| |
| |||||||
Log-Analyse und Auswertung: T-Online meldet Torpig und MebrootWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
01.08.2011, 20:42
| #1 | |
| |  T-Online meldet Torpig und Mebroot Guten Tag allerseits, mein Problem ist dem Problem von MfromH sehr ähnlich, deswegen habe ich denselben Titel gewählt. Ein Freund hat von der Telekom Abuse Team eine Warnung erhalten, dass von seinem Anschluss aus Angriffe auf andere Rechner erfolgen. Auf Nachfrage wurde mitgeteilt, dass er ein Sinkhole kontaktiert hat. Zitat:
Ich habe im oben genannten Thread mitgelesen, konnte daraufhin mit GMER einen vermutlich mit dem Rootkit Sinowal verseuchten Rechner identifizieren, siehe GMER-Log. Reicht es, den Rechner von einer CD zu booten und den MBR neu zu schreiben? Kann man die atksgt.sys und xcpip.sys löschen, wenn der Rechner von einer CD gebootet wurde ? Vielen Dank für eure Hilfe, in der Hoffnung noch einige Tipps zu bekommen Michael MBAM Logging Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Datenbank Version: 7336
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
31.07.2011 15:37:58
mbam-log-2011-07-31 (15-37-58).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 257908
Laufzeit: 2 Stunde(n), 52 Minute(n), 9 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-01 19:51:37
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380022A rev.3.33
Running: qtr3zz9c.exe; Driver: C:\DOKUME~1\Hauke\LOKALE~1\Temp\uxtdapoc.sys
---- System - GMER 1.0.15 ----
SSDT BA9BBB3E ZwCreateKey
SSDT BA9BBB34 ZwCreateThread
SSDT BA9BBB43 ZwDeleteKey
SSDT BA9BBB4D ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xF750BC7E]
SSDT sptd.sys ZwEnumerateValueKey [0xF750BFF6]
SSDT BA9BBB52 ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xF750BA18]
SSDT BA9BBB20 ZwOpenProcess
SSDT BA9BBB25 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF750C0C0]
SSDT sptd.sys ZwQueryValueKey [0xF750BF58]
SSDT BA9BBB5C ZwReplaceKey
SSDT BA9BBB57 ZwRestoreKey
SSDT BA9BBB48 ZwSetValueKey
SSDT BA9BBB2F ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? C:\WINDOWS\System32\Drivers\SPTD0045.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? system32\drivers\xpsec.sys Das System kann den angegebenen Pfad nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xAFBAA300, 0x3ACC8, 0xE8000020]
? system32\drivers\xcpip.sys Das System kann den angegebenen Pfad nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF781F300, 0x1B7E, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00759F7E
.text C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!send 71A14C27 5 Bytes JMP 00759B1B
.text C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00759E30
.text C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00759BFC
.text C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00759CCF
.text C:\WINDOWS\system32\winlogon.exe[788] Secur32.dll!LsaLogonUser 77FC33D8 5 Bytes JMP 01482C81
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01879F7E
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!send 71A14C27 5 Bytes JMP 01879B1B
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01879E30
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01879BFC
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01879CCF
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 03F69F7E
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!send 71A14C27 5 Bytes JMP 03F69B1B
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 03F69E30
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!recv 71A1676F 5 Bytes JMP 03F69BFC
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 03F69CCF
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01839F7E
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!send 71A14C27 5 Bytes JMP 01839B1B
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01839E30
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01839BFC
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01839CCF
.text C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00B39F7E
.text C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!send 71A14C27 5 Bytes JMP 00B39B1B
.text C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00B39E30
.text C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00B39BFC
.text C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00B39CCF
.text C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00B99F7E
.text C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!send 71A14C27 5 Bytes JMP 00B99B1B
.text C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00B99E30
.text C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00B99BFC
.text C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00B99CCF
.text C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01249F7E
.text C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!send 71A14C27 5 Bytes JMP 01249B1B
.text C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01249E30
.text C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01249BFC
.text C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01249CCF
.text C:\WINDOWS\Explorer.EXE[3496] USER32.dll!DisplayExitWindowsWarnings 7E3A9F91 5 Bytes JMP 00EF2A93
.text C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00DE9F7E
.text C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!send 71A14C27 5 Bytes JMP 00DE9B1B
.text C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00DE9E30
.text C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00DE9BFC
.text C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00DE9CCF
.text C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 012A9F7E
.text C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!send 71A14C27 5 Bytes JMP 012A9B1B
.text C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 012A9E30
.text C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!recv 71A1676F 5 Bytes JMP 012A9BFC
.text C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 012A9CCF
.text C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01079F7E
.text C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!send 71A14C27 5 Bytes JMP 01079B1B
.text C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01079E30
.text C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01079BFC
.text C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01079CCF
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7514DB2] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F752A71E] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F75153B2] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F75152B6] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IofCallDriver] [F7515482] sptd.sys
IAT PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F752A032] sptd.sys
IAT PartMgr.sys[ntoskrnl.exe!IoDetachDevice] [F7514F6E] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IofCompleteRequest] [F7529C76] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F7514E06] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7507A32] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7507B6E] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7507AF6] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F75086CC] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F75085A2] sptd.sys
IAT disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F752A864] sptd.sys
IAT \WINDOWS\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice] [F7519F78] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7529C82] sptd.sys
IAT \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F752A864] sptd.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest] [F7529C76] sptd.sys
IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver] [F7507020] sptd.sys
IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver] [F7507020] sptd.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A34A808
Device \FileSystem\Udfs \UdfsCdRom 89EABD80
Device \FileSystem\Udfs \UdfsDisk 89EABD80
Device \Driver\NetBT \Device\NetBT_Tcpip_{3A4D1200-9397-4E8E-9F22-0F3FA3CC45E6} 8A0D30E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A34AEB0
Device \Driver\NetBT \Device\NetBT_Tcpip_{041FEC7F-1FC5-42C2-872E-33B4CD361153} 8A0D30E8
Device \Driver\Cdrom \Device\CdRom0 8A16BEB0
Device \FileSystem\Rdbss \Device\FsWrap 8A11A6B0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device \Driver\atapi \Device\Ide\IdePort0 [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device \Driver\atapi \Device\Ide\IdePort1 [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device \Driver\Cdrom \Device\CdRom1 8A16BEB0
Device \Driver\USBSTOR \Device\00000076 8A26B7F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A0D30E8
Device \Driver\USBSTOR \Device\00000078 8A26B7F8
Device \Driver\NetBT \Device\NetbiosSmb 8A0D30E8
Device \Driver\Disk \Device\Harddisk0\DR0 8A34AA40
Device \Driver\Disk \Device\Harddisk1\DR4 8A34AA40
Device \Driver\Disk \Device\Harddisk1\DP(1)0-0+5 8A34AA40
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A219EB0
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A219EB0
Device \FileSystem\Npfs \Device\NamedPipe 8A1BA9F0
Device \Driver\Ftdisk \Device\FtControl 8A34AEB0
Device \FileSystem\Msfs \Device\Mailslot 8A11B0E8
Device \FileSystem\Cdfs \Cdfs 8A3870E8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0009dd508cbc (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0009dd508cbc@0025676a5a50 0x9E 0x03 0xB4 0xEC ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd508cbc
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd508cbc@0025676a5a50 0x9E 0x03 0xB4 0xEC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 -1708384478
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 36670921
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1319591190
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior
Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 156296388
Disk \Device\Harddisk0\DR0 PE file @ sector 156296410
Disk \Device\Harddisk0\DR0 MBRoot/Sinowal@MBR code has been found <-- ROOTKIT !!!
---- EOF - GMER 1.0.15 ----
|
|
01.08.2011, 21:12
| #2 |
| | T-Online meldet Torpig und Mebroot ich gehe davon aus, dass der zweite Rechner nicht verseucht ist, oder muss ich wegen der ntoskernel Hinweise den Rechner genauer prüfen?
__________________GMER Log [code] GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-01 12:35:24
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD800BB-75FJA1 rev.14.03G14
Running: 8vvh58qk.exe; Driver: C:\DOKUME~1\Walter\LOKALE~1\Temp\pxtdapob.sys
---- System - GMER 1.0.15 ----
SSDT F059906C ZwClose
SSDT F0599026 ZwCreateKey
SSDT F0599076 ZwCreateSection
SSDT F059901C ZwCreateThread
SSDT F059902B ZwDeleteKey
SSDT F0599035 ZwDeleteValueKey
SSDT F0599067 ZwDuplicateObject
SSDT F059903A ZwLoadKey
SSDT F0599008 ZwOpenProcess
SSDT F059900D ZwOpenThread
SSDT F0599044 ZwReplaceKey
SSDT F059903F ZwRestoreKey
SSDT F059907B ZwSetContextThread
SSDT F0599030 ZwSetValueKey
SSDT F0599017 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!_abnormal_termination + 148 804E27B4 2 Bytes [2B, 90]
.text ntoskrnl.exe!_abnormal_termination + 14B 804E27B7 1 Byte [F0]
.text ntoskrnl.exe!_abnormal_termination + 150 804E27BC 2 Bytes [35, 90]
.text ntoskrnl.exe!_abnormal_termination + 153 804E27BF 1 Byte [F0]
---- EOF - GMER 1.0.15 ----
|
|
03.08.2011, 00:04
| #3 |
| /// Malwareteam   | T-Online meldet Torpig und Mebroot Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Kümmern wir uns in erster Linie mal um den infizierten Rechner. Schritt 1 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
 Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:  Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. Schritt 2 Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit. Schritt 3 Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
|
04.08.2011, 08:35
| #4 |
| | T-Online meldet Torpig und Mebroot Vielen Dank für die Hilfe, damit du nicht glaubst, es besteht kein Interesse mehr an einer Hilfestellung, eine kurze Rückmeldung. Ich habe dem Benutzer des Computers den Link zu diesem Thread gesendet, aber er fühlt sich mit den Anweisungen und Hinweisen überfordert (wieso eigentlich, ist doch klar beschrieben?). Ich kann also noch keine Logs liefern. Ich denke, ich werde einen Hausbesuch machen oder muss Teamviewer auf dem betroffenen Computer installieren. Du wirst von mir hören, wenn die geforderten Logs verfügbar sind. Michael |
|
04.08.2011, 12:42
| #5 |
| /// Malwareteam | T-Online meldet Torpig und Mebroot Ok, melde Dich wieder. |
|
05.08.2011, 00:48
| #6 |
| /// Malwareteam | T-Online meldet Torpig und Mebroot Ich bin bis am Sonntag abwesend. Melde mich dann aber gleich wieder. |
|
07.08.2011, 00:13
| #7 |
| | T-Online meldet Torpig und Mebroot Nachdem GMER den Rechner untersucht hatte, habe ich den Rechner von der WinXP CD gestartet, in der WiederherstellungsKonsole den MBR und den Bootsektor neu geschrieben, zwei Dienste xpsec und xcpip deaktivert, die atapi.sys von der CD zu C:\WINDOWS\system32\drivers kopiert: in der Wiederherstellungskonsole folgende Befehle eingegeben: Code:
ATTFilter fixmbr
fixboot
listsvc
disable xpsec
disable xcpip
Combofix Log [code] Combofix Logfile: Code:
ATTFilter ComboFix 11-08-03.03 - Hauke 07.08.2011 0:24.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1535.1095 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Hauke\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\1.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\4489.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\a.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\b.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\c.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\d.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\e.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\f.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\g.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\h.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\i.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\j.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\k.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\l.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\m.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\n.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\o.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\p.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\q.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\r.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\s.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\t.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\u.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\v.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\w.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\wlu.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\x.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\y.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\z.txt
c:\dokumente und einstellungen\Hauke\WINDOWS
c:\dokumente und einstellungen\HelpAssistant\WINDOWS
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-07-06 bis 2011-08-06 ))))))))))))))))))))))))))))))
.
