Trojaner-Board - Bundespolizei malware - ist mein Rechner wieder sauber?

Hi,

danke für deine Hilfe, war zeit Tage dienstlich unterwegs, bin nun aber wieder voll dabei :-)

Was ist eigendlich MBR?

Hab deine Anweisungen befolgt, folgender LOG kommt dabei raus:

HTML-Code:

MBRCheck, version 1.2.3

(c) 2010, AD
 

Command-line:                        

Windows Version:                Windows 7 Home Premium Edition

Windows Information:                Service Pack 1 (build 7601), 32-bit

Base Board Manufacturer:        MEDIONPC

BIOS Manufacturer:                American Megatrends Inc.

System Manufacturer:                MEDIONPC

System Product Name:                MS-7621

Logical Drives Mask:                0x0000001c
 

Kernel Drivers (total 153):

  0x8300D000 \SystemRoot\system32\ntkrnlpa.exe

  0x8341F000 \SystemRoot\system32\halmacpi.dll

  0x80BB5000 \SystemRoot\system32\kdcom.dll

  0x83621000 \SystemRoot\system32\mcupdate_GenuineIntel.dll

  0x836A6000 \SystemRoot\system32\PSHED.dll

  0x836B7000 \SystemRoot\system32\BOOTVID.dll

  0x836BF000 \SystemRoot\system32\CLFS.SYS

  0x83701000 \SystemRoot\system32\CI.dll

  0x8BC36000 \SystemRoot\system32\drivers\Wdf01000.sys

  0x8BCA7000 \SystemRoot\system32\drivers\WDFLDR.SYS

  0x8BCB5000 \SystemRoot\system32\drivers\ACPI.sys

  0x8BCFD000 \SystemRoot\system32\drivers\WMILIB.SYS

  0x8BD06000 \SystemRoot\system32\drivers\msisadrv.sys

  0x8BD0E000 \SystemRoot\system32\drivers\pci.sys

  0x8BD38000 \SystemRoot\system32\drivers\vdrvroot.sys

  0x8BD43000 \SystemRoot\System32\drivers\partmgr.sys

  0x8BD54000 \SystemRoot\system32\drivers\volmgr.sys

  0x8BD64000 \SystemRoot\System32\drivers\volmgrx.sys

  0x8BDAF000 \SystemRoot\System32\drivers\mountmgr.sys

  0x8BDC5000 \SystemRoot\system32\drivers\atapi.sys

  0x8BDCE000 \SystemRoot\system32\drivers\ataport.SYS

  0x837AC000 \SystemRoot\system32\DRIVERS\nvstor32.sys

  0x8BE0E000 \SystemRoot\system32\DRIVERS\storport.sys

  0x8BE56000 \SystemRoot\system32\drivers\amdxata.sys

  0x8BE5F000 \SystemRoot\system32\drivers\fltmgr.sys

  0x8BE93000 \SystemRoot\system32\drivers\fileinfo.sys

  0x8BEA4000 \SystemRoot\system32\DRIVERS\Lbd.sys

  0x8BEB3000 \SystemRoot\System32\Drivers\Ntfs.sys

  0x8BC00000 \SystemRoot\System32\Drivers\msrpc.sys

  0x8BFE2000 \SystemRoot\System32\Drivers\ksecdd.sys

  0x8C020000 \SystemRoot\System32\Drivers\cng.sys

  0x8C07D000 \SystemRoot\System32\drivers\pcw.sys

  0x8C08B000 \SystemRoot\System32\Drivers\Fs_Rec.sys

  0x8C094000 \SystemRoot\system32\drivers\ndis.sys

  0x8C14B000 \SystemRoot\system32\drivers\NETIO.SYS

  0x8C189000 \SystemRoot\System32\Drivers\ksecpkg.sys

  0x8C21A000 \SystemRoot\System32\drivers\tcpip.sys

  0x8C364000 \SystemRoot\System32\drivers\fwpkclnt.sys

  0x8C395000 \SystemRoot\system32\drivers\volsnap.sys

  0x8C3D4000 \SystemRoot\System32\Drivers\spldr.sys

  0x8C1AE000 \SystemRoot\System32\drivers\rdyboost.sys

  0x8C3DC000 \SystemRoot\system32\DRIVERS\NVAMACPI.sys

  0x8C3E5000 \SystemRoot\System32\Drivers\mup.sys

  0x8C3F5000 \SystemRoot\System32\drivers\hwpolicy.sys

  0x8C42D000 \SystemRoot\System32\DRIVERS\fvevol.sys

  0x8C45F000 \SystemRoot\system32\DRIVERS\disk.sys

  0x8C470000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS

  0x8C4F4000 \SystemRoot\system32\drivers\cdrom.sys

  0x8C513000 \SystemRoot\System32\Drivers\Null.SYS

  0x8C51A000 \SystemRoot\System32\Drivers\Beep.SYS

  0x8C521000 \SystemRoot\System32\drivers\vga.sys

  0x8C52D000 \SystemRoot\System32\drivers\VIDEOPRT.SYS

  0x8C54E000 \SystemRoot\System32\drivers\watchdog.sys

  0x8C55B000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0x8C563000 \SystemRoot\system32\drivers\rdpencdd.sys

