| |
| |||||||
Log-Analyse und Auswertung: Bundespolizei malware - ist mein Rechner wieder sauber?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
03.05.2011, 08:43
| #1 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Bundespolizei malware - ist mein Rechner wieder sauber?Zitat:
Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten. Hast Du noch andere Betriebssysteme außer Windows7 installiert? Win7-DVD 32-Bit zur Hand? Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten). Falls Du eine normale Win7-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten. Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
05.05.2011, 17:26
| #2 |
 | Bundespolizei malware - ist mein Rechner wieder sauber? Hi,
__________________danke für deine Hilfe, war zeit Tage dienstlich unterwegs, bin nun aber wieder voll dabei :-) Was ist eigendlich MBR? Hab deine Anweisungen befolgt, folgender LOG kommt dabei raus: HTML-Code: MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: Service Pack 1 (build 7601), 32-bit
Base Board Manufacturer: MEDIONPC
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: MEDIONPC
System Product Name: MS-7621
Logical Drives Mask: 0x0000001c
Kernel Drivers (total 153):
0x8300D000 \SystemRoot\system32\ntkrnlpa.exe
0x8341F000 \SystemRoot\system32\halmacpi.dll
0x80BB5000 \SystemRoot\system32\kdcom.dll
0x83621000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x836A6000 \SystemRoot\system32\PSHED.dll
0x836B7000 \SystemRoot\system32\BOOTVID.dll
0x836BF000 \SystemRoot\system32\CLFS.SYS
0x83701000 \SystemRoot\system32\CI.dll
0x8BC36000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8BCA7000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8BCB5000 \SystemRoot\system32\drivers\ACPI.sys
0x8BCFD000 \SystemRoot\system32\drivers\WMILIB.SYS
0x8BD06000 \SystemRoot\system32\drivers\msisadrv.sys
0x8BD0E000 \SystemRoot\system32\drivers\pci.sys
0x8BD38000 \SystemRoot\system32\drivers\vdrvroot.sys
0x8BD43000 \SystemRoot\System32\drivers\partmgr.sys
0x8BD54000 \SystemRoot\system32\drivers\volmgr.sys
0x8BD64000 \SystemRoot\System32\drivers\volmgrx.sys
0x8BDAF000 \SystemRoot\System32\drivers\mountmgr.sys
0x8BDC5000 \SystemRoot\system32\drivers\atapi.sys
0x8BDCE000 \SystemRoot\system32\drivers\ataport.SYS
0x837AC000 \SystemRoot\system32\DRIVERS\nvstor32.sys
0x8BE0E000 \SystemRoot\system32\DRIVERS\storport.sys
0x8BE56000 \SystemRoot\system32\drivers\amdxata.sys
0x8BE5F000 \SystemRoot\system32\drivers\fltmgr.sys
0x8BE93000 \SystemRoot\system32\drivers\fileinfo.sys
0x8BEA4000 \SystemRoot\system32\DRIVERS\Lbd.sys
0x8BEB3000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8BC00000 \SystemRoot\System32\Drivers\msrpc.sys
0x8BFE2000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8C020000 \SystemRoot\System32\Drivers\cng.sys
0x8C07D000 \SystemRoot\System32\drivers\pcw.sys
0x8C08B000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x8C094000 \SystemRoot\system32\drivers\ndis.sys
0x8C14B000 \SystemRoot\system32\drivers\NETIO.SYS
0x8C189000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x8C21A000 \SystemRoot\System32\drivers\tcpip.sys
0x8C364000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8C395000 \SystemRoot\system32\drivers\volsnap.sys
0x8C3D4000 \SystemRoot\System32\Drivers\spldr.sys
0x8C1AE000 \SystemRoot\System32\drivers\rdyboost.sys
0x8C3DC000 \SystemRoot\system32\DRIVERS\NVAMACPI.sys
0x8C3E5000 \SystemRoot\System32\Drivers\mup.sys
0x8C3F5000 \SystemRoot\System32\drivers\hwpolicy.sys
0x8C42D000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x8C45F000 \SystemRoot\system32\DRIVERS\disk.sys
0x8C470000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x8C4F4000 \SystemRoot\system32\drivers\cdrom.sys
0x8C513000 \SystemRoot\System32\Drivers\Null.SYS
0x8C51A000 \SystemRoot\System32\Drivers\Beep.SYS
0x8C521000 \SystemRoot\System32\drivers\vga.sys
0x8C52D000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8C54E000 \SystemRoot\System32\drivers\watchdog.sys
0x8C55B000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8C563000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8C56B000 \SystemRoot\system32\drivers\rdprefmp.sys
0x8C573000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8C57E000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8C58C000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8C5A3000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8FE3C000 \SystemRoot\system32\drivers\afd.sys
0x8FE96000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8FEC8000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x8FECF000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8FEEE000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x8FEFF000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8FF0D000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8FF20000 \SystemRoot\system32\drivers\termdd.sys