.
2011-08-01 09:08 . 2011-08-01 09:08 -------- d-----w- C:\spoolerlogs
2011-07-31 11:12 . 2011-07-31 11:13 -------- d-----w- c:\programme\Audacity 1.3 Beta (Unicode)
2011-07-26 13:37 . 2011-07-26 13:37 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2011-07-24 12:36 . 2011-07-24 12:36 -------- d-----w- c:\dokumente und einstellungen\Hauke\Anwendungsdaten\DVDVideoSoft
2011-07-24 12:03 . 2011-07-30 09:59 -------- d-----w- c:\dokumente und einstellungen\Hauke\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2011-07-24 12:03 . 2011-07-24 12:03 -------- d-----w- c:\programme\Conduit
2011-07-24 12:02 . 2011-07-24 12:03 -------- d-----w- c:\dokumente und einstellungen\Hauke\Lokale Einstellungen\Anwendungsdaten\Conduit
2011-07-24 12:02 . 2011-07-24 12:02 -------- d-----w- c:\programme\DVDVideoSoftTB
2011-07-24 12:02 . 2011-07-24 12:02 -------- d-----w- c:\dokumente und einstellungen\Hauke\Lokale Einstellungen\Anwendungsdaten\Temp
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-06 17:52 . 2011-02-19 17:56 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-06 17:52 . 2011-02-19 17:56 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-06-25 16:54 . 2011-05-27 15:29 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-03-09 08:58 . 2011-04-15 16:27 1456640 ----a-w- c:\programme\Gemeinsame Dateien\Falk Navi-Manager.msi
2011-06-29 16:55 . 2011-05-15 09:57 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54 175912 ----a-w- c:\programme\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2011-01-17 14:54 175912 ----a-w- c:\programme\DVDVideoSoftTB\prxtbDVDV.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-11-11 1451520]
"ICQ"="c:\programme\ICQ7.5\ICQ.exe" [2011-08-01 124480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 77824]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\ICQ7.5\\ICQ.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"3246:TCP"= 3246:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"2413:TCP"= 2413:TCP:Services
"3326:TCP"= 3326:TCP:Services
"5320:TCP"= 5320:TCP:Services
"9140:TCP"= 9140:TCP:Services
"4100:TCP"= 4100:TCP:Services
"4194:TCP"= 4194:TCP:Services
"9569:TCP"= 9569:TCP:Services
"6632:TCP"= 6632:TCP:Services
"3991:TCP"= 3991:TCP:Services
"2772:TCP"= 2772:TCP:Services
"3741:TCP"= 3741:TCP:Services
"2647:TCP"= 2647:TCP:Services
"5460:TCP"= 5460:TCP:Services
"2850:TCP"= 2850:TCP:Services
"2491:TCP"= 2491:TCP:Services
"2194:TCP"= 2194:TCP:Services
"5319:TCP"= 5319:TCP:Services
"9442:TCP"= 9442:TCP:Services
"4928:TCP"= 4928:TCP:Services
"9407:TCP"= 9407:TCP:Services
"3632:TCP"= 3632:TCP:Services
"6694:TCP"= 6694:TCP:Services
"2678:TCP"= 2678:TCP:Services
"9538:TCP"= 9538:TCP:Services
"3335:TCP"= 3335:TCP:Services
"5085:TCP"= 5085:TCP:Services
"3085:TCP"= 3085:TCP:Services
"4835:TCP"= 4835:TCP:Services
"5741:TCP"= 5741:TCP:Services
"5225:TCP"= 5225:TCP:Services
"5053:TCP"= 5053:TCP:Services
"4147:TCP"= 4147:TCP:Services
"2569:TCP"= 2569:TCP:Services
"9460:TCP"= 9460:TCP:Services
"7069:TCP"= 7069:TCP:Services
"9272:TCP"= 9272:TCP:Services
"3803:TCP"= 3803:TCP:Services
"3819:TCP"= 3819:TCP:Services
"3257:TCP"= 3257:TCP:Services
"3038:TCP"= 3038:TCP:Services
"3007:TCP"= 3007:TCP:Services
"4975:TCP"= 4975:TCP:Services
"7132:TCP"= 7132:TCP:Services
"4944:TCP"= 4944:TCP:Services
"5866:TCP"= 5866:TCP:Services
"3897:TCP"= 3897:TCP:Services
"5991:TCP"= 5991:TCP:Services
"4428:TCP"= 4428:TCP:Services
"3835:TCP"= 3835:TCP:Services
"3944:TCP"= 3944:TCP:Services
"4163:TCP"= 4163:TCP:Services
"4725:TCP"= 4725:TCP:Services
"5100:TCP"= 5100:TCP:Services
"7647:TCP"= 7647:TCP:Services
"9741:TCP"= 9741:TCP:Services
"6492:TCP"= 6492:TCP:Services
"7444:TCP"= 7444:TCP:Services
"4522:TCP"= 4522:TCP:Services
"9350:TCP"= 9350:TCP:Services
