| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes AuswertungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.09.2010, 18:43
| #46 |
| /// Malwareteam   |  TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung Schritt 1 MBR mit MBRCheck prüfen Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin). XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten. Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen. Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen. Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen. Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread. |
|
14.09.2010, 19:03
| #47 |
 | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung so mbr scan:
__________________Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000001fc
Kernel Drivers (total 113):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xF7B1C000 \WINDOWS\system32\KDCOM.DLL
0xF7A2C000 \WINDOWS\system32\BOOTVID.dll
0xF74EC000 ACPI.sys
0xF7B1E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF74DB000 pci.sys
0xF761C000 isapnp.sys
0xF762C000 ohci1394.sys
0xF763C000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7BE4000 pciide.sys
0xF789C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7B20000 viaide.sys
0xF7B22000 intelide.sys
0xF764C000 MountMgr.sys
0xF74BC000 ftdisk.sys
0xF78A4000 PartMgr.sys
0xF765C000 VolSnap.sys
0xF74A4000 atapi.sys
0xF766C000 disk.sys
0xF767C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7484000 fltmgr.sys
0xF78AC000 PxHelp20.sys
0xF746D000 KSecDD.sys
0xF73E0000 Ntfs.sys
0xF73B3000 NDIS.sys
0xF7399000 Mup.sys
0xF781C000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xF7203000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF71EF000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7994000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF71CB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF799C000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF782C000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF783C000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF784C000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF717A000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7166000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xF785C000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF6DEC000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF6DC8000 \SystemRoot\system32\drivers\portcls.sys
0xF786C000 \SystemRoot\system32\drivers\drmk.sys
0xF6DB4000 \SystemRoot\system32\DRIVERS\parport.sys
0xF787C000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF79A4000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF79AC000 \SystemRoot\system32\DRIVERS\PS2.sys
0xF79B4000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7CA7000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF788C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7B00000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6D9D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF76AC000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF76BC000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF79BC000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6D8C000 \SystemRoot\system32\DRIVERS\psched.sys
0xF76CC000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF79C4000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF79CC000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF76DC000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7B44000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6C8E000 \SystemRoot\system32\DRIVERS\update.sys
0xF7B10000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF76EC000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF771C000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7B46000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7B48000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7C8E000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B4A000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7C8F000 \SystemRoot\System32\DRIVERS\AvgArCln.sys
0xF79DC000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF79E4000 \SystemRoot\System32\drivers\vga.sys
0xF7B4C000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B4E000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF79EC000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF79F4000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7AB0000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF2C13000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF2BBA000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF2B92000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF2B70000 \SystemRoot\System32\drivers\afd.sys
0xF772C000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF79FC000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF2B45000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF2AAD000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF775C000 \SystemRoot\System32\Drivers\Fips.SYS
0xF2A87000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF776C000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF777C000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF2A76000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B52000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys
0xF2A52000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF7A04000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF29F5000 \SystemRoot\system32\DRIVERS\SE4501D.sys
0xF29DD000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B58000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7AE8000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7A0C000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7D47000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF051000 \SystemRoot\System32\ati2cqag.dll
0xBF08A000 \SystemRoot\System32\atikvmag.dll
0xBF0BF000 \SystemRoot\System32\ati3duag.dll
0xBF30C000 \SystemRoot\System32\ativvaxx.dll
0xF0849000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xF0421000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
0xF040C000 \SystemRoot\system32\drivers\wdmaud.sys
0xF07BD000 \SystemRoot\system32\drivers\sysaudio.sys
