Bitte dann erstmal Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
hallo Arne, hier die log files: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 If You have questions or want to get some help, You can visit hxxp://forum.online-solutions. MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x00000ffc Kernel Drivers (total 139): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x806EF000 \WINDOWS\system32\hal.dll 0xF7B6E000 \WINDOWS\system32\KDCOM.DLL 0xF7A7E000 \WINDOWS\system32\BOOTVID.dll 0xF761E000 ACPI.sys 0xF7B70000 \WINDOWS\System32\DRIVERS\WMILIB.SYS 0xF760D000 pci.sys 0xF766E000 isapnp.sys 0xF767E000 ohci1394.sys 0xF768E000 \WINDOWS\System32\DRIVERS\1394BUS.SYS 0xF7C36000 PCIIde.sys 0xF78EE000 \WINDOWS\System32\Drivers\PCIIDEX.SYS 0xF769E000 MountMgr.sys 0xF75EE000 ftdisk.sys 0xF7B72000 siside.sys 0xF78F6000 PartMgr.sys 0xF7A82000 DiskSec.sys 0xF76AE000 VolSnap.sys 0xF75D6000 atapi.sys 0xF76BE000 disk.sys 0xF76CE000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS 0xF75B6000 fltmgr.sys 0xF75A4000 sr.sys 0xF758D000 KSecDD.sys 0xF757A000 WudfPf.sys 0xF74ED000 Ntfs.sys 0xF74C0000 NDIS.sys 0xF7A86000 sisperf.sys 0xF76DE000 sisidex.sys 0xF78FE000 SISAGPX.sys 0xF74A6000 Mup.sys 0xF7A8A000 PDDSLHND.sys 0xF770E000 \SystemRoot\System32\DRIVERS\nic1394.sys 0xF788E000 \SystemRoot\System32\DRIVERS\intelppm.sys 0xF6B3C000 \SystemRoot\System32\DRIVERS\ati2mtag.sys 0xF6B28000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS 0xF789E000 \SystemRoot\System32\DRIVERS\imapi.sys 0xF798E000 \SystemRoot\system32\drivers\Afc.sys 0xF78AE000 \SystemRoot\System32\DRIVERS\cdrom.sys 0xF78BE000 \SystemRoot\System32\DRIVERS\redbook.sys 0xF6B05000 \SystemRoot\System32\DRIVERS\ks.sys 0xF7996000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys 0xF6A5F000 \SystemRoot\system32\drivers\ALCXWDM.SYS 0xF6A3B000 \SystemRoot\system32\drivers\portcls.sys 0xF78CE000 \SystemRoot\system32\drivers\drmk.sys 0xF799E000 \SystemRoot\System32\DRIVERS\usbohci.sys 0xF6A17000 \SystemRoot\System32\DRIVERS\USBPORT.SYS 0xF79A6000 \SystemRoot\System32\DRIVERS\usbehci.sys 0xF79AE000 \SystemRoot\System32\DRIVERS\sisnic.sys 0xF6983000 \SystemRoot\System32\DRIVERS\ctxs51.sys 0xF79B6000 \SystemRoot\System32\Drivers\Modem.SYS 0xF79BE000 \SystemRoot\System32\DRIVERS\fdc.sys 0xF78DE000 \SystemRoot\System32\DRIVERS\serial.sys 0xF7B4E000 \SystemRoot\System32\DRIVERS\serenum.sys 0xF696F000 \SystemRoot\System32\DRIVERS\parport.sys 0xF6D4A000 \SystemRoot\System32\DRIVERS\i8042prt.sys 0xF79C6000 \SystemRoot\System32\DRIVERS\mouclass.sys 0xF79CE000 \SystemRoot\System32\DRIVERS\kbdclass.sys 0xF7B52000 \SystemRoot\System32\DRIVERS\gameenum.sys 0xF7D86000 \SystemRoot\system32\drivers\msmpu401.sys 0xF7D87000 \SystemRoot\System32\DRIVERS\audstub.sys 0xF6D3A000 \SystemRoot\System32\DRIVERS\rasl2tp.sys 0xF7B56000 \SystemRoot\System32\DRIVERS\ndistapi.sys 0xF6958000 \SystemRoot\System32\DRIVERS\ndiswan.sys 0xF6D2A000 \SystemRoot\System32\DRIVERS\raspppoe.sys 0xF6D1A000 \SystemRoot\System32\DRIVERS\raspptp.sys 0xF79D6000 \SystemRoot\System32\DRIVERS\TDI.SYS 0xF6947000 \SystemRoot\System32\DRIVERS\psched.sys 0xF6D0A000 \SystemRoot\System32\DRIVERS\msgpc.sys 0xF79DE000 \SystemRoot\System32\DRIVERS\ptilink.sys 0xF79E6000 \SystemRoot\System32\DRIVERS\raspti.sys 0xF6CFA000 \SystemRoot\System32\DRIVERS\termdd.sys 0xF7B8E000 \SystemRoot\System32\DRIVERS\swenum.sys 0xF68E9000 \SystemRoot\System32\DRIVERS\update.sys 0xF7B66000 \SystemRoot\System32\DRIVERS\mssmbios.sys 0xF6CCA000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF6CBA000 \SystemRoot\System32\DRIVERS\usbhub.sys 0xF7B92000 \SystemRoot\System32\DRIVERS\USBD.SYS 0xBA383000 \??