|
Plagegeister aller Art und deren Bekämpfung: TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes AuswertungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.09.2010, 18:43 | #46 |
/// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung Schritt 1 MBR mit MBRCheck prüfen Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin). XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten. Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen. Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen. Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen. Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread. |
14.09.2010, 19:03 | #47 |
| TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung so mbr scan:
__________________Code:
ATTFilter MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x000001fc Kernel Drivers (total 113): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806D1000 \WINDOWS\system32\hal.dll 0xF7B1C000 \WINDOWS\system32\KDCOM.DLL 0xF7A2C000 \WINDOWS\system32\BOOTVID.dll 0xF74EC000 ACPI.sys 0xF7B1E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF74DB000 pci.sys 0xF761C000 isapnp.sys 0xF762C000 ohci1394.sys 0xF763C000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF7BE4000 pciide.sys 0xF789C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7B20000 viaide.sys 0xF7B22000 intelide.sys 0xF764C000 MountMgr.sys 0xF74BC000 ftdisk.sys 0xF78A4000 PartMgr.sys 0xF765C000 VolSnap.sys 0xF74A4000 atapi.sys 0xF766C000 disk.sys 0xF767C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7484000 fltmgr.sys 0xF78AC000 PxHelp20.sys 0xF746D000 KSecDD.sys 0xF73E0000 Ntfs.sys 0xF73B3000 NDIS.sys 0xF7399000 Mup.sys 0xF781C000 \SystemRoot\system32\DRIVERS\AmdK8.sys 0xF7203000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xF71EF000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7994000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xF71CB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF799C000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF782C000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF783C000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF784C000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF717A000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7166000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys 0xF785C000 \SystemRoot\system32\DRIVERS\nic1394.sys 0xF6DEC000 \SystemRoot\system32\drivers\ALCXWDM.SYS 0xF6DC8000 \SystemRoot\system32\drivers\portcls.sys 0xF786C000 \SystemRoot\system32\drivers\drmk.sys 0xF6DB4000 \SystemRoot\system32\DRIVERS\parport.sys 0xF787C000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF79A4000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF79AC000 \SystemRoot\system32\DRIVERS\PS2.sys 0xF79B4000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7CA7000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF788C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7B00000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF6D9D000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF76AC000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF76BC000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF79BC000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF6D8C000 \SystemRoot\system32\DRIVERS\psched.sys 0xF76CC000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF79C4000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF79CC000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF76DC000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7B44000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF6C8E000 \SystemRoot\system32\DRIVERS\update.sys 0xF7B10000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF76EC000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF771C000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7B46000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7B48000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7C8E000 \SystemRoot\System32\Drivers\Null.SYS 0xF7B4A000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7C8F000 \SystemRoot\System32\DRIVERS\AvgArCln.sys 0xF79DC000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF79E4000 \SystemRoot\System32\drivers\vga.sys 