|
Log-Analyse und Auswertung: Win32:Podnuha-BJ [Rtk] gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.01.2009, 12:49 | #1 |
| Win32:Podnuha-BJ [Rtk] gefunden Hallo! Melde mich mal wieder, weil mein G DATA AntiVirus 2009 folgenden Fund gemeldet hat: Trojan.Generic.975968 (Engine A), Win32:Podnuha-BJ [Rtk] (Engine B) und zwar in einer Datei namens rjgbj.dll im Windows\System32 Ordner. G DATA hat die Datei in Quarantäne verschoben. Würde gern wissen, ob hier jemand den Virus oder die Datei kennt?? Und ob mein System noch weitere Unannehmlichkeiten bereithält aktuell. Dazu habe ich die Datei bei VirusTotal scannen lassen und ein HijackThis Logfile erstellt, hier die Ergebnisse: ++++++++++++++++++++++++++++++++++++++++ VIRUSTOTAL Scan: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2009.01.06 Virus.Win32.Podnuha!IK AhnLab-V3 2009.1.5.3 2009.01.06 - AntiVir 7.9.0.45 2009.01.05 TR/BHO.Gen Authentium 5.1.0.4 2009.01.05 W32/Trojan2.EWBK Avast 4.8.1281.0 2009.01.05 Win32:Podnuha-BJ AVG 8.0.0.199 2009.01.05 BHO.X BitDefender 7.2 2009.01.06 Trojan.Generic.975968 CAT-QuickHeal 10.00 2009.01.06 Trojan.BHO.hcg ClamAV 0.94.1 2009.01.06 - Comodo 878 2009.01.05 TrojWare.Win32.Trojan.BHO.~DE DrWeb 4.44.0.09170 2009.01.06 Adware.Bho.97 eTrust-Vet 31.6.6293 2009.01.06 Win32/Kvol!generic Ewido 4.0 2008.12.31 - F-Prot 4.4.4.56 2009.01.05 W32/Trojan2.EWBK F-Secure 8.0.14470.0 2009.01.06 Trojan.Win32.BHO.hfn Fortinet 3.117.0.0 2009.01.06 W32/BHO.HFN!tr GData 19 2009.01.06 Trojan.Generic.975968 Ikarus T3.1.1.45.0 2009.01.06 Virus.Win32.Podnuha K7AntiVirus 7.10.576 2009.01.05 Trojan.Win32.BHO.hfn Kaspersky 7.0.0.125 2009.01.06 Trojan.Win32.BHO.hfn McAfee 5486 2009.01.05 Boaxxe.dll McAfee+Artemis 5486 2009.01.05 Boaxxe.dll Microsoft 1.4205 2009.01.06 Trojan:Win32/Boaxxe.B NOD32 3741 2009.01.05 a variant of Win32/Rootkit.Podnuha Norman 5.80.02 2009.01.02 W32/BHO.FXZ Panda 9.0.0.4 2009.01.05 Generic Malware PCTools 4.4.2.0 2009.01.05 Rootkit.Podnuha.Gen.2 Rising 21.11.12.00 2009.01.06 - SecureWeb-Gateway 6.7.6 2009.01.05 Trojan.BHO.Gen Sophos 4.37.0 2009.01.06 Mal/Generic-A Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.BHO.hfn Symantec 10 2009.01.06 Trojan Horse TheHacker 6.3.1.4.205 2009.01.05 Trojan/BHO.hfn TrendMicro 8.700.0.1004 2009.01.06 - VBA32 3.12.8.10 2009.01.05 Trojan.Win32.Boaxxe ViRobot 2009.1.6.1546 2009.01.06 Trojan.Win32.BHO.93184.AE VirusBuster 4.5.11.0 2009.01.05 Rootkit.Podnuha.Gen.2 weitere Informationen File size: 93184 bytes MD5...: b66520b19e49a2729059d6da4ab0b5a7 SHA1..: 6fa5fb648932543309769588a3c2d359f3afa40e SHA256: 6160c323533aebfa21c13814ee717b9c640658df41cf98ed7d 7426fe4e3864b9 SHA512: 417c314717e8abc96b70d8c156639286091c7aacf162b81925 0f1aaaef0a27e5 154b97e0fd565742956665731420041c7d4a3d3026a4cc474e 1bde161d37a9fa ssdeep: 1536H+rCSzfM1lM8q4Ue07zAnGrbtpcvKvc3VhKtc8PWvC73 FW9RmiukLDau ehzUDdlV07zAGrJpcSvc3zhLe1WTmiV PEiD..: - TrID..: File type identification UPX compressed Win32 Executable (42.6%) Win32 EXE Yoda's Crypter (37.0%) Win32 Executable Generic (11.8%) Win16/32 Executable Delphi generic (2.8%) Generic Win/DOS Executable (2.7%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x43d650 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x27000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x28000 0x16000 0x15a00 7.90 b21545e55ec2676f06e88da9363931b1 .rsrc 0x3e000 0x1000 0xe00 3.77 7a988e7f5bef3483e0541660e731d95d ( 7 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree > advapi32.dll: RegCloseKey > ole32.dll: IsEqualGUID > oleaut32.dll: LoadTypeLib > shell32.dll: SHGetMalloc > user32.dll: SetTimer > wininet.dll: InternetCrackUrlA ( 5 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, InitEntry0 packers (Avast): UPX packers (Authentium): UPX packers (F-Prot): UPX CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b66520b19e49a2729059d6da4ab0b5a7' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b66520b19e49a2729059d6da4ab0b5a7</a> +++++++++++++++++++++++++++++++++++++++++++ HJT Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:30:14, on 06.