|
20 TAN Postbank Trojaner Hallo zusammen, vor einer Woche habe ich einen Trojaner eingefangen. Gemerkt habe ich es, als beim Online-Banking der Postbank ein Banner auftauchte, der 20 Tans haben wollte. Ich habe zunächst die relevanten Zugangscodes von einem sauberen Computer geändert. Eine Avira Suchlauf blieb negativ, Ad Aware fand dann einen Trojaner. An den Folgetagen habe ich verschiedene Virensuchprogramme über den Computer laufen lassen, das Ergebnis: 11. 12.2010 Ad- Aware findet: Trojan.Win32.Generic!BT (Logfile im Anhang) 14.12.2010: Avira Antivir personal findet Die Datei 'C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP671\ A0103926.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Scar.dhbr' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fef696a.qua' verschoben! 15.12.2010: Avira findet Die Datei 'C:\Dokumente und Einstellungen\Weiss\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\3a75a842-4c0202f3' enthielt einen Virus oder unerwünschtes Programm 'JAVA/OpenConnect.CF' [virus]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47bd747f.qua' verschoben! 18.12.2010: Ad-Aware findet Trojan.Win32.Generic!BT (logfile im Anhang) Entsprechend dem Vorgehen im Trojaner-Board bei ähnlichen Infektionen habe ich alle Windows Programme auf den neuesten Stand gebracht und ganz Java deinstalliert und dann die neueste Version wieder installiert. In der Analyse des HiJackthis-Logfiles war die Datei: O4 - HKCU\..\Run: [Servcodec] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Catmod\faxgra.exe aufgefallen. Sie ließ sich nicht fixen. Sie wurde am 9.12.2010, direkt vor dem Unheil, angelegt. Ich habe versucht, sie zu löschen, sie ist aber wieder da. Ich habe die heutigen Logfiles von HiJackthis, Malwarebytes und OTL angehängt. Kann mir jemand helfen, diese Pest wieder loszuwerden? Ich habe leider „2 linke Hände“ in der Bedienung eines Computers. Vielen Dank im Voraus Juergen Irgendwie bekomme ich die hijacklogdatei nicht angehängt:HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4 |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten und nicht nur das letzte ohne Funde (falls dem so ist) |
Hallo Arne, im Anhang alle Malewarebyte- Files, die ich gefunden habe. Im ersten, ältesten Scan (12.12.10 12Uhr) war PUM.Hijack.StartMenu angezeigt worden. Ich habe aber gelesen, daß das nichts sei und habe es deshalb nicht beim ersten Beitrag erwähnt. Das Ganze ist jetzt etwas unübersichtlich, habe aber die Schnelle keinen Weg gefunden, die Dateien anzuhängen Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5363 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 21.12.2010 00:41:01 mbam-log-2010-12-21 (00-41-01).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 222617 Laufzeit: 2 Stunde(n), 0 Minute(n), 36 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5298 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 12.12.2010 12:01:07 mbam-log-2010-12-12 (12-01-07).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 128855 Laufzeit: 9 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5298 Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5356 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 19.12.2010 14:49:50 mbam-log-2010-12-19 (14-49-49).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 222338 Laufzeit: 1 Stunde(n), 19 Minute(n), 20 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5354 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 19.12.2010 12:59:38 mbam-log-2010-12-19 (12-59-38).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 221887 Laufzeit: 1 Stunde(n), 10 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5347 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18.12.2010 21:33:35 mbam-log-2010-12-18 (21-33-35).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 1 Laufzeit: 39 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5347 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18.12.2010 15:02:14 mbam-log-2010-12-18 (15-02-14).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 221689 Laufzeit: 1 Stunde(n), 10 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5342 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 17.12.2010 14:37:43 mbam-log-2010-12-17 (14-37-43).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 220291 Laufzeit: 2 Stunde(n), 49 Minute(n), 44 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5328 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 16.12.2010 21:12:27 mbam-log-2010-12-16 (21-12-27).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 129041 Laufzeit: 16 Minute(n), 42 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5319 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 15.12.2010 17:43:34 mbam-log-2010-12-15 (17-43-34).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 217328 Laufzeit: 1 Stunde(n), 30 Minute(n), 44 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5313 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 14.12.2010 21:27:16 mbam-log-2010-12-14 (21-27-16).