Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


Plagegeister aller Art und deren Bekämpfung: ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 4 1 2 34
Alt 10.08.2010, 23:01   #16
Larusso
/// Selecta Jahrusso
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


Wie wäre es mit den Logfiles
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 10.08.2010, 23:14   #17
virenjäger
Gesperrt
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


die hab ich dir schon gepostet
__________________
Alt 10.08.2010, 23:19   #18
Larusso
/// Selecta Jahrusso
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


Ich brauch aber aktuelle

Starte mbrcheck.exe erneut und poste mir die Logfile
__________________
__________________
Alt 10.08.2010, 23:22   #19
virenjäger
Gesperrt
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003d

Kernel Drivers (total 114):
0x804D7000 \WINXP\system32\ntoskrnl.exe
0x80700000 \WINXP\system32\hal.dll
0xF7987000 \WINXP\system32\KDCOM.DLL
0xF7897000 \WINXP\system32\BOOTVID.dll
0xF75A7000 ACPI.sys
0xF7989000 \WINXP\system32\DRIVERS\WMILIB.SYS
0xF7596000 pci.sys
0xF75F7000 isapnp.sys
0xF74D6000 fltMgr.sys
0xF798B000 avgarkt.sys
0xF7A4F000 pciide.sys
0xF7707000 \WINXP\system32\DRIVERS\PCIIDEX.SYS
0xF7607000 MountMgr.sys
0xF74B7000 ftdisk.sys
0xF798D000 dmload.sys
0xF7491000 dmio.sys
0xF770F000 PartMgr.sys
0xF7617000 VolSnap.sys
0xF7479000 atapi.sys
0xF7627000 disk.sys
0xF7637000 \WINXP\system32\DRIVERS\CLASSPNP.SYS
0xF7467000 sr.sys
0xF742E000 PCTCore.sys
0xF7417000 KSecDD.sys
0xF7B52000 Ntfs.sys
0xF786A000 NDIS.sys
0xF7850000 Mup.sys
0xF76C7000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB9DE6000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB9DD2000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9DAA000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB9D8E000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xF776F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9D6A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7777000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF777F000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB9D56000 \SystemRoot\system32\DRIVERS\parport.sys
0xF76D7000 \SystemRoot\system32\DRIVERS\serial.sys
0xF793B000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF76E7000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7586000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9D1C000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7A82000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7576000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7947000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB9D05000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7566000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7556000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7787000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB9CF4000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7546000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF778F000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7797000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB9CA6000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7536000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF779F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF77A7000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7997000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB9BD0000 \SystemRoot\system32\DRIVERS\update.sys
0xBA7E4000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7506000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB754F000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB752B000 \SystemRoot\system32\drivers\portcls.sys
0xF74F6000 \SystemRoot\system32\drivers\drmk.sys
0xBA76E000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79B1000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF77B7000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF79B3000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7A8D000 \SystemRoot\System32\Drivers\Null.SYS
0xF79B5000 \SystemRoot\System32\Drivers\Beep.SYS
0xB74BC000 \SystemRoot\system32\DRIVERS\ehdrv.sys
0xBA7AF000 \SystemRoot\System32\DRIVERS\AvgArCln.sys
0xF77C7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF77CF000 \SystemRoot\System32\drivers\vga.sys
0xF79BB000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79BD000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF77D7000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF77DF000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB9C8A000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB7489000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB7430000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB7408000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB73E2000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xBA73E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB73CA000 \SystemRoot\system32\DRIVERS\epfwtdir.sys
0xB7380000 \SystemRoot\System32\drivers\afd.sys
0xBA72E000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB7355000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB72E5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA71E000 \SystemRoot\System32\Drivers\Fips.SYS
0xBA6EE000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF77E7000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB750B000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xBA6DE000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB7507000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xBA78E000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xB72A5000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79D1000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB74FB000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7817000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7AC1000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xB6E67000 \SystemRoot\system32\DRIVERS\eamon.sys
0xB6F51000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB6B32000 \SystemRoot\system32\drivers\wdmaud.sys
0xB6C27000 \SystemRoot\system32\drivers\sysaudio.sys
0xB6835000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF79D9000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB678E000 \SystemRoot\system32\DRIVERS\srv.sys
0xB647D000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINXP\system32\ntdll.dll

