Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
(Unbekanntes) Bootkit

(Unbekanntes) Bootkit


Plagegeister aller Art und deren Bekämpfung: (Unbekanntes) Bootkit

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.10.2011, 13:21   #1
snufforama
 
(Unbekanntes) Bootkit - Standard

(Unbekanntes) Bootkit


Hallo erstmal,

ich habe folgende Frage, StreamArmor fand bei mir einen unbekannten ADS, den ich dann auch los geworden bin. Habe aber dann über Google heraus gefunden dass ich möglicherweise mit einem Bootkit infiziert sein könnte. Nach weiterem googeln hab ich dann über das Trojaner Board von Bootkit Remover von Esage Lab erfahren. Und tatsächlich wurde ein Bootkit gefunden (controlled by rootkit). Leider konnte ich nicht herausfinden um welches genau es sich handelte was sich jetzt wohl auch nicht mehr nachvollziehen lässt da ich meine Festplatte nun komplett gelöscht und formatiert habe. Nun zur eigentlichen Frage: Sehe ich das richtig, sollte ich nach Löschung und Formatierung gänzlich frei von Schädlingen sein, auch wen der Schädling im MBR versteckt war? Bei Windows Neuinstallation wird ja auch der MBR komplett neu geschrieben, oder?

Vielen Dank schon mal.

Alt 07.10.2011, 13:50   #2
markusg
/// Malware-holic
 
(Unbekanntes) Bootkit - Standard

(Unbekanntes) Bootkit


lass den bootkit emover doch noch mal laufen.
welches betriebssystem nutzt du denn, damit wir weitere schutzmaßnamen für die zukunft treffen können.
__________________

__________________
Alt 07.10.2011, 15:48   #3
snufforama
 
(Unbekanntes) Bootkit - Standard

(Unbekanntes) Bootkit


Also das Betriebssystem ist Windows 7 aber Bootkit Remover bringt jetzt nichts mehr bzw. ist auch zu spät da ich jetzt schon am neu aufsetzen bin(schreibe hier gerade von 2. System). Es geht jetzt viel mehr darum ob Schädlinge das komplette Löschen bzw. Formatieren der Festplatte überleben können, gerade wenn der Master Boot Record betroffen war oder ob ich mir sicher sein kann jetzt eine saubere Festplatte zu haben(nach kompletter Windows Neuinstallation)?
__________________
Alt 07.10.2011, 15:51   #4
markusg
/// Malware-holic
 
(Unbekanntes) Bootkit - Standard

(Unbekanntes) Bootkit


normalerweise sollte das sicher sein, ich sagte deswegen du kannst ja zur sicherheit dann noch mal bootkit remover auf dem neuen system laufen lassen und das ergebniss posten.
wenn du willst gebe ich dir noch tipps um das neue system abzusichern
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.10.2011, 11:34   #5
snufforama
 
(Unbekanntes) Bootkit - Standard

(Unbekanntes) Bootkit


Hallo markusg,
sorry hat jetzt ein bisschen länger gedauert mit der Antwort. Ich bin mir mittlerweile nicht mal mehr sicher ob ich tatsächlich nen Schädling hatte. Hab mir jetzt nach dem Aufsätzen zusätzlich noch MBRCheck.exe runtergeladen nachdem ich nach Neuinstallation wieder einen Fund mit Bootkit Remover hatte. Allerdings bin ich nach MBRCheck.exe clean. Was ich mir jetzt vorstellen könnte ist - ich habe auch Paragon Backup free installiert, wessen Treiber sich auch verdammt tief ins System schreiben - und das dann zu einem false positive fürt.