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe C:\Program Files\G DATA\AntiVirus\AVK\AVKService.exe C:\Program Files\G DATA\AntiVirus\AVK\AVKWCtl.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Sandboxie\SbieSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\System32\dmadmin.exe C:\Program Files\OO Software\DiskImage\oodiag.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe C:\Program Files\G DATA\AntiVirus\AVKTray\AVKTray.exe C:\WINDOWS\system32\MAFWTray.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\GIGABYTE\GEST\GEST.exe C:\Program Files\GIGABYTE\GEST\GSvr.exe D:\MISC\uTorrent\utorrent16.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\G DATA\AntiVirus\AVK\avk.exe C:\HJT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = maxdome - Deutschlands größte Online-Videothek R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local O1 - Hosts: # Copyright (c) 1993-1999 Microsoft Corp. O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA\AntiVirus\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA\AntiVirus\Webfilter\AVKWebIE.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Program Files\G DATA\AntiVirus\AVKTray\AVKTray.exe O4 - HKLM\..\Run: [GEST] C:\Program Files\GIGABYTE\GEST\RUN.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\MAFWTray.exe O4 - HKLM\..\Run: [MAFWTaskbarApp] C:\WINDOWS\system32\MAFWTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/micr...?1226603186125 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - h**ps://fpdownload.macromedia.com/pu...sh/swflash.cab O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - h**p://drmlicense.one.microsoft.com/.../en/crlocx.ocx O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft Ad-Aware\aawservice.exe O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Unknown owner - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe (file missing) O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Program Files\G DATA\AntiVirus\AVK\AVKService.exe O23 - Service: AntiVirus Monitor (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA\AntiVirus\AVK\AVKWCtl.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O DiskImage - Unknown owner - C:\Program Files\OO Software\DiskImage\oodiag.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe Malwarebyte und Spybot S&D haben beim letzten Scan nix gefunden, werd aber nochmal nen aktuellen Scan durchführen. Bitte um Feedback. PS: Achso, ein Hinweis noch: G DATA ist in den letzten 2 Tagen dadurch 2, 3 mal aufgefallen, dass es mir eine Meldung gebracht hat, dass irgendetwas (wurde nicht angegeben) meine host-Datei und Autostart-Einträge ändern wollte, was ich stets verneinte... |
07.01.2009, 08:52 | #2 | |
/// AVZ-Toolkit Guru | Win32:Podnuha-BJ [Rtk] gefunden Halli hallo badhotrod
__________________Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
Fixe folgende Eintrag mit HJT: Zitat:
Panda AntiRootkit
Blacklight Scanne den Rechner danach zusätzlich mit Blacklight und poste das log! (C:\fsbl.log) Evtl. Funde lasse bitte ebenfalls beheben/umbennen. GMER - Rootkit Detection
__________________ |
07.01.2009, 11:13 | #3 |
| Win32:Podnuha-BJ [Rtk] gefunden Hallo!