\C:\Programme\Symantec AntiVirus\savrt.sys 0xBA366000 \??\C:\Programme\Symantec\SYMEVENT.SYS 0xBA352000 \??\C:\Programme\Symantec AntiVirus\Savrtpel.sys 0xF7A06000 \SystemRoot\System32\DRIVERS\usbccgp.sys 0xF7A4E000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS 0xF7BAC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7D75000 \SystemRoot\System32\Drivers\Null.SYS 0xF7BAE000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7A5E000 \SystemRoot\System32\drivers\vga.sys 0xF7BB0000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7BB2000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF7A66000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF7A6E000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF7B1A000 \SystemRoot\System32\DRIVERS\rasacd.sys 0xBA062000 \SystemRoot\System32\DRIVERS\ipsec.sys 0xBA009000 \SystemRoot\System32\DRIVERS\tcpip.sys 0xB9FC9000 \SystemRoot\System32\Drivers\SYMTDI.SYS 0xB9FA3000 \SystemRoot\System32\DRIVERS\ipnat.sys 0xF777E000 \SystemRoot\System32\DRIVERS\wanarp.sys 0xF778E000 \SystemRoot\System32\DRIVERS\arp1394.sys 0xB9F1E000 \SystemRoot\System32\DRIVERS\phc700.sys 0xF779E000 \SystemRoot\System32\DRIVERS\STREAM.SYS 0xF77AE000 \SystemRoot\system32\drivers\usbaudio.sys 0xB9EF6000 \SystemRoot\System32\DRIVERS\netbt.sys 0xB9ED4000 \SystemRoot\System32\drivers\afd.sys 0xF77BE000 \SystemRoot\System32\DRIVERS\netbios.sys 0xB9E76000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys 0xB9E54000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS 0xF7926000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS 0xB9E29000 \SystemRoot\System32\DRIVERS\rdbss.sys 0xB9DB9000 \SystemRoot\System32\DRIVERS\mrxsmb.sys 0xF77DE000 \SystemRoot\System32\Drivers\Fips.SYS 0xB9D5B000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys 0xB9D0F000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xB9CF7000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7BB6000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF6FB8000 \SystemRoot\System32\drivers\Dxapi.sys 0xF792E000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7D96000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF054000 \SystemRoot\System32\ati2cqag.dll 0xBF093000 \SystemRoot\System32\atikvmag.dll 0xBF0C9000 \SystemRoot\System32\ati3duag.dll 0xBF34D000 \SystemRoot\System32\ativvaxx.dll 0xBF420000 \SystemRoot\System32\ATMFD.DLL 0xB7BB3000 \SystemRoot\System32\DRIVERS\ndisuio.sys 0xB7932000 \SystemRoot\System32\DRIVERS\mrxdav.sys 0xF7BF4000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xB7855000 \SystemRoot\system32\drivers\wdmaud.sys 0xB7A17000 \SystemRoot\system32\drivers\sysaudio.sys 0xB6E83000 \SystemRoot\System32\Drivers\HTTP.sys 0xB6E03000 \SystemRoot\System32\DRIVERS\srv.sys 0xB7B37000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB69B3000 \??