0x8FF31000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8FF37000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8FF78000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8FF82000 \SystemRoot\system32\drivers\mssmbios.sys
0x8FF8C000 \SystemRoot\System32\drivers\discache.sys
0x8FF98000 \SystemRoot\System32\Drivers\dfsc.sys
0x8FFB0000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x8FFBE000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8FE00000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8FE21000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8FE33000 \SystemRoot\system32\drivers\wmiacpi.sys
0x8FFE4000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0x8FFED000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x8C5AF000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8C400000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8C1DB000 \SystemRoot\system32\drivers\HDAudBus.sys
0x91839000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x92190000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x92818000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x928CF000 \SystemRoot\System32\drivers\dxgmms1.sys
0x92908000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
0x9243A000 \SystemRoot\system32\DRIVERS\NxpCap.sys
0x925A4000 \SystemRoot\system32\DRIVERS\ks.sys
0x925D8000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
0x92620000 \SystemRoot\system32\DRIVERS\rtl8192se.sys
0x92734000 \SystemRoot\system32\DRIVERS\vwifibus.sys
0x9273E000 \SystemRoot\system32\drivers\CompositeBus.sys
0x9274B000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x9275D000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x92775000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x92780000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x927A2000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x927BA000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x927D1000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x927E8000 \SystemRoot\system32\drivers\kbdclass.sys
0x92600000 \SystemRoot\system32\drivers\mouclass.sys
0x9260D000 \SystemRoot\system32\drivers\swenum.sys
0x9260F000 \SystemRoot\system32\DRIVERS\circlass.sys
0x925DB000 \SystemRoot\system32\drivers\umbus.sys
0x9294D000 \SystemRoot\system32\drivers\usbhub.sys
0x925E9000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x93A0B000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x93C93000 \SystemRoot\system32\drivers\portcls.sys
0x93CC2000 \SystemRoot\system32\drivers\drmk.sys
0x93CDB000 \SystemRoot\system32\drivers\hidusb.sys
0x93CE6000 \SystemRoot\system32\drivers\HIDCLASS.SYS
0x93CF9000 \SystemRoot\system32\drivers\HIDPARSE.SYS
0x93D00000 \SystemRoot\system32\drivers\USBD.SYS
0x93D02000 \SystemRoot\system32\drivers\usbccgp.sys
0x93D19000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x93D2F000 \SystemRoot\system32\drivers\kbdhid.sys
0x93D3B000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x9B500000 \SystemRoot\System32\win32k.sys
0x93D46000 \SystemRoot\System32\drivers\Dxapi.sys
0x93D50000 \SystemRoot\System32\Drivers\crashdmp.sys
0x93D5D000 \SystemRoot\System32\Drivers\dump_diskdump.sys
0x93D67000 \SystemRoot\System32\Drivers\dump_nvstor32.sys
0x93D9E000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x93DAF000 \SystemRoot\System32\Drivers\usbvideo.sys
0x93DD3000 \SystemRoot\system32\DRIVERS\monitor.sys
0x9B760000 \SystemRoot\System32\TSDDD.dll
0x9B790000 \SystemRoot\System32\cdd.dll
0x93DDE000 \SystemRoot\system32\drivers\luafv.sys
0x92400000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x92415000 \SystemRoot\system32\drivers\WudfPf.sys
0x92991000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x929A1000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x929E7000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x92800000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x93A00000 \SystemRoot\system32\DRIVERS\vwifimp.sys
0x9E413000 \SystemRoot\system32\drivers\HTTP.sys
0x9E498000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9E4B1000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9E4C3000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9E4E6000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9E521000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9E554000 \SystemRoot\system32\drivers\peauth.sys
0x9E5EB000 \SystemRoot\System32\Drivers\secdrv.SYS
0x92192000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9E400000 \SystemRoot\System32\drivers\tcpipreg.sys
0x8C495000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9E811000 \SystemRoot\System32\DRIVERS\srv.sys
0x77150000 \Windows\System32\ntdll.dll
0x48210000 \Windows\System32\smss.exe
0x77390000 \Windows\System32\apisetschema.dll
Processes (total 72):
0 System Idle Process
4 System
