Trojaner-Board
Seite 4 von 7 « Erste 23 4 56 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung (https://www.trojaner-board.de/90198-tr-banker-multibanker-vt-tr-dropper-gen-malwarebytes-auswertung.html)

Swisstreasure 14.09.2010 18:43
Schritt 1

MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

eselvormberg 14.09.2010 19:03
so mbr scan:

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Home Edition
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x000001fc

Kernel Drivers (total 113):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806D1000 \WINDOWS\system32\hal.dll
  0xF7B1C000 \WINDOWS\system32\KDCOM.DLL
  0xF7A2C000 \WINDOWS\system32\BOOTVID.dll
  0xF74EC000 ACPI.sys
  0xF7B1E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF74DB000 pci.sys
  0xF761C000 isapnp.sys
  0xF762C000 ohci1394.sys
  0xF763C000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7BE4000 pciide.sys
  0xF789C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7B20000 viaide.sys
  0xF7B22000 intelide.sys
  0xF764C000 MountMgr.sys
  0xF74BC000 ftdisk.sys
  0xF78A4000 PartMgr.sys
  0xF765C000 VolSnap.sys
  0xF74A4000 atapi.sys
  0xF766C000 disk.sys
  0xF767C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF7484000 fltmgr.sys
  0xF78AC000 PxHelp20.sys
  0xF746D000 KSecDD.sys
  0xF73E0000 Ntfs.sys
  0xF73B3000 NDIS.sys
  0xF7399000 Mup.sys
  0xF781C000 \SystemRoot\system32\DRIVERS\AmdK8.sys
  0xF7203000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF71EF000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF7994000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xF71CB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF799C000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF782C000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF783C000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF784C000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF717A000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF7166000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
  0xF785C000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xF6DEC000 \SystemRoot\system32\drivers\ALCXWDM.SYS
  0xF6DC8000 \SystemRoot\system32\drivers\portcls.sys
  0xF786C000 \SystemRoot\system32\drivers\drmk.sys
  0xF6DB4000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF787C000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF79A4000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF79AC000 \SystemRoot\system32\DRIVERS\PS2.sys
  0xF79B4000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7CA7000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF788C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7B00000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF6D9D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF76AC000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF76BC000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF79BC000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF6D8C000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF76CC000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF79C4000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF79CC000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF76DC000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7B44000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF6C8E000 \SystemRoot\system32\DRIVERS\update.sys
  0xF7B10000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF76EC000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF771C000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7B46000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF7B48000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7C8E000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7B4A000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7C8F000 \SystemRoot\System32\DRIVERS\AvgArCln.sys
  0xF79DC000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF79E4000 \SystemRoot\System32\drivers\vga.sys
  0xF7B4C000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7B4E000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF79EC000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF79F4000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF7AB0000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xF2C13000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xF2BBA000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xF2B92000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xF2B70000 \SystemRoot\System32\drivers\afd.sys
  0xF772C000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF79FC000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xF2B45000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xF2AAD000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF775C000 \SystemRoot\System32\Drivers\Fips.SYS
  0xF2A87000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF776C000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xF777C000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xF2A76000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7B52000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys
  0xF2A52000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xF7A04000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xF29F5000 \SystemRoot\system32\DRIVERS\SE4501D.sys
  0xF29DD000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7B58000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF7AE8000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7A0C000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7D47000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF051000 \SystemRoot\System32\ati2cqag.dll
  0xBF08A000 \SystemRoot\System32\atikvmag.dll
  0xBF0BF000 \SystemRoot\System32\ati3duag.dll
  0xBF30C000 \SystemRoot\System32\ativvaxx.dll
  0xF0849000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xF0421000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
  0xF040C000 \SystemRoot\system32\drivers\wdmaud.sys
  0xF07BD000 \SystemRoot\system32\drivers\sysaudio.sys
  0xF0227000 \SystemRoot\system32\DRIVERS\srv.sys
  0xF035E000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xEFD52000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 39):
      0 System Idle Process
      4 System
    548 C:\WINDOWS\system32\smss.exe
    784 C:\WINDOWS\system32\csrss.exe
    812 C:\WINDOWS\system32\winlogon.exe
    856 C:\WINDOWS\system32\services.exe
    868 C:\WINDOWS\system32\lsass.exe
    1012 C:\WINDOWS\system32\ati2evxx.exe
    1024 C:\WINDOWS\system32\svchost.exe
    1104 C:\WINDOWS\system32\svchost.exe
    1140 C:\WINDOWS\system32\svchost.exe
    1184 C:\WINDOWS\system32\svchost.exe
    1576 C:\WINDOWS\system32\ati2evxx.exe
    1632 C:\WINDOWS\explorer.exe
    1660 C:\WINDOWS\system32\spoolsv.exe
    1736 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    1816 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    1828 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
    232 C:\Programme\Java\jre6\bin\jqs.exe
    352 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    692 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
    700 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    708 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    980 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    1164 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    1204 C:\Programme\Windows Live\Messenger\msnmsgr.exe
    1332 C:\WINDOWS\system32\ctfmon.exe
    1416 C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
    1480 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    2216 C:\WINDOWS\system32\svchost.exe
    2296 C:\WINDOWS\system32\alg.exe
    2384 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    2924 C:\hp\KBD\kbd.exe
    3008 C:\WINDOWS\ALCXMNTR.EXE
    3040 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    3104 C:\WINDOWS\system\hpsysdrv.exe
    508 C:\Programme\Mozilla Firefox\firefox.exe
    776 C:\Programme\Mozilla Firefox\plugin-container.exe
    3764 C:\Dokumente und Einstellungen\HP_Besitzer.NAME-CD5FDA878D\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000023`dc870000  (FAT32)