\C:\WINDOWS\system32\FsUsbExDisk.SYS 0xB68D5000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilDrvI10.sys 0xB65C7000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20110422.003\navex15.sys 0xB65B3000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20110422.003\naveng.sys 0xB623D000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 44): 0 System Idle Process 4 SYSTEM 524 C:\WINDOWS\system32\smss.exe 584 csrss.exe 612 C:\WINDOWS\system32\winlogon.exe 660 C:\WINDOWS\system32\services.exe 680 C:\WINDOWS\system32\lsass.exe 840 C:\WINDOWS\system32\ati2evxx.exe 856 C:\WINDOWS\system32\svchost.exe 920 svchost.exe 988 C:\WINDOWS\system32\svchost.exe 1020 C:\WINDOWS\system32\svchost.exe 1188 svchost.exe 1252 svchost.exe 1340 C:\WINDOWS\system32\spoolsv.exe 1660 svchost.exe 1732 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe 1744 C:\Programme\Bonjour\mDNSResponder.exe 1760 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe 1808 C:\WINDOWS\system32\ati2evxx.exe 1920 C:\Programme\Symantec AntiVirus\DefWatch.exe 192 C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe 208 C:\WINDOWS\system32\FsUsbExService.Exe 252 C:\WINDOWS\system32\svchost.exe 392 C:\Programme\CDBurnerXP\NMSAccessU.exe 532 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe 1216 C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe 1208 C:\Programme\Symantec AntiVirus\Rtvscan.exe 1444 C:\Programme\TomTom HOME 2\TomTomHOMEService.exe 1476 C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe 1512 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe 1948 C:\Programme\QuickTime\QTTask.exe 2004 C:\Programme\iTunes\iTunesHelper.exe 2032 C:\Programme\Windows Media Player\wmpnscfg.exe 2104 C:\WINDOWS\system32\ctfmon.exe 2404 alg.exe 2936 C:\WINDOWS\explorer.exe 3816 C:\Programme\iPod\bin\iPodService.exe 484 C:\Programme\Internet Explorer\iexplore.exe 1012 C:\Programme\Internet Explorer\iexplore.exe 908 C:\Programme\WinRAR\WinRAR.exe 2152 C:\WINDOWS\system32\svchost.exe 2944 C:\Dokumente und Einstellungen\XXX\Desktop\osam_autorun_manager_5_0_portable[2]\osam.exe 4036 C:\Dokumente und Einstellungen\XXX\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000d`f8f97e00 (NTFS) \\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`007e0000 (FAT32) \\.\I: --> \\.\PhysicalDrive6 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: ST3120023A, Rev: 3.33 PhysicalDrive1 Model Number: ST340014A, Rev: 3.04 PhysicalDrive6 Model Number: ToshibaStorE HDD, Rev: Size Device Name MBR Status -------------------------------------------- 111 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 37 GB \\.\PhysicalDrive1 Unknown MBR code SHA1: 4597B86E5C26EF38751DCC0504D119D7F3351C8A 232 GB \\.\PhysicalDrive6 MBR Code Faked! SHA1: 6724B0B459E16BFCB744FC5454738F25AB80CEEC Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: |
Zitat:
Laufwerk E: ist die 40er, I: die 250er. (40 GB = 37 GiB, 250 GB = 232 GiB) |
hallo Arne, i ist eine samsung "storE" 250 GB festplatte und E dachte ich wär ne patition. bin mir aber nicht sicher bei E. hab den pc gebraucht gekauft. Was für ne angabe brauchst Du denn genau? Gruß Maxxl |
Zitat:
C und D sind auf Laufwerk 0 => 120 GB Festplatte E ist auf Laufwerk 1 => 40 GB Festplatte D ist auf Laufwerk 6 (externe??) => 250 GB Festplatte |
ja I (die Toshiba) ist eine externe. ob E jetzt eine seperate Festplatte ist , oder eine partition weiß ich nicht. Kann aber schauen wenn Du mir verrätst wie. Gruß Maxxl |
die Toshiba musste ich umwandeln in FAT 32 damit sie auf der ps3 läuft |
Naja wichtig ist, dass die 120er einen ordentlich MBR hat. Die anderen sind eher egal, da von denen nicht das Betriebssystem gebootet wird. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
