Trojaner-Board - System Tool eingenistet

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - System Tool eingenistet (https://www.trojaner-board.de/95988-system-tool-eingenistet.html)

Hier die MBRCheck .txt

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003d

Kernel Drivers (total 133):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF74D6000 spub.sys
0xF7989000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xF74BE000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xF748F000 ACPI.sys
0xF75F7000 isapnp.sys
0xF7866000 pci.sys
0xF7A4F000 pciide.sys
0xF7707000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF7607000 MountMgr.sys
0xF7847000 ftdisk.sys
0xF798B000 dmload.sys
0xF7961000 dmio.sys
0xF770F000 PartMgr.sys
0xF7617000 VolSnap.sys
0xF782F000 atapi.sys
0xF7627000 disk.sys
0xF7637000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF7A2F000 fltmgr.sys
0xF794F000 sr.sys
0xF7A18000 KSecDD.sys
0xF7B52000 Ntfs.sys
0xF7B25000 NDIS.sys
0xF7717000 SISAGPX.sys
0xF789B000 RecAgent.sys
0xF7B0B000 Mup.sys
0xF76F7000 \SystemRoot\System32\DRIVERS\amdk7.sys
0xB782D000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
0xB7801000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF746F000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF77DF000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF77FF000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xB77EB000 \SystemRoot\System32\Drivers\AnyDVD.sys
0xF7807000 \SystemRoot\system32\drivers\pfc.sys
0xF79BD000 \SystemRoot\System32\Drivers\ElbyDelay.sys
0xF744F000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF743F000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB77C8000 \SystemRoot\System32\DRIVERS\ks.sys
0xF742F000 \SystemRoot\system32\drivers\Imapi.sys
0xB7678000 \SystemRoot\system32\drivers\cmuda.sys
0xB7654000 \SystemRoot\system32\drivers\portcls.sys
0xF7877000 \SystemRoot\system32\drivers\drmk.sys
0xF780F000 \SystemRoot\System32\DRIVERS\usbohci.sys
0xB761E000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF7817000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB80AE000 \SystemRoot\System32\DRIVERS\sisnic.sys
0xB75FC000 \SystemRoot\system32\DRIVERS\Rtlnic51.sys
0xB75A4000 \SystemRoot\System32\Drivers\awqb7ntm.SYS
0xF774F000 \SystemRoot\System32\DRIVERS\fdc.sys
0xB8796000 \SystemRoot\System32\DRIVERS\serial.sys
0xB87BC000 \SystemRoot\System32\DRIVERS\serenum.sys
0xB7554000 \SystemRoot\System32\DRIVERS\parport.sys
0xB87B8000 \SystemRoot\System32\DRIVERS\gameenum.sys
0xB7411000 \SystemRoot\system32\DRIVERS\btkrnl.sys
0xB87B4000 \SystemRoot\system32\drivers\tbhsd.sys
0xB87A9000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF7767000 \SystemRoot\System32\DRIVERS\rasirda.sys
0xF7787000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB8032000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF791F000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB73FA000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xB8022000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xB8012000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xB73E9000 \SystemRoot\System32\DRIVERS\psched.sys
0xB8002000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF7737000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF779F000 \SystemRoot\System32\DRIVERS\raspti.sys
0xB7391000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xB8776000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF79E3000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB7333000 \SystemRoot\System32\DRIVERS\update.sys
0xB87E0000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xB8766000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB8726000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF79ED000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xB80A6000 \SystemRoot\System32\DRIVERS\flpydisk.sys
0xF79F1000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB8374000 \SystemRoot\System32\Drivers\Null.SYS
0xF79F3000 \SystemRoot\System32\Drivers\Beep.SYS
0xB8096000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB808E000 \SystemRoot\System32\drivers\vga.sys
0xF79F5000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79F7000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB8086000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB807E000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB81B2000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xB51D8000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xB517F000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xB5157000 \SystemRoot\System32\DRIVERS\netbt.sys
0xB5135000 \SystemRoot\System32\drivers\afd.sys
0xB8786000 \SystemRoot\System32\DRIVERS\netbios.sys
0xB510A000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xB50EE000 \SystemRoot\System32\drivers\prodrv04.sys
0xB836D000 \SystemRoot\System32\Drivers\PQNTDrv.SYS
0xB507E000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xB8341000 \??\C:\WINDOWS\system32\mbmiodrvr.sys
0xB81A6000 \??\C:\WINDOWS\system32\drivers\LUMDriver.sys
0xF7687000 \SystemRoot\System32\Drivers\Fips.SYS
0xB5058000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xB8736000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xB8076000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xF741F000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB5018000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79FB000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB81A2000 \SystemRoot\System32\drivers\Dxapi.sys
0xB8066000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB87AC000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBD5B3000 \SystemRoot\System32\ATMFD.DLL
0xB4E94000 \SystemRoot\system32\DRIVERS\AegisP.sys
0x8B360000 \SystemRoot\System32\DRIVERS\irda.sys
0xB4ECE000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0x8B293000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0x8BFCB000 \SystemRoot\System32\Drivers\ParVdm.SYS
0x8B259000 \SystemRoot\System32\Drivers\SENTINEL.SYS
0xB806E000 \??\C:\WINDOWS\system32\drivers\btserial.sys
0x8B227000 \??\C:\WINDOWS\system32\drivers\btslbcsp.sys
0xB475B000 \SystemRoot\System32\Drivers\DgiVecp.sys
0x8B15B000 \??\C:\WINDOWS\system32\drivers\hardlock.sys
0x8B137000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x8B0B7000 \SystemRoot\System32\DRIVERS\srv.sys
0xB4FE8000 \??\C:\WINDOWS\system32\drivers\SECDRV.SYS
0x8AE72000 \SystemRoot\system32\drivers\wdmaud.sys
0xB4C5F000 \SystemRoot\system32\drivers\sysaudio.sys
0x8A92D000 \SystemRoot\System32\Drivers\HTTP.sys
0x8AA1A000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
0x10000000 \Programme\DAEMON Tools Lite\daemon.dll

