Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner ZBot - erfolgreich gelöscht? (https://www.trojaner-board.de/94174-trojaner-zbot-erfolgreich-geloescht.html)

ernst_g 27.12.2010 16:32
Trojaner ZBot - erfolgreich gelöscht?
 
Hallo,

ich habe vor kurzem einen Malwarebytes-Scan durchlaufen lassen und dabei eine infizierte Datei angezeigt bekommen (mit dem Hinweis auf Trojan/ZBot -> siehe Log im Anhang). Die Datei befand sich auf meiner externen Platte und lag in einem tausendfach verschachtelten Ordner, der scheinbar mal die Dateien der NoScript-Extension für Firefox enthalten hat.
Die Ordner (ca. 40.000 Dateien und ca. 3.600 Ordner) konnte Windows wegen der langen Verschachtelung nicht löschen, also versuche ich es mit Unlocker, der sich seit Stunden daran die Zähne ausbeißt, aber zumindest schon 10.000 Dateien geschafft hat.

Malwarebytes zeigte dann Delete on Reboot an, also neu gestartet. Danach habe ich Malwarebytes nochmal (ausschließlich) auf der externen Platte suchen lassen und es wurde nichts mehr gefunden (siehe Logfile im Anhang).

Könnt Ihr mir sagen, welche Gefahr bzgl. Datensicherheit bestand (Google zeigte mir sehr viele verschiedene Zbot-Arten, wodurch ich noch viel weniger verstand)? Und, am wichtigsten natürlich, ob ich jetzt sicher sein kann, dass alles von dem ZBot weg ist und ob ich sonstige Sicherheitslücken übersehe?

Die Logs, die in der Checkliste standen, habe ich angehängt (HJT und OTL-Logs habe ich gerade erstellt und von Malwarebytes auch noch ein neues). Komisch ist, dass ich schon öfter Spybot und ähnliche Progs durchlaufen lassen habe und nie was gefunden wurde.

Danke schonmal an alle, die sich mit meinem Problem beschäftigen!
Ich hoffe, dass ich nicht zuviel falsch gemacht habe mit der Beseitigung ;)!

cosinus 29.12.2010 14:15
Zitat:
Datenbank Version: 5384
Die Signaturen waren nicht wirklich aktuell. Bitte updaten und den Vollscan wiederholen.

ernst_g 29.12.2010 17:42
Zitat:
Zitat von cosinus (Beitrag 603840)
Die Signaturen waren nicht wirklich aktuell. Bitte updaten und den Vollscan wiederholen.
Habe einen neuen Vollscan nach Update gemacht und Malwarebytes hat wieder nichts mehr gefunden. Könnte aber auch daran liegen, dass Windows die externe Platte nicht mehr im Arbeitsplatz anzeigt, da ich diese formatiert habe (mit Ubuntu)...

cosinus 29.12.2010 19:51
Zitat:
[ZoneAlarm Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
Kann ich nur von abraten. Ist unnötiger Blödsinn, völlig sinnfrei, aber dafür ne knallbunte Oberfläche. :balla:
Verwende besser einen Router ggf. in Kombination mit Windows-Firewall.

Ansonsten sieht das OTL-Log ok aus.

ernst_g 01.01.2011 15:32
So, habe Zonealarm runtergemacht und die WinFirewall an, der Rechner hängt mit einem weiteren schon immer an einem Router. Was tue ich jetzt?

Danke für Deine Hilfe und ein frohes neues Jahr!

Mir fällt gerade ein, dass ich in letzter Zeit öfter mal Download-Fehler hatte (NSIS-Error), nach Winsock-Neustart liefs meist wieder. Kann das mit dem ZBot zusammengehangen haben?

cosinus 02.01.2011 11:11
Mach nochmal ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ernst_g 02.01.2011 14:43
Also, Combofix läuft jetzt seit ca. einer Stunde. Ist es normal, dass nach den Stufen, die einzeln angezeigt und abgeschlossen wurden (ca. 15 min. gedauert) jetzt nichts mehr passiert?

Mittlerweile zeigt Combofix seit knapp 40 min. nur Folgendes an: "Bereite Logdatei vor. Starte keine anderen Programme, bevor Combofix fertig ist".

Achso, Maus und Tastatur wurden nicht benutzt und den Beitrag hier tippe ich naturlich von einem anderen Rechner ;).

cosinus 02.01.2011 14:44
Warte noch ein bisschen ab.

ernst_g 02.01.2011 17:00
Hey nochmal,

also, Combofix ist fertig, hat ein Log angezeigt. Das Problem ist aber, dass danach kein Programm mehr starten wollte (irgendsoeine Meldung in der Richtung von "Schlüssel ist für Löschen vorgemerkt..., kann nicht starten"). Dann hab ich einen Neustart probiert und, naja, jetzt gibt es nur noch Bluescreens...


Combofix Logfile:
Code:
ComboFix 11-01-01.02 - bgf 02.01.2011  13:33:24.4.4 - x86

Microsoft Windows 7 Home Premium  6.1.7600.0.1252.49.1031.18.3327.2128 [GMT 1:00]

ausgeführt von:: c:\users\bgf\Desktop\cofi.exe

AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {DAAC1C79-1A96-9DFE-FC4C-6940214C33E6}

AV: Sophos Anti-Virus *Disabled/Updated* {479CCF92-4960-B3E0-7373-BF453B467D2C}

SP: Lavasoft Ad-Watch Live! *Disabled/Updated* {61CDFD9D-3CAC-9270-C6FC-52325ACB795B}

SP: Sophos Anti-Virus *Disabled/Updated* {FCFD2E76-6F5A-BC6E-49C3-843740C13791}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.



(((((((((((((((((((((((  Dateien erstellt von 2010-12-02 bis 2011-01-02  ))))))))))))))))))))))))))))))

.