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 128630 Laufzeit: 9 Minute(n), 5 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5304 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 13.12.2010 07:54:04 mbam-log-2010-12-13 (07-54-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 219882 Laufzeit: 1 Stunde(n), 24 Minute(n), 36 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5300 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 12.12.2010 19:54:32 mbam-log-2010-12-12 (19-54-32).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 218837 Laufzeit: 1 Stunde(n), 23 Minute(n), 5 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 Malwarebytes Datenbank Version: 5298 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 12.12.2010 13:41:39 mbam-log-2010-12-12 (13-41-38).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 219921 Laufzeit: 1 Stunde(n), 32 Minute(n), 16 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Gruss Juergen |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hallo Arne, der neue Logfile von OTL nach dem Fix: All processes killed ========== OTL ========== E:\AUTOEXEC.BAT moved successfully. E:\AUTORUN.FCB moved successfully. File not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3847ac18-9c29-11db-a09b-0014a5d10a10}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3847ac18-9c29-11db-a09b-0014a5d10a10}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3847ac18-9c29-11db-a09b-0014a5d10a10}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3847ac18-9c29-11db-a09b-0014a5d10a10}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3847ac18-9c29-11db-a09b-0014a5d10a10}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3847ac18-9c29-11db-a09b-0014a5d10a10}\ not found. File F:\preinst.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9cd69ee-9c21-11db-a097-0014a5d10a10}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e9cd69ee-9c21-11db-a097-0014a5d10a10}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9cd69ee-9c21-11db-a097-0014a5d10a10}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e9cd69ee-9c21-11db-a097-0014a5d10a10}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9cd69ee-9c21-11db-a097-0014a5d10a10}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e9cd69ee-9c21-11db-a097-0014a5d10a10}\ not found. File F:\preinst.exe not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: *** ->Temp folder emptied: 389157087 bytes ->Temporary Internet Files folder emptied: 426925200 bytes ->Java cache emptied: 46721470 bytes ->FireFox cache emptied: 57040461 bytes ->Google Chrome cache emptied: 8078430 bytes ->Flash cache emptied: 1467 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 19569 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 192578176 bytes RecycleBin emptied: 1165825 bytes Total Files Cleaned = 1.070,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 12212010_202434 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Gruss Juergen |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo Arne, zunächst mal ein herzliches DANKE für die speditive Hilfe. Habe die Hausaufgabe gemacht, die Combifix-Datei ist im Anhang. Gruss Juergen Combofix Logfile: Code: ComboFix 10-12-21.05 - *** 22.12.2010 17:32:19.1.2 - x86 |
Wir müssen eine Datei ersetzen, bitte runterladen direkt nach c: ins Hauptverzeichnis => c:\regedit.exe Dann gehts so weiter: PartedMagic 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein 2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist http://www.raiden.net/images/article...tedmagic40.jpg 4. Du müsstest ein Symbol Mount Devices finden, das doppelklicken 5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1 6. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen: Code: /windows/regedit.exe.virCode: regedit.exe => /windows/regedit.exe8. Starte den Rechner neu und boote Windows 9. Die in Linux umbenannt Datei (die mit .vir) bei uns hochladen => [url]http://www.trojaner-board.de/54791-anleitung-uploadchannel-trojaner-board.html 10. Gib Bescheid wenn alles durch ist. |
Hallo Arne, nach der Combifix-Aktion habe ich gestern abend nochmals einen Avira-Lauf gemacht. das Ergebnis ist weiter unten. Habe dann versucht, die letzten Hausaufgabe zu erledigen. Dabei scheine ich Mist gemacht zu haben. Ich konnte die von Dir geschickte Datei aus dem File-Upload nicht herunterladen (Time-ticket abgelaufen). Kannst Du mir bitte die Datei nochmals schicken? Gruss Juergen Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 22. Dezember 2010 21:08 Es wird nach 2287736 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ***-NOTE Versionsinformationen: BUILD.DAT : 10.0.0.609 31824 Bytes 13.12.2010 09:29:00 AVSCAN.EXE : 10.0.3.5 435368 Bytes 09.12.2010 20:00:05 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 09.12.2010 20:00:06 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:51:15 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 