Processes (total 28):
0 System Idle Process
4 System
656 C:\WINXP\system32\smss.exe
712 csrss.exe
740 C:\WINXP\system32\winlogon.exe
792 C:\WINXP\system32\services.exe
804 C:\WINXP\system32\lsass.exe
980 C:\WINXP\system32\svchost.exe
1044 svchost.exe
1140 C:\WINXP\system32\svchost.exe
1260 svchost.exe
1336 svchost.exe
1576 C:\WINXP\system32\spoolsv.exe
1644 C:\WINXP\explorer.exe
1868 C:\WINXP\RTHDCPL.EXE
1904 C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
180 C:\WINXP\system32\rundll32.exe
192 C:\WINXP\system32\ctfmon.exe
264 C:\WINXP\system32\spool\drivers\w32x86\3\E_FATIEGE.EXE
592 svchost.exe
648 C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
128 C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
996 C:\WINXP\system32\nvsvc32.exe
1288 C:\WINXP\system32\svchost.exe
1204 alg.exe
2316 C:\Programme\Mozilla Firefox\firefox.exe
1828 C:\Programme\Mozilla Firefox\plugin-container.exe
2964 C:\Dokumente und Einstellungen\Eminem\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST3250310AS, Rev: 3.AAF
PhysicalDrive1 Model Number: HitachiHDP725025GLA380, Rev: GM2OA52A

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
232 GB \\.\PhysicalDrive1 Known-bad MBR code detected (Whistler / Black Internet)!
SHA1: 1A274426101DFC3A9826C5147E783C810EA1938F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Alt 10.08.2010, 23:27   #20
virenjäger
Gesperrt
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003d

Kernel Drivers (total 114):
0x804D7000 \WINXP\system32\ntoskrnl.exe
0x80700000 \WINXP\system32\hal.dll
0xF7987000 \WINXP\system32\KDCOM.DLL
0xF7897000 \WINXP\system32\BOOTVID.dll
0xF75A7000 ACPI.sys
0xF7989000 \WINXP\system32\DRIVERS\WMILIB.SYS
0xF7596000 pci.sys
0xF75F7000 isapnp.sys
0xF74D6000 fltMgr.sys
0xF798B000 avgarkt.sys
0xF7A4F000 pciide.sys
0xF7707000 \WINXP\system32\DRIVERS\PCIIDEX.SYS
0xF7607000 MountMgr.sys
0xF74B7000 ftdisk.sys
0xF798D000 dmload.sys
0xF7491000 dmio.sys
0xF770F000 PartMgr.sys
0xF7617000 VolSnap.sys
0xF7479000 atapi.sys
0xF7627000 disk.sys
0xF7637000 \WINXP\system32\DRIVERS\CLASSPNP.SYS
0xF7467000 sr.sys
0xF742E000 PCTCore.sys
0xF7417000 KSecDD.sys
0xF7B52000 Ntfs.sys
0xF786A000 NDIS.sys
0xF7850000 Mup.sys
0xF76C7000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB9DE6000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB9DD2000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9DAA000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB9D8E000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xF776F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9D6A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7777000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF777F000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB9D56000 \SystemRoot\system32\DRIVERS\parport.sys
0xF76D7000 \SystemRoot\system32\DRIVERS\serial.sys
0xF793B000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF76E7000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7586000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9D1C000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7A82000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7576000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7947000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB9D05000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7566000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7556000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7787000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB9CF4000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7546000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF778F000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7797000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB9CA6000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7536000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF779F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF77A7000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7997000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB9BD0000 \SystemRoot\system32\DRIVERS\update.sys
0xBA7E4000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7506000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB754F000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB752B000 \SystemRoot\system32\drivers\portcls.sys
0xF74F6000 \SystemRoot\system32\drivers\drmk.sys
0xBA76E000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79B1000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF77B7000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF79B3000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7A8D000 \SystemRoot\System32\Drivers\Null.SYS
0xF79B5000 \SystemRoot\System32\Drivers\Beep.SYS
0xB74BC000 \SystemRoot\system32\DRIVERS\ehdrv.sys
0xBA7AF000 \SystemRoot\System32\DRIVERS\AvgArCln.sys
0xF77C7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF77CF000 \SystemRoot\System32\drivers\vga.sys
0xF79BB000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79BD000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF77D7000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF77DF000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB9C8A000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB7489000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB7430000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB7408000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB73E2000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xBA73E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB73CA000 \SystemRoot\system32\DRIVERS\epfwtdir.sys
0xB7380000 \SystemRoot\System32\drivers\afd.sys
0xBA72E000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB7355000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB72E5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA71E000 \SystemRoot\System32\Drivers\Fips.SYS
0xBA6EE000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF77E7000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB750B000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xBA6DE000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB7507000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xBA78E000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xB72A5000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79D1000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB74FB000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7817000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7AC1000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xB6E67000 \SystemRoot\system32\DRIVERS\eamon.sys
0xB6F51000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB6B32000 \SystemRoot\system32\drivers\wdmaud.sys
0xB6C27000 \SystemRoot\system32\drivers\sysaudio.sys
0xB6835000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF79D9000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB678E000 \SystemRoot\system32\DRIVERS\srv.sys
0xB647D000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINXP\system32\ntdll.dll