268 C:\Windows\System32\smss.exe
408 csrss.exe
460 C:\Windows\System32\wininit.exe
468 csrss.exe
512 C:\Windows\System32\services.exe
520 C:\Windows\System32\lsass.exe
532 C:\Windows\System32\lsm.exe
648 C:\Windows\System32\svchost.exe
728 C:\Windows\System32\nvvsvc.exe
768 C:\Windows\System32\svchost.exe
832 C:\Windows\System32\svchost.exe
864 C:\Windows\System32\svchost.exe
896 C:\Windows\System32\svchost.exe
968 C:\Windows\System32\audiodg.exe
1020 C:\Windows\System32\svchost.exe
1100 C:\Windows\System32\winlogon.exe
1188 C:\Windows\System32\svchost.exe
1320 C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
1348 C:\Windows\System32\nvvsvc.exe
1392 C:\Windows\System32\wisptis.exe
1520 C:\Windows\System32\spoolsv.exe
1552 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1572 C:\Windows\System32\svchost.exe
1716 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1796 C:\Program Files\CyberLink\Shared files\RichVideo.exe
1888 C:\Windows\System32\svchost.exe
1984 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
1996 C:\Windows\System32\conhost.exe
2012 C:\Windows\System32\taskhost.exe
352 C:\Windows\System32\wisptis.exe
336 C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
960 C:\Windows\System32\dwm.exe
1176 C:\Windows\explorer.exe
1432 C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
372 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
2060 C:\Program Files\msi\OSD hot keys\WMI_Hook_Service.exe
2420 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
2584 unsecapp.exe
2692 C:\Program Files\TeamViewer\Version6\TeamViewer.exe
2744 WmiPrvSE.exe
2820 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
2828 C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
2904 C:\Program Files\CyberLink\YouCam\YouCamTray.exe
2944 C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
3040 C:\Windows\WindowsMobile\wmdc.exe
3068 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3232 C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe
3324 C:\Windows\System32\svchost.exe
3420 C:\Windows\System32\svchost.exe
3624 C:\Program Files\Windows Sidebar\sidebar.exe
3704 C:\Program Files\Windows Live\Messenger\msnmsgr.exe
3864 C:\Windows\System32\svchost.exe
3900 C:\Program Files\Buhl finance\tax Steuersoftware 2011\taxaktuell.exe
3972 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
4032 C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
4080 C:\Program Files\Common Files\Lexware\LxWebAccess\LxWebAccess.exe
3008 WmiPrvSE.exe
3380 C:\Windows\System32\SearchIndexer.exe
2636 C:\Program Files\Windows Live\Contacts\wlcomm.exe
2644 C:\Program Files\Windows Media Player\wmpnetwk.exe
2616 C:\Program Files\Lavasoft\Ad-Aware\AWSC.exe
3540 C:\Program Files\Lavasoft\Ad-Aware\AWSC.exe
4176 <unknown>
4224 C:\Windows\System32\SearchFilterHost.exe
4264 C:\Windows\System32\SearchProtocolHost.exe
4440 C:\Windows\System32\svchost.exe
4768 dllhost.exe
5060 C:\Users\XXXX\Desktop\MBRCheck.exe
5076 C:\Windows\System32\conhost.exe
5096 C:\Windows\System32\dllhost.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x000000e3`a0b00000 (NTFS)
PhysicalDrive0 Model Number: ST31000520AS, Rev: CC32
Size Device Name MBR Status
--------------------------------------------
931 GB \\.\PhysicalDrive0 RE: Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
Done! GMER Logfile: Code:
ATTFilter GMER 1.0.15.15572 - hxxp://www.gmer.net
Rootkit scan 2011-05-05 18:48:47
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\0000005d ST310005 rev.CC32
Running: 805ce3jw.exe; Driver: C:\Users\xxxx\AppData\Local\Temp\kwtdypoc.sys
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKey + 13C1 8304B339 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 83084D52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
---- Devices - GMER 1.0.15 ----
Device \Driver\ACPI_HAL \Device\00000047 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001060a44feb
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001060a44feb@9021552a5039 0x56 0xFD 0x1E 0x83 ...
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001060a44feb (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001060a44feb@9021552a5039 0x56 0xFD 0x1E 0x83 ...
---- EOF - GMER 1.0.15 ----
Geändert von winnie.dogbe (05.05.2011 um 17:51 Uhr) Grund: GMER LOG ergänzt |
|
| Themen zu Bundespolizei malware - ist mein Rechner wieder sauber? |
| ad-aware, adobe, alternate, antivir, autorun, avgntflt.sys, avira, bho, bonjour, browser, bundespolizei, corp./icp, error, excel.exe, firefox, fontcache, format, free download, helper, home, jar_cache, location, logfile, malware, mozilla, nicht sicher, nvlddmkm.sys, nvstor.sys, object, ohne befund, oldtimer, plug-in, realtek, registry, safer networking, sauber, searchplugins, security, senden, software, start menu, temp, trojaner, webcheck, windows |
Hybrid-Darstellung