__________________Bevor ich loslege, welchen Grund hat es, alle AntiSpyware zu deinstallieren außer MBAM. Das würde ich sehr ungern tun... Kann die im ersten Post genannte dll-Datei aus der G Data Quarantäne entgültig gelöscht werden? Geändert von badhotrod (07.01.2009 um 11:26 Uhr) |
07.01.2009, 12:33 | #4 |
| Win32:Podnuha-BJ [Rtk] gefunden So, außer der Deinstallation von AdAware und Spybot S&D habe ich von oben alles abgearbeitet, HJT-Wert wurde gefixt. Malwarebytes, Panda und Blacklight finden nichts (genau wie AdAware, SSD oder Sophos Anti-Rootkit)! Zusätzlich noch das Programm Simplysup Trojan Remover scannen lassen, keine Infektionen gemeldet. Security Task Manager zeigt auch nichts auffälliges. Komisch nur, dass GMER was gefunden hat ... Hier das Ergebnis von GMER: (welches ich nicht wirklich interpretieren kann) "GMER has found system modification caused by ROOTKIT activity" GMER 1.0.14.14536 - h**p://www.gmer.net Rootkit scan 2009-01-07 12:29:00 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwClose [0xBAC193AA] SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwCreateKey [0xBAC1A07A] SSDT \??\C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes' Anti-Malware/Malwarebytes Corporation) ZwCreateSection [0xB47B5FE0] SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwDeleteKey [0xBAC1A19C] SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwDeleteValueKey [0xBAC1A1BE] SSDT sptd.sys ZwEnumerateKey [0xBA6C3FB2] SSDT sptd.sys ZwEnumerateValueKey [0xBA6C4340] SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwOpenKey [0xBAC1A102] SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwOpenProcess [0xBAC192D0] SSDT sptd.sys ZwQueryKey [0xBA6C4418] SSDT sptd.sys ZwQueryValueKey [0xBA6C4298] SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwSetValueKey [0xBAC1A16E] ---- Kernel code sections - GMER 1.0.14 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2CE2 8050457E 2 Bytes [ 6C, BA ] ? C:\WINDOWS\system32\drivers\sptd.sys The process cannot access the file because it is being used by another process. .text USBPORT.SYS!DllUnload B9D528AC 5 Bytes JMP 8A2831C8 ? System32\Drivers\aaik6xfb.SYS The system cannot find the file specified. ! .text win32k.sys!EngAcquireSemaphore + 2642 BF808936 5 Bytes JMP 8A0A64D0 .text win32k.sys!EngFreeUserMem + 5502 BF80EDED 5 Bytes JMP 8A0A6430 .text win32k.sys!EngCreateBitmap + D973 BF8457BB 5 Bytes JMP 8A0A6610 .text win32k.sys!EngMultiByteToWideChar + 2F22 BF852729 5 Bytes JMP 8A0A6750 .text win32k.sys!EngStretchBlt + CCB6 BF86C8A2 3 Bytes JMP 8A0A6570 .text win32k.sys!EngStretchBlt + CCBA BF86C8A6 1 Byte [ CA ] .text win32k.sys!FONTOBJ_pxoGetXform + 1032F BF8C3127 5 Bytes JMP 8A0A66B0 .text win32k.sys!EngFillPath + 3B8D BF8F0327 5 Bytes JMP 8A0A67F0 ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6BEAD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6BEC1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6BEB9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6BF748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6BF61E] sptd.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6D429A] sptd.sys ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 8A5D61E8 AttachedDevice \FileSystem\Ntfs \Ntfs oodisrh.sys (O&O DiskImage Snapshot/Restore Helper Driver (Win32)/O&O Software GmbH) Device \FileSystem\Fastfat \FatCdrom 89F8A790 Device \Driver\Tcpip \Device\Ip GDTdiIcpt.sys (G DATA Software AG) Device \Driver\Tcpip6 \Device\Ip6 GDTdiIcpt.sys (G DATA Software AG) Device \Driver\PCI_NTPNP5812 \Device\00000050 sptd.sys Device \Driver\usbuhci \Device\USBPDO-0 8A2821E8 Device \Driver\usbuhci \Device\USBPDO-1 8A2821E8 Device \Driver\usbuhci \Device\USBPDO-2 8A2821E8 Device \Driver\usbehci \Device\USBPDO-3 8A289558 Device \Driver\usbuhci \Device\USBPDO-4 8A2821E8 Device \Driver\Tcpip \Device\Tcp GDTdiIcpt.sys (G DATA Software AG) Device \Driver\usbuhci \Device\USBPDO-5 8A2821E8 Device \Driver\usbuhci \Device\USBPDO-6 8A2821E8 Device \Driver\Ftdisk \Device\HarddiskVolume1 8A5D81E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 