Processes (total 28):
0 System Idle Process
4 System
656 C:\WINXP\system32\smss.exe
712 csrss.exe
740 C:\WINXP\system32\winlogon.exe
792 C:\WINXP\system32\services.exe
804 C:\WINXP\system32\lsass.exe
980 C:\WINXP\system32\svchost.exe
1044 svchost.exe
1140 C:\WINXP\system32\svchost.exe
1260 svchost.exe
1336 svchost.exe
1576 C:\WINXP\system32\spoolsv.exe
1644 C:\WINXP\explorer.exe
1868 C:\WINXP\RTHDCPL.EXE
1904 C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
180 C:\WINXP\system32\rundll32.exe
192 C:\WINXP\system32\ctfmon.exe
264 C:\WINXP\system32\spool\drivers\w32x86\3\E_FATIEGE.EXE
592 svchost.exe
648 C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
128 C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
996 C:\WINXP\system32\nvsvc32.exe
1288 C:\WINXP\system32\svchost.exe
1204 alg.exe
2316 C:\Programme\Mozilla Firefox\firefox.exe
1828 C:\Programme\Mozilla Firefox\plugin-container.exe
2964 C:\Dokumente und Einstellungen\Eminem\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST3250310AS, Rev: 3.AAF
PhysicalDrive1 Model Number: HitachiHDP725025GLA380, Rev: GM2OA52A

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
232 GB \\.\PhysicalDrive1 Known-bad MBR code detected (Whistler / Black Internet)!
SHA1: 1A274426101DFC3A9826C5147E783C810EA1938F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 1Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!


Alt 10.08.2010, 23:30   #21
Larusso
/// Selecta Jahrusso
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**



  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
    • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
    • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
__________________
--> ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher

Alt 10.08.2010, 23:55   #22
virenjäger
Gesperrt
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


Combofix Logfile:
Code:
ATTFilter
ComboFix 10-08-10.03 - Eminem 11.08.2010   3:13.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1274 [GMT 4,5:30]
ausgeführt von:: c:\dokumente und einstellungen\Eminem\Desktop\Combo-Fix.exe
AV: ESET NOD32 Antivirus 4.2 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
AV: Spyware Doctor with AntiVirus *On-access scanning disabled* (Updated) {D3C23B96-C9DC-477F-8EF1-69AF17A6EFF6}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-07-10 bis 2010-08-10  ))))))))))))))))))))))))))))))
.

