| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie WürmerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.01.2011, 10:44
| #16 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer Hm, kannst du von der Windows-CD booten und dort die WHK starten?
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
07.01.2011, 16:26
| #17 |
 | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer nope, also die versuche mit befehlseingabe habe ich (er übers telefon) alle so gemacht. weils nicht ging hab ich ja die whk installiert, da kann man aber nicht rein (bluescreen).
__________________wie kann ich die daten später von der externen zurückholen, ohne mich wieder zu infizieren? und wie kann ich die festplatte klarmachen für ne neuinstallation, mit sauberem mbr? muss ich nochwas anderes beachten? danke & beste grüße! arne |
|
07.01.2011, 19:33
| #18 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer Probieren wir den MBR-Fix mit dem Tool selbst nochmal:
__________________Starte bitte MBRCheck.exe erneut. Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter bei
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop. Poste mir den Inhalt von beiden .txt Dokumenten Zitat:
 1.) Sorge dafür, dass die automatische Wiedergabe (Autorun/Autoplay) von allen Laufwerken deaktiviert ist 2.) Kopier nur reine Datendateien, keine ausführbaren Dateien Zitat:
Wer aber ganz sicher gehen will, macht ein Wipe der gesamten Platte mit DBAN oder in einem Live-CD-Linux mittels dd: Code:
ATTFilter dd if=/dev/zero of=/dev/sda bs=512 count=1
__________________ |
|
07.01.2011, 22:23
| #19 |
| | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer okay, dann hier jetzt noch ein versuch. VOR der bearbeitung: ******** MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x00000f5d Kernel Drivers (total 127): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80700000 \WINDOWS\system32\hal.dll 0xF7D63000 \WINDOWS\system32\KDCOM.DLL 0xF7C73000 \WINDOWS\system32\BOOTVID.dll 0xF7813000 ACPI.sys 0xF7D65000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7802000 pci.sys 0xF7863000 isapnp.sys 0xF7E2B000 pciide.sys 0xF7AE3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7D67000 intelide.sys 0xF7873000 MountMgr.sys 0xF77E3000 ftdisk.sys 0xF7D69000 dmload.sys 0xF77BD000 dmio.sys 0xF7AEB000 PartMgr.sys 0xF7883000 VolSnap.sys 0xF77A5000 atapi.sys 0xF7761000 iaStor.sys 0xF7893000 disk.sys 0xF78A3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7741000 fltmgr.sys 0xF772F000 sr.sys 0xF78B3000 PxHelp20.sys 0xF7718000 KSecDD.sys 0xF768B000 Ntfs.sys 0xF765E000 NDIS.sys 0xF7644000 Mup.sys 0xF78C3000 agp440.sys 0xF7AA3000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF6510000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xF64FC000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7B53000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF64D8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7B5B000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF64B4000 \SystemRoot\system32\DRIVERS\EL2K_XP.sys 0xF7AB3000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7B63000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7AC3000 \SystemRoot\system32\DRIVERS\serial.sys 0xF761C000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF7B6B000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF64A0000 \SystemRoot\system32\DRIVERS\parport.sys 0xF7AD3000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7618000 \SystemRoot\system32\drivers\iviaspi.sys 0xF6BE1000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF6B81000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF4D54000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7BD3000 \SystemRoot\system32\drivers\InCDPass.sys 0xF6B61000 \SystemRoot\system32\drivers\InCDRm.sys 0xF4CC6000 \SystemRoot\system32\drivers\smwdm.sys 0xF4CA2000 \SystemRoot\system32\drivers\portcls.sys 0xF6B51000 \SystemRoot\system32\drivers\drmk.sys 0xF4C8A000 \SystemRoot\system32\drivers\aeaudio.sys 0xF7EE4000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7933000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7600000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF4C73000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF7943000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF7953000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7BDB000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF4C62000 \SystemRoot\system32\DRIVERS\psched.sys 0xF7963000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7BE3000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7BEB000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF4B92000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF7973000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7BF3000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7DAF000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF4B34000 \SystemRoot\system32\DRIVERS\update.sys 0xF7D17000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xEFD10000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xECDCB000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7E03000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xEC0C2000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xF7DEB000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xB39D3000 \SystemRoot\System32\Drivers\Null.SYS 0xF7DED000 \SystemRoot\System32\Drivers\Beep.SYS 0xF0C19000 \SystemRoot\System32\drivers\vga.sys 0xF7DEF000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7DF1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xB419B000 \SystemRoot\System32\Drivers\InCDrec.SYS 0xB2F6A000 \SystemRoot\system32\drivers\InCDFs.sys 0xF0C11000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF0C09000 \SystemRoot\System32\Drivers\Npfs.SYS 0xB4197000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xB2F07000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xB2EAE000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xB2E86000 \SystemRoot\system32\DRIVERS\netbt.sys 0xB2E60000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xB2E3E000 \SystemRoot\System32\drivers\afd.sys 0xB49C0000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xB49B0000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF0C01000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xB2E13000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xB2D7B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xB4283000 \SystemRoot\System32\Drivers\Fips.SYS 0xB417B000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xB4273000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF0BF9000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF0BF1000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xB2D55000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7DFB000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xB38C3000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xF0BE9000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xB38BF000 \SystemRoot\system32\DRIVERS\BrScnUsb.sys 0xF0BE1000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xB4203000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB2D11000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0xB9B28000 \SystemRoot\System32\drivers\Dxapi.sys 0xB35C1000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7F52000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xB2487000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xB5AC7000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB2432000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xF7E0B000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xF7D53000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS 0xB2340000 \SystemRoot\system32\DRIVERS\srv.sys 0xF7DDB000 \SystemRoot\system32\drivers\regi.sys 0xB2033000 \SystemRoot\system32\drivers\wdmaud.sys 0xB20F8000 \SystemRoot\system32\drivers\sysaudio.sys 0xB14BE000 \SystemRoot\System32\Drivers\HTTP.sys 0xB08EE000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 38): 0 System Idle Process 4 System 616 C:\WINDOWS\system32\smss.exe 668 csrss.exe 692 C:\WINDOWS\system32\winlogon.exe 736 C:\WINDOWS\system32\services.exe 748 C:\WINDOWS\system32\lsass.exe 932 C:\WINDOWS\system32\svchost.exe 1000 svchost.exe 1040 C:\WINDOWS\system32\svchost.exe 1128 svchost.exe 1156 svchost.exe 1168 C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe 1292 C:\WINDOWS\system32\spoolsv.exe 1408 C:\Programme\Avira\AntiVir Desktop\sched.exe 1448 svchost.exe 1512 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1528 C:\Programme\Bonjour\mDNSResponder.exe 1540 C:\WINDOWS\system32\drivers\CDAC11BA.EXE 1604 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe 1632 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe 1664 C:\Programme\Java\jre6\bin\jqs.exe 1700 C:\WINDOWS\system32\mgabg.exe 1728 C:\Programme\CDBurnerXP\NMSAccessU.exe 1744 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1824 C:\WINDOWS\system32\nvsvc32.exe 1848 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe 1884 C:\Programme\CyberLink\Shared Files\RichVideo.exe 1920 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe 1980 C:\WINDOWS\system32\svchost.exe 2012 wdfmgr.exe 492 alg.exe 532 wmiprvse.exe 2072 C:\WINDOWS\system32\wscntfy.exe 2140 C:\WINDOWS\explorer.exe 2208 C:\WINDOWS\system32\ctfmon.exe 2616 C:\WINDOWS\system32\wuauclt.exe 2800 C:\Dokumente und Einstellungen\arne\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200 (NTFS) PhysicalDrive0 Model Number: IntelRaid 1 Volume, Rev: 0.1. Size Device Name MBR Status -------------------------------------------- 465 GB \\.\PhysicalDrive0 MBR Code Faked! SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Options: [1] Dump the MBR of a physical disk to file. [2] Restore the MBR of a physical disk with a standard boot code. [3] Exit. Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes: [ 0] Default (Windows XP) [ 1] Windows XP [ 2] Windows Server 2003 [ 3] Windows Vista [ 4] Windows 2008 [ 5] Windows 7 [-1] Cancel Please select the MBR code to write to this drive: 1 Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: YES Successfully wrote new MBR code! Please reboot your computer to complete the fix. Done! ********** NACH der bearbeitung: ************** MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x00000f5d Kernel Drivers (total 127): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80700000 \WINDOWS\system32\hal.dll 0xF7D63000 \WINDOWS\system32\KDCOM.DLL 0xF7C73000 \WINDOWS\system32\BOOTVID.dll 0xF7813000 ACPI.sys 0xF7D65000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7802000 pci.sys 0xF7863000 isapnp.sys 0xF7E2B000 pciide.sys 0xF7AE3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7D67000 intelide.sys 0xF7873000 MountMgr.sys 0xF77E3000 ftdisk.sys 0xF7D69000 dmload.sys 0xF77BD000 dmio.sys 0xF7AEB000 PartMgr.sys 0xF7883000 VolSnap.sys 0xF77A5000 atapi.sys 0xF7761000 iaStor.sys 0xF7893000 disk.sys 0xF78A3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7741000 fltmgr.sys 0xF772F000 sr.sys 0xF78B3000 PxHelp20.sys 0xF7718000 KSecDD.sys 0xF768B000 Ntfs.sys 0xF765E000 NDIS.sys 0xF7644000 Mup.sys 0xF78C3000 agp440.sys 0xF7A83000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF652A000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xF6516000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7B73000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF64F2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7B7B000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF64CE000 \SystemRoot\system32\DRIVERS\EL2K_XP.sys 0xF7A93000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7BAB000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF6BBB000 \SystemRoot\system32\DRIVERS\serial.sys 0xF7610000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF7BEB000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF4D91000 \SystemRoot\system32\DRIVERS\parport.sys 0xF6BAB000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF760C000 \SystemRoot\system32\drivers\iviaspi.sys 0xF6B9B000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF6B8B000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF4D6E000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7BF3000 \SystemRoot\system32\drivers\InCDPass.sys 0xF6B7B000 \SystemRoot\system32\drivers\InCDRm.sys 0xF4CE0000 \SystemRoot\system32\drivers\smwdm.sys 0xF4CBC000 \SystemRoot\system32\drivers\portcls.sys 0xF6B6B000 \SystemRoot\system32\drivers\drmk.sys 0xF4CA4000 \SystemRoot\system32\drivers\aeaudio.sys 0xF7EC1000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7913000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7600000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF4C8D000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF7923000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF7933000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7BFB000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF4C7C000 \SystemRoot\system32\DRIVERS\psched.sys 0xF7943000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7C03000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7C0B000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF4BAC000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF7953000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7C13000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7DAD000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF4B4E000 \SystemRoot\system32\DRIVERS\update.sys 0xF73E5000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xEFB51000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xEFB41000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7DFF000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xB927A000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xF7E11000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7F8F000 \SystemRoot\System32\Drivers\Null.SYS 0xF7E13000 \SystemRoot\System32\Drivers\Beep.SYS 0xB926A000 \SystemRoot\System32\drivers\vga.sys 0xF7E15000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7E17000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xED60E000 \SystemRoot\System32\Drivers\InCDrec.SYS 0xB911F000 \SystemRoot\system32\drivers\InCDFs.sys 0xB9262000 \SystemRoot\System32\Drivers\Msfs.SYS 0xB925A000 \SystemRoot\System32\Drivers\Npfs.SYS 0xED60A000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xB910C000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xB7E2A000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xB72C6000 \SystemRoot\system32\DRIVERS\netbt.sys 0xB6873000 \SystemRoot\System32\drivers\afd.sys 0xF3E62000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF4351000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xB55FA000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xB4452000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xB53E6000 \SystemRoot\System32\Drivers\Fips.SYS 0xB3D74000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xB53D6000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xB5968000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xB53C6000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF0C7B000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF0C73000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xB3D4E000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7DFB000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xB5238000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xF0C6B000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xB5234000 \SystemRoot\system32\DRIVERS\BrScnUsb.sys 0xF0C63000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xB5396000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB3D0A000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0xB521C000 \SystemRoot\System32\drivers\Dxapi.sys 0xB4A6A000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7EC6000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xB3699000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xED62A000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB366C000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xB4444000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xB3648000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS 0xB357A000 \SystemRoot\system32\DRIVERS\srv.sys 0xB3D9A000 \SystemRoot\system32\drivers\regi.sys 0xB3385000 \SystemRoot\system32\drivers\wdmaud.sys 0xB344A000 \SystemRoot\system32\drivers\sysaudio.sys 0xB2F27000 \SystemRoot\System32\Drivers\HTTP.sys 0xB2683000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 39): 0 System Idle Process 4 System 616 C:\WINDOWS\system32\smss.exe 668 csrss.exe 692 C:\WINDOWS\system32\winlogon.exe 736 C:\WINDOWS\system32\services.exe 748 C:\WINDOWS\system32\lsass.exe 932 C:\WINDOWS\system32\svchost.exe 1000 svchost.exe 1040 C:\WINDOWS\system32\svchost.exe 1128 svchost.exe 1156 svchost.exe 1168 C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe 1332 C:\WINDOWS\system32\spoolsv.exe 1396 C:\Programme\Avira\AntiVir Desktop\sched.exe 1440 svchost.exe 1496 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1508 C:\Programme\Bonjour\mDNSResponder.exe 1524 C:\WINDOWS\system32\drivers\CDAC11BA.EXE 1588 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe 1616 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe 1636 C:\Programme\Java\jre6\bin\jqs.exe 1684 C:\WINDOWS\system32\mgabg.exe 1716 C:\Programme\CDBurnerXP\NMSAccessU.exe 1756 C:\WINDOWS\system32\nvsvc32.exe 1776 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1800 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe 1840 C:\Programme\CyberLink\Shared Files\RichVideo.exe 1948 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe 1968 C:\WINDOWS\system32\svchost.exe 1984 wdfmgr.exe 660 wmiprvse.exe 1700 C:\WINDOWS\explorer.exe 1712 C:\WINDOWS\system32\wscntfy.exe 1944 alg.exe 2148 C:\WINDOWS\system32\ctfmon.exe 2616 C:\WINDOWS\system32\wuauclt.exe 2692 C:\Programme\Avira\AntiVir Desktop\avcenter.exe 2784 C:\Dokumente und Einstellungen\arne\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200 (NTFS) PhysicalDrive0 Model Number: IntelRaid 1 Volume, Rev: 0.1. Size Device Name MBR Status -------------------------------------------- 465 GB \\.\PhysicalDrive0 MBR Code Faked! SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Done! *********** ich werd einfach, wenn wir das jetzt nicht direkt hinkriegen, alle *.exe in der externen suchen und löschen. da sollte eigentlich eh keine drauf sein. muss ich auch noch nach vb und allem möglichen dateien suchen? danke für deine hilfe! arne |
