sys
  0xBADAE000 intelide.sys
  0xBADB0000 toside.sys
  0xBADB2000 viaide.sys
  0xBADB4000 cmdide.sys
  0xBA749000 pcmcia.sys
  0xBA8D8000 MountMgr.sys
  0xBA72A000 ftdisk.sys
  0xBACC4000 ACPIEC.sys
  0xBAE71000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xBAB30000 PartMgr.sys
  0xBACC8000 UBHelper.sys
  0xBA8E8000 VolSnap.sys
  0xBACCC000 cpqarray.sys
  0xBA712000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
  0xBA6FA000 atapi.sys
  0xBACD0000 aha154x.sys
  0xBAB38000 sparrow.sys
  0xBACD4000 symc810.sys
  0xBA8F8000 aic78xx.sys
  0xBACD8000 dac960nt.sys
  0xBA908000 ql10wnt.sys
  0xBACDC000 amsint.sys
  0xBAB40000 asc.sys
  0xBACE0000 asc3550.sys
  0xBAB48000 mraid35x.sys
  0xBAB50000 i2omp.sys
  0xBACE4000 ini910u.sys
  0xBA918000 ql1240.sys
  0xBA928000 aic78u2.sys
  0xBAB58000 symc8xx.sys
  0xBAB60000 sym_hi.sys
  0xBAB68000 sym_u3.sys
  0xBAB70000 ABP480N5.SYS
  0xBAB78000 asc3350p.sys
  0xBADB6000 cd20xrnt.sys
  0xBA938000 ultra.sys
  0xBA6E1000 adpu160m.sys
  0xBAB80000 dpti2o.sys
  0xBA948000 ql1080.sys
  0xBA958000 ql1280.sys
  0xBA968000 ql12160.sys
  0xBAB88000 perc2.sys
  0xBADB8000 perc2hib.sys
  0xBAB90000 hpn.sys
  0xBACE8000 cbidf2k.sys
  0xBA6B5000 dac2w2k.sys
  0xBA978000 disk.sys
  0xBA988000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xBA696000 fltMgr.sys
  0xBA684000 sr.sys
  0xBA661000 Fastfat.sys
  0xBA64A000 KSecDD.sys
  0xBA61D000 NDIS.sys
  0xBA998000 sisagp.sys
  0xBA9A8000 viaagp.sys
  0xBA602000 Mup.sys
  0xBA9B8000 agp440.sys
  0xBA9C8000 alim1541.sys
  0xBA9D8000 amdagp.sys
  0xBA9E8000 agpCPQ.sys
  0xBAA08000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xBAD6C000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0xBA16D000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xBA159000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xBA134000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xBA111000 \SystemRoot\system32\DRIVERS\b57xp32.sys
  0xB9FB4000 \SystemRoot\system32\DRIVERS\w39n51.sys
  0xBAC00000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB9F91000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBAC08000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xBAA18000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xBAA28000 \SystemRoot\system32\DRIVERS\EMS7SK.sys
  0xB9F80000 \SystemRoot\system32\DRIVERS\sdbus.sys
  0xB9F6D000 \SystemRoot\system32\DRIVERS\ESM7SK.sys
  0xBAA38000 \SystemRoot\system32\DRIVERS\ESD7SK.sys
  0xBAD80000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xBAA48000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBAC10000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
  0xBAC18000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xB9F16000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xBADBA000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xBAC20000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBAA58000 \SystemRoot\system32\DRIVERS\smcirda.sys
  0xBAD84000 \SystemRoot\system32\DRIVERS\irenum.sys
  0xBAA68000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBAA78000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBAA88000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB9E53000 \SystemRoot\system32\DRIVERS\ks.sys
  0xBADBC000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
  0xB9D87000 \SystemRoot\system32\DRIVERS\btkrnl.sys
  0xBAF29000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBAC28000 \SystemRoot\system32\DRIVERS\rasirda.sys
  0xBAC30000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xBAA98000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xBAD94000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB9D70000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBAAA8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBAAB8000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xB9D5F000 \SystemRoot\system32\DRIVERS\psched.sys
  0xBAAC8000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBAC38000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBAC40000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xBAAD8000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBADBE000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB9D2B000 \SystemRoot\system32\DRIVERS\update.sys
  0xBAD9C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB9CDD000 \SystemRoot\system32\drivers\btaudio.sys
  0xB9CB9000 \SystemRoot\system32\drivers\portcls.sys
  0xBAAE8000 \SystemRoot\system32\drivers\drmk.sys
  0xBAAF8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB7883000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xB784D000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
  0xB7759000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
  0xB76A8000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
  0xBAC48000 \SystemRoot\System32\Drivers\Modem.SYS
  0xBAB18000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBADC4000 \SystemRoot\System32\Drivers\i2omgmt.SYS
  0xBADC6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBAF8F000 \SystemRoot\System32\Drivers\Null.SYS
  0xBADC8000 \SystemRoot\System32\Drivers\Beep.SYS
  0xBAC68000 \SystemRoot\System32\drivers\vga.sys
  0xBADCA000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBADCC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xBAC70000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xBAC78000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xBA512000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB755D000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB7505000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB74CC000 \SystemRoot\System32\Drivers\SYMTDI.SYS
  0xB74AB000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xBA5D2000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB7486000 \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
  0xBA5C2000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xB745E000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB743C000 \SystemRoot\System32\drivers\afd.sys