2011-01-02 12:41 . 2011-01-02 12:41        --------        d-----w-        c:\users\Karin\AppData\Local\temp

2011-01-02 12:41 . 2011-01-02 12:41        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-01-02 11:18 . 2011-01-02 12:41        --------        d-----w-        c:\users\bgf\AppData\Local\temp

2011-01-02 10:59 . 2011-01-02 11:09        --------        d-----w-        C:\cofi

2011-01-02 10:54 . 2011-01-02 10:54        --------        d-----w-        c:\windows\Internet Logs

2011-01-01 15:41 . 2011-01-01 15:40        131824        ----a-w-        c:\windows\system32\sdccoinstaller.dll

2011-01-01 15:41 . 2011-01-01 15:41        --------        d-----w-        c:\programdata\Sophos Web Intelligence

2011-01-01 15:41 . 2011-01-01 15:41        --------        d-----w-        c:\program files\Common Files\Cisco Systems

2011-01-01 15:41 . 2011-01-01 15:39        28912        ----a-w-        c:\windows\system32\SophosBootTasks.exe

2011-01-01 15:40 . 2011-01-01 15:40        122360        ----a-w-        c:\windows\system32\drivers\savonaccess.sys

2011-01-01 15:39 . 2011-01-01 15:39        22536        ----a-w-        c:\windows\system32\drivers\SophosBootDriver.sys

2011-01-01 15:34 . 2011-01-01 15:34        23928        ----a-w-        c:\windows\system32\drivers\sdcfilter.sys

2011-01-01 14:37 . 2010-11-10 04:33        6273872        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{DC7ECBAC-7A2B-4233-AE51-FC7C8C73A653}\mpengine.dll

2010-12-24 10:40 . 2010-06-01 08:57        1848584        ----a-w-        c:\windows\RXSUnins.exe

2010-12-24 10:40 . 2010-06-01 08:57        1848584        ----a-w-        c:\windows\RXCUnins.exe

2010-12-24 00:07 . 2010-12-03 09:05        64288        ----a-w-        c:\windows\system32\drivers\Lbd.sys

2010-12-24 00:07 . 2010-12-24 00:07        98392        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys

2010-12-24 00:05 . 2010-12-24 00:05        --------        d-----w-        c:\users\bgf\AppData\Local\Sunbelt Software

2010-12-24 00:02 . 2010-12-24 00:02        --------        dc-h--w-        c:\programdata\{2162CCC0-3A5F-4887-B51F-CE5F195B3620}

2010-12-24 00:02 . 2010-12-24 00:02        --------        d-----w-        c:\program files\Lavasoft

2010-12-23 17:44 . 2010-12-23 17:44        --------        d-----w-        c:\users\bgf\AppData\Roaming\Malwarebytes

2010-12-23 17:44 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-23 17:44 . 2010-12-23 17:44        --------        d-----w-        c:\programdata\Malwarebytes

2010-12-23 17:40 . 2010-12-27 16:31        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2010-12-23 17:40 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-12-22 14:30 . 2010-12-22 14:30        --------        d-----w-        c:\users\bgf\AppData\Local\FixItCenter

2010-12-22 11:42 . 2010-12-22 11:42        --------        d-----w-        c:\program files\iPod

2010-12-22 11:39 . 2010-12-22 11:39        --------        d-----w-        c:\program files\Bonjour

2010-12-22 11:12 . 2010-12-22 11:12        --------        d-----w-        c:\program files\Audible

2010-12-22 10:47 . 2010-12-22 10:56        --------        d-----w-        c:\users\bgf\AppData\Roaming\VSO

2010-12-22 10:47 . 2010-12-22 10:47        --------        d-----w-        c:\program files\VSO

2010-12-20 21:54 . 2010-12-20 21:54        --------        d-----w-        c:\program files\directx

2010-12-20 21:52 . 2010-12-20 21:52        --------        d-----w-        c:\program files\Rockstar Games

2010-12-20 21:52 . 2002-12-05 13:10        155648        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iuser.dll

2010-12-20 21:52 . 2002-12-02 12:33        57344        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll

2010-12-20 21:52 . 2002-12-02 12:33        237568        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iscript.dll

2010-12-20 21:52 . 2010-12-20 21:52        163972        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iGdi.dll

2010-12-20 21:52 . 2002-12-05 13:12        692224        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iKernel.dll

2010-12-20 21:52 . 2002-12-02 14:22        5632        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\DotNetInstaller.exe

2010-12-20 21:52 . 2010-12-20 21:52        282756        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\setup.dll

2010-12-20 21:46 . 2010-12-20 21:46        --------        d-----w-        c:\program files\Microsoft Fix it Center

2010-12-20 21:46 . 2010-12-20 21:46        --------        d-----w-        c:\windows\MATS

2010-12-14 16:26 . 2010-12-14 16:26        --------        d-----w-        C:\found.000

2010-12-12 19:05 . 2010-12-12 19:05        --------        d-----w-        c:\program files\af0.net

2010-12-11 22:16 . 2010-12-11 22:19        --------        d-----w-        C:\Loksim3D

2010-12-11 22:06 . 2010-12-11 22:06        --------        d-----w-        c:\program files\Common Files\Skype

2010-12-11 09:37 . 2010-12-11 09:37        --------        d-----w-        c:\users\bgf\AppData\Local\IsolatedStorage

2010-12-11 09:37 . 2010-12-11 09:37        --------        d-----w-        c:\users\bgf\AppData\Local\Futuremark_Corporation

2010-12-11 08:57 . 2010-12-11 08:57        --------        d-----w-        c:\program files\Common Files\Futuremark Shared

2010-12-11 08:56 . 2010-06-02 03:55        74072        ----a-w-        c:\windows\system32\XAPOFX1_5.dll

2010-12-11 08:56 . 2010-06-02 03:55        527192        ----a-w-        c:\windows\system32\XAudio2_7.dll

2010-12-11 08:56 . 2010-06-02 03:55        239960        ----a-w-        c:\windows\system32\xactengine3_7.dll

2010-12-11 08:56 . 2010-05-26 10:41        2106216        ----a-w-        c:\windows\system32\D3DCompiler_43.dll

2010-12-11 08:56 . 2010-05-26 10:41        1868128        ----a-w-        c:\windows\system32\d3dcsx_43.dll

2010-12-11 08:56 . 2010-05-26 10:41        248672        ----a-w-        c:\windows\system32\d3dx11_43.dll

2010-12-11 08:56 . 2010-05-26 10:41        470880        ----a-w-        c:\windows\system32\d3dx10_43.dll

2010-12-11 08:56 . 2010-05-26 10:41        1998168        ----a-w-        c:\windows\system32\D3DX9_43.dll

2010-12-11 08:44 . 2010-12-11 08:44        --------        d-----w-        c:\program files\MozBackup

2010-12-10 17:47 . 2010-12-10 17:47        --------        d-----w-        c:\program files\NSIS



.

