Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   C:\Program Files\Internet Explorer\1906\8AE.exe und bds/gbot.gatk Browser leitet auf andere Seiten (https://www.trojaner-board.de/104633-c-program-files-internet-explorer-1906-8ae-exe-bds-gbot-gatk-browser-leitet-andere-seiten.html)

VR24 03.11.2011 17:11
Combofix Logfile:
Code:
ComboFix 11-11-03.01 - Veronika 03.11.2011  11:18:25.1.2 - x86
Microsoft Windows 7 Ultimate  6.1.7600.0.1252.49.1031.18.959.512 [GMT -4:00]
ausgeführt von:: c:\users\Veronika\Downloads\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\LP
c:\windows\PFRO.log
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-10-03 bis 2011-11-03  ))))))))))))))))))))))))))))))
.
.
2011-11-03 15:49 . 2011-11-03 15:51        --------        d-----w-        c:\users\Veronika\AppData\Local\temp
2011-11-03 15:49 . 2011-11-03 15:49        --------        d-----w-        c:\users\Default\AppData\Local\temp
2011-11-01 21:49 . 2011-11-01 21:49        --------        d-----w-        C:\_OTL
2011-11-01 03:33 . 2011-11-03 04:05        --------        d-----w-        c:\users\Veronika\AppData\Roaming\skypePM
2011-11-01 03:32 . 2011-11-01 03:32        --------        d-----w-        c:\program files\Common Files\Skype
2011-11-01 03:32 . 2011-11-01 03:32        --------        d-----r-        c:\program files\Skype
2011-10-31 19:32 . 2011-10-31 19:32        --------        d-----w-        c:\program files\ESET
2011-10-31 15:45 . 2011-10-31 15:45        284672        ----a-w-        c:\users\Veronika\AppData\Roaming\Microsoft\DB86\8AE.exe
2011-10-31 14:55 . 2011-10-31 14:55        --------        d-----w-        c:\users\Veronika\AppData\Roaming\Malwarebytes
2011-10-31 14:55 . 2011-10-31 14:55        --------        d-----w-        c:\programdata\Malwarebytes
2011-10-31 14:55 . 2011-10-31 14:55        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2011-10-31 14:55 . 2011-08-31 21:00        22216        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-10-31 01:32 . 2011-10-31 01:32        --------        d-----w-        c:\program files\7-Zip
2011-10-30 18:58 . 2011-11-03 04:11        --------        d-----w-        c:\users\Veronika\AppData\Roaming\Skype
2011-10-30 18:45 . 2011-10-30 18:45        115        ----a-w-        c:\users\Veronika\AppData\Roaming\Microsoft\3D76\bl75192_64.bat
2011-10-29 19:20 . 2011-10-29 19:20        --------        d-----w-        c:\program files\284C2
2011-10-19 00:58 . 2011-10-19 00:58        --------        d-----w-        c:\users\Veronika\AppData\Roaming\TuneUp Software
2011-10-19 00:58 . 2011-11-01 19:57        --------        d-----w-        c:\programdata\TuneUp Software
2011-10-16 22:31 . 2011-09-21 13:00        7269712        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{E0CE8B4B-1403-4627-8640-DA8184301D8C}\mpengine.dll
2011-10-13 19:16 . 2011-10-13 19:16        --------        d-----w-        c:\program files\iPod
2011-10-13 19:12 . 2011-10-13 19:12        --------        d-----w-        c:\program files\Bonjour
2011-10-11 16:38 . 2011-10-11 16:38        --------        d-----w-        C:\NVIDIA
2011-10-11 16:17 . 2011-10-11 16:17        --------        d-----w-        c:\program files\Common Files\Java
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-26 21:07 . 2011-05-23 19:50        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-08-31 03:05 . 2011-08-31 03:05        83816        ----a-w-        c:\windows\system32\dns-sd.exe
2011-08-31 03:05 . 2011-08-31 03:05        73064        ----a-w-        c:\windows\system32\dnssd.dll
2011-10-02 00:31 . 2011-05-10 15:01        134104        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-06 13605408]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-06 92704]
"AVMWlanClient"="c:\program files\avmwlanstick\FRITZWLANMini.exe" [2006-04-20 323584]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-08-31 1047208]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HideSCAHealth"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06        976832        ----a-w-        c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-06-20 02:04        35760        ----a-w-        c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2011-09-27 11:22        59240        ----a-w-        c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08        209153        ----a-w-        c:\program files\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-16 20:04        1164584        ----a-w-        c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-10-09 22:06        421736        ----a-w-        c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PAC7302_Monitor]
2006-11-03 15:01        319488        ----a-w-        c:\windows\PixArt\PAC7302\Monitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2011-07-05 22:36        421888        ----a-w-        c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-09-02 19:15        13351304        ----a-r-        c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
.
R2 dtpd;ShrewSoft DNS Proxy Daemon;c:\program files\ShrewSoft\VPN Client\dtpd.exe [2009-11-15 49152]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-08-23 136176]
R2 iked;ShrewSoft IKE Daemon;c:\program files\ShrewSoft\VPN Client\iked.exe [2009-11-15 716800]
R2 ipsecd;ShrewSoft IPSEC Daemon;c:\program files\ShrewSoft\VPN Client\ipsecd.exe [2009-11-15 536576]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-08-23 136176]
R3 vnet;Shrew Soft Virtual Adapter;c:\windows\system32\DRIVERS\virtualnet.sys [2009-11-19 9728]
S1 vflt;Shrew Soft Lightweight Filter;c:\windows\system32\DRIVERS\vfilter.sys [2009-11-19 17408]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-11-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-08-23 22:01]
.
2011-11-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-08-23 22:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
mStart Page =
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{E07B5056-C63D-418E-8DCB-6E35EB86BEB9}: NameServer = 134.2.200.1,134.2.200.2
FF - ProfilePath - c:\users\Veronika\AppData\Roaming\Mozilla\Firefox\Profiles\ccsfaaq3.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-8AE - c:\program files\Internet Explorer\1906\8AE.exe
MSConfigStartUp-Microsoft® Windows Update - c:\users\Veronika\M-1-52-5782-8752-5245\winsvc.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-11-03  12:07:46
ComboFix-quarantined-files.txt  2011-11-03 16:07
.
Vor Suchlauf: 7 Verzeichnis(se), 79.127.982.080 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 78.957.715.456 Bytes frei
.
- - End Of File - - F5493B122E7FC184AC36364C9D6D2D7E
--- --- ---