  0xBA5B2000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB73DA000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys
  0xBA4FA000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xBA5A2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xBAC90000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xB73C6000 \??\C:\Programme\Norton AntiVirus\SAVRTPEL.SYS
  0xB739A000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xBA4F2000 \??\C:\WINDOWS\system32\drivers\OsaFsLoc.sys
  0xB9F69000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xB732B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xBA592000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB72CD000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
  0xB72B0000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
  0xB71FB000 \SystemRoot\System32\Drivers\Ntfs.SYS
  0xBA572000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB71E3000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xBADCE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xBACA0000 \SystemRoot\System32\watchdog.sys
  0xB9CA9000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBF9C1000 \SystemRoot\System32\drivers\dxg.sys
  0xBAF13000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF9D3000 \SystemRoot\System32\nv4_disp.dll
  0xBACA8000 \SystemRoot\system32\DRIVERS\AegisP.sys
  0xB6654000 \SystemRoot\system32\DRIVERS\irda.sys
  0xB678A000 \SystemRoot\system32\DRIVERS\s24trans.sys
  0xB676E000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xBA562000 \SystemRoot\System32\Drivers\SYMREDRV.SYS
  0xBACB0000 \SystemRoot\System32\Drivers\SYMDNS.SYS
  0xB5C14000 \SystemRoot\System32\Drivers\SYMNDIS.SYS
  0xB5ABE000 \SystemRoot\System32\Drivers\SYMFW.SYS
  0xB5C04000 \SystemRoot\System32\Drivers\SYMIDS.SYS
  0xB5A77000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\IDS-DI~1\20110108.001\symidsco.sys
  0xB5882000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB5A57000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB5676000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xBABC0000 \??\C:\WINDOWS\system32\drivers\btserial.sys
  0xBAF36000 \??\C:\WINDOWS\system32\drivers\epm-psd.sys
  0xB5572000 \??\C:\WINDOWS\system32\drivers\epm-shd.sys
  0xB54F7000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB5662000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
  0xBAE08000 \??\C:\WINDOWS\system32\drivers\osaio.sys
  0xBAFB6000 \??\C:\WINDOWS\system32\drivers\osanbm.sys
  0xBABC8000 \??\C:\WINDOWS\system32\drivers\symlcbrd.sys
  0xB5017000 \??\C:\Programme\Norton AntiVirus\SAVRT.SYS
  0xB4ECC000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20110112.002\NavEx15.Sys
  0xB4EB8000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20110112.002\NAVENG.Sys
  0xB4975000 \SystemRoot\System32\Drivers\HTTP.sys
  0xBAE0E000 \SystemRoot\System32\Drivers\NdisFilt.sys
  0xB4914000 \??\C:\Acer\Empowering Technology\eRecovery\int15.sys
  0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 56):
       0 System Idle Process
       4 System
     840 C:\WINDOWS\System32\smss.exe
     900 csrss.exe
     924 C:\WINDOWS\System32\winlogon.exe
     972 C:\WINDOWS\System32\services.exe
     984 C:\WINDOWS\System32\lsass.exe
    1136 C:\WINDOWS\System32\svchost.exe
    1220 svchost.exe
    1364 C:\WINDOWS\System32\svchost.exe
    1432 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
    1464 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
    1584 svchost.exe
    1724 svchost.exe
    1996 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    1308 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    1320 C:\WINDOWS\Explorer.EXE
    1824 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    1844 C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    1876 C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
     148 C:\WINDOWS\System32\spoolsv.exe
     556 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
     580 C:\Acer\Empowering Technology\admServ.exe
     608 svchost.exe
     672 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
     700 C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
     692 C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
     752 C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
     764 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    1552 C:\Programme\Norton AntiVirus\navapsvc.exe
    1764 C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
     188 C:\WINDOWS\System32\nvsvc32.exe
    1204 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
     448 C:\Programme\CyberLink\Shared Files\RichVideo.exe
     324 C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
    2280 wmiprvse.exe
    2372 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    2480 C:\Programme\Acer\Acer Arcade\PCMService.exe
    2588 C:\Programme\QuickTime\qttask.exe
    2620 C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    2628 C:\Acer\Empowering Technology\admtray.exe
    2640 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    2696 C:\WINDOWS\RTHDCPL.EXE
    2744 C:\WINDOWS\System32\rundll32.exe
    2756 C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    2776 C:\Programme\Launch Manager\LManager.exe
    2796 C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    2852 C:\Programme\Messenger\msmsgs.exe
    2920 C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
    3224 C:\WINDOWS\System32\wbem\unsecapp.exe
    3296 wmiprvse.exe
    3480 C:\Dokumente und Einstellungen\MoC\Lokale Einstellungen\Temp\RtkBtMnt.exe
    3996 C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
     356 alg.exe
    2512 C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
    3428 C:\Dokumente und Einstellungen\MoC\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00  (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000e`85adbe00  (NTFS)