((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-12 21:35 . 2009-08-18 10:30        564632        ----a-w-        c:\programdata\Microsoft\IdentityCRL\production\wlidui.dll

2010-12-12 21:35 . 2009-08-18 10:24        17816        ----a-w-        c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll

2010-12-03 09:05 . 2010-02-04 20:44        15880        ----a-w-        c:\windows\system32\lsdelete.exe

2010-11-29 16:38 . 2010-11-29 16:38        94208        ----a-w-        c:\windows\system32\QuickTimeVR.qtx

2010-11-29 16:38 . 2010-11-29 16:38        69632        ----a-w-        c:\windows\system32\QuickTime.qts

2010-11-16 16:07 . 2010-11-16 16:07        46448        ----a-w-        c:\windows\apppatch\AppPatch64\EMET64.dll

2010-11-16 16:07 . 2010-11-16 16:07        43888        ----a-w-        c:\windows\apppatch\EMET.dll

2010-11-07 17:21 . 2010-01-30 14:36        139152        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys

2010-11-07 17:21 . 2010-01-30 14:36        111928        ----a-w-        c:\windows\system32\PnkBstrB.exe

2010-11-05 15:06 . 2010-09-06 13:32        57344        ----a-r-        c:\users\bgf\AppData\Roaming\Microsoft\Installer\{87441A59-5E64-4096-A170-14EFE67200C3}\ARPPRODUCTICON.exe

2010-11-01 23:03 . 2010-11-24 20:00        1448448        ----a-w-        c:\windows\system32\inetcpl.cpl

2010-11-01 22:59 . 2010-11-24 20:00        2381824        ----a-w-        c:\windows\system32\mshtml.tlb

2010-10-27 03:59 . 2010-10-27 03:59        6573568        ----a-w-        c:\windows\system32\drivers\atikmdag.sys

2010-10-27 03:08 . 2010-10-27 03:08        16281600        ----a-w-        c:\windows\system32\atioglxx.dll

2010-10-27 02:55 . 2010-10-27 02:55        143360        ----a-w-        c:\windows\system32\atiapfxx.exe

2010-10-27 02:55 . 2010-02-03 04:23        547328        ----a-w-        c:\windows\system32\aticfx32.dll

2010-10-27 02:52 . 2010-10-27 02:52        450560        ----a-w-        c:\windows\system32\ATIDEMGX.dll

2010-10-27 02:51 . 2010-10-27 02:51        393216        ----a-w-        c:\windows\system32\atieclxx.exe

2010-10-27 02:51 . 2010-10-27 02:51        176128        ----a-w-        c:\windows\system32\atiesrxx.exe

2010-10-27 02:50 . 2010-10-27 02:50        159744        ----a-w-        c:\windows\system32\atitmmxx.dll

2010-10-27 02:50 . 2010-10-27 02:50        356352        ----a-w-        c:\windows\system32\atipdlxx.dll

2010-10-27 02:49 . 2010-10-27 02:49        278528        ----a-w-        c:\windows\system32\Oemdspif.dll

2010-10-27 02:49 . 2010-10-27 02:49        15872        ----a-w-        c:\windows\system32\atimuixx.dll

2010-10-27 02:49 . 2010-10-27 02:49        43520        ----a-w-        c:\windows\system32\ati2edxx.dll

2010-10-27 02:46 . 2009-09-19 02:12        4020736        ----a-w-        c:\windows\system32\atidxx32.dll

2010-10-27 02:35 . 2010-10-27 02:35        46080        ----a-w-        c:\windows\system32\aticalrt.dll

2010-10-27 02:35 . 2010-10-27 02:35        44032        ----a-w-        c:\windows\system32\aticalcl.dll

2010-10-27 02:33 . 2010-10-27 02:33        5441536        ----a-w-        c:\windows\system32\aticaldd.dll

2010-10-27 02:28 . 2009-09-19 01:56        4094464        ----a-w-        c:\windows\system32\atiumdag.dll

2010-10-27 02:14 . 2010-02-03 03:23        52736        ----a-w-        c:\windows\system32\coinst.dll

2010-10-27 02:14 . 2010-10-27 02:14        249856        ----a-w-        c:\windows\system32\atiadlxx.dll

2010-10-27 02:14 . 2010-10-27 02:14        12800        ----a-w-        c:\windows\system32\atiglpxx.dll

2010-10-27 02:14 . 2010-10-27 02:14        27136        ----a-w-        c:\windows\system32\atigktxx.dll

2010-10-27 02:14 . 2010-10-27 02:14        229888        ----a-w-        c:\windows\system32\drivers\atikmpag.sys

2010-10-27 02:13 . 2010-02-03 03:23        30720        ----a-w-        c:\windows\system32\atiuxpag.dll

2010-10-27 02:13 . 2010-02-03 03:22        28672        ----a-w-        c:\windows\system32\atiu9pag.dll

2010-10-27 02:12 . 2010-10-27 02:12        53248        ----a-w-        c:\windows\system32\drivers\ati2erec.dll

2010-10-27 01:50 . 2009-09-19 01:38        3460096        ----a-w-        c:\windows\system32\atiumdva.dll

2010-10-27 01:37 . 2010-10-27 01:37        52736        ----a-w-        c:\windows\system32\atimpc32.dll

2010-10-27 01:37 . 2010-10-27 01:37        52736        ----a-w-        c:\windows\system32\amdpcom32.dll

2010-10-26 18:26 . 2010-10-26 18:26        294912        ----a-w-        c:\windows\system32\ATIODE.exe

2010-10-26 18:25 . 2010-10-26 18:25        45056        ----a-w-        c:\windows\system32\ATIODCLI.exe

2010-10-25 09:09 . 2010-10-25 09:09        413696        ----a-w-        c:\programdata\Microsoft\Windows\Templates\msvcp60.dll

2010-10-25 09:09 . 2010-10-25 09:09        23040        ----a-w-        c:\programdata\Microsoft\Windows\Templates\psapi.dll