0xF0227000 \SystemRoot\system32\DRIVERS\srv.sys
0xF035E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEFD52000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
Processes (total 39):
0 System Idle Process
4 System
548 C:\WINDOWS\system32\smss.exe
784 C:\WINDOWS\system32\csrss.exe
812 C:\WINDOWS\system32\winlogon.exe
856 C:\WINDOWS\system32\services.exe
868 C:\WINDOWS\system32\lsass.exe
1012 C:\WINDOWS\system32\ati2evxx.exe
1024 C:\WINDOWS\system32\svchost.exe
1104 C:\WINDOWS\system32\svchost.exe
1140 C:\WINDOWS\system32\svchost.exe
1184 C:\WINDOWS\system32\svchost.exe
1576 C:\WINDOWS\system32\ati2evxx.exe
1632 C:\WINDOWS\explorer.exe
1660 C:\WINDOWS\system32\spoolsv.exe
1736 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
1816 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
1828 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
232 C:\Programme\Java\jre6\bin\jqs.exe
352 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
692 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
700 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
708 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
980 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1164 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
1204 C:\Programme\Windows Live\Messenger\msnmsgr.exe
1332 C:\WINDOWS\system32\ctfmon.exe
1416 C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
1480 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
2216 C:\WINDOWS\system32\svchost.exe
2296 C:\WINDOWS\system32\alg.exe
2384 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2924 C:\hp\KBD\kbd.exe
3008 C:\WINDOWS\ALCXMNTR.EXE
3040 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
3104 C:\WINDOWS\system\hpsysdrv.exe
508 C:\Programme\Mozilla Firefox\firefox.exe
776 C:\Programme\Mozilla Firefox\plugin-container.exe
3764 C:\Dokumente und Einstellungen\HP_Besitzer.NAME-CD5FDA878D\Desktop\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000023`dc870000 (FAT32)
PhysicalDrive0 Model Number: SAMSUNGHD160JJ/P, Rev: ZM100-36
Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 1767459F00D32DFB18808B1403F5E319EE9E0999
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
|
|
14.09.2010, 19:43
| #48 |
| /// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung Ich denke das einzig richtige wäre das System Neuaufsetzen Wie Du merkst kommt der Rootkit immer wieder und wenn Du Onlinebanking machen willst dann kann ich für nichts garantieren. Oder willst Du auf biegen und brechen eine Bereinigung Fortsetzen?
__________________ |
|
14.09.2010, 21:24
| #49 |
| | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung hmm ich würde mir irgendwann eh nen neuen kaufen, um seriöse sachen wie banking etc. zu machen. Aber hätte diesen PC halt gern weiterbenützt zum surfen, zocken etc. Neu aufsetzen ists mir eigentlich nicht mehr wert. wenn du noch ne Idee hast, würde ichs gern versuchen. Hätte mich ein eingeschränktes Benutzerkonto eigentlich vor der Infizierung geschützt? |
|
15.09.2010, 17:54
| #50 |
| /// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung MBR mit MBRCheck ersetzen Lade MBRCheck.exe herunter und speichere das Tool auf Deinem Desktop (falls noch nicht vorhanden). XP Benutzer => Doppelklicke auf die MBRCheck.exe, um es zu starten. Vista und Windows 7 Benutzer => Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen. Es wird sich ein schwarzes Fenster mit einigen Daten drin öffnen. Wenn gemeldet wird: "Found non-standard or infected MBR": Achtung: Die folgenden Angaben gelten ausschließlich für diesen Computer! Nicht auf anderen Systemen benutzen! Bei Enter your choice eingeben => 2 (für restore the MBR of a physical disk with a standard boot code) und Enter drücken. Bei Enter the physical disc number to fix eingeben: 0 und Enter drücken. Bei Available MBR codes: / Please select the MBR code to write to disc: eingeben: 1 (für Windows XP) und Enter drücken. Bei Do you want to fix the MBR code? eingeben: YES und Enter drücken. Nun sollte mit Successfully wrote new MBR code! gemeldet werden, dass der MBR erfolgreich neu geschrieben wurde. Auf dem Desktop erscheint ein Logfile MBRCheck_<datum>.txt - bitte den Inhalt hier in den Thread posten. Nun den Computer neu starten und berichten, ob die Probleme noch vorhanden sind. |
|
15.09.2010, 18:38
| #51 |
| | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung Hallo Swisstreasure, ich habe die Systemwiederherstellung noch deaktiviert, soll das so bleiben wenn ich den mbr-code jetzt neu erstelle? ich frage nur zur Sicherheit, dass jetzt nichts falsch läuft... |
|
15.09.2010, 19:01
| #52 |
| /// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung Wann hast du diese deaktiviert. Aktiviere sie und dann mache den Schritt. |
|
15.09.2010, 19:43
| #54 |
| | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung mbr text: Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000001fc
Kernel Drivers (total 114):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xF7B1C000 \WINDOWS\system32\KDCOM.DLL
0xF7A2C000 \WINDOWS\system32\BOOTVID.dll
0xF74EC000 ACPI.sys
0xF7B1E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF74DB000 pci.sys
0xF761C000 isapnp.sys
0xF762C000 ohci1394.sys
0xF763C000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7BE4000 pciide.sys
0xF789C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7B20000 viaide.sys
0xF7B22000 intelide.sys
0xF764C000 MountMgr.sys
0xF74BC000 ftdisk.sys
0xF78A4000 PartMgr.sys
0xF765C000 VolSnap.sys
0xF74A4000 atapi.sys
0xF766C000 disk.sys
0xF767C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7484000 fltmgr.sys
0xF7472000 sr.sys
0xF78AC000 PxHelp20.sys
0xF745B000 KSecDD.sys
0xF73CE000 Ntfs.sys
0xF73A1000 NDIS.sys
0xF7387000 Mup.sys
0xF77FC000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xF6C92000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6C7E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7974000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF6C5A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF797C000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF780C000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF781C000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF782C000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6C09000 \SystemRoot\system32\DRIVERS\ks.sys