PhysicalDrive0 Model Number: TOSHIBAMK1234GSX, Rev: AH001A  

      Size  Device Name          MBR Status
  --------------------------------------------
    111 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!
         
Ist jetzt eine Gefahrlose Neuinstallation möglich? Oder sollen wir vorher noch was checken?

Is es besser das ganze System mit CD neu aufzusetzen, habe jetzt bei Acer die RecoveryCDs angefordert, da ich der Partition nicht mehr so wirklich vertraue.


Beste Grüße

Alt 13.01.2011, 13:06   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Mit CDs ist schon ein bisschen sicherer.
Achte darauf, dass die Systempartition NTFS bekommt, die ist jetzt bei dir nur FAT32.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.01.2011, 14:12   #10
MoC-Man
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Also, ein rießen Dankeschön, von meiner Seite. Ich hoffe das wars jetzt.

Die CDs bekomm ich leider erst im laufe der nächsten Tage, ich werde das System vorher einfach mal von der Partition neuinstallieren und mal kucken wies ausschaut.

Das System hatte ich schon mal auf NTFS, keine Ahnung warum das wieder FAT ist, aber ist ja zum glück kein Thema das zu ändern.


Was mich aber immer noch beunruhigt sind diese 2 Dateien, die ich in C:\Windows\Temp habe.

s.O.

Ich habe ein wenig gegooglt und habe gelesen, dies sollten Dateinbank archive sein, die Trojaner dazu verwenden Passwörter und LoginID zu Sammeln und an den Hacker zu schicken, das macht mich ein wenig nervös.
Firefox und McAffe sollen diese Dateien zwar ebenfalls nutzen, ich hatte aber nach dem Neuaufsetzen keines von beiden Installiert.

mfg MoC-Man

Alt 13.01.2011, 15:09   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Zitat:
Das System hatte ich schon mal auf NTFS, keine Ahnung warum das wieder FAT ist, aber ist ja zum glück kein Thema das zu ändern.
Systempartition nach NTFS konvertieren:
1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.01.2011, 15:03   #12
MoC-Man
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Hallo,

ich bins nochmal. Leider nicht von meinem PC aus.

Wollte nur schnell eine kleine ergänzung schreiben,für alle die das gleiche problem haben und vielleicht hier mitlesen.

Wenn man den MBR und die ersten Bootsektoren fixt, kann man nicht mehr von der versteckten sicherheits partition booten um Windows neu aufzusetzen, da diese Infos scheinbar im MBR gespeichter werden.