"6928:TCP"= 6928:TCP:Services
"2039:TCP"= 2039:TCP:Services
"8147:TCP"= 8147:TCP:Services
"5382:TCP"= 5382:TCP:Services
"6569:TCP"= 6569:TCP:Services
"2147:TCP"= 2147:TCP:Services
"3397:TCP"= 3397:TCP:Services
"2522:TCP"= 2522:TCP:Services
"4569:TCP"= 4569:TCP:Services
"3100:TCP"= 3100:TCP:Services
"4757:TCP"= 4757:TCP:Services
"4397:TCP"= 4397:TCP:Services
"5316:TCP"= 5316:TCP:Services
"1601:TCP"= 1601:TCP:Services
"4710:TCP"= 4710:TCP:Services
"5366:TCP"= 5366:TCP:Services
"4788:TCP"= 4788:TCP:Services
"6048:TCP"= 6048:TCP:Services
"5130:TCP"= 5130:TCP:Services
"2709:TCP"= 2709:TCP:Services
"3912:TCP"= 3912:TCP:Services
"4959:TCP"= 4959:TCP:Services
"6256:TCP"= 6256:TCP:Services
"7281:TCP"= 7281:TCP:Services
"8020:TCP"= 8020:TCP:Services
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [02.02.2008 17:29 642560]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.07.2009 11:20 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [02.07.2008 13:22 247608]
S3 BELKIN;Belkin Wireless G USB Network Adapter;c:\windows\system32\drivers\BLKWGU.sys [12.07.2009 16:46 273280]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [23.04.2010 18:21 136704]
S3 vaxscsi;vaxscsi;c:\windows\system32\drivers\vaxscsi.sys [02.02.2008 17:31 223128]
S4 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
S4 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Free YouTube Download - c:\dokumente und einstellungen\Hauke\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Hauke\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\programme\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Hauke\Anwendungsdaten\Mozilla\Firefox\Profiles\z6rk1ub9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - DVDVideoSoftTB Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=13
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.2.6&q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\programme\AskBarDis\bar\bin\askBar.dll
MSConfigStartUp-ICQ - c:\programme\ICQ7.4\ICQ.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-07 00:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1935655697-630328440-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:63,b2,65,21,3d,e0,d4,bb,56,14,a0,ec,56,e7,9a,0a,de,90,fa,9a,e6,54,56,
21,89,6d,aa,9a,ad,d5,27,89,a6,5c,2e,41,67,1b,20,de,8b,4a,4d,69,ef,32,10,9b,\
"??"=hex:76,1f,c9,8c,f0,e9,00,63,34,03,41,31,54,46,d1,b9
.
[HKEY_USERS\S-1-5-21-1935655697-630328440-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:b4,25,b7,a6,98,33,29,b6,c3,f4,49,31,83,af,76,24,77,43,be,d3,78,
55,e1,ab,20,7b,8f,ef,0b,0e,55,22,66,55,a7,07,15,67,60,c5,47,af,e5,bf,20,31,\
"rkeysecu"=hex:bb,4a,6a,18,90,8d,9b,d5,a9,94,cc,ab,2a,47,58,59
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-08-07 00:36:16
ComboFix-quarantined-files.txt 2011-08-06 22:35
.
Vor Suchlauf: 15 Verzeichnis(se), 39.301.582.848 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 39.354.675.200 Bytes frei
.
Current=3 Default=3 Failed=2 LastKnownGood=1 Sets=1,2,3,4
- - End Of File - - 93EC8FC3A226B10DB13BF528D98710C3
aswMBR Log Code:
ATTFilter aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-07 00:39:13
-----------------------------
00:39:13.265 OS Version: Windows 5.1.2600 Service Pack 3
00:39:13.265 Number of processors: 1 586 0x207
00:39:13.265 ComputerName: PC193 UserName: Hauke
00:39:15.031 Initialize success
00:39:33.156 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
00:39:33.156 Disk 0 Vendor: ST380022A 3.33 Size: 76319MB BusType: 3
00:39:35.171 Disk 0 MBR read successfully
00:39:35.171 Disk 0 MBR scan
00:39:35.171 Disk 0 Windows XP default MBR code
00:39:35.171 Disk 0 scanning sectors +156296385
00:39:35.218 Disk 0 malicious Win32:MBRoot code @ sector 156296388 !
00:39:35.234 Disk 0 PE file @ sector 156296410 !