cosinus 03.11.2011 18:08
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
KillAll::
Folder::
c:\users\Veronika\AppData\Roaming\Microsoft\DB86
c:\users\Veronika\AppData\Roaming\Microsoft\3D76\bl75192_64.bat
c:\program files\284C2
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

VR24 04.11.2011 17:01
Hallo!

Ich habe die Anweisung befolgt, Combifix startete einen Suchlauf und die Anzeige erschien, dass es 10 min braucht, bei schwer infizierten Programmen kann sich diese Zeit leicht vedoppeln... also entschied ich zu warten... nach jedoch 1h hatte sich nichts getan... ich wollte die Maus bewegen und nichts ging mehr. Ich entschied den PC Neu hochzufahren und den Suchlauf neu zu starten, jedoch gleiches Spiel.
Ich denke es sind keine Dateinen verloren gegangen und ich kann ohne Probleme auf Programme zugreifen. Wie sollte ich weiterverfahren?

Greetz,
Veronika

cosinus 04.11.2011 19:15
Machen wir das mit OTL. Ich wollte da ein paar Ordner löschen aber das sollte auch mit OTL gehen. Ich Depp hab da auch einen kleinen Fehler im CFScript gehabt, der sollte aber nicht zu so einem Hänger führen :stirn:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
:Files
c:\users\Veronika\AppData\Roaming\Microsoft\DB86
c:\users\Veronika\AppData\Roaming\Microsoft\3D76
c:\program files\284C2
:Commands
[emptytemp]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

VR24 04.11.2011 21:33
Hallo!
Jetzt hat's geklappt! Danke!

All processes killed
========== FILES ==========
c:\users\Veronika\AppData\Roaming\Microsoft\DB86 folder moved successfully.
c:\users\Veronika\AppData\Roaming\Microsoft\3D76 folder moved successfully.
c:\program files\284C2 folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Veronika
->Temp folder emptied: 263253 bytes
->Temporary Internet Files folder emptied: 27200362 bytes
->Java cache emptied: 6307 bytes
->FireFox cache emptied: 37365245 bytes
->Flash cache emptied: 1880 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 345991 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 62,00 mb

C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.31.0 log created on 11042011_162834

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 04.11.2011 21:46
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

VR24 04.11.2011 22:32
Hier also GMER und OSAM logs:

VR24 06.11.2011 22:44
Hallo!

Das aswMBR tool öffnet sich nicht!! hab jetzt paar mal gespeichert und als Admin öffnen wollen, aber es tut nicht...

Gruß,
Veronika

cosinus 07.11.2011 09:34
Zitat:
aber es tut nicht...
Das ist eine Fehlermeldung, mit der niemand was anfangen kann. Was genau passiert? Oder passiert rein garnichts?

