Patchload.O eingefangen

hansthomas · 15.11.2011, 09:15

Hi Chris,

da bin ich ja schon mal froh...

Du hattest meine Frage nach der Datensicherung noch nicht beantwortet: soll ich die Dateien einfach kopieren oder mit einem entsprechenden Programm ein Backup machen? Wenn ja, welches Programm empfiehlst Du?

Das Mbrcheck log hänge ich an.

Zitat:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0200005c

Kernel Drivers (total 127):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB7EA7000 sppp.sys
0xB85AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xB7E8F000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xB7E60000 ACPI.sys
0xB7E4F000 pci.sys
0xB80A8000 isapnp.sys
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xB80B8000 MountMgr.sys
0xB7E30000 ftdisk.sys
0xB85AC000 dmload.sys
0xB7E0A000 dmio.sys
0xB8330000 PartMgr.sys
0xB80C8000 VolSnap.sys
0xB7DF2000 atapi.sys
0xB80D8000 jraid.sys
0xB80E8000 disk.sys
0xB80F8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB7DD2000 fltmgr.sys
0xB7DC0000 sr.sys
0xB8108000 PxHelp20.sys
0xB7DA9000 KSecDD.sys
0xB7D1C000 Ntfs.sys
0xB7CEF000 NDIS.sys
0xB8118000 ohci1394.sys
0xB8128000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xB7CD5000 Mup.sys
0xB8158000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB72A2000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB728E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB8398000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB726A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB83A0000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB7242000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB7229000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xB8168000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xB8178000 \SystemRoot\system32\DRIVERS\serial.sys
0xB856C000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB7215000 \SystemRoot\system32\DRIVERS\parport.sys
0xB8188000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xB83C0000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB8198000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB71FC000 \SystemRoot\System32\Drivers\AnyDVD.sys
0xB81A8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xB81B8000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB71D9000 \SystemRoot\system32\DRIVERS\ks.sys
0xB7174000 \SystemRoot\System32\Drivers\aresxbca.SYS
0xB87E8000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB81C8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB7CA5000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB715D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB81D8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB81E8000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB8430000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB70AC000 \SystemRoot\system32\DRIVERS\psched.sys
0xB81F8000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB8440000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB8450000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB707C000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xB8208000 \SystemRoot\system32\DRIVERS\termdd.sys
0xB8460000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB85C2000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB701E000 \SystemRoot\system32\DRIVERS\update.sys
0xB7C81000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB8218000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB8228000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB85C6000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB4A2F000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB4A0B000 \SystemRoot\system32\drivers\portcls.sys
0xB8238000 \SystemRoot\system32\drivers\drmk.sys
0xB85CC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB86B9000 \SystemRoot\System32\Drivers\Null.SYS
0xB85D0000 \SystemRoot\System32\Drivers\Beep.SYS
0xB8358000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB8390000 \SystemRoot\System32\drivers\vga.sys
0xB85D4000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB85D8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB83B0000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB83C8000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB6FF6000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB4988000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB492F000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB4907000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB48E1000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB8248000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB48BF000 \SystemRoot\System32\drivers\afd.sys
0xB8258000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xB8268000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB83E8000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB4894000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB4824000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB8278000 \SystemRoot\System32\Drivers\Fips.SYS
0xB8400000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xB8298000 \SystemRoot\system32\DRIVERS\avkmgr.sys
0xB475F000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB8418000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB49EB000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB82B8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB49E7000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB82C8000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB471F000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xB85E0000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB49C7000 \SystemRoot\System32\drivers\Dxapi.sys
0xB8448000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB87D8000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBD635000 \SystemRoot\System32\ATMFD.DLL
0xB43C6000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB4191000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB4154000 \SystemRoot\system32\drivers\wdmaud.sys
0xB82F8000 \SystemRoot\system32\drivers\sysaudio.sys
0xB42BE000 \??\C:\WINDOWS\system32\drivers\Haspnt.sys
0xB85F8000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB3EB9000 \SystemRoot\system32\DRIVERS\atksgt.sys
0xB3DE7000 \??\C:\WINDOWS\system32\drivers\hardlock.sys
0xB3DC3000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xB83D8000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0xB3C7B000 \SystemRoot\system32\DRIVERS\srv.sys
0xB38F9000 \SystemRoot\System32\Drivers\HTTP.sys
0xB3583000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 29):
0 System Idle Process
4 System
760 C:\WINDOWS\system32\smss.exe
812 csrss.exe
844 C:\WINDOWS\system32\winlogon.exe
888 C:\WINDOWS\system32\services.exe
900 C:\WINDOWS\system32\lsass.exe
1092 C:\WINDOWS\system32\svchost.exe
1160 svchost.exe
1256 C:\WINDOWS\system32\svchost.exe
1300 svchost.exe
1416 svchost.exe
1452 C:\WINDOWS\system32\spoolsv.exe
1492 C:\Programme\Avira\AntiVir Desktop\sched.exe
1668 svchost.exe
1872 C:\WINDOWS\explorer.exe
2036 C:\Programme\Avira\AntiVir Desktop\avguard.exe
220 C:\WINDOWS\system32\svchost.exe
684 C:\WINDOWS\system32\wuauclt.exe
1820 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
316 alg.exe
604 C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
1244 C:\WINDOWS\RTHDCPL.exe
1428 C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
1780 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2068 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2096 C:\WINDOWS\system32\ctfmon.exe
3888 C:\WINDOWS\system32\wuauclt.exe
3632 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000018`69e61600 (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD321KJ, Rev: CP100-12
PhysicalDrive1 Model Number: SAMSUNGHD321KJ, Rev: CP100-12