2010-08-10 17:38 . 2008-02-05 03:35	39424	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPSON Stylus SX400 Series\Language\0407.E_DIX0RE.DLL
2010-08-10 17:32 . 2010-08-10 17:32	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\UDL
2010-08-10 17:30 . 2010-08-10 17:30	--------	d-----w-	c:\programme\ABBYY FineReader 6.0 Sprint
2010-08-10 17:27 . 2008-02-07 01:35	56320	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPSON Stylus SX400 Series\Language\0407.E_S9E0G7.DLL
2010-08-10 17:27 . 2007-12-17 13:00	143872	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40ST7.EXE
2010-08-10 17:27 . 2007-01-11 13:02	113664	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
2010-08-10 17:27 . 2008-05-26 03:35	211968	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPSON Stylus SX400 Series\Language\0407.E_DI0EEE.DLL
2010-08-10 17:27 . 2007-04-10 10:06	8192	----a-w-	c:\winxp\system32\E_DCINST.DLL
2010-08-10 17:27 . 2007-12-07 11:08	86528	----a-w-	c:\winxp\system32\E_FLBEGE.DLL
2010-08-10 17:27 . 2007-12-07 11:01	78848	----a-w-	c:\winxp\system32\E_FD4BEGE.DLL
2010-08-10 17:27 . 2008-04-13 18:45	15104	-c--a-w-	c:\winxp\system32\dllcache\usbscan.sys
2010-08-10 17:27 . 2008-04-13 18:45	15104	----a-w-	c:\winxp\system32\drivers\usbscan.sys
2010-08-10 17:22 . 2010-08-10 17:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON
2010-08-10 17:22 . 2007-07-12 19:30	71680	----a-w-	c:\winxp\system32\escwiad.dll
2010-08-10 17:22 . 2010-08-10 17:31	--------	d-----w-	c:\programme\epson
2010-08-10 17:02 . 2008-04-13 18:45	26368	-c--a-w-	c:\winxp\system32\dllcache\usbstor.sys
2010-08-10 17:02 . 2008-04-13 18:47	25856	-c--a-w-	c:\winxp\system32\dllcache\usbprint.sys
2010-08-10 17:02 . 2008-04-13 18:47	25856	----a-w-	c:\winxp\system32\drivers\usbprint.sys
2010-08-10 04:07 . 2010-08-10 04:07	--------	d-----w-	c:\dokumente und einstellungen\Eminem\Lokale Einstellungen\Anwendungsdaten\ESET
2010-08-08 17:00 . 2010-08-08 17:00	--------	d-----w-	c:\dokumente und einstellungen\Eminem\Anwendungsdaten\ImagesWords
2010-08-08 17:00 . 2010-08-08 17:00	--------	d-----w-	c:\dokumente und einstellungen\Eminem\Anwendungsdaten\EasyPCGate

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-10 22:25 . 2010-08-08 13:08	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-08-10 17:34 . 2010-08-08 12:09	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-08-10 17:33 . 2010-08-08 12:09	--------	d-----w-	c:\programme\Gemeinsame Dateien\InstallShield
2010-08-10 04:18 . 2010-08-08 13:08	--------	d-----w-	c:\programme\Spyware Doctor
2010-08-09 09:35 . 2010-08-08 11:56	86315	----a-w-	c:\winxp\pchealth\helpctr\OfflineCache\index.dat
2010-08-08 17:04 . 2010-08-08 12:16	--------	d-----w-	c:\programme\ESET
2010-08-08 16:36 . 2008-04-14 09:00	48354	----a-w-	c:\winxp\system32\perfc007.dat
2010-08-08 16:36 . 2008-04-14 09:00	316924	----a-w-	c:\winxp\system32\perfh007.dat
2010-08-08 16:22 . 2010-08-08 16:22	0	----a-w-	c:\winxp\nsreg.dat
2010-08-08 13:12 . 2010-08-08 13:08	--------	d-----w-	c:\programme\Gemeinsame Dateien\PC Tools
2010-08-08 13:08 . 2010-08-08 13:08	--------	d-----w-	c:\dokumente und einstellungen\Eminem\Anwendungsdaten\PC Tools
2010-08-08 13:08 . 2010-08-08 13:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2010-08-08 12:16 . 2010-08-08 12:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2010-08-08 12:12 . 2010-08-08 12:09	--------	d-----w-	c:\programme\Realtek
2010-08-08 12:12 . 2010-08-08 12:12	--------	d-----w-	c:\dokumente und einstellungen\Eminem\Anwendungsdaten\InstallShield
2010-08-08 12:06 . 2010-08-08 12:06	--------	d-----w-	c:\programme\Intel
2010-08-08 11:58 . 2010-08-08 11:58	--------	d-----w-	c:\programme\microsoft frontpage
2010-08-08 11:55 . 2010-08-08 11:55	--------	d-----w-	c:\programme\Online-Dienste
2010-08-08 11:55 . 2010-08-08 11:55	--------	d-----w-	c:\programme\Gemeinsame Dateien\Dienste
2010-08-08 11:54 . 2010-08-08 11:54	21740	----a-w-	c:\winxp\system32\emptyregdb.dat
2010-08-08 11:53 . 2010-08-08 11:53	--------	d-----w-	c:\programme\Windows Media Connect 2
2010-06-14 14:31 . 2010-08-08 11:54	744448	----a-w-	c:\winxp\pchealth\helpctr\binaries\helpsvc.exe
.