Hier noch die MBRCheck und Highjackthis Logfile:
Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows 7 Home Premium Edition
Windows Information:		Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer:	ASUSTeK Computer INC.
BIOS Manufacturer:		American Megatrends Inc.
System Manufacturer:		System manufacturer
System Product Name:		System Product Name
Logical Drives Mask:		0x0000007c

Kernel Drivers (total 163):
  0x02C62000 \SystemRoot\system32\ntoskrnl.exe
  0x02C19000 \SystemRoot\system32\hal.dll
  0x00BA5000 \SystemRoot\system32\kdcom.dll
  0x00CE5000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
  0x00D34000 \SystemRoot\system32\PSHED.dll
  0x00D48000 \SystemRoot\system32\CLFS.SYS
  0x00C00000 \SystemRoot\system32\CI.dll
  0x00E16000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x00EBA000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x00EC9000 \SystemRoot\system32\drivers\ACPI.sys
  0x00F20000 \SystemRoot\system32\drivers\WMILIB.SYS
  0x00F29000 \SystemRoot\system32\drivers\msisadrv.sys
  0x00F33000 \SystemRoot\system32\drivers\pci.sys
  0x00F66000 \SystemRoot\system32\drivers\vdrvroot.sys
  0x00F73000 \SystemRoot\System32\drivers\partmgr.sys
  0x00F88000 \SystemRoot\system32\drivers\volmgr.sys
  0x00F9D000 \SystemRoot\System32\drivers\volmgrx.sys
  0x00FF9000 \SystemRoot\system32\drivers\pciide.sys
  0x00E00000 \SystemRoot\system32\drivers\PCIIDEX.SYS
  0x00CC0000 \SystemRoot\System32\drivers\mountmgr.sys
  0x0104A000 \SystemRoot\system32\DRIVERS\iaStor.sys
  0x013EC000 \SystemRoot\system32\drivers\atapi.sys
  0x01000000 \SystemRoot\system32\drivers\ataport.SYS
  0x0102A000 \SystemRoot\system32\drivers\msahci.sys
  0x00DA6000 \SystemRoot\system32\DRIVERS\jraid.sys
  0x00DC3000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS
  0x01035000 \SystemRoot\system32\drivers\amdxata.sys
  0x01458000 \SystemRoot\system32\drivers\fltmgr.sys
  0x014A4000 \SystemRoot\system32\drivers\fileinfo.sys
  0x0162E000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x014B8000 \SystemRoot\System32\Drivers\msrpc.sys
  0x017D1000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x01516000 \SystemRoot\System32\Drivers\cng.sys
  0x017EC000 \SystemRoot\System32\drivers\pcw.sys
  0x01600000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x018B4000 \SystemRoot\system32\drivers\ndis.sys
  0x01800000 \SystemRoot\system32\drivers\NETIO.SYS
  0x01860000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x01A1D000 \SystemRoot\System32\drivers\tcpip.sys
  0x01C21000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x01C6B000 \SystemRoot\system32\drivers\volsnap.sys
  0x01CB7000 \SystemRoot\System32\Drivers\spldr.sys
  0x01CBF000 \SystemRoot\System32\drivers\rdyboost.sys
  0x01CF9000 \SystemRoot\System32\Drivers\mup.sys
  0x01D0B000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x01D14000 \SystemRoot\system32\DRIVERS\hotcore3.sys
  0x01D20000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x01D5A000 \SystemRoot\system32\DRIVERS\disk.sys
  0x01D70000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x049D4000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x044A7000 \SystemRoot\System32\Drivers\aswSnx.SYS
  0x0453F000 \SystemRoot\System32\Drivers\Null.SYS
  0x04548000 \SystemRoot\System32\Drivers\Beep.SYS
  0x0454F000 \SystemRoot\System32\drivers\vga.sys
  0x0455D000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x04582000 \SystemRoot\System32\drivers\watchdog.sys
  0x04592000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x0459B000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x045A4000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x045AD000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x045B8000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x045C9000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x045EB000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x04400000 \SystemRoot\System32\Drivers\aswTdi.SYS
  0x04412000 \SystemRoot\system32\drivers\afd.sys
  0x04600000 \SystemRoot\System32\Drivers\aswRdr.SYS
  0x01DAE000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x0449B000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x0188B000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x0460D000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x01A00000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x04E35000 \SystemRoot\System32\Drivers\Uim_IMx64.sys
  0x04EB9000 \SystemRoot\System32\Drivers\UimFIO.SYS
  0x04F20000 \SystemRoot\system32\DRIVERS\uimx64.sys
  0x04F2F000 \SystemRoot\system32\drivers\termdd.sys
  0x04F43000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x04F94000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x04FA0000 \SystemRoot\system32\drivers\mssmbios.sys
  0x04FAB000 \SystemRoot\System32\drivers\discache.sys