00:39:35.281 Disk 0 scanning C:\WINDOWS\system32\drivers
00:39:55.046 Service scanning
00:39:57.343 Service sptd C:\WINDOWS\System32\Drivers\sptd.sys **LOCKED** 32
00:39:57.875 Modules scanning
00:40:22.093 Disk 0 trace - called modules:
00:40:22.109 ntoskrnl.exe >>UNKNOWN [0x8a34aa40]<<
00:40:22.109 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a2f9ab8]
00:40:22.109 \Driver\Disk[0x8a368340] -> IRP_MJ_CREATE -> 0x8a34aa40
00:40:22.109 Scan finished successfully
00:41:04.781 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Hauke\Desktop\MBR.dat"
00:41:04.781 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Hauke\Desktop\aswMBR.txt"
Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001d
Kernel Drivers (total 130):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EE000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF7506000 sptd.sys
0xF7989000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xF74EE000 \WINDOWS\System32\Drivers\SPTD0045.SYS
0xF74BF000 ACPI.sys
0xF74AE000 pci.sys
0xF75F7000 isapnp.sys
0xF7607000 ohci1394.sys
0xF7617000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7A4F000 pciide.sys
0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7627000 MountMgr.sys
0xF7878000 ftdisk.sys
0xF770F000 PartMgr.sys
0xF7637000 VolSnap.sys
0xF7860000 atapi.sys
0xF7647000 disk.sys
0xF7657000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7840000 fltmgr.sys
0xF782E000 sr.sys
0xF7667000 PxHelp20.sys
0xBAFE9000 KSecDD.sys
0xBAFD6000 WudfPf.sys
0xBAF49000 Ntfs.sys
0xBAF1C000 NDIS.sys
0xF7677000 SISAGPX.sys
0xBAE62000 Mup.sys
0xF76A7000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF76B7000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xBAC43000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xBAC2F000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF76C7000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7747000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7757000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7767000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF76D7000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7943000 \SystemRoot\system32\DRIVERS\serenum.sys
0xBAC1B000 \SystemRoot\system32\DRIVERS\parport.sys
0xBAE3E000 \SystemRoot\system32\DRIVERS\gameenum.sys
0xF7AAE000 \SystemRoot\system32\drivers\msmpu401.sys
0xBABF7000 \SystemRoot\system32\drivers\portcls.sys
0xF76E7000 \SystemRoot\system32\drivers\drmk.sys
0xBABD4000 \SystemRoot\system32\drivers\ks.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF749E000 \SystemRoot\system32\DRIVERS\redbook.sys
0xBAE2E000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0xF748E000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA8DA000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF7787000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xBA8B6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF77B7000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF77C7000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xF7A56000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF747E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBAE1A000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xBA89F000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF746E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF745E000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF780F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xBA88E000 \SystemRoot\system32\DRIVERS\psched.sys
0xF744E000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7737000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF774F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF743E000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF799F000 \SystemRoot\system32\DRIVERS\swenum.sys
0xBA830000 \SystemRoot\system32\DRIVERS\update.sys
0xBADFA000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF742E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF77FF000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xBAEEC000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79A5000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF79A9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7A9B000 \SystemRoot\System32\Drivers\Null.SYS
0xF79AD000 \SystemRoot\System32\Drivers\Beep.SYS
0xF773F000 \SystemRoot\System32\drivers\vga.sys
0xF79B1000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79B5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF776F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF777F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF794B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB26BB000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB2662000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB263A000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB2614000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xBAECC000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB25CA000 \SystemRoot\System32\drivers\afd.sys
0xBAEBC000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xBAEAC000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF77AF000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB259F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB252F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBAE9C000 \SystemRoot\System32\Drivers\Fips.SYS
0xB2513000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF79C5000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xBABB4000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB24FB000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79CF000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xBAB24000 \SystemRoot\System32\drivers\Dxapi.sys
0xF77A7000 \SystemRoot\System32\watchdog.sys
0xBF9C3000 \SystemRoot\System32\drivers\dxg.sys
0xF7A60000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF9D5000 \SystemRoot\System32\ati2dvag.dll
0xBFA18000 \SystemRoot\System32\ati2cqag.dll
0xBFA5D000 \SystemRoot\System32\atikvmag.dll
0xBFA93000 \SystemRoot\System32\ati3duag.dll
0xBFD25000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB03A7000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB029B000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB0337000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xB0078000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF79E5000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xAFF45000 \SystemRoot\system32\DRIVERS\atksgt.sys
0xAFF08000 \SystemRoot\system32\drivers\wdmaud.sys
0xB00FD000 \SystemRoot\system32\drivers\sysaudio.sys
0xB26CE000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0xAFC4F000 \SystemRoot\system32\DRIVERS\srv.sys
0xB26F6000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xAFC04000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xAF993000 \SystemRoot\System32\Drivers\HTTP.sys
0xF79B9000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0xF77E7000 \??\C:\DOKUME~1\Hauke\LOKALE~1\Temp\catchme.sys
0xAF419000 \SystemRoot\system32\drivers\kmixer.sys
0xAFE4D000 \??\C:\DOKUME~1\Hauke\LOKALE~1\Temp\aswMBR.sys
0xAF3F5000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll
Processes (total 42):
0 System Idle Process
4 System
536 C:\WINDOWS\system32\smss.exe
600 csrss.exe
632 C:\WINDOWS\system32\winlogon.exe
684 C:\WINDOWS\system32\services.exe
700 C:\WINDOWS\system32\lsass.exe
880 C:\WINDOWS\system32\ati2evxx.exe
904 C:\WINDOWS\system32\svchost.exe
992 svchost.exe
1040 C:\WINDOWS\system32\svchost.exe
1080 C:\WINDOWS\system32\svchost.exe
1208 svchost.exe
1244 svchost.exe
1368 C:\WINDOWS\system32\spoolsv.exe
1404 C:\Programme\Avira\AntiVir Desktop\sched.exe
1448 svchost.exe
1508 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1568 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
1608 svchost.exe
1648 C:\WINDOWS\system32\ati2evxx.exe
1644 C:\Programme\ICQ6Toolbar\ICQ Service.exe
1808 C:\Programme\Canon\IJPLM\ijplmsvc.exe
1860 C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
1872 C:\WINDOWS\system32\svchost.exe
560 C:\WINDOWS\system32\wscntfy.exe
1076 C:\WINDOWS\SOUNDMAN.EXE
1140 C:\Programme\iTunes\iTunesHelper.exe
1504 C:\Programme\Canon\MyPrinter\BJMYPRT.EXE
1544 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1540 C:\WINDOWS\system32\ctfmon.exe
1564 C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
988 C:\Programme\ICQ7.5\ICQ.exe
2312 C:\Programme\iPod\bin\iPodService.exe
2436 C:\Programme\PC Connectivity Solution\ServiceLayer.exe
2576 alg.exe
2620 C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
2652 C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
348 C:\WINDOWS\system32\cmd.exe
464 C:\WINDOWS\system32\notepad.exe
3108 C:\WINDOWS\explorer.exe
3688 C:\Dokumente und Einstellungen\Hauke\Desktop\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
PhysicalDrive0 Model Number: ST380022A, Rev: 3.33
Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
Done!