------- Sigcheck -------

[-] 2008-12-10 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-10-28 17331200]
"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2010-04-07 2145000]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-07-26 13570048]
"nwiz"="nwiz.exe" [2008-07-26 1657376]
"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2008-07-26 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 PCTCore;PCTools KDS;c:\winxp\system32\drivers\PCTCore.sys [08.08.2010 17:39 218592]
R1 ehdrv;ehdrv;c:\winxp\system32\drivers\ehdrv.sys [07.04.2010 21:08 114984]
R1 epfwtdir;epfwtdir;c:\winxp\system32\drivers\epfwtdir.sys [07.04.2010 21:09 95872]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [08.08.2010 17:41 112592]
R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [07.04.2010 21:08 810120]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [08.08.2010 17:39 366840]
.
Inhalt des "geplante Tasks" Ordners

2010-08-10 c:\winxp\Tasks\User_Feed_Synchronization-{74E8065A-1287-42D0-8D55-84CEF5C160D8}.job
- c:\winxp\system32\msfeedssync.exe [2008-12-10 00:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
FF - ProfilePath - c:\dokumente und einstellungen\Eminem\Anwendungsdaten\Mozilla\Firefox\Profiles\gqon8f8w.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 0

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-08-11 03:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3676)
c:\progra~1\WINDOW~2\wmpband.dll
c:\winxp\system32\webcheck.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2010-08-11  03:23:45
ComboFix-quarantined-files.txt  2010-08-10 22:53

Vor Suchlauf: 7 Verzeichnis(se), 243.578.597.376 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 243.625.107.456 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - B46C8D12B9F2FC6EE6E527D32691C586
--- --- ---
Alt 11.08.2010, 09:43   #23
Larusso
/// Selecta Jahrusso
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


Hy,

Wir müssen den MBR manuell fixen.

Drucke Dir folgendes eventuell aus oder schreibe es Dir auf.
  • Starte den PC neu auf.
  • Beim Neustart wirst Du gefragt welches Betriebssystem Du starten willst.
    Wähle hier die Wiederherstellungskonsole
  • Du wirst gefragt welche Windows Installation Du starten willst. Gib hier 1 ein und drücke enter.
  • Nun findest Du dich in einem schwarzen Fenster wo C:\windows>.
  • Gib hier bitte folgende(n) Befehl(e) ein und bestätige jede Zeile mit [Enter]
Achte auf die Leerzeichen
Code:
ATTFilter
fixmbr \Device\HardDisk1
Exit
Windows wird nun neu starten.
Starte MBRCheck.exe erneut und poste mir die Logfile
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 11.08.2010, 17:05   #24
virenjäger
Gesperrt
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000007d