  0x8C56B000 \SystemRoot\system32\drivers\rdprefmp.sys

  0x8C573000 \SystemRoot\System32\Drivers\Msfs.SYS

  0x8C57E000 \SystemRoot\System32\Drivers\Npfs.SYS

  0x8C58C000 \SystemRoot\system32\DRIVERS\tdx.sys

  0x8C5A3000 \SystemRoot\system32\DRIVERS\TDI.SYS

  0x8FE3C000 \SystemRoot\system32\drivers\afd.sys

  0x8FE96000 \SystemRoot\System32\DRIVERS\netbt.sys

  0x8FEC8000 \SystemRoot\system32\DRIVERS\wfplwf.sys

  0x8FECF000 \SystemRoot\system32\DRIVERS\pacer.sys

  0x8FEEE000 \SystemRoot\system32\DRIVERS\vwififlt.sys

  0x8FEFF000 \SystemRoot\system32\DRIVERS\netbios.sys

  0x8FF0D000 \SystemRoot\system32\DRIVERS\wanarp.sys

  0x8FF20000 \SystemRoot\system32\drivers\termdd.sys

  0x8FF31000 \SystemRoot\system32\DRIVERS\ssmdrv.sys

  0x8FF37000 \SystemRoot\system32\DRIVERS\rdbss.sys

  0x8FF78000 \SystemRoot\system32\drivers\nsiproxy.sys

  0x8FF82000 \SystemRoot\system32\drivers\mssmbios.sys

  0x8FF8C000 \SystemRoot\System32\drivers\discache.sys

  0x8FF98000 \SystemRoot\System32\Drivers\dfsc.sys

  0x8FFB0000 \SystemRoot\system32\DRIVERS\blbdrive.sys

  0x8FFBE000 \SystemRoot\system32\DRIVERS\avipbb.sys

  0x8FE00000 \SystemRoot\system32\DRIVERS\tunnel.sys

  0x8FE21000 \SystemRoot\system32\DRIVERS\intelppm.sys

  0x8FE33000 \SystemRoot\system32\drivers\wmiacpi.sys

  0x8FFE4000 \SystemRoot\system32\DRIVERS\nvsmu.sys

  0x8FFED000 \SystemRoot\system32\DRIVERS\usbohci.sys

  0x8C5AF000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

  0x8C400000 \SystemRoot\system32\DRIVERS\usbehci.sys

  0x8C1DB000 \SystemRoot\system32\drivers\HDAudBus.sys

  0x91839000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys

  0x92190000 \SystemRoot\system32\DRIVERS\nvBridge.kmd

  0x92818000 \SystemRoot\System32\drivers\dxgkrnl.sys

  0x928CF000 \SystemRoot\System32\drivers\dxgmms1.sys

  0x92908000 \SystemRoot\system32\DRIVERS\Rt86win7.sys

  0x9243A000 \SystemRoot\system32\DRIVERS\NxpCap.sys

  0x925A4000 \SystemRoot\system32\DRIVERS\ks.sys

  0x925D8000 \SystemRoot\system32\DRIVERS\BdaSup.SYS

  0x92620000 \SystemRoot\system32\DRIVERS\rtl8192se.sys

  0x92734000 \SystemRoot\system32\DRIVERS\vwifibus.sys

  0x9273E000 \SystemRoot\system32\drivers\CompositeBus.sys

  0x9274B000 \SystemRoot\system32\DRIVERS\AgileVpn.sys

  0x9275D000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

  0x92775000 \SystemRoot\system32\DRIVERS\ndistapi.sys

  0x92780000 \SystemRoot\system32\DRIVERS\ndiswan.sys

  0x927A2000 \SystemRoot\system32\DRIVERS\raspppoe.sys

  0x927BA000 \SystemRoot\system32\DRIVERS\raspptp.sys

  0x927D1000 \SystemRoot\system32\DRIVERS\rassstp.sys

  0x927E8000 \SystemRoot\system32\drivers\kbdclass.sys

  0x92600000 \SystemRoot\system32\drivers\mouclass.sys