2010-10-25 09:09 . 2010-10-25 09:09        511328        ----a-w-        c:\windows\system32\Synchronization2.dll

2010-10-25 09:09 . 2010-10-25 09:09        288608        ----a-w-        c:\windows\system32\Microsoft.Synchronization.dll

2010-10-25 09:09 . 2010-10-25 09:09        253280        ----a-w-        c:\windows\system32\MetaStore2.dll

2010-10-25 09:07 . 2010-10-25 09:07        319456        ----a-w-        c:\programdata\Microsoft\Windows\Templates\DIFxAPI.dll

2010-10-25 09:03 . 2009-12-21 11:58        36640        ----a-w-        c:\windows\system32\FsUsbExDisk.Sys

2010-10-25 09:03 . 2009-12-21 11:58        217088        ----a-w-        c:\windows\system32\FsUsbExService.Exe

2010-10-19 09:41 . 2009-11-16 19:55        222080        ------w-        c:\windows\system32\MpSigStub.exe

2010-10-14 00:36 . 2010-10-14 00:36        15451288        ----a-w-        c:\windows\system32\xlive.dll

2010-10-14 00:36 . 2010-10-14 00:36        13642904        ----a-w-        c:\windows\system32\xlivefnt.dll

2010-10-07 11:23 . 2010-10-07 11:23        91424        ----a-w-        c:\windows\system32\dnssd.dll

2010-10-07 11:23 . 2010-10-07 11:23        75040        ----a-w-        c:\windows\system32\jdns_sd.dll

2010-10-07 11:23 . 2010-10-07 11:23        197920        ----a-w-        c:\windows\system32\dnssdX.dll

2010-10-07 11:23 . 2010-10-07 11:23        107808        ----a-w-        c:\windows\system32\dns-sd.exe

2010-10-04 23:21 . 2009-11-22 13:56        218496        ----a-w-        c:\windows\system32\PnkBstrB.xtr

2010-10-04 23:15 . 2009-11-22 13:52        75064        ----a-w-        c:\windows\system32\PnkBstrA.exe

2010-10-04 23:11 . 2009-11-22 13:54        138056        ----a-w-        c:\users\bgf\AppData\Roaming\PnkBstrK.sys

2010-10-04 22:43 . 2010-10-04 23:05        2601752        ----a-w-        c:\windows\system32\pbsvc_moh.exe

2009-09-18 12:20 . 2010-05-31 12:28        2560        ----a-w-        c:\program files\tibsun_regadd.reg

.



((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"rfxsrvtray"="c:\program files\Tobit Radio.fx\Client\rfx-tray.exe" [2010-01-13 686344]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-07-06 9394792]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-10-26 98304]

"MacrokeyManager"="WTMKM.exe" [2010-01-26 5881576]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"Sophos AutoUpdate Monitor"="c:\program files\Sophos\AutoUpdate\almon.exe" [2011-01-01 439536]



c:\users\bgf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled

Launchy.lnk - c:\program files\Launchy\Launchy.exe [N/A]

Logitech . Produktregistrierung.lnk - c:\program files\Common Files\Logishrd\eReg\SetPoint\eReg.exe [2008-11-7 517384]



c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Audible Download Manager.lnk.disabled [2010-12-22 2093]

Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2010-1-18 813584]



c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled

Radio.fx.LNK - g:\tobit radio.fx\Client\rfx-client.exe [N/A]

Rainmeter.lnk - c:\program files\Rainmeter\Rainmeter.exe [N/A]

VPN Client.lnk - c:\windows\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico [N/A]



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2009-07-20 11:28        72208        ----a-w-        c:\program files\Common Files\Logishrd\Bluetooth\LBTWLgn.dll



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\progra~2\Sophos\SOPHOS~1\sophos_detoured.dll



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages        REG_MULTI_SZ          kerberos msv1_0 schannel wdigest tspkg pku2u livessp



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

"Start WingMan Profiler"=c:\program files\Logitech\Gaming Software\LWEMon.exe /noui

"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe"



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

"ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe"

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"



[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]

"DisableMonitoring"=dword:00000001



R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 dtpd;ShrewSoft DNS Proxy Daemon;c:\program files\ShrewSoft\VPN Client\dtpd.exe [2009-11-15 49152]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-17 133104]

R2 iked;ShrewSoft IKE Daemon;c:\program files\ShrewSoft\VPN Client\iked.exe [2009-11-15 716800]

R2 ipsecd;ShrewSoft IPSEC Daemon;c:\program files\ShrewSoft\VPN Client\ipsecd.exe [2009-11-15 536576]

R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\program files\Sophos\Sophos Anti-Virus\SAVAdminService.exe [2011-01-01 163056]

R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]

R3 ALSysIO;ALSysIO;c:\users\bgf\AppData\Local\Temp\ALSysIO.sys [x]

R3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [x]

R3 FLASHSYS;FLASHSYS;c:\program files\MSI\Live Update 4\LU4\FLASHSYS.sys [2007-12-14 9216]

R3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2010-10-25 36640]

R3 Futuremark SystemInfo Service;Futuremark SystemInfo Service;c:\program files\Common Files\Futuremark Shared\Futuremark SystemInfo\FMSISvc.exe [2010-11-11 128928]

R3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-12-03 1389400]

R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [2010-12-03 15264]

R3 MatSvc;Microsoft Fix it Supportcenter;c:\program files\Microsoft Fix it Center\Matsvc.exe [2010-11-16 267568]

R3 PAC207;SoC PC-Camera;c:\windows\system32\DRIVERS\PFC027.SYS [2006-12-05 507136]

R3 RTCore32;RTCore32;c:\program files\RMClock\RTCore32.sys [2005-05-25 4608]

R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2010-06-23 275048]

R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [2008-05-16 89256]

R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [2008-05-16 15016]

R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [2008-05-16 120744]

R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [2008-05-16 114216]

R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [2008-05-16 25512]

R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [2008-05-16 110632]

R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [2008-05-16 115752]

R3 sdcfilter;sdcfilter;c:\windows\system32\DRIVERS\sdcfilter.sys [2011-01-01 23928]

R3 vnet;Shrew Soft Virtual Adapter;c:\windows\system32\DRIVERS\virtualnet.sys [2009-11-19 9728]