PhysicalDrive0 Model Number: SAMSUNGHD160JJ/P, Rev: ZM100-36

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0  Unknown MBR code
            SHA1: 1767459F00D32DFB18808B1403F5E319EE9E0999


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Swisstreasure 14.09.2010 19:43
Ich denke das einzig richtige wäre das System Neuaufsetzen Wie Du merkst kommt der Rootkit immer wieder und wenn Du Onlinebanking machen willst dann kann ich für nichts garantieren. Oder willst Du auf biegen und brechen eine Bereinigung Fortsetzen?

eselvormberg 14.09.2010 21:24
hmm ich würde mir irgendwann eh nen neuen kaufen,
um seriöse sachen wie banking etc. zu machen.

Aber hätte diesen PC halt gern weiterbenützt zum surfen, zocken etc.
Neu aufsetzen ists mir eigentlich nicht mehr wert.

wenn du noch ne Idee hast, würde ichs gern versuchen.


Hätte mich ein eingeschränktes Benutzerkonto eigentlich
vor der Infizierung geschützt?

Swisstreasure 15.09.2010 17:54
MBR mit MBRCheck ersetzen

Lade MBRCheck.exe herunter und speichere das Tool auf Deinem Desktop (falls noch nicht vorhanden).
XP Benutzer => Doppelklicke auf die MBRCheck.exe, um es zu starten.
Vista und Windows 7 Benutzer => Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein schwarzes Fenster mit einigen Daten drin öffnen.

Wenn gemeldet wird: "Found non-standard or infected MBR":

Achtung:
Die folgenden Angaben gelten ausschließlich für diesen Computer!
Nicht auf anderen Systemen benutzen!

Bei Enter your choice eingeben => 2 (für restore the MBR of a physical disk with a standard boot code) und Enter drücken.
Bei Enter the physical disc number to fix eingeben: 0 und Enter drücken.
Bei Available MBR codes: / Please select the MBR code to write to disc: eingeben: 1 (für Windows XP) und Enter drücken.
Bei Do you want to fix the MBR code? eingeben: YES und Enter drücken.

Nun sollte mit Successfully wrote new MBR code! gemeldet werden, dass der MBR erfolgreich neu geschrieben wurde.
Auf dem Desktop erscheint ein Logfile MBRCheck_<datum>.txt - bitte den Inhalt hier in den Thread posten.
Nun den Computer neu starten und berichten, ob die Probleme noch vorhanden sind.

eselvormberg 15.09.2010 18:38
Hallo Swisstreasure,

ich habe die Systemwiederherstellung noch deaktiviert,

soll das so bleiben wenn ich den mbr-code jetzt neu erstelle?

ich frage nur zur Sicherheit, dass jetzt nichts falsch läuft...