  0x9260D000 \SystemRoot\system32\drivers\swenum.sys

  0x9260F000 \SystemRoot\system32\DRIVERS\circlass.sys

  0x925DB000 \SystemRoot\system32\drivers\umbus.sys

  0x9294D000 \SystemRoot\system32\drivers\usbhub.sys

  0x925E9000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0x93A0B000 \SystemRoot\system32\drivers\RTKVHDA.sys

  0x93C93000 \SystemRoot\system32\drivers\portcls.sys

  0x93CC2000 \SystemRoot\system32\drivers\drmk.sys

  0x93CDB000 \SystemRoot\system32\drivers\hidusb.sys

  0x93CE6000 \SystemRoot\system32\drivers\HIDCLASS.SYS

  0x93CF9000 \SystemRoot\system32\drivers\HIDPARSE.SYS

  0x93D00000 \SystemRoot\system32\drivers\USBD.SYS

  0x93D02000 \SystemRoot\system32\drivers\usbccgp.sys

  0x93D19000 \SystemRoot\system32\DRIVERS\cdfs.sys

  0x93D2F000 \SystemRoot\system32\drivers\kbdhid.sys

  0x93D3B000 \SystemRoot\system32\DRIVERS\mouhid.sys

  0x9B500000 \SystemRoot\System32\win32k.sys

  0x93D46000 \SystemRoot\System32\drivers\Dxapi.sys

  0x93D50000 \SystemRoot\System32\Drivers\crashdmp.sys

  0x93D5D000 \SystemRoot\System32\Drivers\dump_diskdump.sys

  0x93D67000 \SystemRoot\System32\Drivers\dump_nvstor32.sys

  0x93D9E000 \SystemRoot\System32\Drivers\dump_dumpfve.sys

  0x93DAF000 \SystemRoot\System32\Drivers\usbvideo.sys

  0x93DD3000 \SystemRoot\system32\DRIVERS\monitor.sys

  0x9B760000 \SystemRoot\System32\TSDDD.dll

  0x9B790000 \SystemRoot\System32\cdd.dll

  0x93DDE000 \SystemRoot\system32\drivers\luafv.sys

  0x92400000 \SystemRoot\system32\DRIVERS\avgntflt.sys

  0x92415000 \SystemRoot\system32\drivers\WudfPf.sys

  0x92991000 \SystemRoot\system32\DRIVERS\lltdio.sys

  0x929A1000 \SystemRoot\system32\DRIVERS\nwifi.sys

  0x929E7000 \SystemRoot\system32\DRIVERS\ndisuio.sys

  0x92800000 \SystemRoot\system32\DRIVERS\rspndr.sys

  0x93A00000 \SystemRoot\system32\DRIVERS\vwifimp.sys

  0x9E413000 \SystemRoot\system32\drivers\HTTP.sys

  0x9E498000 \SystemRoot\system32\DRIVERS\bowser.sys

  0x9E4B1000 \SystemRoot\System32\drivers\mpsdrv.sys

  0x9E4C3000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

  0x9E4E6000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys

  0x9E521000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys

  0x9E554000 \SystemRoot\system32\drivers\peauth.sys

  0x9E5EB000 \SystemRoot\System32\Drivers\secdrv.SYS

  0x92192000 \SystemRoot\System32\DRIVERS\srvnet.sys

  0x9E400000 \SystemRoot\System32\drivers\tcpipreg.sys

  0x8C495000 \SystemRoot\System32\DRIVERS\srv2.sys

  0x9E811000 \SystemRoot\System32\DRIVERS\srv.sys

  0x77150000 \Windows\System32\ntdll.dll

  0x48210000 \Windows\System32\smss.exe

  0x77390000 \Windows\System32\apisetschema.dll
 

Processes (total 72):