|
|
07.08.2011, 13:45
| #8 |
| /// Malwareteam | T-Online meldet Torpig und Mebroot Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
|
|
07.08.2011, 20:47
| #9 |
| | T-Online meldet Torpig und Mebroot TDSS hat nichts gefunden Code:
ATTFilter 2011/08/07 21:30:33.0328 3400 TDSS rootkit removing tool 2.5.14.0 Aug 5 2011 16:09:29
2011/08/07 21:30:33.0359 3400 ================================================================================
2011/08/07 21:30:33.0359 3400 SystemInfo:
2011/08/07 21:30:33.0359 3400
2011/08/07 21:30:33.0359 3400 OS Version: 5.1.2600 ServicePack: 3.0
2011/08/07 21:30:33.0359 3400 Product type: Workstation
2011/08/07 21:30:33.0359 3400 ComputerName: PC193
2011/08/07 21:30:33.0375 3400 UserName: Hauke
2011/08/07 21:30:33.0375 3400 Windows directory: C:\WINDOWS
2011/08/07 21:30:33.0375 3400 System windows directory: C:\WINDOWS
2011/08/07 21:30:33.0375 3400 Processor architecture: Intel x86
2011/08/07 21:30:33.0375 3400 Number of processors: 1
2011/08/07 21:30:33.0375 3400 Page size: 0x1000
2011/08/07 21:30:33.0375 3400 Boot type: Normal boot
2011/08/07 21:30:33.0375 3400 ================================================================================
2011/08/07 21:30:35.0000 3400 Initialize success
2011/08/07 21:30:40.0937 3424 ================================================================================
2011/08/07 21:30:40.0937 3424 Scan started
2011/08/07 21:30:40.0937 3424 Mode: Manual;
2011/08/07 21:30:40.0937 3424 ================================================================================
2011/08/07 21:30:41.0734 3424 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/08/07 21:30:41.0875 3424 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/08/07 21:30:42.0031 3424 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/08/07 21:30:42.0156 3424 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/08/07 21:30:42.0500 3424 ALCXWDM (4e0aca5290b2966f24c45250a56c2da1) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2011/08/07 21:30:42.0812 3424 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/08/07 21:30:43.0062 3424 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/08/07 21:30:43.0171 3424 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/08/07 21:30:43.0390 3424 ati2mtag (492bd2a5f65f218d4ede5764a3bb67e9) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/08/07 21:30:43.0593 3424 atksgt (6e996cf8459a2594e0e9609d0e34d41f) C:\WINDOWS\system32\DRIVERS\atksgt.sys
2011/08/07 21:30:43.0734 3424 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/08/07 21:30:43.0828 3424 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/08/07 21:30:43.0921 3424 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/08/07 21:30:44.0031 3424 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/08/07 21:30:44.0125 3424 avipbb (6d52060b59e7d79cd2a044b6add1f1ef) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/08/07 21:30:44.0250 3424 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/08/07 21:30:44.0312 3424 BELKIN (bb3eb3535856adbead55a8b932f69d25) C:\WINDOWS\system32\DRIVERS\BLKWGU.sys
2011/08/07 21:30:44.0453 3424 BthEnum (b279426e3c0c344893ed78a613a73bde) C:\WINDOWS\system32\DRIVERS\BthEnum.sys
2011/08/07 21:30:44.0593 3424 BTHMODEM (fca6f069597b62d42495191ace3fc6c1) C:\WINDOWS\system32\DRIVERS\bthmodem.sys
2011/08/07 21:30:44.0703 3424 BthPan (80602b8746d3738f5886ce3d67ef06b6) C:\WINDOWS\system32\DRIVERS\bthpan.sys
2011/08/07 21:30:44.0828 3424 BTHPORT (592e1cedbe314d0ef184dc6f46141e76) C:\WINDOWS\system32\Drivers\BTHport.sys
2011/08/07 21:30:44.0953 3424 BTHUSB (61364cd71ef63b0f038b7e9df00f1efa) C:\WINDOWS\system32\Drivers\BTHUSB.sys
2011/08/07 21:30:45.0203 3424 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/08/07 21:30:45.0359 3424 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/08/07 21:30:45.0468 3424 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/08/07 21:30:45.0609 3424 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/08/07 21:30:45.0984 3424 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/08/07 21:30:46.0140 3424 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/08/07 21:30:46.0312 3424 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/08/07 21:30:46.0421 3424 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/08/07 21:30:46.0546 3424 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/08/07 21:30:46.0750 3424 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/08/07 21:30:46.0906 3424 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/08/07 21:30:47.0031 3424 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/08/07 21:30:47.0125 3424 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/08/07 21:30:47.0187 3424 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/08/07 21:30:47.0296 3424 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/08/07 21:30:47.0453 3424 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/08/07 21:30:47.0531 3424 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/08/07 21:30:47.0656 3424 gameenum (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/08/07 21:30:47.0734 3424 GEARAspiWDM (5dc17164f66380cbfefd895c18467773) C:\WINDOWS\system32\Drivers\GEARAspiWDM.sys
2011/08/07 21:30:47.0828 3424 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/08/07 21:30:48.0000 3424 HTTP (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/08/07 21:30:48.0234 3424 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/08/07 21:30:48.0359 3424 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/08/07 21:30:48.0562 3424 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/08/07 21:30:48.0703 3424 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/08/07 21:30:48.0781 3424 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/08/07 21:30:48.0890 3424 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/08/07 21:30:49.0015 3424 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/08/07 21:30:49.0125 3424 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/08/07 21:30:49.0250 3424 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/08/07 21:30:49.0390 3424 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/08/07 21:30:49.0468 3424 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/08/07 21:30:49.0609 3424 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/08/07 21:30:49.0718 3424 KSecDD (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/08/07 21:30:49.0921 3424 lirsgt (975b6cf65f44e95883f3855bae8cecaf) C:\WINDOWS\system32\DRIVERS\lirsgt.sys