R4 SophosBootDriver;SophosBootDriver;c:\windows\system32\DRIVERS\SophosBootDriver.sys [2011-01-01 22536]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-12-03 64288]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-11-22 691696]

S1 SAVOnAccess;SAVOnAccess;c:\windows\system32\DRIVERS\savonaccess.sys [2011-01-01 122360]

S1 vflt;Shrew Soft Lightweight Filter;c:\windows\system32\DRIVERS\vfilter.sys [2009-11-19 17408]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-10-27 176128]

S2 AMD FusionUtility Service;AMD FusionUtility Service;c:\program files\AMD\Fusion Utility for Desktop\FusionUtility2Service.exe [2010-04-14 275832]

S2 AMD Reservation Manager;AMD Reservation Manager;c:\program files\AMD\Reservation Manager\AMD Reservation Manager.exe [2010-04-14 140160]

S2 AODService;AODService;c:\program files\AMD\OverDrive\AODAssist.exe [2009-10-22 136544]

S2 Radio.fx;Radio.fx Server;c:\program files\Tobit Radio.fx\Server\rfx-server.exe [2010-06-24 2450696]

S2 SAVService;Sophos Anti-Virus;c:\program files\Sophos\Sophos Anti-Virus\SavService.exe [2011-01-01 97520]

S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2009-03-02 5120]

S2 swi_service;Sophos Web Intelligence Service;c:\program files\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [2011-01-01 1541360]

S2 USBSafelyRemoveService;USB Safely Remove Assistant;c:\program files\USB Safely Remove\USBSRService.exe [2010-05-06 242000]

S2 WTService;WTService;c:\windows\system32\atwtusb.exe [2010-01-27 515816]

S3 amdiox86;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox86.sys [2010-02-18 37944]

S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-10-27 6573568]

S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-10-27 229888]

S3 AODDriver;AODDriver;c:\program files\AMD\OverDrive\i386\AODDriver.sys [2009-10-22 8704]

S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [2008-01-09 27632]





[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper        REG_MULTI_SZ          getPlusHelper

WindowsMobile        REG_MULTI_SZ          wcescomm rapimgr

LocalServiceRestricted        REG_MULTI_SZ          WcesComm RapiMgr

.

Inhalt des "geplante Tasks" Ordners



2010-10-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-17 08:37]



2010-10-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-17 08:37]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.netvibes.com/

uInternet Settings,ProxyOverride = *.local

IE: Alles mit FDM herunterladen - file://c:\program files\Free Download Manager\dlall.htm

IE: Auswahl mit FDM herunterladen - file://c:\program files\Free Download Manager\dlselected.htm

IE: Datei mit FDM herunterladen - file://c:\program files\Free Download Manager\dllink.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000

IE: Videos mit FDM herunterladen - file://c:\program files\Free Download Manager\dlfvideo.htm

TCP: {CF99E15B-DF01-41C3-9722-7443B477A671} = 128.176.0.28,128.176.0.13

FF - ProfilePath - c:\users\bgf\AppData\Roaming\Mozilla\Firefox\Profiles\pggr1ce2.default\

FF - prefs.js: browser.search.selectedEngine - Bing

FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/speeddial.xul

FF - prefs.js: network.proxy.type - 0

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: Add to Search Bar: add-to-searchbox@maltekraus.de - %profile%\extensions\add-to-searchbox@maltekraus.de

FF - Ext: Tab Progress Bar: tabprogressbar@studio17.wordpress.com - %profile%\extensions\tabprogressbar@studio17.wordpress.com

FF - Ext: TweakTube: {15e67a59-bd3d-49ae-90dd-b3d3fd14c2ed} - %profile%\extensions\{15e67a59-bd3d-49ae-90dd-b3d3fd14c2ed}

FF - Ext: Image Zoom: {1A2D0EC4-75F5-4c91-89C4-3656F6E44B68} - %profile%\extensions\{1A2D0EC4-75F5-4c91-89C4-3656F6E44B68}

FF - Ext: Split Browser: {29c4afe1-db19-4298-8785-fcc94d1d6c1d} - %profile%\extensions\{29c4afe1-db19-4298-8785-fcc94d1d6c1d}

FF - Ext: Readability: {6005d9b1-d115-485a-a92a-3f6453ca3fe2} - %profile%\extensions\{6005d9b1-d115-485a-a92a-3f6453ca3fe2}

FF - Ext: Speed Dial: {64161300-e22b-11db-8314-0800200c9a66} - %profile%\extensions\{64161300-e22b-11db-8314-0800200c9a66}

FF - Ext: ReloadEvery: {888d99e7-e8b5-46a3-851e-1ec45da1e644} - %profile%\extensions\{888d99e7-e8b5-46a3-851e-1ec45da1e644}

FF - Ext: Converter: {8B72860F-C5F8-4286-865E-D2C2DB98A9E6} - %profile%\extensions\{8B72860F-C5F8-4286-865E-D2C2DB98A9E6}

FF - Ext: AddonFox: {ad48108d-92a6-4eb9-87e4-978aca1dbae4} - %profile%\extensions\{ad48108d-92a6-4eb9-87e4-978aca1dbae4}

FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

FF - Ext: Download Statusbar: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} - %profile%\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}

FF - Ext: QuickJava: {E6C1199F-E687-42da-8C24-E7770CC3AE66} - %profile%\extensions\{E6C1199F-E687-42da-8C24-E7770CC3AE66}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -



AddRemove-Racer - c:\sims\RACER\Uninst.isu

AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe







**************************************************************************



Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net

Windows 6.1.7600



CreateFile("\\.\PHYSICALDRIVE0"): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

device: opened successfully

user: error reading MBR

kernel: MBR read successfully

user != kernel MBR !!!