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
298 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Done!

Chris4You · 15.11.2011, 10:48

Hallo,

sieht gut aus, kein MBR-Rootkit etc.

Dann weiter mit Plan B, Daten sichern und dann "Advanced Windowscare"...

chris

hansthomas · 16.11.2011, 09:05

Hi Chris,

obwohl ich nicht weiß wie, funktioniert das Internet jetzt wieder. Ich habe die Scans und Optimierungen von ASC durchgeführt weil ich den von Dir empfohlenen Punkt

Zitat:

Führe dann einen Update der Signatur/Reperaturdateien aus.

nicht wirklich gefunden habe. Nach einem Neustart hat der Rechner etwas länger gebraucht aber dann ging das Internet wieder.

Müssen wir noch eine Kontrolle machen oder kann ich irgendwas tun, um das System zukünftig besser abzusichern?

Vielen Dank nochmal für Deine Hilfe!

Chris4You · 16.11.2011, 09:46

Hi,

bite MAM (Anitmalewarebytes) updaten und nochmal einen Komplettscan durchführen...

Log posten!

Chris

hansthomas · 17.11.2011, 16:08

Hi Chris,

hier ist das mbam log. sry für die Verspätung, aber ich habe es nicht vorher hinbekommen.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8182

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.11.2011 15:04:00
mbam-log-2011-11-17 (15-03-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|Z:\|)
Durchsuchte Objekte: 389641
Laufzeit: 1 Stunde(n), 21 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Chris4You · 17.11.2011, 17:21

Hallo,

Systemwiederherstellung zurücksetzen:
Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Backup der Daten (soweit nicht schon durchgeführt) machen.
Rechner beobachten, ob er noch Mätzchen macht (es ist immer besser und sicherer einen Rechner nach so einer Infektion Neuaufzusetzen, da nicht alle Manipulationen nachverfolgt werden können (z. B. geöffnete Ports etc.)).

chris

hansthomas · 19.11.2011, 15:11

Hi Chris,

habe Deine letzten Ratschläge befolgt und die Systemwiederherstellung einmal runderneuert. Bisher bleibt alles ruhig, aber ich bin immer noch unsicher, ob ich mich schon ans online banking oder Interneteinkäufe ran trauen soll. In ca. 2 Woche hätte ich etwas Zeit für eine komplette Neuaufsetzung...

Chris4You · 19.11.2011, 19:36

Hallo,

die Entscheidung kann Dir keiner abnehmen ;o), Neuaufsetzen solltest Du auf jeden Fall, wenn Du über den Rechner Homebanking machst...

chris

Patchload.O eingefangen

Plagegeister aller Art und deren Bekämpfung: Patchload.O eingefangen