oodisr.sys (O&O DiskImage Snapshot/Restore Driver (Win32)/O&O Software GmbH) AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation) Device \Driver\usbehci \Device\USBPDO-7 8A289558 Device \Driver\Cdrom \Device\CdRom0 8A21B790 Device \Driver\Ftdisk \Device\HarddiskVolume2 8A5D81E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 oodisr.sys (O&O DiskImage Snapshot/Restore Driver (Win32)/O&O Software GmbH) AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation) Device \Driver\Cdrom \Device\CdRom1 8A21B790 Device \Driver\NetBT \Device\NetBT_Tcpip_{3A1742D5-2B1B-440C-96DA-8EA719FA798D} 8A15D728 Device \Driver\Tcpip6 \Device\RawIp6 GDTdiIcpt.sys (G DATA Software AG) Device \Driver\Tcpip6 \Device\Tcp6 GDTdiIcpt.sys (G DATA Software AG) Device \Driver\NetBT \Device\NetBt_Wins_Export 8A15D728 Device \Driver\NetBT \Device\NetbiosSmb 8A15D728 Device \Driver\Tcpip \Device\Udp GDTdiIcpt.sys (G DATA Software AG) Device \Driver\Tcpip \Device\RawIp GDTdiIcpt.sys (G DATA Software AG) Device \Driver\usbuhci \Device\USBFDO-0 8A2821E8 Device \Driver\usbuhci \Device\USBFDO-1 8A2821E8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89FBA790 Device \Driver\Tcpip6 \Device\Udp6 GDTdiIcpt.sys (G DATA Software AG) Device \Driver\Tcpip \Device\IPMULTICAST GDTdiIcpt.sys (G DATA Software AG) Device \Driver\usbuhci \Device\USBFDO-2 8A2821E8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89FBA790 Device \Driver\usbehci \Device\USBFDO-3 8A289558 Device \Driver\Ftdisk \Device\FtControl 8A5D81E8 Device \Driver\usbuhci \Device\USBFDO-4 8A2821E8 Device \Driver\usbuhci \Device\USBFDO-5 8A2821E8 Device \Driver\usbuhci \Device\USBFDO-6 8A2821E8 Device \Driver\usbehci \Device\USBFDO-7 8A289558 Device \Driver\aaik6xfb \Device\Scsi\aaik6xfb1Port5Path0Target0Lun0 8A1DC1E8 Device \Driver\JRAID \Device\Scsi\JRAID1 8A5D71E8 Device \Driver\aaik6xfb \Device\Scsi\aaik6xfb1 8A1DC1E8 Device \FileSystem\Fastfat \Fat 89F8A790 AttachedDevice \FileSystem\Fastfat \Fat oodisrh.sys (O&O DiskImage Snapshot/Restore Helper Driver (Win32)/O&O Software GmbH) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs 89E9E790 ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Pro\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xEA 0x33 0xA2 0x3D ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC2 0x14 0xF8 0xFC ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xC6 0x90 0x82 0x39 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Pro\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xEA 0x33 0xA2 0x3D ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC2 0x14 0xF8 0xFC ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xC6 0x90 0x82 0x39 ... Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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eg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2F1848F6-54C7-5059-1F0C-EB4903A1DCB8} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2F1848F6-54C7-5059-1F0C-EB4903A1DCB8}@hahkmapifkpcmlpb 0x6B 0x61 0x64 0x6E ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}@japahmliombbkpockmfl 0x62 0x61 0x6C 0x6F ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}@japahmliombbkpockmjm 0x62 0x61 0x62 0x70 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}@iappaaafkgaecooaob 0x6B 0x61 0x6D 0x6F ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}@hajpnalljidolgoe 0x6B 0x61 0x6D 0x6F ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}@haladdjijcmaahjj 0x6B 0x61 0x63 0x62 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}@jakacmopnkffcodmfnop 0x6F 0x61 0x61 0x62 ... ---- Files - GMER 1.0.14 ---- File C:\WINDOWS\system32\drivers\bbdosgnopyiw.sys 8576 bytes <-- ROOTKIT !!! ---- Services - GMER 1.0.14 ---- Service C:\WINDOWS\system32\drivers\bbdosgnopyiw.sys [MANUAL] bbdosgnopyiw <-- ROOTKIT !!! ---- EOF - GMER 1.0.14 ---- +++++++++++++++++++++++++++++++++++++++++++++++++++ Kurios ist, dass die Datei garnicht dazusein scheint, wollte sie grad bei Virustotal scannen lassen, ist in genannten Ordner nicht vorhanden? +++++++++++++++++++++++++++++++++++++++++++++++++++ PS: Systemwiederherstellung ist derzeit deaktiviert. Alle Programme (v.a. alle Sicherheitsprogramme) und Hardware auf aktuellem Stand. Geändert von badhotrod (07.01.2009 um 12:43 Uhr) |