Kernel Drivers (total 117):
0x804D7000 \WINXP\system32\ntoskrnl.exe
0x80700000 \WINXP\system32\hal.dll
0xF7987000 \WINXP\system32\KDCOM.DLL
0xF7897000 \WINXP\system32\BOOTVID.dll
0xF75A7000 ACPI.sys
0xF7989000 \WINXP\system32\DRIVERS\WMILIB.SYS
0xF7596000 pci.sys
0xF75F7000 isapnp.sys
0xF74D6000 fltMgr.sys
0xF798B000 avgarkt.sys
0xF7A4F000 pciide.sys
0xF7707000 \WINXP\system32\DRIVERS\PCIIDEX.SYS
0xF7607000 MountMgr.sys
0xF74B7000 ftdisk.sys
0xF798D000 dmload.sys
0xF7491000 dmio.sys
0xF770F000 PartMgr.sys
0xF7617000 VolSnap.sys
0xF7479000 atapi.sys
0xF7627000 disk.sys
0xF7637000 \WINXP\system32\DRIVERS\CLASSPNP.SYS
0xF7467000 sr.sys
0xF742E000 PCTCore.sys
0xF7417000 KSecDD.sys
0xF7B52000 Ntfs.sys
0xF786A000 NDIS.sys
0xF7850000 Mup.sys
0xF7586000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB9E24000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB9E10000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9DE8000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB9DCC000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xF7787000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9DA8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF778F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7797000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB9D94000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7576000 \SystemRoot\system32\DRIVERS\serial.sys
0xF793F000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7566000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7556000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7546000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9D71000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA7A8000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7536000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF794B000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB9D5A000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7526000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7516000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF779F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB9D49000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7506000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF77A7000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF77AF000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB9D19000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF74F6000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF77B7000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF77BF000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7997000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB9C43000 \SystemRoot\system32\DRIVERS\update.sys
0xBA7E0000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA75E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB75C2000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB759E000 \SystemRoot\system32\drivers\portcls.sys
0xBA74E000 \SystemRoot\system32\drivers\drmk.sys
0xBA73E000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF799B000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF77C7000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF799D000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA7A6000 \SystemRoot\System32\Drivers\Null.SYS
0xF799F000 \SystemRoot\System32\Drivers\Beep.SYS
0xB752F000 \SystemRoot\system32\DRIVERS\ehdrv.sys
0xF7A76000 \SystemRoot\System32\DRIVERS\AvgArCln.sys
0xF77D7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF77DF000 \SystemRoot\System32\drivers\vga.sys
0xF79A1000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79A3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF77E7000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF77EF000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB9D0D000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB74FC000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB74A3000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB747D000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB7455000 \SystemRoot\system32\DRIVERS\netbt.sys
0xBA70E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB743D000 \SystemRoot\system32\DRIVERS\epfwtdir.sys
0xB741B000 \SystemRoot\System32\drivers\afd.sys
0xBA6FE000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB73F0000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB7358000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA6EE000 \SystemRoot\System32\Drivers\Fips.SYS
0xF7677000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF77FF000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB7596000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xF7807000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xF780F000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB758E000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF7687000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB758A000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB7582000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xB7318000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79AB000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB7572000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7817000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7A74000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xB62D0000 \SystemRoot\system32\DRIVERS\eamon.sys
0xB63B2000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB5FC3000 \SystemRoot\system32\drivers\wdmaud.sys
0xB7AC3000 \SystemRoot\system32\drivers\sysaudio.sys
0xB5D8C000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF79E9000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB5BAA000 \SystemRoot\system32\DRIVERS\srv.sys
0xB5939000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINXP\system32\ntdll.dll

Processes (total 24):
0 System Idle Process
4 System
656 C:\WINXP\system32\smss.exe
712 csrss.exe
740 C:\WINXP\system32\winlogon.exe
792 C:\WINXP\system32\services.exe
804 C:\WINXP\system32\lsass.exe
984 C:\WINXP\system32\svchost.exe
1052 svchost.exe
1148 C:\WINXP\system32\svchost.exe
1268 svchost.exe
1344 svchost.exe
1476 C:\WINXP\system32\spoolsv.exe
1736 C:\WINXP\explorer.exe
1884 C:\WINXP\RTHDCPL.EXE
1892 C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
1960 C:\WINXP\system32\rundll32.exe
432 svchost.exe
476 C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
536 C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
580 C:\WINXP\system32\nvsvc32.exe
448 C:\WINXP\system32\svchost.exe
516 alg.exe
2172 C:\Dokumente und Einstellungen\Eminem\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST3250310AS, Rev: 3.AAF
PhysicalDrive1 Model Number: HitachiHDP725025GLA380, Rev: GM2OA52A

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
232 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

Alt 11.08.2010, 17:12   #25
Larusso
/// Selecta Jahrusso
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


Well Done

Schritt 1

Falls noch nicht vorhanden,
Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
  • Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
  • Lasse es online updaten (Reiter Aktualisierungen), sofern sich das Programm bereits auf dem Rechner befand.
  • Aktiviere "Quick-Scan durchführen" => Scannen.
  • Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
  • Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.