**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------



[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,10,1a,a6,8d,53,42,f9,4f,ba,f3,98,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,10,1a,a6,8d,53,42,f9,4f,ba,f3,98,\



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2011-01-02  16:01:45

ComboFix-quarantined-files.txt  2011-01-02 15:01



Vor Suchlauf: 29 Verzeichnis(se), 67.017.068.544 Bytes frei

Nach Suchlauf: 31 Verzeichnis(se), 66.940.133.376 Bytes frei



- - End Of File - - 5E2D94B8B2D27245F70D64F231A7947F
]
--- --- ---

Und es gibt noch Quarantined Files
Code:
2011-01-02 15:00:59 . 2011-01-02 15:00:59              928 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-24_flashusbdriver.reg.dat

2011-01-02 15:00:59 . 2011-01-02 15:00:59              446 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-Racer.reg.dat

2011-01-02 11:07:46 . 2011-01-02 12:38:25            7,705 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2011-01-02 10:59:55 . 2011-01-02 12:33:23              248 ----a-w-  C:\Qoobox\Quarantine\catchme.log

2010-12-11 22:17:42 . 2010-04-07 01:04:17            2,124 ----a-w-  C:\Qoobox\Quarantine\C\Windows\System32\Readme.txt.vir

2010-06-20 12:44:58 . 2009-09-17 09:35:05              157 ----a-w-  C:\Qoobox\Quarantine\C\Users\bgf\autorun.inf.vir

ernst_g 02.01.2011 18:52
Nur kurz noch eine Zwischenfrage:
Ich nutze auf demselben Rechner, auf dem ich den Trojaner gefunden habe, seitdem die neben Win7 installierte Ubuntu-Installation.
Wie wahrscheinlich ist es, dass der Trojaner auch unter Ubuntu Gefahren verursacht?
Danke schonmal!

cosinus 02.01.2011 19:37
Zitat:
Wie wahrscheinlich ist es, dass der Trojaner auch unter Ubuntu Gefahren verursacht?
Windows-Viren laufen nur unter Windows und nicht unter Ubuntu!

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

ernst_g 02.01.2011 20:09
Ich kann derzeit keine Logs mehr machen, da Windows nicht mehr startet. Kriege direkt beim Booten den Bluescreen und dann startet er neu. Soll ich die Dateien, die in die Quarantäne gesteckt wurden, wiederherstellen oder sowas?

cosinus 02.01.2011 21:38
Funktioniert der abgesicherte Modus noch?

ernst_g 02.01.2011 22:40
Nein, ich kann auch nicht sehen, was der Bluescreen aussagt, weil der nach einer Sekunde verschwindet und sofort neustartet.

cosinus 03.01.2011 09:21
Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

ernst_g 03.01.2011 10:54
Qoobox.zip wurde im Upload-Channel erfolgreich hochgeladen!

cosinus 03.01.2011 11:31
Seh ich keine Hinweise. Probier mal die letzte als funktionierend bekannte Konfig.

ernst_g 03.01.2011 11:39
Du meinst Systemwiederherstellung oder kann man die Dateien mit Combofix irgendwie wiederherstellen?

cosinus 03.01.2011 11:45
Zitat:
Du meinst Systemwiederherstellung
Nein. Oder hab ich Systemwiederherstellung geschrieben?!
geh mit F8 vor dem Start von Windows in die Startoptionen. Da hat man zB neben dem abgesicherten Modus aus den, den ich vorhin nannte.

ernst_g 03.01.2011 11:53
Hab's versucht, gibt wieder nur Bluescreen.

cosinus 03.01.2011 12:25
Dann hats dein Windows zerlegt :(
Mach ne Datensicherung und installier neu, sry :(

Kommt in wenigen Fällen vor, dass eine Bereinigung das System schrottet :stirn:

ernst_g 03.01.2011 12:57
Kann es passieren, dass ich durch die gesicherten Daten (die ich mit Ubuntu auf die neuformatierte externe Platte packen werde) mir das neu installierte System gleich wieder verseuche oder ist das recht unwahrscheinlich?

BataAlexander 03.01.2011 13:33
Vielleicht hilft dir ja das deaktivieren des automatischen Neustarts?

Start >> Einstellungen >> Systemsteuerung >> System >> Erweitert >> Starten und Wiederherstellen
>>Einstellungen >> Automatisch Neustart durchführen deaktivieren (Häkchen entfernen).
Dann könntest Du zumindest die Meldung sehen und hier schreiben, vielleicht.
Hallo Prosinus :)

cosinus 03.01.2011 21:14
Zitat:
Vielleicht hilft dir ja das deaktivieren des automatischen Neustarts?
Startet sein Windows denn wieder? :eek: :wtf:

ernst_g 03.01.2011 23:39
Nein, der startet nicht wieder ;).

Habe jetzt Win7 neu aufgesetzt und repariere gerade den Bootloader (die ubliche Sabotage...) ;).

Was muss ich jetzt tun?

cosinus 04.01.2011 09:20
Zitat:
Habe jetzt Win7 neu aufgesetzt und repariere gerade den Bootloader (die ubliche Sabotage...)
Wieso willst du nach der neuinstallation den Bootloader reparieren? Das Setup macht das schon, sonst könnte das neu installierte Windows nicht starten...
Hast du wenigstens deine Daten via Live-CD (zB knoppix, ubuntu oder partedmagic) gesichert?

ernst_g 04.01.2011 09:48
Wie gesagt, auf dem Rechner ist auch Ubuntu drauf, und Grub (Bootloader) ist - wie immer - durch die Nachinstallation von Windows zerstört worden, jedenfalls insoweit, als nur noch Windows bootet :D. Daten sind alle gesichert, was nun?

cosinus 04.01.2011 10:12
Achso dein Ubuntu hab ich (fast) vergessen :D
GRUB kannst du nach so einer Prozedur mit Rescatux wieder flottmachen :)

http://www.supergrubdisk.org/wp-cont..._main_menu.png

ernst_g 04.01.2011 10:35
Werd's gleich mal versuchen mit Rescatux. Lasse gerade mal wieder einen Malwarebytes-Scan laufen.

Muss ich jetzt noch was tun, oder kann ich sicher sein, dass mit der Neuinstallation alles evtl. vorhandene Malwarezeugs weg ist?

ernst_g 04.01.2011 11:43
Log ohne Fund:
Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5455

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

04.01.2011 11:35:37
mbam-log-2011-01-04 (11-35-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 209421
Laufzeit: 1 Stunde(n), 2 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 04.01.2011 12:04
Zitat:
dass mit der Neuinstallation alles evtl. vorhandene Malwarezeugs weg ist?
Dafür ist die Neuinstallation (auch) da.

ernst_g 04.01.2011 12:09
Kann im MBR noch was sein oder so? Habe in irgendeinem Beitrag hier im TB sowas über Viren gelesen, die da bleiben, obwohl Platte formatiert und alles.