07.01.2009, 13:45 | #5 | |
/// AVZ-Toolkit Guru | Win32:Podnuha-BJ [Rtk] gefunden Deinstalliere bitte AdAware und Spybot! Die müllen die logs zu und erschweren die Suche. Außerdem würde ich dir das nicht empfehlen wenn die Programme was taugen würden. AdAware grenzt selber an ein Fraud Tool und Spybot ist völlig veraltet. Deinstalliere beide! Und bitte hör auf tausend Tools laufen zu lassen. Das bringt überhaupt nichts, belastet dein System und füllt die logs die wir dann aueinander friemeln dürfen.. Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme (Simplysub usw.) sowie personal-Firewalls wie ZoneAlarm! Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter. Und poste bitte wie beschrieben alle logs! Auch wenn nichts gefunden wurde! Wenn du dich nicht an die Empfehlungen hälst kann dir hier niemand vernünftig helfen. Downloade dir den Avenger. Siehe weiter unten. Starte den Rechner im abgesicherten Modus Dienst beenden: Start -> ausführen -> cmd eintippen und #Enter# drücken Dann folgendes eingeben: sc stop bbdosgnopyiw #Enter# sc delete bbdosgnopyiw #Enter# Konsole schließen. Arbeiten mit regedit. Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken. Datei->exportieren->speichern an einem Platz wo du sie wiederfindest.. Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen. Dann navigierst du links zu den folgenden Schlüsseln und löscht sie: Zitat:
Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 ! Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter Files to delete: C:\WINDOWS\system32\drivers\bbdosgnopyiw.sys
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Scanne den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs. Systemanalyse
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Geändert von undoreal (07.01.2009 um 13:54 Uhr) |
07.01.2009, 20:32 | #6 |
| Win32:Podnuha-BJ [Rtk] gefunden Hallo undoreal! Danke für Deine Tips und Hilfe! Hab jetzt den halben Tag Deine Liste abgearbeitet, hier nun die Ergebnisse. Alles an Antispy/Sicherheitsprogrammen und Scannern entfernt. Jetzt läuft nurnoch Malwarebytes Anti-Malware (nach allen Tests und Scans Deiner To-Do-Liste jetzt wieder mit Schutzmodul...hoffe das ist richtig so?!) und G DATA AntiVirus 2009. Habe die Liste in Deiner Rangfolge abgearbeitet CCleaner jeweils in Punkt 1+2 ausgeführt. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1. PANDA ANTI-ROOTKIT ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Screenshot: h**p://www.file-upload.net/view-1363983/panda.jpg.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2. BLACKLIGHT Scan ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Screenshot: h**p://www.file-upload.net/view-1363990/blacklight.jpg.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 3. GMER - Rootkit Detection ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Logfile: h**p://www.file-upload.net/download-1364955/gmer-logfile.txt.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 4. cmd Konsole ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Screenshot: h**p://www.file-upload.net/view-1364961/cmd.jpg.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 5. regedit ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ -> Beide Schlüssel vorhanden, jedoch nicht löschbar -> Fehlermeldung: 'Cannot open {...}: Error while opening key' ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 6. AVENGER ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Logfile of The Avenger Version 2.0, (c) by Swandog46 h**p://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\drivers\bbdosgnopyiw.sys" not found! Deletion of file "C:\WINDOWS\system32\drivers\bbdosgnopyiw.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 7. COMBOFIX ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Logfile: h**p://www.file-upload.net/download-1364975/combofix-log.txt.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 8. MBAM Scan ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Logfile: h**p://www.file-upload.net/download-1364981/mbam-log-2009-01-07--18-22-07-.txt.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 9. AVZ Systemanalyse ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Logfile (zip): h**p://www.file-upload.net/download-1365004/avz_sysinfo.zip.html Wie gesagt, ich möchte Dir echt ganz doll danken, dass Du Dir die Zeit nimmst, und alles überprüfst. Leider übersteigt das meine Kompetenzen um Einiges ;-) |