0xF7B4C000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7B4E000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF79EC000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF79F4000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF7AB0000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xF2C13000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xF2BBA000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xF2B92000 \SystemRoot\system32\DRIVERS\netbt.sys 0xF2B70000 \SystemRoot\System32\drivers\afd.sys 0xF772C000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF79FC000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xF2B45000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xF2AAD000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF775C000 \SystemRoot\System32\Drivers\Fips.SYS 0xF2A87000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF776C000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF777C000 \SystemRoot\system32\DRIVERS\arp1394.sys 0xF2A76000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7B52000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys 0xF2A52000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xF7A04000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xF29F5000 \SystemRoot\system32\DRIVERS\SE4501D.sys 0xF29DD000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7B58000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF7AE8000 \SystemRoot\System32\drivers\Dxapi.sys 0xF7A0C000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7D47000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF051000 \SystemRoot\System32\ati2cqag.dll 0xBF08A000 \SystemRoot\System32\atikvmag.dll 0xBF0BF000 \SystemRoot\System32\ati3duag.dll 0xBF30C000 \SystemRoot\System32\ativvaxx.dll 0xF0849000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xF0421000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys 0xF040C000 \SystemRoot\system32\drivers\wdmaud.sys 0xF07BD000 \SystemRoot\system32\drivers\sysaudio.sys 0xF0227000 \SystemRoot\system32\DRIVERS\srv.sys 0xF035E000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xEFD52000 \SystemRoot\System32\Drivers\HTTP.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 39): 0 System Idle Process 4 System 548 C:\WINDOWS\system32\smss.exe 784 C:\WINDOWS\system32\csrss.exe 812 C:\WINDOWS\system32\winlogon.exe 856 C:\WINDOWS\system32\services.exe 868 C:\WINDOWS\system32\lsass.exe 1012 C:\WINDOWS\system32\ati2evxx.exe 1024 C:\WINDOWS\system32\svchost.exe 1104 C:\WINDOWS\system32\svchost.exe 1140 C:\WINDOWS\system32\svchost.exe 1184 C:\WINDOWS\system32\svchost.exe 1576 C:\WINDOWS\system32\ati2evxx.exe 1632 C:\WINDOWS\explorer.exe 1660 C:\WINDOWS\system32\spoolsv.exe 1736 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe 1816 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe 1828 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe 232 C:\Programme\Java\jre6\bin\jqs.exe 352 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 692 C:\Programme\HP\HP Software Update\hpwuSchd2.exe 700 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe 708 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 980 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 1164 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe 1204 C:\Programme\Windows Live\Messenger\msnmsgr.exe 1332 C:\WINDOWS\system32\ctfmon.exe 1416 C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe 1480 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe 2216 C:\WINDOWS\system32\svchost.exe 2296 C:\WINDOWS\system32\alg.exe 2384 C:\WINDOWS\system32\wbem\wmiapsrv.exe 2924 C:\hp\KBD\kbd.exe 3008 C:\WINDOWS\ALCXMNTR.EXE 3040 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe 3104 C:\WINDOWS\system\hpsysdrv.exe 508 C:\Programme\Mozilla Firefox\firefox.exe 776 C:\Programme\Mozilla Firefox\plugin-container.exe 3764 C:\Dokumente und Einstellungen\HP_Besitzer.NAME-CD5FDA878D\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000023`dc870000 (FAT32) PhysicalDrive0 Model Number: SAMSUNGHD160JJ/P, Rev: ZM100-36 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 1767459F00D32DFB18808B1403F5E319EE9E0999 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: |
14.09.2010, 19:43 | #48 |
/// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung Ich denke das einzig richtige wäre das System Neuaufsetzen Wie Du merkst kommt der Rootkit immer wieder und wenn Du Onlinebanking machen willst dann kann ich für nichts garantieren. Oder willst Du auf biegen und brechen eine Bereinigung Fortsetzen?