VR24 07.11.2011 15:50
Hallo!

Also ich hab das aswMBR tool heruntergeladen, dann mit rechtsklick als Admin gestartet, aber es taucht kein Fenster auf oder sonstiges...
Hoffe man kann mir helfen, denn mein Browser leitet noch immer auf andere seiten, zwar nicht mehr so oft, aber dennoch!
Vielen Vielen Dank soweit!

Gruß,
Veronika

cosinus 07.11.2011 15:53
Du hast den Virenscanner auch vorher deaktiviert?

VR24 07.11.2011 23:06
Ja der Virusscanner war deaktiviert.

cosinus 08.11.2011 09:13
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

VR24 08.11.2011 16:22
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Ultimate Edition
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: Quanta
BIOS Manufacturer: Hewlett-Packard
System Manufacturer: Hewlett-Packard
System Product Name: HP Pavilion dv6500 Notebook PC
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 201):
0x82A3D000 \SystemRoot\system32\ntkrnlpa.exe
0x82A06000 \SystemRoot\system32\halmacpi.dll
0x80BB8000 \SystemRoot\system32\kdcom.dll
0x83014000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
0x8301F000 \SystemRoot\system32\PSHED.dll
0x83030000 \SystemRoot\system32\BOOTVID.dll
0x83038000 \SystemRoot\system32\CLFS.SYS
0x8307A000 \SystemRoot\system32\CI.dll
0x83125000 \SystemRoot\system32\drivers\Wdf01000.sys
0x83196000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x831A4000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x831EC000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x831F5000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x83219000 \SystemRoot\system32\DRIVERS\pci.sys
0x83243000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x8324E000 \SystemRoot\System32\drivers\partmgr.sys
0x8325F000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x83267000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x83272000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x83282000 \SystemRoot\System32\drivers\volmgrx.sys
0x832CD000 \SystemRoot\system32\DRIVERS\pciide.sys
0x832D4000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x832E2000 \SystemRoot\System32\drivers\mountmgr.sys
0x832F8000 \SystemRoot\system32\DRIVERS\atapi.sys
0x83301000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x83324000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x8332D000 \SystemRoot\system32\drivers\fltmgr.sys
0x83361000 \SystemRoot\system32\drivers\fileinfo.sys
0x86E3E000 \SystemRoot\System32\Drivers\Ntfs.sys
0x86F6D000 \SystemRoot\System32\Drivers\msrpc.sys
0x86F98000 \SystemRoot\System32\Drivers\ksecdd.sys
0x83372000 \SystemRoot\System32\Drivers\cng.sys
0x86FAB000 \SystemRoot\System32\drivers\pcw.sys
0x86FB9000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x87025000 \SystemRoot\system32\drivers\ndis.sys
0x870DC000 \SystemRoot\system32\drivers\NETIO.SYS
0x8711A000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x87200000 \SystemRoot\System32\drivers\tcpip.sys
0x87349000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8737A000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
0x87383000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x873C2000 \SystemRoot\System32\Drivers\spldr.sys
0x873CA000 \SystemRoot\System32\drivers\rdyboost.sys
0x8713F000 \SystemRoot\System32\Drivers\mup.sys
0x873F7000 \SystemRoot\System32\drivers\hwpolicy.sys
0x8714F000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x87181000 \SystemRoot\system32\DRIVERS\disk.sys
0x87192000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x87000000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x871E9000 \SystemRoot\System32\Drivers\Null.SYS
0x871F0000 \SystemRoot\System32\Drivers\Beep.SYS
0x86FC2000 \SystemRoot\System32\drivers\vga.sys
0x86FCE000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x86FEF000 \SystemRoot\System32\drivers\watchdog.sys
0x871F7000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x86E00000 \SystemRoot\system32\drivers\rdpencdd.sys
0x86E08000 \SystemRoot\system32\drivers\rdprefmp.sys
0x86E10000 \SystemRoot\System32\Drivers\Msfs.SYS
0x86E1B000 \SystemRoot\System32\Drivers\Npfs.SYS
0x833CF000 \SystemRoot\system32\DRIVERS\tdx.sys
0x86E29000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8BA1D000 \SystemRoot\system32\drivers\afd.sys
0x8BA77000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8BAA9000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x8BAB0000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8BACF000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x8BAE0000 \SystemRoot\system32\DRIVERS\vfilter.sys
0x8BAE9000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8BAF7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8BB0A000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8BB1A000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8BB20000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8BB61000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8BB6B000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8BB75000 \SystemRoot\System32\drivers\discache.sys
0x8BB81000 \SystemRoot\system32\drivers\csc.sys
0x8BBE5000 \SystemRoot\System32\Drivers\dfsc.sys
0x8BA00000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x8C62B000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8C647000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x8C649000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8C66A000 \SystemRoot\system32\DRIVERS\amdk8.sys
0x8C67C000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8C680000 \SystemRoot\system32\DRIVERS\cpqbttn.sys