2011/08/07 21:30:50.0046 3424 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/08/07 21:30:50.0156 3424 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/08/07 21:30:50.0265 3424 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/08/07 21:30:50.0375 3424 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/08/07 21:30:50.0531 3424 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/08/07 21:30:50.0718 3424 MRxSmb (60ae98742484e7ab80c3c1450e708148) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/08/07 21:30:50.0875 3424 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/08/07 21:30:50.0968 3424 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/08/07 21:30:51.0078 3424 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/08/07 21:30:51.0421 3424 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/08/07 21:30:51.0562 3424 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/08/07 21:30:51.0687 3424 ms_mpu401 (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys
2011/08/07 21:30:51.0781 3424 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/08/07 21:30:51.0890 3424 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/08/07 21:30:51.0984 3424 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/08/07 21:30:52.0093 3424 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/08/07 21:30:52.0187 3424 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/08/07 21:30:52.0296 3424 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/08/07 21:30:52.0437 3424 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/08/07 21:30:52.0562 3424 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/08/07 21:30:52.0703 3424 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/08/07 21:30:52.0812 3424 nmwcd (357ddb51e03cae598c096d95497373d0) C:\WINDOWS\system32\drivers\ccdcmb.sys
2011/08/07 21:30:52.0921 3424 nmwcdc (7cd443f9d36c80e152fadb274089577a) C:\WINDOWS\system32\drivers\ccdcmbo.sys
2011/08/07 21:30:53.0015 3424 nmwcdnsu (02120406f27f5895dfce4c640e6ee237) C:\WINDOWS\system32\drivers\nmwcdnsu.sys
2011/08/07 21:30:53.0125 3424 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/08/07 21:30:53.0250 3424 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/08/07 21:30:53.0375 3424 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/08/07 21:30:53.0453 3424 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/08/07 21:30:53.0625 3424 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/08/07 21:30:53.0765 3424 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/08/07 21:30:53.0859 3424 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/08/07 21:30:53.0968 3424 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/08/07 21:30:54.0078 3424 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/08/07 21:30:54.0171 3424 PCANDIS5 (2f9806b52cb3748b1e49222744b28e3c) C:\WINDOWS\system32\PCANDIS5.SYS
2011/08/07 21:30:54.0312 3424 pccsmcfd (fd2041e9ba03db7764b2248f02475079) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
2011/08/07 21:30:54.0406 3424 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/08/07 21:30:54.0562 3424 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/08/07 21:30:54.0656 3424 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/08/07 21:30:55.0062 3424 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/08/07 21:30:55.0203 3424 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/08/07 21:30:55.0328 3424 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/08/07 21:30:55.0421 3424 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/08/07 21:30:55.0750 3424 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/08/07 21:30:55.0859 3424 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/08/07 21:30:55.0968 3424 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/08/07 21:30:56.0062 3424 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/08/07 21:30:56.0171 3424 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/08/07 21:30:56.0265 3424 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/08/07 21:30:56.0359 3424 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/08/07 21:30:56.0468 3424 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/08/07 21:30:56.0640 3424 RFCOMM (851c30df2807fcfa21e4c681a7d6440e) C:\WINDOWS\system32\DRIVERS\rfcomm.sys
2011/08/07 21:30:56.0796 3424 rspndr (a3b23fb3f295694091f51865f98588b2) C:\WINDOWS\system32\DRIVERS\rspndr.sys
2011/08/07 21:30:56.0968 3424 rtl8139 (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
2011/08/07 21:30:57.0156 3424 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/08/07 21:30:57.0265 3424 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/08/07 21:30:57.0406 3424 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/08/07 21:30:57.0546 3424 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/08/07 21:30:57.0734 3424 sisagp (61ca562def09a782d26b3e7edec5369a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys
2011/08/07 21:30:57.0906 3424 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/08/07 21:30:58.0062 3424 sptd (2831986cf9ba7cdf41568b062682657d) C:\WINDOWS\system32\Drivers\sptd.sys
2011/08/07 21:30:58.0062 3424 Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: 2831986cf9ba7cdf41568b062682657d
2011/08/07 21:30:58.0093 3424 sptd - detected LockedFile.Multi.Generic (1)