21:08:05 VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 21:08:05 VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 21:08:06 VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 21:08:06 VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 21:08:06 VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 21:08:06 VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 21:08:06 VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 21:08:06 VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 21:08:07 VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 21:08:07 VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 21:08:07 VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 21:08:07 VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 19:39:24 VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 20:33:43 VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 20:05:04 VBASE016.VDF : 7.11.0.123 2048 Bytes 21.12.2010 20:05:04 VBASE017.VDF : 7.11.0.124 2048 Bytes 21.12.2010 20:05:04 VBASE018.VDF : 7.11.0.125 2048 Bytes 21.12.2010 20:05:04 VBASE019.VDF : 7.11.0.126 2048 Bytes 21.12.2010 20:05:04 VBASE020.VDF : 7.11.0.127 2048 Bytes 21.12.2010 20:05:04 VBASE021.VDF : 7.11.0.128 2048 Bytes 21.12.2010 20:05:04 VBASE022.VDF : 7.11.0.129 2048 Bytes 21.12.2010 20:05:04 VBASE023.VDF : 7.11.0.130 2048 Bytes 21.12.2010 20:05:04 VBASE024.VDF : 7.11.0.131 2048 Bytes 21.12.2010 20:05:04 VBASE025.VDF : 7.11.0.132 2048 Bytes 21.12.2010 20:05:04 VBASE026.VDF : 7.11.0.133 2048 Bytes 21.12.2010 20:05:04 VBASE027.VDF : 7.11.0.134 2048 Bytes 21.12.2010 20:05:04 VBASE028.VDF : 7.11.0.135 2048 Bytes 21.12.2010 20:05:04 VBASE029.VDF : 7.11.0.136 2048 Bytes 21.12.2010 20:05:04 VBASE030.VDF : 7.11.0.137 2048 Bytes 21.12.2010 20:05:04 VBASE031.VDF : 7.11.0.144 53248 Bytes 22.12.2010 20:05:04 Engineversion : 8.2.4.126 AEVDF.DLL : 8.1.2.1 106868 Bytes 27.11.2010 14:00:08 AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 05.12.2010 13:55:07 AESCN.DLL : 8.1.7.2 127349 Bytes 27.11.2010 14:00:08 AESBX.DLL : 8.1.3.2 254324 Bytes 27.11.2010 14:00:08 AERDL.DLL : 8.1.9.2 635252 Bytes 27.11.2010 14:00:08 AEPACK.DLL : 8.2.4.5 512375 Bytes 18.12.2010 14:35:57 AEOFFICE.DLL : 8.1.1.10 201084 Bytes 27.11.2010 14:00:07 AEHEUR.DLL : 8.1.2.57 3142008 Bytes 18.12.2010 14:35:57 AEHELP.DLL : 8.1.16.0 246136 Bytes 05.12.2010 13:55:03 AEGEN.DLL : 8.1.5.0 397685 Bytes 05.12.2010 13:55:03 AEEMU.DLL : 8.1.3.0 393589 Bytes 27.11.2010 14:00:06 AECORE.DLL : 8.1.19.0 196984 Bytes 05.12.2010 13:55:02 AEBB.DLL : 8.1.1.0 53618 Bytes 27.11.2010 14:00:06 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 27.11.2010 14:00:09 AVSCPLR.DLL : 10.0.3.2 84328 Bytes 09.12.2010 20:00:05 AVARKT.DLL : 10.0.22.6 231784 Bytes 09.12.2010 20:00:04 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 27.11.2010 14:00:00 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, E:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Mittwoch, 22. Dezember 2010 21:08 Der Suchlauf nach versteckten Objekten wird begonnen. c:\windows\explorer.exe c:\windows\explorer.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\windows\explorer.exe Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '128' Modul(e) wurden durchsucht Durchsuche Prozess 'nsload.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'registrybooster.exe' - '98' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNSCFG.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'issch.exe' - '9' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWTray.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'smax4pnp.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'QlbCtrl.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'HP Wireless Assistant.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'DLACTRLW.EXE' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'HPWuSchd2.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqwmiex.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'PTHOSTTR.EXE' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNetwk.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'nsverctl.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'SCardSvr.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'rbmonitor.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'asghost.