In jedem Fall vielen Dank für Deine/Eure Hilfe!

Muss ich das Thema, wenn der MBR kein Problem ist, irgendwo als gelöst markieren?

cosinus 04.01.2011 12:28
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

ernst_g 04.01.2011 12:55
Komisch, habs als Admin ausgeführt, aber es produziert keine txt-Datei. Muss ich Virenscanner ausmachen oder sowas?

Edith: man sollte schon auf den richtigen Desktop gucken ;). Hier der Log:
Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows 7 Professional
Windows Information:                (build 7600), 32-bit
Base Board Manufacturer:        MICRO-STAR INTERNATIONAL CO.,LTD
BIOS Manufacturer:                American Megatrends Inc.
System Manufacturer:                MICRO-STAR INTERNATIONAL CO.,LTD
System Product Name:                MS-7599
Logical Drives Mask:                0x00000024

Kernel Drivers (total 184):
  0x82A48000 \SystemRoot\system32\ntkrnlpa.exe
  0x82A11000 \SystemRoot\system32\halmacpi.dll
  0x80BC1000 \SystemRoot\system32\kdcom.dll
  0x8B43D000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
  0x8B448000 \SystemRoot\system32\PSHED.dll
  0x8B459000 \SystemRoot\system32\BOOTVID.dll
  0x8B461000 \SystemRoot\system32\CLFS.SYS
  0x8B4A3000 \SystemRoot\system32\CI.dll
  0x8B54E000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x8B5BF000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x8B605000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x8B64D000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
  0x8B656000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x8B65E000 \SystemRoot\system32\DRIVERS\pci.sys
  0x8B688000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x8B693000 \SystemRoot\System32\drivers\partmgr.sys
  0x8B6A4000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x8B6B4000 \SystemRoot\System32\drivers\volmgrx.sys
  0x8B6FF000 \SystemRoot\system32\DRIVERS\pciide.sys
  0x8B706000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x8B714000 \SystemRoot\System32\drivers\mountmgr.sys
  0x8B72A000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x8B733000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x8B756000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x8B75F000 \SystemRoot\system32\drivers\fltmgr.sys
  0x8B793000 \SystemRoot\system32\drivers\fileinfo.sys
  0x8B81B000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x8B94A000 \SystemRoot\System32\Drivers\msrpc.sys
  0x8B975000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x8B988000 \SystemRoot\System32\Drivers\cng.sys
  0x8B9E5000 \SystemRoot\System32\drivers\pcw.sys
  0x8B9F3000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x8BA13000 \SystemRoot\system32\drivers\ndis.sys
  0x8BACA000 \SystemRoot\system32\drivers\NETIO.SYS
  0x8BB08000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x8BC3C000 \SystemRoot\System32\drivers\tcpip.sys
  0x8BD85000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8BDB6000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
  0x8BDBF000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x8BC00000 \SystemRoot\System32\Drivers\spldr.sys
  0x8BC08000 \SystemRoot\System32\drivers\rdyboost.sys
  0x8BB2D000 \SystemRoot\System32\Drivers\mup.sys
  0x8BB3D000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x8BB45000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x8BB77000 \SystemRoot\system32\DRIVERS\disk.sys
  0x8BB88000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x8BBDF000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8B7A4000 \SystemRoot\system32\DRIVERS\savonaccess.sys
  0x8BC35000 \SystemRoot\System32\Drivers\Null.SYS
  0x8BA00000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8BA07000 \SystemRoot\System32\drivers\vga.sys
  0x8B7CA000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8B800000 \SystemRoot\System32\drivers\watchdog.sys
  0x8B80D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8B7EB000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x8B7F3000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x8B5CD000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8B5D8000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x8B5E6000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x8B400000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x90807000 \SystemRoot\system32\drivers\afd.sys
  0x90861000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x90893000 \SystemRoot\system32\drivers\ws2ifsl.sys
  0x9089C000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x908A3000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x908C2000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x908D0000 \SystemRoot\system32\DRIVERS\serial.sys
  0x908EA000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x908FD000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x9090D000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x9094E000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x90958000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x90962000 \SystemRoot\System32\drivers\discache.sys
  0x9096E000 \SystemRoot\system32\drivers\csc.sys
  0x909D2000 \SystemRoot\System32\Drivers\dfsc.sys
  0x909EA000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x8B40B000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x8B42C000 \SystemRoot\system32\DRIVERS\amdppm.sys
  0x91E3D000 \SystemRoot\system32\DRIVERS\atikmpag.sys
  0x92A27000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x930CD000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x93184000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x931BD000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x91E7A000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
  0x931DC000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0x91ECB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x931E6000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x931F5000 \SystemRoot\system32\DRIVERS\serenum.sys
  0x92A00000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0x92A09000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
  0x91F16000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x91F28000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x92A16000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x91F40000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x91F62000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x91F7A000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x91F91000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x91FA8000 \SystemRoot\system32\DRIVERS\rdpbus.sys
  0x91FB2000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x91FBF000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x92A21000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x91FCC000 \SystemRoot\system32\DRIVERS\ks.sys
  0x91E00000 \SystemRoot\system32\DRIVERS\amdiox86.sys
  0x91E10000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x9583D000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x95881000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x95892000 \SystemRoot\system32\drivers\HdAudio.sys
  0x958E2000 \SystemRoot\system32\drivers\portcls.sys
  0x95911000 \SystemRoot\system32\drivers\drmk.sys
  0x95A22000 \SystemRoot\system32\drivers\RTKVHDA.sys
  0x97160000 \SystemRoot\System32\win32k.sys
  0x95D1E000 \SystemRoot\System32\drivers\Dxapi.sys
  0x95D28000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x95D35000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x95D40000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0x95D49000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x95D5A000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0x95D71000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x95D73000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x95D7E000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x95D91000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x95D98000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x95DA3000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0x95DAF000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x973C0000 \SystemRoot\System32\TSDDD.dll
  0x95DBA000 \SystemRoot\system32\drivers\luafv.sys
  0x95DD5000 \SystemRoot\system32\drivers\WudfPf.sys
  0x95DEF000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x95A00000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x9592A000 \SystemRoot\system32\drivers\HTTP.sys
  0x959AF000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x959C8000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x959DA000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x95800000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x91E1E000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x9FC03000 \SystemRoot\system32\drivers\peauth.sys
  0x9FC9A000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x9FCA4000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x9FCC5000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x9FCD2000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x9FD21000 \SystemRoot\System32\DRIVERS\srv.sys
  0x97040000 \SystemRoot\System32\cdd.dll
  0x9FD72000 \SystemRoot\system32\drivers\spsys.sys
  0x9FDDC000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0x9FDE5000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0x77870000 \Windows\System32\ntdll.dll
  0x47930000 \Windows\System32\smss.exe
  0x77AB0000 \Windows\System32\apisetschema.dll
  0x009A0000 \Windows\System32\autochk.exe
  0x776D0000 \Windows\System32\setupapi.dll
  0x77A80000 \Windows\System32\sechost.dll
  0x77A00000 \Windows\System32\comdlg32.dll
  0x77620000 \Windows\System32\msvcrt.dll
  0x77570000 \Windows\System32\rpcrt4.dll
  0x77470000 \Windows\System32\wininet.dll
  0x77330000 \Windows\System32\urlmon.dll
  0x779B0000 \Windows\System32\gdi32.dll
  0x772A0000 \Windows\System32\clbcatq.dll
  0x770A0000 \Windows\System32\iertutil.dll
  0x76FD0000 \Windows\System32\user32.dll
  0x76380000 \Windows\System32\shell32.dll
  0x762E0000 \Windows\System32\advapi32.dll
  0x762D0000 \Windows\System32\psapi.dll
  0x76290000 \Windows\System32\ws2_32.dll
  0x76260000 \Windows\System32\imagehlp.dll
  0x76190000 \Windows\System32\msctf.dll
  0x76180000 \Windows\System32\lpk.dll
  0x76160000 \Windows\System32\imm32.dll
  0x76150000 \Windows\System32\normaliz.dll
  0x760F0000 \Windows\System32\difxapi.dll
  0x76050000 \Windows\System32\usp10.dll
  0x75EF0000 \Windows\System32\ole32.dll
  0x75E60000 \Windows\System32\oleaut32.dll
  0x75E10000 \Windows\System32\Wldap32.dll
  0x75E00000 \Windows\System32\nsi.dll
  0x75D20000 \Windows\System32\kernel32.dll
  0x75CC0000 \Windows\System32\shlwapi.dll
  0x75C90000 \Windows\System32\cfgmgr32.dll
  0x75C40000 \Windows\System32\KernelBase.dll
  0x75C20000 \Windows\System32\devobj.dll
  0x75B90000 \Windows\System32\comctl32.dll
  0x75B60000 \Windows\System32\wintrust.dll
  0x75A40000 \Windows\System32\crypt32.dll
  0x75A30000 \Windows\System32\msasn1.dll