2011/08/07 21:30:58.0187 3424 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/08/07 21:30:58.0296 3424 Srv (3bb03f2ba89d2be417206c373d2af17c) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/08/07 21:30:58.0453 3424 ssmdrv (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/08/07 21:30:58.0578 3424 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/08/07 21:30:58.0640 3424 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/08/07 21:30:58.0906 3424 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/08/07 21:30:59.0046 3424 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/08/07 21:30:59.0171 3424 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/08/07 21:30:59.0281 3424 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/08/07 21:30:59.0375 3424 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/08/07 21:30:59.0953 3424 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/08/07 21:31:00.0125 3424 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/08/07 21:31:00.0265 3424 upperdev (15629e4d65f97ab5432d6d9597cf6a33) C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys
2011/08/07 21:31:00.0390 3424 USBAAPL (f340199e8cb097e1acd58a967c665919) C:\WINDOWS\system32\Drivers\usbaapl.sys
2011/08/07 21:31:00.0484 3424 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/08/07 21:31:00.0656 3424 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/08/07 21:31:00.0796 3424 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/08/07 21:31:00.0937 3424 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/08/07 21:31:01.0062 3424 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/08/07 21:31:01.0156 3424 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/08/07 21:31:01.0265 3424 usbser (1c888b000c2f9492f4b15b5b6b84873e) C:\WINDOWS\system32\drivers\usbser.sys
2011/08/07 21:31:01.0375 3424 UsbserFilt (5c17e6a11aa8be53f79fd364ba19f0ce) C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys
2011/08/07 21:31:01.0484 3424 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/08/07 21:31:01.0609 3424 vaxscsi (92cebc2bc7be2c8d49391b365569f306) C:\WINDOWS\System32\Drivers\vaxscsi.sys
2011/08/07 21:31:01.0750 3424 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/08/07 21:31:01.0906 3424 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/08/07 21:31:02.0015 3424 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/08/07 21:31:02.0140 3424 wceusbsh (46a247f6617526afe38b6f12f5512120) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
2011/08/07 21:31:02.0250 3424 Wdf01000 (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/08/07 21:31:02.0484 3424 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/08/07 21:31:02.0656 3424 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/08/07 21:31:02.0765 3424 WudfPf (6ff66513d372d479ef1810223c8d20ce) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/08/07 21:31:02.0875 3424 WudfRd (ac13cb789d93412106b0fb6c7eb2bcb6) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/08/07 21:31:03.0140 3424 MBR (0x1B8) (8f558eb6672622401da993e1e865c861) \Device\Harddisk0\DR0
2011/08/07 21:31:03.0281 3424 Boot (0x1200) (22ec678784f549ba2c3aee12daac077c) \Device\Harddisk0\DR0\Partition0
2011/08/07 21:31:03.0296 3424 ================================================================================
2011/08/07 21:31:03.0296 3424 Scan finished
2011/08/07 21:31:03.0296 3424 ================================================================================
2011/08/07 21:31:03.0328 3416 Detected object count: 1
2011/08/07 21:31:03.0328 3416 Actual detected object count: 1
2011/08/07 21:31:46.0468 3416 LockedFile.Multi.Generic(sptd) - User select action: Skip
|
|
08.08.2011, 12:37
| #10 |
| /// Malwareteam | T-Online meldet Torpig und Mebroot Bestehen noch Probleme? |
|
08.08.2011, 20:25
| #11 | |
| | T-Online meldet Torpig und Mebroot Vielen Dank für deine Hilfe, ich denke, wir sollten den Thread jetzt beenden. Ich denke/hoffe dass die Aktionen in der Wiederherstellungskonsole den Sinowal unwirksam gemacht hat. Zitat:
Er konnte mit dem PC normal arbeiten. Kurze Zusammenfassung Vor einigen Monaten erhielt der Besitzer des PCs, genauer sein Vater als Anschlussinhaber eine Warnung der Telekom, dass "Angriffe von seinen Anschluss aus" durchgeführt werden. Eine Komplett Suche mit AVIRA und Malwarebytes Anti Malware lieferten keine Ergebnisse - wie auch, wenn ein aktives Rootkit mir zeigte, was ich sehen sollte. Der Grund meiner Anfrage war, weil die Telekom vor einigen Tagen erneut eine Warnung gesendet hatte. Ich habe dort einmal nachgefragt, erhielt einen Hinweis auf Torpig und Mebroot. Eine Überprüfung beider PCs mit GMER lieferte den Sinowal auf einem der PCs. Ich denke/hoffe dass die Aktionen in der Wiederherstellungskonsole den Sinowal unwirksam gemacht hat. Ich werde erfahren, wenn erneut eine Warnung der Telekom eintrifft. Michael |
|
09.08.2011, 13:00
| #12 |
| /// Malwareteam | T-Online meldet Torpig und Mebroot Logfile ist sauber  Hier noch die letzten paar Schritte zur Säuberung Deines Rechners. Schritt 1 Systemwiederherstellung mit OTL leeren Lade Dir (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
Code:
ATTFilter :Commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[reboot]
Schritt 2 Tool CleanUp Starte bitte die OTL.exe. Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen. Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren. Schritt 3 Automatische Updates Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten. Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl und klicke auf OK. Stelle sicher das die automatischen Updates aktiviert sind. Schritt 4 Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.
Schritt 5 Tipps für sicheres Surfen Das sind meine Vorschläge. Verwende einen alternativen Browser statt den IE. Ich empfehle Mozilla Firefox. Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.
Don'ts
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen. Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann. |
|
09.08.2011, 21:05
| #13 |
| | T-Online meldet Torpig und Mebroot Vielen Dank für die Tipps, dieser Thread kann jetzt beendet werden.weiterhin viel Erfolg bei der Malware Beseitigung, Michael |
|
| Themen zu T-Online meldet Torpig und Mebroot |
| .dll, abuse team, anschluss, antivir, avira, booten, classpnp.sys, desktop, explorer, hal.dll, harddisk, icq, ip-adresse, löschen, malicious win32:mbroot code, mbroot, mebroot, neu, port, problem, programme, registry, rootkit, router, scan, sched.exe, secur, sinkhole, sinowal, sptd.sys, system, telekom abuse team, temp, usbport.sys, warnung, winlogon.exe |
.
Linear-Darstellung
