Zitat:

Teste, ob du das laden kannst => File-Upload.net - listing1.bat

Jop, Fertig heruntergeladen.

Dann lade das hier => File-Upload.net - avz4.zip

ciao, andreas

Zitat:

Zitat von john.doe

Dann lade das hier => File-Upload.net - avz4.zip

ciao, andreas

hat geklappt, aber was soll ich nun mit dem listing1.bat machen ?

Löschen.

ciao, andreas

Hier der AVZ-Log

Code: Alles auswählenAufklappen

ATTFilter

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 19.07.2009 00:40:23
Database loaded: signatures - 232233, NN profile(s) - 2, microprograms of healing - 56, signature database released 18.07.2009 22:28
Heuristic microprograms loaded: 374
SPV microprograms loaded: 9
Digital signatures of system files loaded: 125988
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
 Analysis: kernel32.dll, export table found in section .text
 Analysis: ntdll.dll, export table found in section .text
 Analysis: user32.dll, export table found in section .text
 Analysis: advapi32.dll, export table found in section .text
 Analysis: ws2_32.dll, export table found in section .text
 Analysis: wininet.dll, export table found in section .text
 Analysis: rasapi32.dll, export table found in section .text
 Analysis: urlmon.dll, export table found in section .text
 Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
 Driver loaded successfully
 SDT found (RVA=083220)
 Kernel ntoskrnl.exe found in memory at address 804D7000
   SDT = 8055A220
   KiST = 804E26A8 (284)
Function NtCreateKey (29) intercepted (8057065D->F7ACD56E), hook not defined
Function NtCreateThread (35) intercepted (8058E64B->F7ACD564), hook not defined
Function NtDeleteKey (3F) intercepted (805952CA->F7ACD573), hook not defined
Function NtDeleteValueKey (41) intercepted (80592D5C->F7ACD57D), hook not defined
Function NtEnumerateKey (47) intercepted (80570D64->F73ACCA2), hook spmb.sys
Function NtEnumerateValueKey (49) intercepted (80590677->F73AD030), hook spmb.sys
Function NtFlushInstructionCache (4E) - machine code modification Method of JmpTo. jmp 86C20014
Function NtLoadKey (62) intercepted (805AED6D->F7ACD582), hook not defined
Function NtOpenKey (77) intercepted (80568D59->F738E0C0), hook spmb.sys
Function NtOpenProcess (7A) intercepted (805717C7->F7ACD550), hook not defined
Function NtOpenThread (80) intercepted (8058A1C9->F7ACD555), hook not defined
Function NtQueryKey (A0) intercepted (80570A6D->F73AD108), hook spmb.sys
Function NtQueryValueKey (B1) intercepted (8056A1F2->F73ACF88), hook spmb.sys
Function NtReplaceKey (C1) intercepted (8064F0DC->F7ACD58C), hook not defined
Function NtRestoreKey (CC) intercepted (8064EC71->F7ACD587), hook not defined
Function NtSetValueKey (F7) intercepted (80572889->F7ACD578), hook not defined
Function NtTerminateProcess (101) intercepted (805822EC->F7ACD55F), hook not defined
Function IofCallDriver (804E37C5) - machine code modification Method of JmpTo. jmp 86C202BB 
Function IofCompleteRequest (804E3BF6) - machine code modification Method of JmpTo. jmp 86C14DB3 
Function ZwSaveKey (804DD6E8) - machine code modification Method of JmpTo. jmp 86D812DA 
Function ZwSaveKeyEx (804DD6FC) - machine code modification Method of JmpTo. jmp 86D8C012 
Functions checked: 284, intercepted: 16, restored: 0
1.3 Checking IDT and SYSENTER
 Analysis for CPU 1
 Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
 Checking not performed: extended monitoring driver (AVZPM) is not installed
 Driver loaded successfully
1.5 Checking of IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F6A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 86F6A1F8 -> hook not defined
 Checking - complete
2. Scanning memory
 Number of processes found: 31
 Number of modules loaded: 332
Scanning memory - complete
3. Scanning disks
4. Checking  Winsock Layered Service Provider (SPI/LSP)
 LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
 Checking disabled by user
7. Heuristic system check
>>> Suspicion on trojan DNS ({A5C22EDD-F794-47D3-AF04-994633FE0285} "Drahtlose Netzwerkverbindung")
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
 >>  Abnormal EXE files association
 >>  Abnormal COM files association
 >>  Abnormal PIF files association
 >>  Abnormal BAT files association
 >>  Abnormal LNK files association
 >>  Abnormal SCR files association
 >>  Abnormal REG files association
 >>  HDD autorun are allowed
 >>  Autorun from network drives are allowed
 >>  Removable media autorun are allowed
Checking - complete
Files scanned: 364, extracted from archives: 0, malicious software found 0, suspicions - 0
Scanning finished at 19.07.2009 00:40:50
Time of scanning: 00:00:28
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
         

Downloade bitte folgendes Tool:
http://www2.gmer.net/mbr/mbr.exe

Kopiere es auf den Desktop und führe es aus.
Es öffnet sich nur für einen Bruchteil ein CMD-Fenster, dass sich sofort wieder schließt.
Auf deinem Desktop ist eine neue Text-Datei: mbr.log

Poste bitte den Inhalt der Datei.

ciao, andreas

Bitte sehr:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
BIOS signateure not found
         

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

ciao, andreas

Programm lässt sich nicht öffnen, dannach kommt ein Log

Code: Alles auswählenAufklappen

ATTFilter

ROOTREPEAL CRASH REPORT
-------------------------
Exception Code: 0xc0000005
Exception Address: 0x004143bc
Attempt to read from address: 0x011e7000
         

Hast du deine Windows-CD greifbar?

ciao, andreas

Zitat:

Zitat von john.doe

Hast du deine Windows-CD greifbar?

ciao, andreas

Ja habe ich

OK, drucke das am besten aus.

1.) Lade dir den Anhang auf den Desktop, benenne es von .txt um in .vbs und starte es mit Doppelklick.

2.) Lege die Windows-CD ein und starte den Rechner neu.

3.) Nach dem BIOS-Bild sollte die Meldung kommen, das man eine Taste drücken soll. Wenn du dann die Entertaste drückst, sollte er von CD starten.

4.) Im ersten Menü sollte er dir das Reparieren anbieten. Dort drückst du R.

5.) Irgendwann siehst du dann sowas wie C:\ und einen blinkenden Strich.

6.) Dort gibst du ein: fixmbr [Enter]

7.) Danach: exit [Enter]

8.) Der Rechner startet jetzt neu, nimm schnell die CD aus dem Laufwerk. Jetzt sollte Windows wieder starten. Danach geht es weiter.

ciao, andreas

hab kein drucker
ich schreibe mir die 8 schritte schnell auf

...\xp_exe_fix.vbs ist keine zulässige Win32-Anwendung.

1.) Lade exefixi.txt aus dem Anhang auf deinen Desktop

2.) Benenne sie um in exefixi.inf

3.) Mausklick rechts auf exefixi.inf => Installieren

ciao, andreas