  0x04FBA000 \SystemRoot\System32\Drivers\dfsc.sys
  0x04FD8000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x019A7000 \SystemRoot\System32\Drivers\aswSP.SYS
  0x04E00000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x04FE9000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0x01588000 \SystemRoot\system32\DRIVERS\atikmpag.sys
  0x05AE2000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x064F0000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x05A00000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x05A46000 \SystemRoot\system32\drivers\HDAudBus.sys
  0x05A6A000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0x05A77000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x05ACD000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x04C6A000 \SystemRoot\system32\DRIVERS\Rt64win7.sys
  0x04CF7000 \SystemRoot\system32\drivers\1394ohci.sys
  0x04D35000 \SystemRoot\system32\DRIVERS\ASACPI.sys
  0x04D3D000 \SystemRoot\system32\drivers\wmiacpi.sys
  0x04D46000 \SystemRoot\system32\drivers\CompositeBus.sys
  0x04D56000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x04D6C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x04D90000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x04D9C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x04DCB000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x04C00000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x04C21000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x04C3B000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x04C4A000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x04C59000 \SystemRoot\system32\drivers\swenum.sys
  0x01400000 \SystemRoot\system32\drivers\ks.sys
  0x04C5B000 \SystemRoot\system32\drivers\LGBusEnum.sys
  0x04DE6000 \SystemRoot\system32\drivers\umbus.sys
  0x0563D000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x05697000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x056AC000 \SystemRoot\system32\drivers\AtihdW76.sys
  0x056EA000 \SystemRoot\system32\drivers\portcls.sys
  0x05727000 \SystemRoot\system32\drivers\drmk.sys
  0x05749000 \SystemRoot\system32\drivers\ksthunk.sys
  0x0574F000 \SystemRoot\system32\drivers\ADIHdAud.sys
  0x057C8000 \SystemRoot\system32\drivers\MCfilt64.sys
  0x057D6000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x0461C000 \SystemRoot\System32\Drivers\dump_iaStor.sys
  0x057E4000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x00060000 \SystemRoot\System32\win32k.sys
  0x05600000 \SystemRoot\System32\drivers\Dxapi.sys
  0x0560C000 \SystemRoot\System32\Drivers\LUsbFilt.Sys
  0x0561C000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x065E4000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x0562A000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x05633000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x049BE000 \SystemRoot\system32\DRIVERS\LHidFilt.Sys
  0x04E26000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x0160A000 \SystemRoot\system32\DRIVERS\LMouFilt.Sys
  0x015DB000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0x01DA0000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0x0161E000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x005C0000 \SystemRoot\System32\TSDDD.dll
  0x00670000 \SystemRoot\System32\cdd.dll
  0x03C0D000 \SystemRoot\system32\drivers\luafv.sys
  0x03C30000 \??\C:\Windows\system32\drivers\aswMonFlt.sys
  0x03C6A000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
  0x03C73000 \SystemRoot\system32\drivers\WudfPf.sys
  0x03C94000 \??\d:\Program Files\Sandboxie\SbieDrv.sys
  0x03CBE000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
  0x03CEF000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x03D04000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x03D1C000 \SystemRoot\system32\drivers\HTTP.sys
  0x0746F000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x0748D000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x074A5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x074D2000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x07520000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x07544000 \SystemRoot\system32\drivers\peauth.sys
  0x075EA000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x07400000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x07431000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x0CEB4000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x0CF1D000 \SystemRoot\system32\drivers\LGVirHid.sys
  0x0CF20000 \SystemRoot\System32\DRIVERS\srv.sys
  0x0CE71000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0x0CE7C000 \??\C:\Windows\system32\drivers\EagleX64.sys
  0x771E0000 \Windows\System32\ntdll.dll
  0x47B30000 \Windows\System32\smss.exe
  0xFF500000 \Windows\System32\apisetschema.dll
  0xFF520000 \Windows\System32\autochk.exe