0x8C683000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x8C696000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x8C69D000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x8C6A6000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x8C6B0000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8C6FB000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8C70A000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x8C710000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8C72F000 \SystemRoot\system32\DRIVERS\1394ohci.sys
0x8C75B000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x8C774000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
0x8CE2C000 \SystemRoot\system32\DRIVERS\nvm62x32.sys
0x8D20D000 \SystemRoot\system32\DRIVERS\bcmwl6.sys
0x8D474000 \SystemRoot\system32\DRIVERS\vwifibus.sys
0x8D639000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8D47E000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8DD6C000 \SystemRoot\System32\drivers\dxgmms1.sys
0x8DDA5000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8DDBD000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8DDCA000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x8DDFA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8D600000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8D60D000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x8D61A000 \SystemRoot\system32\DRIVERS\dne2000.sys
0x8D535000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x8D547000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8D55F000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8D56A000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8D58C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8D5A4000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8D5BB000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8D5D2000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x8DDFC000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8CE81000 \SystemRoot\system32\DRIVERS\ks.sys
0x8D5DC000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8D5EA000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x8CEB5000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8CEF9000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8CF0A000 \SystemRoot\system32\drivers\CHDRT32.sys
0x8CF3D000 \SystemRoot\system32\drivers\portcls.sys
0x8CF6C000 \SystemRoot\system32\drivers\drmk.sys
0x8CF85000 \SystemRoot\system32\DRIVERS\VSTAZL3.SYS
0x82013000 \SystemRoot\system32\DRIVERS\VSTDPV3.SYS
0x82115000 \SystemRoot\system32\DRIVERS\VSTCNXT3.SYS
0x821CA000 \SystemRoot\system32\drivers\modem.sys
0x8CFC2000 \SystemRoot\System32\Drivers\fastfat.SYS
0x82430000 \SystemRoot\System32\win32k.sys
0x821D7000 \SystemRoot\System32\drivers\Dxapi.sys
0x821E1000 \SystemRoot\System32\Drivers\crashdmp.sys
0x821EE000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x82000000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x8CFEC000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x8D200000 \SystemRoot\system32\DRIVERS\monitor.sys
0x82690000 \SystemRoot\System32\TSDDD.dll
0x826C0000 \SystemRoot\System32\cdd.dll
0x8CE00000 \SystemRoot\system32\drivers\luafv.sys
0x8C7C5000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x8C7D9000 \SystemRoot\system32\drivers\WudfPf.sys
0x8CE1B000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x92E33000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x92E79000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x92E89000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x92E9C000 \SystemRoot\system32\drivers\HTTP.sys
0x92F21000 \SystemRoot\system32\DRIVERS\bowser.sys
0x92F3A000 \SystemRoot\System32\drivers\mpsdrv.sys
0x92F4C000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x92F6F000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x92FAA000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x98831000 \??\C:\Windows\system32\Drivers\CVPNDRVA.sys
0x988C1000 \SystemRoot\system32\drivers\peauth.sys
0x98958000 \SystemRoot\System32\Drivers\secdrv.SYS
0x98962000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x98983000 \SystemRoot\system32\drivers\spsys.sys
0x989ED000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9801F000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9806E000 \SystemRoot\System32\DRIVERS\srv.sys
0x980BF000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x777C0000 \Windows\System32\ntdll.dll
0x47990000 \Windows\System32\smss.exe
0x77A00000 \Windows\System32\apisetschema.dll
0x009E0000 \Windows\System32\autochk.exe
0x77660000 \Windows\System32\ole32.dll
0x77940000 \Windows\System32\msvcrt.dll
0x77920000 \Windows\System32\sechost.dll
0x774C0000 \Windows\System32\setupapi.dll
0x772C0000 \Windows\System32\iertutil.dll
0x77910000 \Windows\System32\nsi.dll
0x76670000 \Windows\System32\shell32.dll
0x765E0000 \Windows\System32\oleaut32.dll
0x76550000 \Windows\System32\clbcatq.dll
0x77900000 \Windows\System32\lpk.dll
0x76540000 \Windows\System32\psapi.dll
0x76520000 \Windows\System32\imm32.dll
0x76480000 \Windows\System32\usp10.dll
0x76400000 \Windows\System32\comdlg32.dll
0x76330000 \Windows\System32\user32.dll
0x762F0000 \Windows\System32\ws2_32.dll
0x761E0000 \Windows\System32\urlmon.dll
0x761D0000 \Windows\System32\normaliz.dll
0x760B0000 \Windows\System32\wininet.dll
0x76050000 \Windows\System32\difxapi.dll
0x75FA0000 \Windows\System32\rpcrt4.dll
0x75F50000 \Windows\System32\Wldap32.dll
0x75E80000 \Windows\System32\msctf.dll
0x75DA0000 \Windows\System32\kernel32.dll
0x75D50000 \Windows\System32\gdi32.dll
0x75D20000 \Windows\System32\imagehlp.dll
0x75CC0000 \Windows\System32\shlwapi.dll
0x75C20000 \Windows\System32\advapi32.dll
0x75BF0000 \Windows\System32\xmllite.dll
0x75BD0000 \Windows\System32\devobj.dll
0x75BA0000 \Windows\System32\wintrust.dll
0x75B70000 \Windows\System32\cfgmgr32.dll
0x75AE0000 \Windows\System32\comctl32.dll
0x759C0000 \Windows\System32\crypt32.dll
0x75970000 \Windows\System32\KernelBase.dll
0x75960000 \Windows\System32\msasn1.dll