Schritt 2

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.

    Button (<< klick) drücken.

    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.

  • Setze den einen Hacken bei Yes, i accept the Terms of Use.
  • Drücke den Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Remove found threads" und "Scan archives".
  • drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde
  • Klicke Finish.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.


Schritt 3

Downloade Dir bitte SecurityCheck
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.

Poste den Inhalt bitte hier.


Schritt 4

Starte bitte OTL.exe und klicke auf den Quick Scan Button.


Bitte poste in Deiner nächsten Antwort
MBAM Log
ESET Log
checkup.txt
OTL.txt
Berichte wie der Rechner läuft
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 11.08.2010, 21:40   #26
virenjäger
Gesperrt
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4420

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.08.2010 21:47:34
mbam-log-2010-08-11 (21-47-34).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120806
Laufzeit: 3 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\ZE18MW23GY (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=23d9c06b9f77aa4abfe200fedea7d7f4
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-08-08 05:19:20
# local_time=2010-08-08 09:49:20 (+0430, Afghanistan Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=2560 16777175 100 0 0 0 0 0
# compatibility_mode=8199 22379861 100 100 15435 10630862 0 0
# scanned=47085
# found=0
# cleaned=0
# scan_time=794
# nod_component=V3 Build:0x30000000
ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internet# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=23d9c06b9f77aa4abfe200fedea7d7f4
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-08-11 07:55:57
# local_time=2010-08-12 12:25:57 (+0430, Afghanistan Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=2560 16777191 100 0 0 0 0 0
# compatibility_mode=8199 22379941 100 100 6728 10892264 0 0
# scanned=52947
# found=2
# cleaned=2
# scan_time=7988
# nod_component=V3 Build:0x30000000
D:\Incoming\Hack msn keylogger best trojan.zip Mehrere Bedrohungen (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C
D:\Incoming\Native.Instruments.Traktor.DJ.Studio.3.Keygen.Only-DELiRiUM.rar möglicherweise Variante von Win32/Spy.Goldun.DMRGYIC Trojaner (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C



Results of screen317's Security Check version 0.99.5
Windows XP Service Pack 3
Internet Explorer 8
``````````````````````````````
Antivirus/Firewall Check:
AVG Anti-Rootkit Free
ESET NOD32 Antivirus
ESET Online Scanner v3
Antivirus up to date! (On Access scanning disabled!)
```````````````````````````````
Anti-malware/Other Utilities Check:
Malwarebytes' Anti-Malware
Adobe Flash Player 10.1.53.64
Mozilla Firefox (3.6.8)
````````````````````````````````
Process Check:
objlist.exe by Laurent
````````````````````````````````
DNS Vulnerability Check:
nslookup.exe missing!
GREAT! (Not vulnerable to DNS cache poisoning)

``````````End of Log````````````


Results of screen317's Security Check version 0.99.5
Windows XP Service Pack 3
Internet Explorer 8
``````````````````````````````
Antivirus/Firewall Check:
AVG Anti-Rootkit Free
ESET NOD32 Antivirus
ESET Online Scanner v3
Antivirus up to date! (On Access scanning disabled!)
```````````````````````````````
Anti-malware/Other Utilities Check:
Malwarebytes' Anti-Malware
Adobe Flash Player 10.1.53.64
Mozilla Firefox (3.6.8)
````````````````````````````````
Process Check:
objlist.exe by Laurent
````````````````````````````````
DNS Vulnerability Check:
nslookup.exe missing!
GREAT! (Not vulnerable to DNS cache poisoning)

``````````End of Log````````````

Alt 11.08.2010, 21:45   #27
virenjäger
Gesperrt
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


so das waren alle logs ich hoffe es war so richtig
also der pc lief auch mit dem trojaner stabil, nur als ich bzw meine av software den virus erkannt hatte haben bei mir die alarmglocken geläutet.
also ich meine wenn du schon sagst das ist schon mit einer der neuesten dieser sorte dann oha.