0xF6BF5000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xF783C000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF687B000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF6857000 \SystemRoot\system32\drivers\portcls.sys
0xF784C000 \SystemRoot\system32\drivers\drmk.sys
0xF6843000 \SystemRoot\system32\DRIVERS\parport.sys
0xF785C000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7984000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF798C000 \SystemRoot\system32\DRIVERS\PS2.sys
0xF7994000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7CA3000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF786C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7B04000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF682C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF787C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF788C000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF799C000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF681B000 \SystemRoot\system32\DRIVERS\psched.sys
0xF76AC000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF79AC000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF79B4000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF76BC000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7B42000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF671D000 \SystemRoot\system32\DRIVERS\update.sys
0xF7B14000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF76CC000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF76FC000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7B44000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7B46000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7C7D000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B48000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7C7E000 \SystemRoot\System32\DRIVERS\AvgArCln.sys
0xF79C4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF79CC000 \SystemRoot\System32\drivers\vga.sys
0xF7B4A000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B4C000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF79D4000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF79DC000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7AB4000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF26CA000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF2671000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF2649000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF2627000 \SystemRoot\System32\drivers\afd.sys
0xF770C000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF79E4000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF25FC000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF2564000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF773C000 \SystemRoot\System32\Drivers\Fips.SYS
0xF253E000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF774C000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF775C000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF248D000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B50000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys
0xF2469000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF79EC000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF2451000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B66000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7AE8000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7A0C000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7D70000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF051000 \SystemRoot\System32\ati2cqag.dll
0xBF08A000 \SystemRoot\System32\atikvmag.dll
0xBF0BF000 \SystemRoot\System32\ati3duag.dll
0xBF30C000 \SystemRoot\System32\ativvaxx.dll
0xF0359000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xEFF35000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
0xEFEB6000 \SystemRoot\system32\DRIVERS\srv.sys
0xEFCE9000 \SystemRoot\system32\drivers\wdmaud.sys
0xEFE46000 \SystemRoot\system32\drivers\sysaudio.sys
0xEFD2E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEF968000 \SystemRoot\System32\Drivers\HTTP.sys
0xEF606000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
Processes (total 41):
0 System Idle Process
4 System
544 C:\WINDOWS\system32\smss.exe
632 csrss.exe
660 C:\WINDOWS\system32\winlogon.exe
704 C:\WINDOWS\system32\services.exe
716 C:\WINDOWS\system32\lsass.exe
864 C:\WINDOWS\system32\ati2evxx.exe
876 C:\WINDOWS\system32\svchost.exe
972 svchost.exe
1012 C:\WINDOWS\system32\svchost.exe
1064 svchost.exe
1300 C:\WINDOWS\system32\spoolsv.exe
1400 C:\WINDOWS\system32\ati2evxx.exe
1468 C:\WINDOWS\explorer.exe
1520 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
1612 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
1624 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
1720 C:\Programme\Java\jre6\bin\jqs.exe
1748 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
148 C:\WINDOWS\system32\wuauclt.exe
356 C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe
364 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
372 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
384 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
408 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
416 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
424 C:\Programme\Windows Live\Messenger\msnmsgr.exe
440 C:\WINDOWS\system32\ctfmon.exe
488 C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
496 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
1780 svchost.exe
1244 wmiprvse.exe
2124 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2168 alg.exe
2244 wmiprvse.exe
2608 C:\WINDOWS\system32\wuauclt.exe
2668 C:\hp\KBD\kbd.exe
2756 C:\WINDOWS\ALCXMNTR.EXE
2792 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
2832 C:\Dokumente und Einstellungen\HP_Besitzer.NAME-CD5FDA878D\Desktop\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000023`dc870000 (FAT32)
PhysicalDrive0 Model Number: SAMSUNGHD160JJ/P, Rev: ZM100-36
Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 1767459F00D32DFB18808B1403F5E319EE9E0999
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.
Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel
Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: YES
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.
Done!
|
|
15.09.2010, 20:24
| #55 |
| /// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung Und neu gestartet? MBR mit MBRCheck prüfen Lösche MBRCheck.exe und die Logs davon. Lade MBRCheck.exe neu herunter und speichere das Tool auf deinem Desktop (nicht woanders hin). XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten. Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen. Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen. Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen. Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread. |
|
15.09.2010, 21:01
| #56 |
| | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung jo neu gestartet Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000001fc
Kernel Drivers (total 115):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xF7B1C000 \WINDOWS\system32\KDCOM.DLL
0xF7A2C000 \WINDOWS\system32\BOOTVID.dll
0xF74EC000 ACPI.sys
0xF7B1E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF74DB000 pci.sys
0xF761C000 isapnp.sys
0xF762C000 ohci1394.sys
0xF763C000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7BE4000 pciide.sys
0xF789C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7B20000 viaide.sys
0xF7B22000 intelide.sys
0xF764C000 MountMgr.sys
0xF74BC000 ftdisk.sys
0xF78A4000 PartMgr.sys
0xF765C000 VolSnap.sys
0xF74A4000 atapi.sys
0xF766C000 disk.sys
0xF767C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7484000 fltmgr.sys
0xF7472000 sr.sys
0xF78AC000 PxHelp20.sys
0xF745B000 KSecDD.sys
0xF73CE000 Ntfs.sys
0xF73A1000 NDIS.sys
0xF7387000 Mup.sys
0xF783C000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xF71F1000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF71DD000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7974000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF71B9000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF797C000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF784C000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF785C000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF786C000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF7196000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7182000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xF787C000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF6DDA000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF6DB6000 \SystemRoot\system32\drivers\portcls.sys
0xF788C000 \SystemRoot\system32\drivers\drmk.sys
0xF6DA2000 \SystemRoot\system32\DRIVERS\parport.sys
0xF76AC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7984000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF798C000 \SystemRoot\system32\DRIVERS\PS2.sys
0xF7994000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7CA9000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF76BC000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7AF8000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6D8B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF76CC000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF76DC000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF799C000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6D7A000 \SystemRoot\system32\DRIVERS\psched.sys
0xF76EC000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF79AC000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF79B4000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF76FC000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7B48000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6C7C000 \SystemRoot\system32\DRIVERS\update.sys
0xF7B0C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF770C000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF773C000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7B4A000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7B4C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7C98000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B4E000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7C9B000 \SystemRoot\System32\DRIVERS\AvgArCln.sys
0xF79C4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF79CC000 \SystemRoot\System32\drivers\vga.sys
0xF7B50000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B52000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF79D4000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF79DC000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7AA8000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF2C01000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF2BA8000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF2B80000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF2B5E000 \SystemRoot\System32\drivers\afd.sys
0xF774C000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF79E4000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF2B33000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF2A9B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF777C000 \SystemRoot\System32\Drivers\Fips.SYS