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWService.exe' - '94' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '167' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Catmod\faxgra.exe [FUND] Ist das Trojanische Pferd TR/Spy.177664.47 Die Registry wurde durchsucht ( '460' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Dokumente und Einstellungen\***\Anwendungsdaten\Catmod\faxgra.exe [FUND] Ist das Trojanische Pferd TR/Spy.177664.47 C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP689\A0109765.exe [FUND] Ist das Trojanische Pferd TR/Spy.175104.23 C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP689\A0109777.exe [FUND] Ist das Trojanische Pferd TR/Spy.175104.23 C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP689\A0109779.exe [FUND] Ist das Trojanische Pferd TR/Spy.175104.23 C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP689\A0109935.exe [FUND] Ist das Trojanische Pferd TR/Spy.175104.23 Beginne mit der Suche in 'E:\' <HP_RECOVERY> Beginne mit der Desinfektion: C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP689\A0109935.exe [FUND] Ist das Trojanische Pferd TR/Spy.175104.23 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c72b44.qua' verschoben! C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP689\A0109779.exe [FUND] Ist das Trojanische Pferd TR/Spy.175104.23 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f5004e3.qua' verschoben! C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP689\A0109777.exe [FUND] Ist das Trojanische Pferd TR/Spy.175104.23 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0d0f5e0b.qua' verschoben! C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP689\A0109765.exe [FUND] Ist das Trojanische Pferd TR/Spy.175104.23 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6b3811ce.qua' verschoben! C:\Dokumente und Einstellungen\***\Anwendungsdaten\Catmod\faxgra.exe [FUND] Ist das Trojanische Pferd TR/Spy.177664.47 [HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Servcodec> wurde erfolgreich entfernt. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2e75232d.qua' verschoben! Ende des Suchlaufs: Donnerstag, 23. Dezember 2010 00:54 Benötigte Zeit: 1:27:58 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 6925 Verzeichnisse wurden überprüft 245291 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 245285 Dateien ohne Befall 7670 Archive wurden durchsucht 0 Warnungen 5 Hinweise 373339 Objekte wurden beim Rootkitscan durchsucht 2 Versteckte Objekte wurden gefunden |
Du musst den Link doch einfach nur noch aufrufen => File-Upload.net - regedit.exe |
Hallo Arne, Hausaufgaben sind erledigt. Verschwinde morgen in den Weihnachtsurlaub, bin Dienstag zurück. Nochmals vielen Dank für die bisherige Hilfe. Schöne und gesegnete Weihnachten! Gruss Juergen |
Mach bitte nun einen weiteren Durchgang mit der cofi.exe - CCleaner musst du nicht nochmal durchlaufen lassen, ansonsten wieder nach Anleitung. |
Hallo Arne, im Anhang der Combi-Fix-Logfile. Gruss Juergen Combofix Logfile: Code: ComboFix 10-12-23.02 - *** 23.12.2010 21:32:29.2.2 - x86 |
Ich glaube CF hat da ne kleinere Macke... Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo Arne, im Anhang die letzten Files vor Weihnachten Gruss und schöne Fest Juergen GMER Logfile: Code: GMER 1.0.15.15530 - hxxp://www.gmer.netOSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000001c Kernel Drivers (total 146): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E5000 \WINDOWS\system32\hal.dll 0xF8972000 \WINDOWS\system32\KDCOM.DLL 0xF8882000 \WINDOWS\system32\BOOTVID.dll 0xF8342000 ACPI.sys 0xF8974000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF8331000 pci.sys 0xF8472000 isapnp.sys 0xF8482000 ohci1394.sys 0xF8492000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF8886000 compbatt.sys 0xF888A000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF8A3A000 pciide.sys 0xF86F2000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF8976000 intelide.sys 0xF8978000 viaide.sys 0xF897A000 aliide.sys 0xF8313000 pcmcia.sys 0xF84A2000 MountMgr.sys 0xF82F4000 ftdisk.sys 0xF888E000 ACPIEC.sys 0xF8A3B000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF86FA000 PartMgr.sys 0xF84B2000 VolSnap.sys 0xF82DC000 atapi.sys 0xF8206000 iaStor.sys 0xF84C2000 disk.sys 0xF84D2000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF81E6000 fltmgr.sys 0xF81D4000 sr.sys 0xF84E2000 Lbd.sys 0xF81BE000 DRVMCDB.SYS 0xF8702000 PxHelp20.sys 0xF81A7000 KSecDD.sys 0xF811A000 Ntfs.sys 0xF80ED000 NDIS.sys 0xF80D3000 Mup.sys 0xF8522000 \SystemRoot\system32\DRIVERS\nic1394.sys 0xF8592000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF7144000 \SystemRoot\system32\DRIVERS\ialmnt5.sys 0xF7130000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7108000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF70A0000 \SystemRoot\system32\DRIVERS\bcmwl5.sys 0xF87B2000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF707C000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF87BA000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF8552000 \SystemRoot\system32\DRIVERS\bcm4sbxp.sys 0xF8562000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF87C2000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF704C000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF89B0000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF87CA000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF8572000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF89B2000 \SystemRoot\System32\Drivers\DLACDBHM.SYS 0xF8582000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF85A2000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF7029000 \SystemRoot\system32\DRIVERS\ks.sys 0xF8047000 \SystemRoot\system32\DRIVERS\cpqbttn.sys 0xF85B2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF87D2000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF8043000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF803F000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xF8B75000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF85C2000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF803B000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF7012000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF85D2000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF85E2000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF87DA000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF7001000 \SystemRoot\system32\DRIVERS\psched.sys 0xF85F2000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF87E2000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF87EA000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF8602000 \SystemRoot\system32\DRIVERS\net6im51.sys 0xF8612000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF89B4000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF6FA3000 \SystemRoot\system32\DRIVERS\update.sys 0xF8926000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF892A000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0xF8622000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xA170C000 \SystemRoot\system32\drivers\ADIHdAud.sys 0xA16E8000 \SystemRoot\system32\drivers\portcls.sys 0xA581C000 \SystemRoot\system32\drivers\drmk.sys 0xA16C2000 \SystemRoot\system32\drivers\AEAudio.sys 0xA15A7000 \SystemRoot\system32\DRIVERS\AGRSM.sys 0xA5F2B000 \SystemRoot\System32\Drivers\Modem.SYS 0xA318C000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF8A2A000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xA2480000 \SystemRoot\System32\Drivers\Null.SYS 0xF8A2C000 \SystemRoot\System32\Drivers\Beep.SYS 0xA5F1B000 \SystemRoot\System32\Drivers\DLARTL_N.SYS 0xA5F13000 \SystemRoot\System32\drivers\vga.sys 0xF8A2E000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF8A30000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xA5F0B000 \SystemRoot\System32\Drivers\Msfs.SYS 0xA5F03000 \SystemRoot\System32\Drivers\Npfs.SYS 0xA60D4000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xA1471000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xA1418000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xA13F0000 \SystemRoot\system32\DRIVERS\netbt.sys 0xA13CA000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xA13A8000 \SystemRoot\System32\drivers\afd.sys 0xA317C000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF8A32000 \SystemRoot\system32\DRIVERS\eabfiltr.sys 0xA5EFB000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xA12DD000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA126D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xA315C000 \SystemRoot\System32\Drivers\Fips.SYS 0xA314C000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xA313C000 \SystemRoot\system32\DRIVERS\arp1394.sys 0xA1231000 \SystemRoot\system32\DRIVERS\ctxusbm.sys 0xA120B000 \SystemRoot\system32\DRIVERS\avipbb.sys 0x9E171000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0x9D497000 \SystemRoot\System32\Drivers\Cdfs.SYS 0x9C644000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0x9D501000 \SystemRoot\System32\drivers\Dxapi.sys 0x9D326000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF8A83000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF021000 \SystemRoot\System32\ialmdnt5.dll 0xBF012000 \SystemRoot\System32\ialmrnt5.dll 0xBF043000 \SystemRoot\System32\ialmdev5.DLL 0xBF07E000 \SystemRoot\System32\ialmdd5.DLL 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0x9C62F000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xF72FB000 \SystemRoot\System32\Drivers\DRVNDDM.SYS 0x9C723000 \SystemRoot\System32\DLA\DLADResN.SYS 0x9C619000 \SystemRoot\System32\DLA\DLAIFS_M.SYS 0xF727D000 \SystemRoot\System32\DLA\DLAOPIOM.SYS 0x9D7FE000 \SystemRoot\System32\DLA\DLAPoolM.SYS 0xA274F000 \SystemRoot\System32\DLA\DLABOIOM.SYS 0x9C601000 \SystemRoot\System32\DLA\DLAUDFAM.SYS 0x9C5EB000 \SystemRoot\System32\DLA\DLAUDF_M.SYS 0xF8057000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x9C56E000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0x9C465000 \SystemRoot\System32\Drivers\HTTP.sys 0x9C3BD000 \SystemRoot\system32\DRIVERS\srv.sys 0x9C380000 \SystemRoot\system32\drivers\wdmaud.sys 0xA22AF000 \SystemRoot\system32\drivers\sysaudio.sys 0x9E16F000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS 0x9C828000 \??\C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys 0x9B268000 \SystemRoot\System32\Drivers\Fastfat.SYS 0x9B185000 \??