Processes (total 79):
       0 System Idle Process
       4 System
     428 C:\Windows\System32\smss.exe
     524 csrss.exe
     604 C:\Windows\System32\wininit.exe
     628 csrss.exe
     664 C:\Windows\System32\services.exe
     684 C:\Windows\System32\lsass.exe
     692 C:\Windows\System32\lsm.exe
     808 C:\Windows\System32\svchost.exe
     884 C:\Windows\System32\winlogon.exe
     952 C:\Windows\System32\svchost.exe
    1000 C:\Windows\System32\atiesrxx.exe
     484 C:\Windows\System32\svchost.exe
     656 C:\Windows\System32\svchost.exe
     632 C:\Windows\System32\svchost.exe
    1116 C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
    1168 C:\Windows\System32\svchost.exe
    1216 D:\Program Files\Sandboxie\SbieSvc.exe
    1312 WUDFHost.exe
    1368 C:\Windows\System32\atieclxx.exe
    1404 WUDFHost.exe
    1464 C:\Windows\System32\svchost.exe
    1524 C:\Program Files\AVAST Software\Avast\AvastSvc.exe
    1724 C:\Windows\System32\dwm.exe
    1928 C:\Windows\explorer.exe
    1200 C:\Windows\System32\rundll32.exe
    1536 C:\Windows\System32\spoolsv.exe
    2056 C:\Windows\System32\taskhost.exe
    2128 C:\Windows\System32\svchost.exe
    2228 C:\Windows\System32\taskeng.exe
    2488 C:\Windows\System32\AEADISRV.EXE
    2536 C:\Windows\System32\svchost.exe
    2568 C:\Program Files\Logitech\GamePanel Software\LGDevAgt.exe
    2616 C:\Windows\System32\VSSVC.exe
    2720 C:\Program Files\Logitech\SetPoint\SetPoint.exe
    2792 C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
    2820 C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
    2844 D:\Program Files\Sandboxie\SbieCtrl.exe
    2916 C:\Program Files\AVAST Software\Avast\AvastUI.exe
    3060 C:\Program Files\Logitech\GamePanel Software\Applets\LCDClock.exe
    2096 C:\Program Files\Logitech\GamePanel Software\Applets\LCDCountdown.exe
    2188 C:\Program Files\Logitech\GamePanel Software\Applets\LCDPop3.exe
    1052 C:\Program Files\Logitech\GamePanel Software\Applets\LCDMedia.exe
     136 C:\Program Files\Logitech\GamePanel Software\Applets\LCDRSS.exe
    1700 C:\Program Files (x86)\Creative\SB X-Fi MB\Volume Panel\VolPanlu.exe
    2516 C:\Windows\System32\AMBSpiE.exe
    2860 C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe
    1712 C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.exe
    3240 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    3784 C:\Windows\System32\SearchIndexer.exe
    3192 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    4364 taskhost.exe
    4684 C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe
     840 C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
    4984 C:\Windows\System32\svchost.exe
    1164 C:\Windows\System32\taskhost.exe
    4212 D:\Program Files\Sandboxie\SandboxieRpcSs.exe
     832 D:\Program Files\Sandboxie\SandboxieDcomLaunch.exe
     508 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    4848 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    4000 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    3284 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    1396 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    4916 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    1460 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
     512 D:\Program Files\Sandboxie\SandboxieCrypto.exe
    1088 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    3536 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    3920 C:\Windows\SysWOW64\rundll32.exe
    1552 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    2404 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    1548 C:\Windows\System32\SearchProtocolHost.exe
    4240 C:\Windows\System32\SearchFilterHost.exe
     900 C:\Windows\System32\audiodg.exe
    2428 dllhost.exe
     200 dllhost.exe
    3852 C:\Users\MPPsychocat\Desktop\downloads\MBRCheck.exe
    2704 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000018`6a000000  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000029`81100000  (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000061`a8200000  (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD502HJ, Rev: 1AJ10001