hallo Arne, hier der scan von malwarebytes: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6521 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 07.05.2011 07:42:45 mbam-log-2011-05-07 (07-42-45).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|) Durchsuchte Objekte: 323859 Laufzeit: 3 Stunde(n), 0 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\WINDOWS\system32\appconf32.exe (Trojan.Banker) -> Quarantined and deleted successfully. |
Zitat:
Was sagt das Log von SASW? |
Hallo Arne, ich kann Dir nicht sagen warum der vorher nicht gefunden wurde. Er wurde anfangs ja gefunden bis ich ihn (leider mitsamt der log files) gelöscht hatte. Letztens hatte ich doch symantec ausgeschalten und dann wieder an, und es kamen lauter angezeigte bedrohungen. Hier das Log von SAS: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 05/07/2011 at 09:32 AM Application Version : 4.51.1000 Core Rules Database Version : 7009 Trace Rules Database Version: 4821 Scan type : Complete Scan Total Scan Time : 01:33:48 Memory items scanned : 382 Memory threats detected : 0 Registry items scanned : 7508 Registry threats detected : 0 File items scanned : 32834 File threats detected : 23 Adware.Tracking Cookie C:\Dokumente und Einstellungen\XXX\Cookies\xxx@www.etracker[2].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@ad.lokalisten[1].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@ad4.adfarm1.adition[2].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@content.yieldmanager[2].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@ads.bleepingcomputer[2].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@adultfriendfinder[2].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@ad.yieldmanager[3].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@tracking.quisma[2].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@ad2.adfarm1.adition[1].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@adfarm1.adition[2].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@eas4.emediate[2].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@content.yieldmanager[3].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@collective-media[1].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@de.at.atwola[1].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@adtech[1].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@tribalfusion[2].txt C:\Dokumente und Einstellungen\Melli\Cookies\melli@ad.yieldmanager[2].txt C:\Dokumente und Einstellungen\Melli\Cookies\melli@serving-sys[1].txt C:\Dokumente und Einstellungen\Melli\Cookies\melli@atdmt[1].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@ad.yieldmanager[2].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@content.yieldmanager[1].txt C:\Dokumente und Einstellungen\XXX\Cookies\xxx@tracking.quisma[1].txt Trojan.Agent/Gen-Nullo[Short] C:\SYSTEM VOLUME INFORMATION\_RESTORE{09556A32-095B-4D29-A99F-AFDF3BEA6692}\RP614\A0091261.EXE Gruß Maxxl |
Dann stempeln wir es als Überrest ab. SASWhat nur ein ein paar Überreste und Cookies gefunden. Rechner wieder ok oder sind noch Probleme offen? |
Hallo Arne, Rechner läuft wieder gut. Vielen, vielen Dank für Deine Hilfe. Gruß Maxxl |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:47 Uhr. |
Copyright ©2000-2024, Trojaner-Board