Swisstreasure 15.09.2010 19:01
Wann hast du diese deaktiviert. Aktiviere sie und dann mache den Schritt.

eselvormberg 15.09.2010 19:28
vor AVZ habe ich sie deaktiviert,

dachte es ist kein fehler, das bei den nachfolgenden scans so zu lassen!?:heilig:

eselvormberg 15.09.2010 19:43
mbr text:

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Home Edition
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x000001fc

Kernel Drivers (total 114):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806D1000 \WINDOWS\system32\hal.dll
  0xF7B1C000 \WINDOWS\system32\KDCOM.DLL
  0xF7A2C000 \WINDOWS\system32\BOOTVID.dll
  0xF74EC000 ACPI.sys
  0xF7B1E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF74DB000 pci.sys
  0xF761C000 isapnp.sys
  0xF762C000 ohci1394.sys
  0xF763C000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7BE4000 pciide.sys
  0xF789C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7B20000 viaide.sys
  0xF7B22000 intelide.sys
  0xF764C000 MountMgr.sys
  0xF74BC000 ftdisk.sys
  0xF78A4000 PartMgr.sys
  0xF765C000 VolSnap.sys
  0xF74A4000 atapi.sys
  0xF766C000 disk.sys
  0xF767C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF7484000 fltmgr.sys
  0xF7472000 sr.sys
  0xF78AC000 PxHelp20.sys
  0xF745B000 KSecDD.sys
  0xF73CE000 Ntfs.sys
  0xF73A1000 NDIS.sys
  0xF7387000 Mup.sys
  0xF77FC000 \SystemRoot\system32\DRIVERS\AmdK8.sys
  0xF6C92000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF6C7E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF7974000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xF6C5A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF797C000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF780C000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF781C000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF782C000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF6C09000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF6BF5000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
  0xF783C000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xF687B000 \SystemRoot\system32\drivers\ALCXWDM.SYS
  0xF6857000 \SystemRoot\system32\drivers\portcls.sys
  0xF784C000 \SystemRoot\system32\drivers\drmk.sys
  0xF6843000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF785C000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7984000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF798C000 \SystemRoot\system32\DRIVERS\PS2.sys
  0xF7994000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7CA3000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF786C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7B04000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF682C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF787C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF788C000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF799C000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF681B000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF76AC000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF79AC000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF79B4000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF76BC000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7B42000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF671D000 \SystemRoot\system32\DRIVERS\update.sys
  0xF7B14000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF76CC000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF76FC000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7B44000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF7B46000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7C7D000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7B48000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7C7E000 \SystemRoot\System32\DRIVERS\AvgArCln.sys
  0xF79C4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF79CC000 \SystemRoot\System32\drivers\vga.sys
  0xF7B4A000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7B4C000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF79D4000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF79DC000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF7AB4000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xF26CA000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xF2671000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xF2649000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xF2627000 \SystemRoot\System32\drivers\afd.sys
  0xF770C000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF79E4000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xF25FC000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xF2564000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF773C000 \SystemRoot\System32\Drivers\Fips.SYS
  0xF253E000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF774C000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xF775C000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xF248D000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7B50000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys
  0xF2469000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xF79EC000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xF2451000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7B66000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF7AE8000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7A0C000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7D70000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF051000 \SystemRoot\System32\ati2cqag.dll
  0xBF08A000 \SystemRoot\System32\atikvmag.dll
  0xBF0BF000 \SystemRoot\System32\ati3duag.dll
  0xBF30C000 \SystemRoot\System32\ativvaxx.dll
  0xF0359000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xEFF35000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
  0xEFEB6000 \SystemRoot\system32\DRIVERS\srv.sys
  0xEFCE9000 \SystemRoot\system32\drivers\wdmaud.sys
  0xEFE46000 \SystemRoot\system32\drivers\sysaudio.sys
  0xEFD2E000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xEF968000 \SystemRoot\System32\Drivers\HTTP.sys
  0xEF606000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 41):
      0 System Idle Process
      4 System
    544 C:\WINDOWS\system32\smss.exe
    632 csrss.exe
    660 C:\WINDOWS\system32\winlogon.exe
    704 C:\WINDOWS\system32\services.exe
    716 C:\WINDOWS\system32\lsass.exe
    864 C:\WINDOWS\system32\ati2evxx.exe
    876 C:\WINDOWS\system32\svchost.exe
    972 svchost.exe
    1012 C:\WINDOWS\system32\svchost.exe
    1064 svchost.exe
    1300 C:\WINDOWS\system32\spoolsv.exe
    1400 C:\WINDOWS\system32\ati2evxx.exe
    1468 C:\WINDOWS\explorer.exe
    1520 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    1612 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    1624 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
    1720 C:\Programme\Java\jre6\bin\jqs.exe
    1748 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    148 C:\WINDOWS\system32\wuauclt.exe
    356 C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe
    364 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
    372 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    384 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    408 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    416 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    424 C:\Programme\Windows Live\Messenger\msnmsgr.exe
    440 C:\WINDOWS\system32\ctfmon.exe
    488 C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
    496 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    1780 svchost.exe
    1244 wmiprvse.exe
    2124 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    2168 alg.exe
    2244 wmiprvse.exe
    2608 C:\WINDOWS\system32\wuauclt.exe
    2668 C:\hp\KBD\kbd.exe
    2756 C:\WINDOWS\ALCXMNTR.EXE
    2792 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    2832 C:\Dokumente und Einstellungen\HP_Besitzer.NAME-CD5FDA878D\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000023`dc870000  (FAT32)