Processes (total 26):
0 System Idle Process
4 System
648 C:\WINDOWS\system32\smss.exe
712 csrss.exe
760 C:\WINDOWS\system32\winlogon.exe
804 C:\WINDOWS\system32\services.exe
816 C:\WINDOWS\system32\lsass.exe
968 C:\WINDOWS\system32\svchost.exe
1028 svchost.exe
1068 C:\WINDOWS\system32\svchost.exe
1120 svchost.exe
1220 svchost.exe
1360 C:\WINDOWS\system32\spoolsv.exe
1432 svchost.exe
1472 svchost.exe
1484 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
1500 C:\CIMCO\NFS\portmap.exe
1660 C:\WINDOWS\system32\slserv.exe
1704 C:\WINDOWS\system32\PAStiSvc.exe
1720 C:\WINDOWS\system32\svchost.exe
1788 C:\CIMCO\NFS\nfs.exe
1976 alg.exe
476 C:\WINDOWS\explorer.exe
1244 C:\WINDOWS\system32\rundll32.exe
1480 C:\Programme\FreePDF_XP\fpassist.exe
2252 C:\Dokumente und Einstellungen\Erich\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: IC35L060AVV207-0, Rev: V22OA66A

Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

Nein, GMER ging nicht. Ich habs gestern 2x versucht und heute früh noch einmal.

Grüße
Christian

Die anderen Logs sind ok. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5989

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

08.03.2011 20:16:04
mbam-log-2011-03-08 (20-16-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 315096
Laufzeit: 2 Stunde(n), 38 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{c20634c7-c7ed-437a-a668-60406f63d97b}\RP6\A0008697.exe (Trojan.Agent) -> Quarantined and deleted successfully.

hier das log von Super Anti Spyware

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/09/2011 at 11:16 AM

Application Version : 4.49.1000

Core Rules Database Version : 6558
Trace Rules Database Version: 4370

Scan type : Complete Scan
Total Scan Time : 03:50:48

Memory items scanned : 392
Memory threats detected : 0
Registry items scanned : 8731
Registry threats detected : 0
File items scanned : 176760
File threats detected : 4

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Erich\Cookies\erich@atdmt[1].txt
s0.2mdn.net [ C:\Dokumente und Einstellungen\Erich\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\S3ZVZK7G ]

Trojan.Agent/Gen-Krpytik
C:\PROGRAMME\HEIDENHAIN\ACCOMV29\LSV2DLL.DLL
C:\WINDOWS\SYSTEM32\KSCB532.DLL

grüße
christian

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Zitat:

C:\PROGRAMME\HEIDENHAIN

Kennst du dieses Programm?

das programm kenne ich schon. Ich hab es allerdings nicht von der Herstellerseite runter geladen. Ich benötige es auch nicht zwingend, kann es also auch deinstallieren.

grüße
christian

Edit:
Systemwiederherstellung ist deaktiviert

Was genau soll das heißen? Gecracktes Programm? :stirn: :balla:

Nein, definitiv nicht. Es ist Freeware eines Steuerungsherstellers^^
Der Download funktionierte seiner Zeit nur nicht von deren Homepage. Deshalb hab ich es woanders gezogen.

Nicht immer gleich vom Schlimmsten ausgehen xD

Sry ich bin nur etwas misstrauisch...wahrscheinlich zuviel, entschuldige bitte :o

Ich würde jetzt einfach nur fragen, was ist jetzt noch an Funden bzw. Problemen offen? Oder ist jetzt alles ok? :)q

Kein Problem. Ich kann deine Skepsis nachvollziehen, also Schwamm drüber.

Also wenn System Tool jetzt ist sind wir durch oder?

Ich danke dir für die kompetente Hilfe und werde mich erkenntlich zeigen.
Ihr opfert hier eure Freizeit für die Probleme anderer. Das ist nicht selbstverständlich.

Ich habe zwar noch ein Trojaner Problem auf einem Laptop, aber dafür sollte ich wohl ein neues Thema eröffnen.

Nochmals Danke für deine Hilfe :daumenhoc:dankeschoen:

Grüße
Christian

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink (Mozilla und andere Browser) => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Ich werd deine To Do Liste abarbeiten.

Danke :)

Grüße
Christian

Ich bekomme Java nicht deinstalliert.
Weder mit JavaRa, Systemsteuerung, CC Cleaner oder TuneUp.
Ich konnte einzelne Updates deinstallieren, aber die Grundversion geht nicht.

Die Fehlermeldung ist immer die gleiche.

Fehler bei der Anwendung von Transformen. Stellen Sie sicher, dass die angegebenen Transformpfade gültig sind.

In C\Programme\ befindet sich kein Ordner mehr der Java oder Jve heißt.

Fällt dir vielleicht was ein?

Grüße
Chris