__________________ |
14.09.2010, 21:24 | #49 |
| TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung hmm ich würde mir irgendwann eh nen neuen kaufen, um seriöse sachen wie banking etc. zu machen. Aber hätte diesen PC halt gern weiterbenützt zum surfen, zocken etc. Neu aufsetzen ists mir eigentlich nicht mehr wert. wenn du noch ne Idee hast, würde ichs gern versuchen. Hätte mich ein eingeschränktes Benutzerkonto eigentlich vor der Infizierung geschützt? |
15.09.2010, 17:54 | #50 |
/// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung MBR mit MBRCheck ersetzen Lade MBRCheck.exe herunter und speichere das Tool auf Deinem Desktop (falls noch nicht vorhanden). XP Benutzer => Doppelklicke auf die MBRCheck.exe, um es zu starten. Vista und Windows 7 Benutzer => Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen. Es wird sich ein schwarzes Fenster mit einigen Daten drin öffnen. Wenn gemeldet wird: "Found non-standard or infected MBR": Achtung: Die folgenden Angaben gelten ausschließlich für diesen Computer! Nicht auf anderen Systemen benutzen! Bei Enter your choice eingeben => 2 (für restore the MBR of a physical disk with a standard boot code) und Enter drücken. Bei Enter the physical disc number to fix eingeben: 0 und Enter drücken. Bei Available MBR codes: / Please select the MBR code to write to disc: eingeben: 1 (für Windows XP) und Enter drücken. Bei Do you want to fix the MBR code? eingeben: YES und Enter drücken. Nun sollte mit Successfully wrote new MBR code! gemeldet werden, dass der MBR erfolgreich neu geschrieben wurde. Auf dem Desktop erscheint ein Logfile MBRCheck_<datum>.txt - bitte den Inhalt hier in den Thread posten. Nun den Computer neu starten und berichten, ob die Probleme noch vorhanden sind. |
15.09.2010, 18:38 | #51 |
| TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung Hallo Swisstreasure, ich habe die Systemwiederherstellung noch deaktiviert, soll das so bleiben wenn ich den mbr-code jetzt neu erstelle? ich frage nur zur Sicherheit, dass jetzt nichts falsch läuft... |
15.09.2010, 19:01 | #52 |
/// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung Wann hast du diese deaktiviert. Aktiviere sie und dann mache den Schritt. |
15.09.2010, 19:43 | #54 |
| TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung mbr text: Code:
ATTFilter MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x000001fc Kernel Drivers (total 114): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806D1000 \WINDOWS\system32\hal.dll 0xF7B1C000 \WINDOWS\system32\KDCOM.DLL 0xF7A2C000 \WINDOWS\system32\BOOTVID.dll 0xF74EC000 ACPI.sys 0xF7B1E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF74DB000 pci.sys 0xF761C000 isapnp.sys 0xF762C000 ohci1394.sys 0xF763C000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF7BE4000 pciide.sys 0xF789C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7B20000 viaide.sys 0xF7B22000 intelide.sys 0xF764C000 MountMgr.sys 0xF74BC000 ftdisk.sys 0xF78A4000 PartMgr.sys 0xF765C000 VolSnap.sys 0xF74A4000 atapi.sys 0xF766C000 disk.sys 0xF767C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7484000 fltmgr.sys 0xF7472000 sr.sys 0xF78AC000 PxHelp20.sys 0xF745B000 KSecDD.sys 0xF73CE000 Ntfs.sys 0xF73A1000 NDIS.sys 0xF7387000 Mup.sys 0xF77FC000 \SystemRoot\system32\DRIVERS\AmdK8.sys 0xF6C92000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xF6C7E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7974000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xF6C5A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF797C000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF780C000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF781C000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF782C000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF6C09000 \SystemRoot\system32\DRIVERS\ks.sys 0xF6BF5000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys 0xF783C000 \SystemRoot\system32\DRIVERS\nic1394.sys 0xF687B000 \SystemRoot\system32\drivers\ALCXWDM.SYS 0xF6857000 \SystemRoot\system32\drivers\portcls.sys 0xF784C000 \SystemRoot\system32\drivers\drmk.sys 0xF6843000 \SystemRoot\system32\DRIVERS\parport.sys 0xF785C000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7984000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF798C000 \SystemRoot\system32\DRIVERS\PS2.sys 0xF7994000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7CA3000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF786C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7B04000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF682C000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF787C000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF788C000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF799C000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF681B000 \SystemRoot\system32\DRIVERS\psched.sys 0xF76AC000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF79AC000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF79B4000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF76BC000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7B42000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF671D000 \SystemRoot\system32\DRIVERS\update.sys 0xF7B14000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF76CC000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF76FC000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7B44000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7B46000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7C7D000 \SystemRoot\System32\Drivers\Null.SYS 0xF7B48000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7C7E000 \SystemRoot\System32\DRIVERS\AvgArCln.sys 0xF79C4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF79CC000 \SystemRoot\System32\drivers\vga.sys 0xF7B4A000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7B4C000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF79D4000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF79DC000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF7AB4000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xF26CA000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xF2671000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xF2649000 \SystemRoot\system32\DRIVERS\netbt.sys 0xF2627000 \SystemRoot\System32\drivers\afd.sys 0xF770C000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF79E4000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xF25FC000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xF2564000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF773C000 \SystemRoot\System32\Drivers\Fips.SYS 0xF253E000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF774C000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF775C000 \SystemRoot\system32\DRIVERS\arp1394.sys 0xF248D000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7B50000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys 0xF2469000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xF79EC000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xF2451000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7B66000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF7AE8000 \SystemRoot\System32\drivers\Dxapi.sys 0xF7A0C000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7D70000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF051000 \SystemRoot\System32\ati2cqag.dll 0xBF08A000 \SystemRoot\System32\atikvmag.dll 0xBF0BF000 \SystemRoot\System32\ati3duag.dll 0xBF30C000 \SystemRoot\System32\ativvaxx.dll 0xF0359000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xEFF35000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys 0xEFEB6000 \SystemRoot\system32\DRIVERS\srv.sys 0xEFCE9000 \SystemRoot\system32\drivers\wdmaud.sys 0xEFE46000 \SystemRoot\system32\drivers\sysaudio.sys 0xEFD2E000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xEF968000 \SystemRoot\System32\Drivers\HTTP.sys 0xEF606000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 41): 0 System Idle Process 4 System 544 C:\WINDOWS\system32\smss.exe 632 csrss.exe 660 C:\WINDOWS\system32\winlogon.exe 704 C:\WINDOWS\system32\services.exe 716 C:\WINDOWS\system32\lsass.exe 864 C:\WINDOWS\system32\ati2evxx.exe 876 C:\WINDOWS\system32\svchost.exe 972 svchost.exe 1012 C:\WINDOWS\system32\svchost.exe 1064 svchost.exe 1300 C:\WINDOWS\system32\spoolsv.exe 1400 C:\WINDOWS\system32\ati2evxx.exe 1468 C:\WINDOWS\explorer.exe 1520 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe 1612 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe 1624 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe 1720 C:\Programme\Java\jre6\bin\jqs.exe 1748 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 148 C:\WINDOWS\system32\wuauclt.exe 356 C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe 364 C:\Programme\HP\HP Software Update\hpwuSchd2.exe 372 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe 384 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 408 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 416 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe 424 C:\Programme\Windows Live\Messenger\msnmsgr.exe 440 C:\WINDOWS\system32\ctfmon.exe 488 C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe 496 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe 1780 svchost.exe 1244 wmiprvse.exe 2124 C:\WINDOWS\system32\wbem\wmiapsrv.exe 2168 alg.exe 2244 wmiprvse.exe 2608 C:\WINDOWS\system32\wuauclt.exe 2668 C:\hp\KBD\kbd.exe 2756 C:\WINDOWS\ALCXMNTR.EXE 2792 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe 2832 C:\Dokumente und Einstellungen\HP_Besitzer.NAME-CD5FDA878D\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000023`dc870000 (FAT32) PhysicalDrive0 Model Number: SAMSUNGHD160JJ/P, Rev: ZM100-36 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 1767459F00D32DFB18808B1403F5E319EE9E0999 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Options: [1] Dump the MBR of a physical disk to file. [2] Restore the MBR of a physical disk with a standard boot code. [3] Exit. Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes: [ 0] Default (Windows XP) [ 1] Windows XP [ 2] Windows Server 2003 [ 3] Windows Vista [ 4] Windows 2008 [ 5] Windows 7 [-1] Cancel Please select the MBR code to write to this drive: 1 Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: YES Successfully wrote new MBR code! Please reboot your computer to complete the fix. Done! |