08.01.2009, 01:13 | #7 | |
/// AVZ-Toolkit Guru | Win32:Podnuha-BJ [Rtk] gefunden Hallöle Zitat:
Überprüfe den Rechner mit dem AVP Tool. Und Panda: Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
08.01.2009, 15:17 | #8 |
| Win32:Podnuha-BJ [Rtk] gefunden Hi Undoreal, hier noch die 2 Scans mit Bitte um Feedback. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 10. AVP Tool ~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Logfile: h**p://www.file-upload.net/download-1366286/kvr_logfile.txt.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 11. Panda Active Scan ~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Logfile: h**p://www.file-upload.net/download-1366300/ActiveScan.txt.html Wie ist das beim ActiveScan-Log, die Meldung mit dem Fund in C:\System Volume Information\_restore{B828AA14-B893-4E79-A38C-DB7DA6AFD9B8}\RP2\A0001072.sys ? Wie kann ich das entfernen? Systemwiederherstellung ist noch immer deaktiviert. PS: Dazu mal 'ne Frage, ist diese überhaupt empfehlenswert, oder lieber doch regelmäßig 'richtige' Backups erstellen? Du sagtest, MBAM ohne Schutzmodul, nur zum scannen nutzen, wie oft ist es empfehlenswert, zu scannen (also welchen Wert rätst Du bei Autoscan Einstellungen? :aplaus:!!!Super Support bisher!!!:aplaus: Edit: Allein beim Wort 'Bagle' im ActiveScan Logfile bekomm ich schon 'nen Hals ;-) Hab deshalb mal hier im Forum recherchiert, und rein informativ das das Tool 'EliBagle' scannen lassen, Ergebnis: kein Fund. Ich hoffe, das war nicht wieder voreilig;-) Logfile: h**p://www.file-upload.net/download-1366436/InfoSat.txt.html Geändert von badhotrod (08.01.2009 um 15:59 Uhr) |
08.01.2009, 16:26 | #9 | |
/// AVZ-Toolkit Guru | Win32:Podnuha-BJ [Rtk] gefunden Du scheinst jede Menge illeag aus dem Netz zu saugen. Daher auch der Backdoor auf deinem Rechner. Wenn du keyge.exe oder crack.exe oder nackteBabes.scr usw. auf deinem Rechner ausführst kann dich nichts und niemand vor einer Infektion schützen! Bereinigung nach einer Kompromitierung Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird. Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..
Häufig gestellte Fragen: XP | Vista Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
08.01.2009, 20:48 | #10 |
| Win32:Podnuha-BJ [Rtk] gefunden MBR Logfile: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Trotzdem mbr.bat ausführen? Führt jetzt nichts an einem Neuaufsetzen vorbei? ufff... Danke für Deine Hinweise und Tips. |
10.01.2009, 00:47 | #11 |
/// AVZ-Toolkit Guru | Win32:Podnuha-BJ [Rtk] gefunden Dre MBR ist in Ordnung. Dann kannst du weitermachen den Rechner neuaufzusetzen. Daran führt leider nicht wirklich ein Weg vorbei da der Angreifer VollZUgriff auf dein System hat. Damit kann nichts und niemand sagen wo er überall Hintertüren eingebaut hat. Die gefährlichsten Infektionen sind die die man beseitigt zu haben glaubt aber in Wirklichkeit noch vorhanden sind.. http://oschad.de/wiki/Virenscanner
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
Themen zu Win32:Podnuha-BJ [Rtk] gefunden |
ad-aware, adobe, antivirus, antivirus 2009, antivirus monitor, artemis, askbar, crypter, cs3, defender, explorer, firefox, g data, gigabyte, hijack, hijackthis, hijackthis logfile, internet explorer, konvertieren, logfile, malwarebytes, malwarebytes' anti-malware, monitor, mozilla, nvidia, pdf, pdf-datei, plug-in, rundll, scan, shell32.dll, sp3, system, tuneup.defrag, uleadburninghelper, windows, windows xp, windows xp sp3, ändern |