Alt 12.08.2010, 20:18   #28
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


Zitat:
D:\Incoming\Hack msn keylogger best trojan.zip Mehrere Bedrohungen (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C
D:\Incoming\Native.Instruments.Traktor.DJ.Studio.3.Keygen.Only-DELiRiUM.rar möglicherweise Variante von Win32/Spy.Goldun.DMRGYIC Trojaner (gelöscht - in Quarantäne kopiert)
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.08.2010, 20:23   #29
Larusso
/// Selecta Jahrusso
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


Danke Arne =P

Dateien, die crack.exe, keygen.exe oder patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.
Ausserdem sind diese illegal und somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 12.08.2010, 20:25   #30
virenjäger
Gesperrt
 
ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Standard

ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


Zitat:
Zitat von cosinus Beitrag anzeigen
wieso pfui

Antwort
Seite 2 von 4 1 2 34

Themen zu ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher
arbeitsspeicher, festplatte, folge, folgendes, neu, nicht mehr, nichts, platte, probiert, problem, programme, schlägt, sämtliche, total, troja, trojaner, trojaner auf der festplatte, verzweifel, verzweifelt, win, win32/mebroot


« Problem mit: 'TR/Spy.ZBot.ammj' [trojan] | Antimalware Doctor, XP startet nicht mehr »


Ähnliche Themen: ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher


  1. Gmx Mail Account gehackt? Habe ich einen Trojaner oder einen Spybot auf dem Rechner?
    Log-Analyse und Auswertung - 01.05.2013 (18)
  2. win32/mebroot Trojaner im Arbeitsspeicher
    Log-Analyse und Auswertung - 21.08.2012 (25)
  3. Trojaner Win32/Spy.Zbot.ZR im Arbeitsspeicher
    Log-Analyse und Auswertung - 09.04.2012 (1)
  4. Arbeitsspeicher: win32/spy banker wbu trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.03.2012 (5)
  5. Win32/spy.Banker.WBU Trojaner im Arbeitsspeicher
    Plagegeister aller Art und deren Bekämpfung - 05.03.2012 (8)
  6. Win32/Spy.Banker.WBU trojaner im Arbeitsspeicher
    Log-Analyse und Auswertung - 20.01.2012 (8)
  7. win32/mebroot Trojaner
    Log-Analyse und Auswertung - 01.09.2011 (1)
  8. Win32/Mebroot Trojaner ohne Neuinstallation entfernen
    Mülltonne - 07.06.2011 (1)
  9. Habe einen Trojaner win32.Agent.fbx
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (11)
  10. Win32/mebroot Trojaner auf Win7
    Antiviren-, Firewall- und andere Schutzprogramme - 07.06.2010 (2)
  11. Boot.Mebroot - Virus in MBR der externen Festplatte
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  12. boot.mebroot bzw. win32/mebroot.mbr Problem - Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (10)
  13. Guten Morgen ich habe ein Gefühl ich habe nun einen Virus/Trojaner
    Log-Analyse und Auswertung - 23.12.2009 (1)
  14. habe einen Worm.Win32.fujack.n, bitte um hilfe (inkl. hijackthis logdatei)
    Log-Analyse und Auswertung - 22.09.2009 (14)
  15. Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 23.07.2008 (13)
  16. HiJaclThis LOG --> Was kann ich löschen? Habe einen Worm.win32.netbooster2 auf dem PC
    Mülltonne - 02.05.2008 (0)
  17. Hilfe habe einen Trojaner Win32:SdBot-gen44 [Trj] und muss auf eine LAN WICHTIG!!!
    Plagegeister aller Art und deren Bekämpfung - 24.10.2006 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher - Wie wäre es mit den Logfiles - ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher...
Archiv
Du betrachtest: ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131