15.09.2010, 20:24 | #55 |
/// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung Und neu gestartet? MBR mit MBRCheck prüfen Lösche MBRCheck.exe und die Logs davon. Lade MBRCheck.exe neu herunter und speichere das Tool auf deinem Desktop (nicht woanders hin). XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten. Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen. Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen. Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen. Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread. |
15.09.2010, 21:01 | #56 |
| TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung jo neu gestartet Code:
ATTFilter MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x000001fc Kernel Drivers (total 115): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806D1000 \WINDOWS\system32\hal.dll 0xF7B1C000 \WINDOWS\system32\KDCOM.DLL 0xF7A2C000 \WINDOWS\system32\BOOTVID.dll 0xF74EC000 ACPI.sys 0xF7B1E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF74DB000 pci.sys 0xF761C000 isapnp.sys 0xF762C000 ohci1394.sys 0xF763C000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF7BE4000 pciide.sys 0xF789C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7B20000 viaide.sys 0xF7B22000 intelide.sys 0xF764C000 MountMgr.sys 0xF74BC000 ftdisk.sys 0xF78A4000 PartMgr.sys 0xF765C000 VolSnap.sys 0xF74A4000 atapi.sys 0xF766C000 disk.sys 0xF767C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7484000 fltmgr.sys 0xF7472000 sr.sys 0xF78AC000 PxHelp20.sys 0xF745B000 KSecDD.sys 0xF73CE000 Ntfs.sys 0xF73A1000 NDIS.sys 0xF7387000 Mup.sys 0xF783C000 \SystemRoot\system32\DRIVERS\AmdK8.sys 0xF71F1000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xF71DD000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7974000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xF71B9000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF797C000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF784C000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF785C000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF786C000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF7196000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7182000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys 0xF787C000 \SystemRoot\system32\DRIVERS\nic1394.sys 0xF6DDA000 \SystemRoot\system32\drivers\ALCXWDM.SYS 0xF6DB6000 \SystemRoot\system32\drivers\portcls.sys 0xF788C000 \SystemRoot\system32\drivers\drmk.sys 0xF6DA2000 \SystemRoot\system32\DRIVERS\parport.sys 0xF76AC000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7984000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF798C000 \SystemRoot\system32\DRIVERS\PS2.sys 0xF7994000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7CA9000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF76BC000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7AF8000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF6D8B000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF76CC000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF76DC000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF799C000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF6D7A000 \SystemRoot\system32\DRIVERS\psched.sys 0xF76EC000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF79AC000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF79B4000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF76FC000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7B48000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF6C7C000 \SystemRoot\system32\DRIVERS\update.sys 0xF7B0C000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF770C000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF773C000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7B4A000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7B4C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7C98000 \SystemRoot\System32\Drivers\Null.SYS 0xF7B4E000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7C9B000 \SystemRoot\System32\DRIVERS\AvgArCln.sys 0xF79C4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF79CC000 \SystemRoot\System32\drivers\vga.sys 0xF7B50000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7B52000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF79D4000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF79DC000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF7AA8000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xF2C01000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xF2BA8000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xF2B80000 \SystemRoot\system32\DRIVERS\netbt.sys 0xF2B5E000 \SystemRoot\System32\drivers\afd.sys 0xF774C000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF79E4000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xF2B33000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xF2A9B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF777C000 \SystemRoot\System32\Drivers\Fips.SYS 0xF2A75000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF778C000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF779C000 \SystemRoot\system32\DRIVERS\arp1394.sys 0xF2A64000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7B56000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys 0xF2A40000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xF79F4000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xF29CB000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7B86000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF6C64000 \SystemRoot\System32\drivers\Dxapi.sys 0xF7A14000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7C26000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF051000 \SystemRoot\System32\ati2cqag.dll 0xBF08A000 \SystemRoot\System32\atikvmag.dll 0xBF0BF000 \SystemRoot\System32\ati3duag.dll 0xBF30C000 \SystemRoot\System32\ativvaxx.dll 0xF0823000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xF040F000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys 0xF0368000 \SystemRoot\system32\DRIVERS\srv.sys 0xF0263000 \SystemRoot\system32\drivers\wdmaud.sys 0xF0473000 \SystemRoot\system32\drivers\sysaudio.sys 0xF01CD000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xEFE3C000 \SystemRoot\System32\Drivers\HTTP.sys 0xEFA4E000 \SystemRoot\system32\drivers\kmixer.sys 0xEF9CF000 \SystemRoot\system32\DRIVERS\SE4501D.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 39): 0 System Idle Process 4 System 540 C:\WINDOWS\system32\smss.exe 780 csrss.exe 812 C:\WINDOWS\system32\winlogon.exe 868 C:\WINDOWS\system32\services.exe 880 C:\WINDOWS\system32\lsass.exe 1044 C:\WINDOWS\system32\ati2evxx.exe 1056 C:\WINDOWS\system32\svchost.exe 1120 svchost.exe 1260 C:\WINDOWS\system32\svchost.exe 1332 svchost.exe 1744 C:\WINDOWS\system32\ati2evxx.exe 1800 C:\WINDOWS\explorer.exe 1908 C:\WINDOWS\system32\spoolsv.exe 1984 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe 2044 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe 124 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe 232 C:\Programme\Java\jre6\bin\jqs.exe 288 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 1624 C:\Programme\HP\HP Software Update\hpwuSchd2.exe 1644 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe 1740 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 1948 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 208 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe 352 C:\Programme\Windows Live\Messenger\msnmsgr.exe 492 C:\WINDOWS\system32\ctfmon.exe 820 C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe 1672 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe 1688 svchost.exe 2164 alg.exe 2944 C:\WINDOWS\system32\wbem\wmiapsrv.exe 3636 C:\hp\KBD\kbd.exe 1940 C:\WINDOWS\ALCXMNTR.EXE 2108 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe 3732 C:\WINDOWS\system\hpsysdrv.exe 3380 C:\Programme\Internet Explorer\iexplore.exe 3904 C:\Programme\Internet Explorer\iexplore.exe 2408 C:\Dokumente und Einstellungen\HP_Besitzer.NAME-CD5FDA878D\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000023`dc870000 (FAT32) PhysicalDrive0 Model Number: SAMSUNGHD160JJ/P, Rev: ZM100-36 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 1767459F00D32DFB18808B1403F5E319EE9E0999 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: |
15.09.2010, 21:22 | #57 |
/// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung ♦ lade Dir das Tool Bootkit Remover herunter ♦ das ist RAR (Dateiformat), also Entpacke die Datei auf Deinen Desktop - Vista User rechter Mausklick und wähle "Ausführen als Administrator ♦ Doppelklick in dem ordner auf remove.exe - Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. ♦ Rechter Mausklick auf dem Bildschirm und klicke auf Select All ♦ Drücke Strg + C (an der Tastatur) zum Kopieren der Daten ♦ Öffne dein Notepad und drücke Strg + V die Daten einfügen Poste dann bitte den Inhalt des Logfiles |
15.09.2010, 22:50 | #58 |
| TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung mit kopieren gings nicht, habe aber als Anlage den Screenshot |
16.09.2010, 18:00 | #59 |
/// Malwareteam | TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung Bitte mal die Konsole starten über Start, Ausführen, cmd eintippen, ok. Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen: Code:
ATTFilter remover.exe fix \\.\PhysicalDrive0 |
16.09.2010, 19:00 | #60 |
| TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung ok hab ich gemacht, screenshot im Anhang |
Themen zu TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung |
.dll, 5 minuten, acroiehelpe, anti-malware, antivir, auswertung, browser, center, dateien, explorer, festgestellt, firefox, gmer, grundlos, hallo zusammen, helper, hintergrundgeräusche, löschen, malwarebytes, microsoft, nicht sicher, software, start, stolen.data, system volume information, system32, task manager, tr/dropper.gen, trojaner, trojaner gehabt, xmldm |