PhysicalDrive0 Model Number: SAMSUNGHD160JJ/P, Rev: ZM100-36

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0  Unknown MBR code
            SHA1: 1767459F00D32DFB18808B1403F5E319EE9E0999


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
 [ 0] Default (Windows XP)
 [ 1] Windows XP
 [ 2] Windows Server 2003
 [ 3] Windows Vista
 [ 4] Windows 2008
 [ 5] Windows 7
 [-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code?  Type 'YES' and hit ENTER to continue: YES
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!

Swisstreasure 15.09.2010 20:24
Und neu gestartet?

MBR mit MBRCheck prüfen

Lösche MBRCheck.exe und die Logs davon. Lade MBRCheck.exe neu herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

eselvormberg 15.09.2010 21:01
jo neu gestartet

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Home Edition
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x000001fc

Kernel Drivers (total 115):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806D1000 \WINDOWS\system32\hal.dll
  0xF7B1C000 \WINDOWS\system32\KDCOM.DLL
  0xF7A2C000 \WINDOWS\system32\BOOTVID.dll
  0xF74EC000 ACPI.sys
  0xF7B1E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF74DB000 pci.sys
  0xF761C000 isapnp.sys
  0xF762C000 ohci1394.sys
  0xF763C000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7BE4000 pciide.sys
  0xF789C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7B20000 viaide.sys
  0xF7B22000 intelide.sys
  0xF764C000 MountMgr.sys
  0xF74BC000 ftdisk.sys
  0xF78A4000 PartMgr.sys
  0xF765C000 VolSnap.sys
  0xF74A4000 atapi.sys
  0xF766C000 disk.sys
  0xF767C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF7484000 fltmgr.sys
  0xF7472000 sr.sys
  0xF78AC000 PxHelp20.sys
  0xF745B000 KSecDD.sys
  0xF73CE000 Ntfs.sys
  0xF73A1000 NDIS.sys
  0xF7387000 Mup.sys
  0xF783C000 \SystemRoot\system32\DRIVERS\AmdK8.sys
  0xF71F1000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF71DD000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF7974000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xF71B9000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF797C000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF784C000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF785C000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF786C000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF7196000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF7182000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
  0xF787C000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xF6DDA000 \SystemRoot\system32\drivers\ALCXWDM.SYS
  0xF6DB6000 \SystemRoot\system32\drivers\portcls.sys
  0xF788C000 \SystemRoot\system32\drivers\drmk.sys
  0xF6DA2000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF76AC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7984000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF798C000 \SystemRoot\system32\DRIVERS\PS2.sys
  0xF7994000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7CA9000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF76BC000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7AF8000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF6D8B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF76CC000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF76DC000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF799C000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF6D7A000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF76EC000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF79AC000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF79B4000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF76FC000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7B48000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF6C7C000 \SystemRoot\system32\DRIVERS\update.sys
  0xF7B0C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF770C000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF773C000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7B4A000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF7B4C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7C98000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7B4E000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7C9B000 \SystemRoot\System32\DRIVERS\AvgArCln.sys
  0xF79C4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF79CC000 \SystemRoot\System32\drivers\vga.sys
  0xF7B50000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7B52000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF79D4000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF79DC000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF7AA8000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xF2C01000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xF2BA8000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xF2B80000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xF2B5E000 \SystemRoot\System32\drivers\afd.sys
