|
Malwarebytes - was mach ich danach?
(https://www.trojaner-board.de/90657-malwarebytes-mach-danach.html)
Sorry, ich das kommt erst... ok tada: Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.2.0.0 OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit... hmpf, mir schwant was.. Grüße, R |
Zitat:
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Ok, das ging mal echt flott:-) MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000001d Kernel Drivers (total 119): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E5000 \WINDOWS\system32\hal.dll 0xBA5A8000 \WINDOWS\system32\KDCOM.DLL 0xBA4B8000 \WINDOWS\system32\BOOTVID.dll 0xB9F78000 ACPI.sys 0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xB9F67000 pci.sys 0xBA0A8000 isapnp.sys 0xBA670000 pciide.sys 0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xBA0B8000 MountMgr.sys 0xB9F48000 ftdisk.sys 0xBA5AC000 dmload.sys 0xB9F22000 dmio.sys 0xBA330000 PartMgr.sys 0xBA0C8000 VolSnap.sys 0xB9F0A000 atapi.sys 0xBA0D8000 disk.sys 0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xB9EEA000 fltmgr.sys 0xB9ED8000 sr.sys 0xB9EC1000 KSecDD.sys 0xB9E34000 Ntfs.sys 0xB9E07000 NDIS.sys 0xB9DED000 Mup.sys 0xBA318000 \SystemRoot\system32\DRIVERS\AmdK8.sys 0xBA118000 \SystemRoot\system32\DRIVERS\serial.sys 0xBA59C000 \SystemRoot\system32\DRIVERS\serenum.sys 0xBA3F8000 \SystemRoot\system32\DRIVERS\fdc.sys 0xBA400000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xB9D81000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xBA408000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xB9D59000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xBA128000 \SystemRoot\system32\DRIVERS\imapi.sys 0xBA138000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xBA148000 \SystemRoot\system32\DRIVERS\redbook.sys 0xB9D36000 \SystemRoot\system32\DRIVERS\ks.sys 0xB9D1E000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys 0xB9608000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xB95F4000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xBA5A4000 \SystemRoot\system32\DRIVERS\usbscan.sys 0xBA5D2000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xBA6C3000 \SystemRoot\system32\DRIVERS\audstub.sys 0xBA158000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xB9DC9000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xB95DD000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xBA188000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xBA168000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xBA410000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xB95CC000 \SystemRoot\system32\DRIVERS\psched.sys 0xBA178000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xBA418000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xBA420000 \SystemRoot\system32\DRIVERS\raspti.sys 0xBA5D6000 \SystemRoot\System32\Drivers\RootMdm.sys 0xBA428000 \SystemRoot\System32\Drivers\Modem.SYS 0xB959C000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xBA198000 \SystemRoot\system32\DRIVERS\termdd.sys 0xBA430000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xBA438000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xBA5D8000 \SystemRoot\system32\DRIVERS\swenum.sys 0xB9516000 \SystemRoot\system32\DRIVERS\update.sys 0xB9DA9000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xB730C000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xB72FC000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xB4E96000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xB4E72000 \SystemRoot\system32\drivers\portcls.sys 0xB72EC000 \SystemRoot\system32\drivers\drmk.sys 0xBA4A0000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xBA64E000 \SystemRoot\system32\DRIVERS\SE27wh.sys 0xBA650000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xBA7F0000 \SystemRoot\System32\Drivers\Null.SYS 0xBA652000 \SystemRoot\System32\Drivers\Beep.SYS 0xB0587000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xB057F000 \SystemRoot\System32\drivers\vga.sys 0xBA654000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xBA656000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xB0577000 \SystemRoot\System32\Drivers\Msfs.SYS 0xB056F000 \SystemRoot\System32\Drivers\Npfs.SYS 0xB4DC1000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xABBFC000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xABBA3000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xABB7B000 \SystemRoot\system32\DRIVERS\netbt.sys 0xABB55000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xAF26A000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xABA93000 \SystemRoot\System32\drivers\afd.sys 0xAF25A000 \SystemRoot\system32\DRIVERS\netbios.sys 0xB055F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xABA2B000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xAB9BB000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xAF23A000 \SystemRoot\System32\Drivers\Fips.SYS 0xBA5C4000 \SystemRoot\system32\DRIVERS\SE27cm.sys 