      Size  Device Name          MBR Status
  --------------------------------------------
    465 GB  \\.\PhysicalDrive0   Windows 7 MBR code detected
            SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:04:36, on 12.10.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files (x86)\Creative\SB X-Fi MB\Volume Panel\VolPanlu.exe
C:\Program Files\Logitech\GamePanel Software\Applets\LCDMedia.exe
C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files (x86)\Creative\SB X-Fi MB\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [SandboxieControl] "d:\Program Files\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - d:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: Volumeschattenkopie (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 6115 bytes
System ist jetzt noch im relativen im Rohzustand da ich jetzt nach dem Bootkit Remover Fund noch nicht anfangen wollt es wieder komplett einzurichten.

Geändert von snufforama (12.10.2011 um 12:22 Uhr)

Alt 12.10.2011, 13:05   #6
markusg
/// Malware-holic
 
(Unbekanntes) Bootkit - Standard

(Unbekanntes) Bootkit


schau mal:
465 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
da steht doch windows 7 mbr detected, also ist doch alles gut :-)
wir können uns also, wenn du magst, um die absicherung des systems kümmern
__________________
--> (Unbekanntes) Bootkit

Alt 12.10.2011, 13:21   #7
snufforama
 
(Unbekanntes) Bootkit - Standard

(Unbekanntes) Bootkit


Nach MBRCheck ist es schon ok aber Bootkit Remover sagt:
Code:
ATTFilter
Bootkit Remover
(c) 2009 Esage Lab
www.esagelab.com

Program version: 1.2.0.1
OS Version: Microsoft Windows 7 Home Premium Edition Service Pack 1 (build 7601)
, 64-bit

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`06500000

     Size  Device Name          MBR Status
 --------------------------------------------
   465 GB  \\.\PhysicalDrive0   Controlled by rootkit!

Boot code on some of your physical disks is hidden by a rootkit.
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]


Done;
Press any key to quit...

Antwort

Themen zu (Unbekanntes) Bootkit
ads, board, festplatte, folge, folgende, formatierung, frage, gelöscht, google, herausfinden, infiziert, komplett, löschung, nachvollziehen, neuinstallation, nicht mehr, platte, remover, rootkit, schädlinge, trojaner, trojaner board, unbekannte, unbekanntes, windows


« Google redirect | TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe »


Ähnliche Themen: (Unbekanntes) Bootkit


  1. Pc spinnt / Unknown MBR Code... Bootkit?
    Log-Analyse und Auswertung - 27.10.2015 (11)
  2. Windows XP: PC bootet nicht mehr richtig (Trojaner, Root-, Bootkit?)
    Log-Analyse und Auswertung - 19.03.2014 (19)
  3. Bootkit Remover hat ein Problem erkannt, wie gehts jetzt weiter?
    Log-Analyse und Auswertung - 22.11.2013 (26)
  4. Unbekanntes Problem
    Log-Analyse und Auswertung - 18.03.2013 (81)
  5. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  6. C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper)
    Log-Analyse und Auswertung - 30.08.2012 (13)
  7. Bootkit Mebratix.B ?
    Log-Analyse und Auswertung - 06.04.2012 (10)
  8. AVAST findet Bootkit?
    Plagegeister aller Art und deren Bekämpfung - 25.04.2011 (86)
  9. Bootkit Remover findet anscheinend defekten MBR, was nun?
    Plagegeister aller Art und deren Bekämpfung - 10.02.2011 (4)
  10. Unbekanntes Problem
    Log-Analyse und Auswertung - 29.01.2011 (4)
  11. Virus überschreibt MBR immer neu.. (evt Bootkit?)
    Plagegeister aller Art und deren Bekämpfung - 19.10.2010 (19)
  12. TR Click.Cycler.ajts läßt sich mit bootkit remover oder GMER nicht beseitigen
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (19)
  13. Bootkit Remover
    Anleitungen, FAQs & Links - 30.05.2010 (1)
  14. Unbekanntes Rootkit
    Plagegeister aller Art und deren Bekämpfung - 17.08.2009 (2)
  15. Bootkit hebelt Festplattenverschlüsselung aus
    Nachrichten - 30.07.2009 (0)
  16. Ein unbekanntes Fenster?
    Plagegeister aller Art und deren Bekämpfung - 31.03.2009 (2)
  17. Unbekanntes Problem
    Log-Analyse und Auswertung - 08.11.2008 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema (Unbekanntes) Bootkit - Hallo erstmal, ich habe folgende Frage, StreamArmor fand bei mir einen unbekannten ADS, den ich dann auch los geworden bin. Habe aber dann über Google heraus gefunden dass ich möglicherweise - (Unbekanntes) Bootkit...
Archiv
Du betrachtest: (Unbekanntes) Bootkit auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19