  0xF774C000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF79E4000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xF2B33000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xF2A9B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF777C000 \SystemRoot\System32\Drivers\Fips.SYS
  0xF2A75000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF778C000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xF779C000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xF2A64000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7B56000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys
  0xF2A40000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xF79F4000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xF29CB000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7B86000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF6C64000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7A14000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7C26000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF051000 \SystemRoot\System32\ati2cqag.dll
  0xBF08A000 \SystemRoot\System32\atikvmag.dll
  0xBF0BF000 \SystemRoot\System32\ati3duag.dll
  0xBF30C000 \SystemRoot\System32\ativvaxx.dll
  0xF0823000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xF040F000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
  0xF0368000 \SystemRoot\system32\DRIVERS\srv.sys
  0xF0263000 \SystemRoot\system32\drivers\wdmaud.sys
  0xF0473000 \SystemRoot\system32\drivers\sysaudio.sys
  0xF01CD000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xEFE3C000 \SystemRoot\System32\Drivers\HTTP.sys
  0xEFA4E000 \SystemRoot\system32\drivers\kmixer.sys
  0xEF9CF000 \SystemRoot\system32\DRIVERS\SE4501D.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 39):
      0 System Idle Process
      4 System
    540 C:\WINDOWS\system32\smss.exe
    780 csrss.exe
    812 C:\WINDOWS\system32\winlogon.exe
    868 C:\WINDOWS\system32\services.exe
    880 C:\WINDOWS\system32\lsass.exe
    1044 C:\WINDOWS\system32\ati2evxx.exe
    1056 C:\WINDOWS\system32\svchost.exe
    1120 svchost.exe
    1260 C:\WINDOWS\system32\svchost.exe
    1332 svchost.exe
    1744 C:\WINDOWS\system32\ati2evxx.exe
    1800 C:\WINDOWS\explorer.exe
    1908 C:\WINDOWS\system32\spoolsv.exe
    1984 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    2044 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    124 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
    232 C:\Programme\Java\jre6\bin\jqs.exe
    288 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    1624 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
    1644 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    1740 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    1948 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    208 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    352 C:\Programme\Windows Live\Messenger\msnmsgr.exe
    492 C:\WINDOWS\system32\ctfmon.exe
    820 C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
    1672 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    1688 svchost.exe
    2164 alg.exe
    2944 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    3636 C:\hp\KBD\kbd.exe
    1940 C:\WINDOWS\ALCXMNTR.EXE
    2108 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    3732 C:\WINDOWS\system\hpsysdrv.exe
    3380 C:\Programme\Internet Explorer\iexplore.exe
    3904 C:\Programme\Internet Explorer\iexplore.exe
    2408 C:\Dokumente und Einstellungen\HP_Besitzer.NAME-CD5FDA878D\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000023`dc870000  (FAT32)

PhysicalDrive0 Model Number: SAMSUNGHD160JJ/P, Rev: ZM100-36

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0  Unknown MBR code
            SHA1: 1767459F00D32DFB18808B1403F5E319EE9E0999


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Swisstreasure 15.09.2010 21:22
♦ lade Dir das Tool Bootkit Remover herunter
♦ das ist RAR (Dateiformat), also Entpacke die Datei auf Deinen Desktop
- Vista User rechter Mausklick und wähle "Ausführen als Administrator
♦ Doppelklick in dem ordner auf remove.exe
- Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
♦ Rechter Mausklick auf dem Bildschirm und klicke auf Select All
♦ Drücke Strg + C (an der Tastatur) zum Kopieren der Daten
♦ Öffne dein Notepad und drücke Strg + V die Daten einfügen

Poste dann bitte den Inhalt des Logfiles

eselvormberg 15.09.2010 22:50
mit kopieren gings nicht, habe aber als Anlage den Screenshot

Swisstreasure 16.09.2010 18:00
Bitte mal die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:
Code:
remover.exe fix \\.\PhysicalDrive0
Falls der den Befehl remover.exe nicht findet, die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!

eselvormberg 16.09.2010 19:00
ok hab ich gemacht, screenshot im Anhang


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:36 Uhr.
Seite 4 von 7 « Erste 23 4 56 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131