       0 System Idle Process

       4 System

     268 C:\Windows\System32\smss.exe

     408 csrss.exe

     460 C:\Windows\System32\wininit.exe

     468 csrss.exe

     512 C:\Windows\System32\services.exe

     520 C:\Windows\System32\lsass.exe

     532 C:\Windows\System32\lsm.exe

     648 C:\Windows\System32\svchost.exe

     728 C:\Windows\System32\nvvsvc.exe

     768 C:\Windows\System32\svchost.exe

     832 C:\Windows\System32\svchost.exe

     864 C:\Windows\System32\svchost.exe

     896 C:\Windows\System32\svchost.exe

     968 C:\Windows\System32\audiodg.exe

    1020 C:\Windows\System32\svchost.exe

    1100 C:\Windows\System32\winlogon.exe

    1188 C:\Windows\System32\svchost.exe

    1320 C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

    1348 C:\Windows\System32\nvvsvc.exe

    1392 C:\Windows\System32\wisptis.exe

    1520 C:\Windows\System32\spoolsv.exe

    1552 C:\Program Files\Avira\AntiVir Desktop\sched.exe

    1572 C:\Windows\System32\svchost.exe

    1716 C:\Program Files\Avira\AntiVir Desktop\avguard.exe

    1796 C:\Program Files\CyberLink\Shared files\RichVideo.exe

    1888 C:\Windows\System32\svchost.exe

    1984 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

    1996 C:\Windows\System32\conhost.exe

    2012 C:\Windows\System32\taskhost.exe

     352 C:\Windows\System32\wisptis.exe

     336 C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe

     960 C:\Windows\System32\dwm.exe

    1176 C:\Windows\explorer.exe

    1432 C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe

     372 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE

    2060 C:\Program Files\msi\OSD hot keys\WMI_Hook_Service.exe

    2420 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE

    2584 unsecapp.exe

    2692 C:\Program Files\TeamViewer\Version6\TeamViewer.exe

    2744 WmiPrvSE.exe

    2820 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

    2828 C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe

    2904 C:\Program Files\CyberLink\YouCam\YouCamTray.exe

    2944 C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

    3040 C:\Windows\WindowsMobile\wmdc.exe

    3068 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

    3232 C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe

    3324 C:\Windows\System32\svchost.exe

    3420 C:\Windows\System32\svchost.exe

    3624 C:\Program Files\Windows Sidebar\sidebar.exe

    3704 C:\Program Files\Windows Live\Messenger\msnmsgr.exe

    3864 C:\Windows\System32\svchost.exe

    3900 C:\Program Files\Buhl finance\tax Steuersoftware 2011\taxaktuell.exe

    3972 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

    4032 C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

    4080 C:\Program Files\Common Files\Lexware\LxWebAccess\LxWebAccess.exe

    3008 WmiPrvSE.exe

    3380 C:\Windows\System32\SearchIndexer.exe

    2636 C:\Program Files\Windows Live\Contacts\wlcomm.exe

    2644 C:\Program Files\Windows Media Player\wmpnetwk.exe

    2616 C:\Program Files\Lavasoft\Ad-Aware\AWSC.exe

    3540 C:\Program Files\Lavasoft\Ad-Aware\AWSC.exe

    4176 <unknown>

    4224 C:\Windows\System32\SearchFilterHost.exe

    4264 C:\Windows\System32\SearchProtocolHost.exe

    4440 C:\Windows\System32\svchost.exe

    4768 dllhost.exe

    5060 C:\Users\XXXX\Desktop\MBRCheck.exe

    5076 C:\Windows\System32\conhost.exe

    5096 C:\Windows\System32\dllhost.exe
 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000  (NTFS)

\\.\D: --> \\.\PhysicalDrive0 at offset 0x000000e3`a0b00000  (NTFS)
 

PhysicalDrive0 Model Number: ST31000520AS, Rev: CC32
 

      Size  Device Name          MBR Status

  --------------------------------------------

    931 GB  \\.\PhysicalDrive0   RE: Windows 7 MBR code detected

            SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
 
 

Done!

und GMER

GMER Logfile:

Code:

GMER 1.0.15.15572 - hxxp://www.gmer.net

Rootkit scan 2011-05-05 18:48:47

Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\0000005d ST310005 rev.CC32

Running: 805ce3jw.exe; Driver: C:\Users\xxxx\AppData\Local\Temp\kwtdypoc.sys
 
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwSaveKey + 13C1                                                                    8304B339 1 Byte  [06]

.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                           83084D52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
 

---- Devices - GMER 1.0.15 ----
 

Device          \Driver\ACPI_HAL \Device\00000047                                                                halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
 

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001060a44feb                      

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001060a44feb@9021552a5039         0x56 0xFD 0x1E 0x83 ...

Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001060a44feb (not active ControlSet)  

Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001060a44feb@9021552a5039             0x56 0xFD 0x1E 0x83 ...
 

---- EOF - GMER 1.0.15 ----

--- --- ---