0xF2A75000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF778C000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF779C000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF2A64000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B56000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys
0xF2A40000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF79F4000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF29CB000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B86000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6C64000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7A14000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7C26000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF051000 \SystemRoot\System32\ati2cqag.dll
0xBF08A000 \SystemRoot\System32\atikvmag.dll
0xBF0BF000 \SystemRoot\System32\ati3duag.dll
0xBF30C000 \SystemRoot\System32\ativvaxx.dll
0xF0823000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xF040F000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
0xF0368000 \SystemRoot\system32\DRIVERS\srv.sys
0xF0263000 \SystemRoot\system32\drivers\wdmaud.sys
0xF0473000 \SystemRoot\system32\drivers\sysaudio.sys
0xF01CD000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEFE3C000 \SystemRoot\System32\Drivers\HTTP.sys
0xEFA4E000 \SystemRoot\system32\drivers\kmixer.sys
0xEF9CF000 \SystemRoot\system32\DRIVERS\SE4501D.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
Processes (total 39):
0 System Idle Process
4 System
540 C:\WINDOWS\system32\smss.exe
780 csrss.exe
812 C:\WINDOWS\system32\winlogon.exe
868 C:\WINDOWS\system32\services.exe
880 C:\WINDOWS\system32\lsass.exe
1044 C:\WINDOWS\system32\ati2evxx.exe
1056 C:\WINDOWS\system32\svchost.exe
1120 svchost.exe
1260 C:\WINDOWS\system32\svchost.exe
1332 svchost.exe
1744 C:\WINDOWS\system32\ati2evxx.exe
1800 C:\WINDOWS\explorer.exe
1908 C:\WINDOWS\system32\spoolsv.exe
1984 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
2044 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
124 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
232 C:\Programme\Java\jre6\bin\jqs.exe
288 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
1624 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
1644 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
1740 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
1948 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
208 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
352 C:\Programme\Windows Live\Messenger\msnmsgr.exe
492 C:\WINDOWS\system32\ctfmon.exe
820 C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
1672 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
1688 svchost.exe
2164 alg.exe
2944 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3636 C:\hp\KBD\kbd.exe
1940 C:\WINDOWS\ALCXMNTR.EXE
2108 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
3732 C:\WINDOWS\system\hpsysdrv.exe
3380 C:\Programme\Internet Explorer\iexplore.exe
3904 C:\Programme\Internet Explorer\iexplore.exe
2408 C:\Dokumente und Einstellungen\HP_Besitzer.NAME-CD5FDA878D\Desktop\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000023`dc870000 (FAT32)
PhysicalDrive0 Model Number: SAMSUNGHD160JJ/P, Rev: ZM100-36
Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 1767459F00D32DFB18808B1403F5E319EE9E0999
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
|
|
15.09.2010, 21:22
| #57 |
| /// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung ♦ lade Dir das Tool Bootkit Remover herunter ♦ das ist RAR (Dateiformat), also Entpacke die Datei auf Deinen Desktop - Vista User rechter Mausklick und wähle "Ausführen als Administrator ♦ Doppelklick in dem ordner auf remove.exe - Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. ♦ Rechter Mausklick auf dem Bildschirm und klicke auf Select All ♦ Drücke Strg + C (an der Tastatur) zum Kopieren der Daten ♦ Öffne dein Notepad und drücke Strg + V die Daten einfügen Poste dann bitte den Inhalt des Logfiles |
|
15.09.2010, 22:50
| #58 |
| | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung mit kopieren gings nicht, habe aber als Anlage den Screenshot |
|
16.09.2010, 18:00
| #59 |
| /// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung Bitte mal die Konsole starten über Start, Ausführen, cmd eintippen, ok. Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen: Code:
ATTFilter remover.exe fix \\.\PhysicalDrive0
|
|
16.09.2010, 19:00
| #60 |
| | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung ok hab ich gemacht, screenshot im Anhang |
|
| Themen zu TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung |
| .dll, 5 minuten, acroiehelpe, anti-malware, antivir, auswertung, browser, center, dateien, explorer, festgestellt, firefox, gmer, grundlos, hallo zusammen, helper, hintergrundgeräusche, löschen, malwarebytes, microsoft, nicht sicher, software, start, stolen.data, system volume information, system32, task manager, tr/dropper.gen, trojaner, trojaner gehabt, xmldm |
Linear-Darstellung