\C:\DOKUME~1\***\LOKALE~1\Temp\kgldqaoc.sys 0x9B15A000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 59): 0 System Idle Process 4 System 1116 C:\WINDOWS\system32\smss.exe 1224 csrss.exe 1248 C:\WINDOWS\system32\winlogon.exe 1292 C:\WINDOWS\system32\services.exe 1304 C:\WINDOWS\system32\lsass.exe 1508 C:\WINDOWS\system32\svchost.exe 1572 svchost.exe 1612 C:\WINDOWS\system32\svchost.exe 1764 svchost.exe 1792 svchost.exe 168 C:\Programme\Lavasoft\Ad-Aware\AAWService.exe 384 C:\WINDOWS\system32\spoolsv.exe 416 C:\Programme\HPQ\IAM\Bin\asghost.exe 552 C:\Programme\Avira\AntiVir Desktop\sched.exe 632 C:\Programme\Uniblue\RegistryBooster\rbmonitor.exe 688 svchost.exe 868 C:\Programme\Avira\AntiVir Desktop\avguard.exe 932 C:\WINDOWS\system32\svchost.exe 1096 C:\WINDOWS\system32\svchost.exe 1132 C:\Programme\Java\jre6\bin\jqs.exe 1208 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe 1228 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1528 C:\Programme\Citrix\Secure Access Client\nsverctl.exe 1220 C:\Programme\HPQ\HP ProtectTools Security Manager\pthosttr.exe 1748 C:\Programme\Hp\HP Software Update\hpwuSchd2.exe 348 C:\WINDOWS\system32\DLA\DLACTRLW.EXE 1984 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 1996 C:\Programme\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe 2056 C:\Programme\Analog Devices\Core\smax4pnp.exe 2064 C:\WINDOWS\system32\igfxtray.exe 2092 C:\WINDOWS\system32\hkcmd.exe 2112 C:\WINDOWS\system32\igfxpers.exe 2140 C:\WINDOWS\system32\igfxsrvc.exe 2188 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 2200 C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe 2284 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe 2292 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe 2308 C:\Programme\Citrix\ICA Client\concentr.exe 2332 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 2508 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 2552 C:\Programme\Citrix\ICA Client\wfcrun32.exe 2816 C:\Programme\Uniblue\RegistryBooster\registrybooster.exe 3384 C:\Programme\Citrix\Secure Access Client\nsload.exe 3720 C:\WINDOWS\system32\svchost.exe 4088 C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe 2228 unsecapp.exe 2436 C:\WINDOWS\system32\wbem\wmiapsrv.exe 2476 wmiprvse.exe 3016 alg.exe 2948 wmpnetwk.exe 3364 C:\WINDOWS\explorer.exe 884 C:\WINDOWS\system32\notepad.exe 3248 C:\Programme\Mozilla Firefox\firefox.exe 3884 C:\WINDOWS\explorer.exe 2780 C:\Programme\Brownie\BRSTSWND.EXE 2824 C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\l0wlpy2q.exe 3132 C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000015`75462000 (NTFS) PhysicalDrive0 Model Number: <error opening> Size Device Name MBR Status -------------------------------------------- ERROR Opening: \\.\PhysicalDrive0 (32) Done! |
Hast Du noch andere Betriebssystem außer WinXP drauf? Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck und GMER nochmals aus und poste die neuen Logs. |
Hallo Arne, wie komme ich zur Wiederherstellungskonsole? gruss Juergen |
combofix hat die WHK installiert. Du musst den Rechner neustarten und im Bootmenü die Wiederherstellungskonsole wählen, damit diese gebootet wird. |
Hallo Arne, sorry für die dumme Frage: soll ich die obigen Befehle für die WHK bei c/windows oder e/miniNT eingeben. |
Die WHK hast du gebootet? Ist eine Eingabeaufforderung, sieht ein wenig nach DOS aus. Dort einfach nacheinander diese Befehle eintippen/ausführen. |
Hallo Arne, aus Deiner Antwort schließe ich, daß ich möglicherweise noch nicht zur richtigen WHK vorgestossen bin. Nach dem Einschalten des PC komme ich mit F9 in das Boot Device Menu Dann kommt die Aufforderung : Wählen Sie das zu startende Betriebssystem: -Microsoft Windows Recovery Console -do not select this (debugger activated) -MS Windows XP wenn man auf die Recovery Console geht, kommt die Anfrage Bei welcher Windows Installation möchten Sie sich anmelden: 1. C:\windows 2. E:\MiniNT Egal welches man wählt, bei der Eingabe fixmbr kommt sofort eine Warnung, ob man das wirklich will und der Drohung, daß dann schlimme Dinge passieren. Welche nehme ich? oder gibts noch irgendwo anders eine andere WHK? gruss Juergen |
Zitat:
|
Hallo Arne, folgend die Neuen Logfiles. GMER Logfile: Code: GMER 1.0.15.15530 - GMER - Rootkit Detector and RemoverMBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000001c Kernel Drivers (total 141): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E5000 \WINDOWS\system32\hal.dll 0xF8972000 \WINDOWS\system32\KDCOM.DLL 0xF8882000 \WINDOWS\system32\BOOTVID.dll 0xF8342000 ACPI.sys 0xF8974000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF8331000 pci.sys 0xF8472000 isapnp.sys 0xF8482000 ohci1394.sys 0xF8492000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF8886000 compbatt.sys 0xF888A000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF8A3A000 pciide.sys 0xF86F2000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF8976000 intelide.sys 0xF8978000 viaide.sys 0xF897A000 aliide.sys 0xF8313000 pcmcia.sys 0xF84A2000 MountMgr.sys 0xF82F4000 ftdisk.sys 0xF888E000 ACPIEC.sys 0xF8A3B000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF86FA000 