Processes (total 54):
      0 System Idle Process
      4 System
    288 C:\Windows\System32\smss.exe
    420 csrss.exe
    480 C:\Windows\System32\wininit.exe
    536 C:\Windows\System32\services.exe
    596 C:\Windows\System32\lsass.exe
    604 C:\Windows\System32\lsm.exe
    704 C:\Windows\System32\svchost.exe
    784 C:\Windows\System32\svchost.exe
    908 C:\Windows\System32\atiesrxx.exe
    940 C:\Windows\System32\svchost.exe
    972 C:\Windows\System32\svchost.exe
    1012 C:\Windows\System32\svchost.exe
    1076 C:\Windows\System32\audiodg.exe
    1152 C:\Windows\System32\svchost.exe
    1232 C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
    1756 C:\Windows\System32\svchost.exe
    1900 C:\Windows\System32\spoolsv.exe
    1932 C:\Windows\System32\svchost.exe
    124 C:\Program Files\ATI Technologies\ATI.ACE\Reservation Manager\AMD Reservation Manager.exe
    316 C:\Windows\System32\svchost.exe
    1248 C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
    1284 C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
    308 C:\Program Files\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
    1696 C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
    4024 C:\Windows\System32\SearchIndexer.exe
    1800 C:\Program Files\Windows Media Player\wmpnetwk.exe
    2852 C:\Windows\System32\svchost.exe
    3620 WmiPrvSE.exe
    2964 C:\Windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
    2516 csrss.exe
    2412 C:\Windows\System32\winlogon.exe
    2736 C:\Windows\System32\atieclxx.exe
    3796 C:\Windows\System32\taskhost.exe
    3488 C:\Windows\System32\dwm.exe
    3480 C:\Windows\explorer.exe
    4040 C:\Program Files\Sophos\AutoUpdate\ALMon.exe
    2784 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    776 C:\Program Files\Common Files\Java\Java Update\jusched.exe
    3056 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    2752 C:\Program Files\OpenOffice.org 3\program\soffice.exe
    3076 C:\Program Files\OpenOffice.org 3\program\soffice.bin
    4012 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    3716 C:\Program Files\Mozilla Firefox\firefox.exe
    3816 C:\Windows\System32\sppsvc.exe
    1400 C:\Windows\System32\svchost.exe
    4308 WmiPrvSE.exe
    4380 taskhost.exe
    4896 C:\Users\internetnutzer\Desktop\MBRCheck.exe
    4904 C:\Windows\System32\conhost.exe
    4952 C:\Windows\System32\wbem\WMIADAP.exe
    4964 C:\Windows\System32\SearchProtocolHost.exe
    5008 C:\Windows\System32\SearchFilterHost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: ST3250318AS, Rev: CC38   

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0  GRUB MBR code detected
            SHA1: 719708840E955B873130550EBBF16CF44DA45807


Done!

cosinus 04.01.2011 12:59
ja mach ihn mal aus

ernst_g 04.01.2011 13:03
Siehe oben, habe in dem beschränkten Konto auf dem Desktop geguckt, der Log war aber auf dem Admin-Konto-Desktop ;)

cosinus 04.01.2011 14:05
Zitat:
232 GB \\.\PhysicalDrive0 GRUB MBR code detected
SHA1: 719708840E955B873130550EBBF16CF44DA45807
GRUB MBR! :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20