Warte nun auf meine Recovery Discs.


Mfg

Alt 17.01.2011, 15:10   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Zitat:
Wenn man den MBR und die ersten Bootsektoren fixt, kann man nicht mehr von der versteckten sicherheits partition booten um Windows neu aufzusetzen, da diese Infos scheinbar im MBR gespeichter werden.
Aha, interessant - das könnte ein Grund sein, warum bei manchen Recovery-Geschichten einige Leute hier berichtet hatten, dass das Problem immer noch da war, ein infizierter MBR, der beim Recovern nicht neu gemacht wurde
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.01.2011, 21:13   #14
MoC-Man
 
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Standard

Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden



Freut mich auch etwas nützliches an die allgemeinheit weitergegeben zu haben.

Antwort

Themen zu Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden
acer laptop, antivir, avira, dateien, einstellungen, formatieren, internet, kaspersky, log, löschen, malwarebytes, namen, neue, ordner, problem, rootkit, scan, schädlinge, seiten, suche, system, temp, trojaner, viren, windows



Ähnliche Themen: Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden


  1. Malware trotz Neuinstallation vermutlich noch vorhanden
    Log-Analyse und Auswertung - 18.08.2015 (5)
  2. BOO/Tdss.O auch nach Windows7-Neuinstallation noch vorhanden
    Plagegeister aller Art und deren Bekämpfung - 04.11.2013 (14)
  3. Snap.do nach löschen in der Systemsteuerung immer noch vorhanden, Logfiles geben entsprechende Hinweise
    Plagegeister aller Art und deren Bekämpfung - 28.07.2013 (9)
  4. nach Trcrypt-xpack-gen8-Entfernen immer noch Probleme
    Log-Analyse und Auswertung - 21.05.2013 (9)
  5. Außergewöhnlicher Virus, der nach Neuinstallation immer noch da ist!
    Log-Analyse und Auswertung - 12.09.2012 (3)
  6. HTML/Infected.WebPage.Gen2 und EXP/CVE-2010-0840- Noch was vorhanden?
    Plagegeister aller Art und deren Bekämpfung - 28.02.2012 (6)
  7. Noch Schädlinge vorhanden ?
    Plagegeister aller Art und deren Bekämpfung - 16.05.2011 (7)
  8. Nach Formatierung immer noch Viren
    Log-Analyse und Auswertung - 27.01.2011 (8)
  9. TR/Trash.Gen // TR/Spy.Agent.blbk // TR/Rootkit.Gen2' // TR/BHO.Gen // TR/Crypt.XPACK.Gen2' et al
    Antiviren-, Firewall- und andere Schutzprogramme - 05.11.2010 (16)
  10. TR/Crypt.XPACK.Gen2 auch noch nach Malwarescan aktiv
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (36)
  11. Trojan.Win32.Generic!BT nach neuinstallation immer noch auf dem PC
    Log-Analyse und Auswertung - 28.08.2010 (15)
  12. Antimalware Doctor Angriff nach Rkill, Mbam Scan, CCleaber immer noch vorhanden!
    Plagegeister aller Art und deren Bekämpfung - 18.05.2010 (26)
  13. Antimalware Doctor nach Mbam Scan immer noch vorhanden!
    Log-Analyse und Auswertung - 09.05.2010 (1)
  14. Trojaner nach Formatierung immer noch vorhanden- Trojaner auf externer HD?
    Plagegeister aller Art und deren Bekämpfung - 30.12.2009 (11)
  15. Trojaner auch nach Formatierung und Neuinstallation des Computers vorhanden! Was nun?
    Plagegeister aller Art und deren Bekämpfung - 11.02.2009 (2)
  16. Verschiedene Viren & Backdoorprogramme - sind noch Schädlinge vorhanden?
    Log-Analyse und Auswertung - 02.01.2009 (1)
  17. Nach "Formatierung" Dateien immer noch vorhanden
    Alles rund um Windows - 17.01.2008 (14)

Zum Thema Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden - Hallo an Alle, Ich habe ein Großes Problem und hoffe, dass ich hier ein wenig hilfe finde. Ich selbst bin mit meinem Latein am ende. Ich hatten auf Meinem Acer - Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden...
Archiv
Du betrachtest: Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.