PartMgr.sys 0xF84B2000 VolSnap.sys 0xF82DC000 atapi.sys 0xF8206000 iaStor.sys 0xF84C2000 disk.sys 0xF84D2000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF81E6000 fltmgr.sys 0xF81D4000 sr.sys 0xF84E2000 Lbd.sys 0xF81BE000 DRVMCDB.SYS 0xF8702000 PxHelp20.sys 0xF81A7000 KSecDD.sys 0xF811A000 Ntfs.sys 0xF80ED000 NDIS.sys 0xF80D3000 Mup.sys 0xF8522000 \SystemRoot\system32\DRIVERS\nic1394.sys 0xF8542000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF71AD000 \SystemRoot\system32\DRIVERS\ialmnt5.sys 0xF7199000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7171000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF7109000 \SystemRoot\system32\DRIVERS\bcmwl5.sys 0xF87B2000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF70E5000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF87BA000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF8552000 \SystemRoot\system32\DRIVERS\bcm4sbxp.sys 0xF8562000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF87C2000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF70B5000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF89B8000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF87CA000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF8572000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF89BA000 \SystemRoot\System32\Drivers\DLACDBHM.SYS 0xF8582000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF8592000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF7092000 \SystemRoot\system32\DRIVERS\ks.sys 0xF8043000 \SystemRoot\system32\DRIVERS\cpqbttn.sys 0xF85A2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF87D2000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF803F000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF803B000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xF8B57000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF85B2000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF8037000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF707B000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF85C2000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF85D2000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF87DA000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF706A000 \SystemRoot\system32\DRIVERS\psched.sys 0xF85E2000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF87E2000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF87EA000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF85F2000 \SystemRoot\system32\DRIVERS\net6im51.sys 0xF7A15000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF89BC000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF700C000 \SystemRoot\system32\DRIVERS\update.sys 0xF892A000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF892E000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0xF7A05000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xA6A32000 \SystemRoot\system32\drivers\ADIHdAud.sys 0xA6A0E000 \SystemRoot\system32\drivers\portcls.sys 0xA788A000 \SystemRoot\system32\drivers\drmk.sys 0xA69E8000 \SystemRoot\system32\drivers\AEAudio.sys 0xA68CD000 \SystemRoot\system32\DRIVERS\AGRSM.sys 0xA77C4000 \SystemRoot\System32\Drivers\Modem.SYS 0xA786A000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF8A12000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xA76E3000 \SystemRoot\System32\Drivers\Null.SYS 0xF8A14000 \SystemRoot\System32\Drivers\Beep.SYS 0xA77B4000 \SystemRoot\System32\Drivers\DLARTL_N.SYS 0xA77AC000 \SystemRoot\System32\drivers\vga.sys 0xF8A16000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF8A18000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xA77A4000 \SystemRoot\System32\Drivers\Msfs.SYS 0xA779C000 \SystemRoot\System32\Drivers\Npfs.SYS 0xA82BE000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xA6819000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xA67C0000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xA6772000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xA674A000 \SystemRoot\system32\DRIVERS\netbt.sys 0xA6728000 \SystemRoot\System32\drivers\afd.sys 0xA785A000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF8A1A000 \SystemRoot\system32\DRIVERS\eabfiltr.sys 0xA7794000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xA66FD000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA668D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xA783A000 \SystemRoot\System32\Drivers\Fips.SYS 0xA781A000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xA7410000 \SystemRoot\system32\DRIVERS\arp1394.sys 0xA3BF2000 \SystemRoot\system32\DRIVERS\ctxusbm.sys 0xA34C0000 \SystemRoot\system32\DRIVERS\avipbb.sys 0x9F8F7000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0x9E163000 \SystemRoot\System32\Drivers\Cdfs.SYS 0x9D405000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0x9DFA8000 \SystemRoot\System32\drivers\Dxapi.sys 0x9E250000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF8AAA000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF021000 \SystemRoot\System32\ialmdnt5.dll 0xBF012000 \SystemRoot\System32\ialmrnt5.dll 0xBF043000 \SystemRoot\System32\ialmdev5.DLL 0xBF07E000 \SystemRoot\System32\ialmdd5.DLL 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0x9D3F0000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xA29B1000 \SystemRoot\System32\Drivers\DRVNDDM.SYS 0xF8A51000 \SystemRoot\System32\DLA\DLADResN.SYS 0x9D3DA000 \SystemRoot\System32\DLA\DLAIFS_M.SYS 0xA684C000 \SystemRoot\System32\DLA\DLAOPIOM.SYS 0xF899A000 \SystemRoot\System32\DLA\DLAPoolM.SYS 0xA24C3000 \SystemRoot\System32\DLA\DLABOIOM.SYS 0x9D3C2000 \SystemRoot\System32\DLA\DLAUDFAM.SYS 0x9D3AC000 \SystemRoot\System32\DLA\DLAUDF_M.SYS 0x9FDE6000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x9D2DF000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0x9D2A2000 \SystemRoot\system32\drivers\wdmaud.sys 0xF8622000 \SystemRoot\system32\drivers\sysaudio.sys 0x9D0CB000 \SystemRoot\System32\Drivers\HTTP.sys 0x9CF5B000 \SystemRoot\system32\DRIVERS\srv.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 56): 0 System Idle Process 4 System 1120 C:\WINDOWS\system32\smss.exe 1228 csrss.exe 1252 C:\WINDOWS\system32\winlogon.exe 1296 C:\WINDOWS\system32\services.exe 1308 C:\WINDOWS\system32\lsass.exe 1500 C:\WINDOWS\system32\svchost.exe 1568 svchost.exe 1612 C:\WINDOWS\system32\svchost.exe 1764 svchost.exe 1792 svchost.exe 164 C:\Programme\Lavasoft\Ad-Aware\AAWService.exe 404 C:\Programme\HPQ\IAM\Bin\asghost.exe 424 C:\WINDOWS\system32\spoolsv.exe 668 C:\WINDOWS\explorer.exe 724 scardsvr.exe 780 C:\Programme\Avira\AntiVir Desktop\sched.exe 852 svchost.exe 976 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1004 C:\WINDOWS\system32\svchost.exe 1436 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1640 C:\WINDOWS\system32\svchost.exe 1752 C:\Programme\HPQ\HP ProtectTools Security Manager\pthosttr.exe 1772 C:\Programme\Java\jre6\bin\jqs.exe 1856 C:\Programme\Hp\HP Software Update\hpwuSchd2.exe 1876 C:\WINDOWS\system32\DLA\DLACTRLW.EXE 1888 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 1896 C:\Programme\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe 1976 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe 2000 C:\Programme\Analog Devices\Core\smax4pnp.exe 2020 C:\WINDOWS\system32\igfxtray.exe 140 C:\WINDOWS\system32\hkcmd.exe 144 C:\WINDOWS\system32\igfxpers.exe 320 C:\Programme\Citrix\Secure Access Client\nsverctl.exe 336 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 564 C:\WINDOWS\system32\igfxsrvc.exe 560 C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe 940 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe 1028 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe 1036 C:\Programme\Citrix\ICA Client\concentr.exe 1196 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 1356 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 1668 C:\Programme\Windows Media Player\wmpnscfg.exe 2160 C:\WINDOWS\system32\ctfmon.exe 2332 C:\Programme\Citrix\ICA Client\wfcrun32.exe 3112 C:\WINDOWS\system32\svchost.exe 3392 wmpnetwk.exe 3396 C:\Programme\Citrix\Secure Access Client\nsload.exe 3912 C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe 2684 unsecapp.exe 2748 wmiprvse.exe 3136 C:\WINDOWS\system32\wbem\wmiapsrv.exe 3460 alg.exe 4080 C:\WINDOWS\explorer.exe 3888 C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000015`75462000 (NTFS) PhysicalDrive0 Model Number: FUJITSUMHV2100BHPL, Rev: 892C Size Device Name MBR Status -------------------------------------------- 93 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A Done! Gruss Juergen |
Zitat:
|
Hallo Arne, das neue CF-Logfile. Gruss Juergen Combofix Logfile: Code: ComboFix 10-12-28.03 - *** 29.12.2010 16:11:21.3.2 - x86 |
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo Arne, anhängend die Proceedings des Abends. Es scheint vollbracht zu sein, schon jetzt danke dafür. Gruss Juergen SUPERAntiSpyware Scann-Protokoll SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware! Generiert 12/29/2010 bei 09:55 PM Version der Applikation : 4.47.1000 Version der Kern-Datenbank : 6094 Version der Spur-Datenbank : 3906 Scan Art : kompletter Scann Totale Scann-Zeit : 02:27:28 Gescannte Speicherelemente : 567 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 7192 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 94461 Erfasste Datei-Elemente : 0 Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 5419 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 29.12.2010 23:01:18 mbam-log-2010-12-29 (23-01-18).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 217864 Laufzeit: 1 Stunde(n), 2 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Keine Funde. Rechner wieder paletti? |
Hallo Arne, ja, es läuft alles normal. Nochmals vielen Dank für die tolle Hilfe. Einen guten Rutsch und in 2011 weniger infizierte und infestierte PCs! Gruss Juergen |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board