0xAB711000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xBA5AE000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xBA6F2000 \SystemRoot\system32\DRIVERS\se27cr.sys 0xB5E3C000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB4E25000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xA9405000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xBA2A8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xBA468000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xB48CA000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xAB0DD000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0xA6A73000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xA7791000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xABA6B000 \SystemRoot\System32\drivers\Dxapi.sys 0xB419E000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xBA7A9000 \SystemRoot\System32\drivers\dxgthk.sys 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xA685F000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xB48CE000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA6813000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xA67BE000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xA6781000 \SystemRoot\system32\drivers\wdmaud.sys 0xA7132000 \SystemRoot\system32\drivers\sysaudio.sys 0xA64FA000 \SystemRoot\system32\DRIVERS\srv.sys 0xA6121000 \SystemRoot\System32\Drivers\HTTP.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 29): 0 System Idle Process 4 System 616 C:\WINDOWS\system32\smss.exe 844 csrss.exe 868 C:\WINDOWS\system32\winlogon.exe 912 C:\WINDOWS\system32\services.exe 924 C:\WINDOWS\system32\lsass.exe 1128 C:\WINDOWS\system32\svchost.exe 1176 svchost.exe 1320 C:\WINDOWS\system32\svchost.exe 1448 svchost.exe 1548 svchost.exe 1700 C:\WINDOWS\system32\spoolsv.exe 1748 C:\Programme\Avira\AntiVir Desktop\sched.exe 1812 svchost.exe 172 C:\WINDOWS\explorer.exe 436 C:\WINDOWS\RTHDCPL.exe 464 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 656 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 672 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe 748 C:\Programme\Avira\AntiVir Desktop\avguard.exe 824 C:\Programme\Java\jre6\bin\jqs.exe 128 C:\Programme\Maxtor\Sync\SyncServices.exe 1760 C:\WINDOWS\system32\svchost.exe 2144 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe 2448 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe 2504 alg.exe 3756 C:\Programme\Mozilla Firefox\firefox.exe 2628 C:\Dokumente und Einstellungen\XXX\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: SAMSUNGHD250HJ, Rev: FH100-05 Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! Wünsche einen angenehmen Feierabend, R |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
ich werde die Nacht unter dem Bodhi-Baum meditieren müssen... Hier schon mal das Ergebnis von Malwarebytes droi noie troioner.... ohm Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4623 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 16.09.2010 00:07:28 mbam-log-2010-09-16 (00-07-28).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 206920 Laufzeit: 43 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{024A0C6A-BF3F-41E2-8C63-2F1415C2D4D3}\RP343\A0037671.exe (Trojan.KillProc) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{024A0C6A-BF3F-41E2-8C63-2F1415C2D4D3}\RP343\A0037675.exe (Trojan.KillProc) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{024A0C6A-BF3F-41E2-8C63-2F1415C2D4D3}\RP343\A0037680.exe (Adware.ADON) -> Quarantined and deleted successfully. om, ich werde ganz ruhig bleiben heiter und gelassen, om viele Grüße, Rainer |
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Mach dann mit SASW weiter. |
Tadaaa:daumenhoc SUPERAntiSpyware Scann-Protokoll hxxp://www.superantispyware.com Generiert 09/16/2010 bei 04:21 PM Version der Applikation : 4.42.1000 Version der Kern-Datenbank : 5516 Version der Spur-Datenbank : 3328 Scan Art : kompletter Scann Totale Scann-Zeit : 01:01:25 Gescannte Speicherelemente : 444 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 7095 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 70154 Erfasste Datei-Elemente : 0 Bis hierhin noch mal vielen Dank! Auch wenn es das noch nicht gewesen sein sollte. Viele Grüße, R |
Sieht ok aus. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Hallo Arne, entrschuldige, dass ich mich soi lange nicht gemeldet habe: Bis jetzt scheint alles in Ordnung zu sein und prima zu laufen. Deshalb sage ich noch mal ganz besonders herzlich Danke (dem Forum im Allgemeinen und) Dir (im Besonderen). :dankeschoen: Irgendwann werde ich mich wohl auch mal das Notebook vorknöpfen... Viele Grüße, R. |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
ok, wenn auch mal wieder nach längerer Zeit: Auch dies ist erledigt. Ich danke nochmal herzlich und hoffe mein bescheidener Be(i)trag unterstützt Euch. Viele Grüße, R |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board