Processes (total 57):
0 System Idle Process
4 System
284 C:\Windows\System32\smss.exe
396 csrss.exe
456 C:\Windows\System32\wininit.exe
464 csrss.exe
520 C:\Windows\System32\winlogon.exe
556 C:\Windows\System32\services.exe
572 C:\Windows\System32\lsass.exe
580 C:\Windows\System32\lsm.exe
680 C:\Windows\System32\svchost.exe
764 C:\Windows\System32\nvvsvc.exe
800 C:\Windows\System32\svchost.exe
884 C:\Windows\System32\svchost.exe
932 C:\Windows\System32\svchost.exe
960 C:\Windows\System32\svchost.exe
1032 C:\Windows\System32\audiodg.exe
1124 C:\Windows\System32\svchost.exe
1208 C:\Windows\System32\rundll32.exe
1300 C:\Windows\System32\svchost.exe
1448 C:\Windows\System32\spoolsv.exe
1496 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1552 C:\Windows\System32\taskhost.exe
1592 C:\Windows\System32\svchost.exe
1688 C:\Windows\System32\dwm.exe
1724 C:\Windows\explorer.exe
1788 C:\Windows\System32\taskeng.exe
1984 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
260 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
696 C:\Program Files\Bonjour\mDNSResponder.exe
1280 C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
1344 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
1584 C:\Windows\System32\rundll32.exe
1588 C:\Program Files\avmwlanstick\FRITZWLANMini.exe
2060 C:\Program Files\ShrewSoft\VPN Client\dtpd.exe
2100 C:\Program Files\ShrewSoft\VPN Client\iked.exe
2136 C:\Program Files\ShrewSoft\VPN Client\ipsecd.exe
2196 C:\Windows\System32\sppsvc.exe
2288 C:\Windows\System32\svchost.exe
2808 C:\Windows\System32\SearchIndexer.exe
2900 WUDFHost.exe
3068 C:\Windows\System32\svchost.exe
3224 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
3304 C:\Program Files\Windows Media Player\wmpnetwk.exe
3744 WmiPrvSE.exe
4028 C:\Windows\System32\svchost.exe
2404 C:\Program Files\Internet Explorer\iexplore.exe
4052 C:\Program Files\Mozilla Firefox\firefox.exe
3840 WmiPrvSE.exe
3816 C:\Windows\servicing\TrustedInstaller.exe
2632 C:\Windows\System32\SearchFilterHost.exe
3240 C:\Windows\System32\wuauclt.exe
2076 C:\Windows\System32\SearchProtocolHost.exe
1668 taskhost.exe
1664 C:\Windows\System32\wbem\WMIADAP.exe
1872 C:\Users\Veronika\Desktop\MBRCheck.exe
2944 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x0000000c`3b500000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS)

PhysicalDrive0 Model Number: ST9160821AS, Rev: 3.BHD

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

cosinus 08.11.2011 16:29
Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Win7 (32-Bit) installiert?
Wenn nicht: Schau mal hier => RescueDisc-Win7-32-Bit

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten)

Falls Du eine normale Win7-Installations-DVD (32-Bit) hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Führe im normalen Windowsmodus MBRcheck bzw. aswmbr (je nachdem welches Tool ich dir vorhin aufgab) und wenn es geht GMER nochmals aus und poste die neuen Logs.

Hinweis: Zwischen bootrec.exe und /fixmbr bzw. /fixboot ist ein Leerzeichen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:57 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131