|
07.01.2011, 23:35
| #20 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren! Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok. Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen: Code:
ATTFilter remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat
__________________ Logfiles bitte immer in CODE-Tags posten |
|
08.01.2011, 15:34
| #21 |
| | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer hier die bildschirmausgabe: ********************** Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Dokumente und Einstellungen\arne>remover.exe dump \\.\PhysicalDrive0 c:\mbr.d at Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.2.0.0 OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Dumping master boot sector of \\.\PhysicalDrive0... 00000000: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000000a0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000000b0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000000c0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000000d0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000000e0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000000f0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000100: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000110: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000120: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000130: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000140: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000150: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000160: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000170: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000180: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 00000190: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000001a0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000001b0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000001c0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000001d0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000001e0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000001f0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 512 bytes written to c:\mbr.dat Done; Press any key to quit... ***************** datei ist hochgeladen über den upload-channel |
|
08.01.2011, 15:38
| #22 |
| | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer falls von interesse, hier die ausgabe von remover, was ich danach nochmal ausgeführt habe (also nur den scan): *********** Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.2.0.0 OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Size Device Name MBR Status -------------------------------------------- 465 GB \\.\PhysicalDrive0 Controlled by rootkit! Boot code on some of your physical disks is hidden by a rootkit. To disinfect the master boot sector, use the following command: remover.exe fix <device_name> To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] Done; Press any key to quit... ****************** |
|
08.01.2011, 21:49
| #23 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer Da ist immer noch ein Rootkit am Werkeln. Du musst unbedingt in die WHK kommen. Anders bekommt man den nicht wirklich gefixt. Bist du nun selbst vor Ort am Rechner? Hast du noch einen zweiten Rechner, bei dem man die WHK von der Windows-CD starten kann? Dann gibt es vllt doch noch Hoffnung außer format c: Edit: Mit dieser RAID-Konfig wird's schwierig. Hast du einen Treiber, den du per F6 beim Start von der Windows-XP-CD einbinden kannst?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
10.01.2011, 02:39
| #24 |
| | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer hello bin jetzt vor ort, aber "leider" hat mein vater wohl alles richtig gemacht (-: aber er hat natürlich nicht f6 gedrückt um in die WHK zu kommen, als er es von CD aus versucht hat. das müsste doch notwendig sein.. also ich komme nach wie vor nicht in die installierte WHK (bluescreen). ein anderer rechner ist am start, netzwerk auch (- falls ich den für irgendwas benötigen sollte). am problemrechner ist kein floppy. ich werd morgen eines suchen. falls das nicht klappt versuch ichs mit nem nlite inkl. dem entsprechenden raid-treiber, den ich schon gefunden hab. greetings |
|
10.01.2011, 10:44
| #25 |
| | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer Moin! also gut, mit Raid-Treibern vom eingehängten floppy komme ich problemlos in die WHK und habe auch fixmbr sowie fixboot ausführen können, alles gut. der mbr-check im windows danach war nicht so prickelnd: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x00000f1d Kernel Drivers (total 124): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80700000 \WINDOWS\system32\hal.dll 0xF7D63000 \WINDOWS\system32\KDCOM.DLL 0xF7C73000 \WINDOWS\system32\BOOTVID.dll 0xF7813000 ACPI.sys 0xF7D65000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7802000 pci.sys 0xF7863000 isapnp.sys 0xF7E2B000 pciide.sys 0xF7AE3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7D67000 intelide.sys 0xF7873000 MountMgr.sys 0xF77E3000 ftdisk.sys 0xF7D69000 dmload.sys 0xF77BD000 dmio.sys 0xF7AEB000 PartMgr.sys 0xF7883000 VolSnap.sys 0xF77A5000 atapi.sys 0xF7761000 iaStor.sys 0xF7893000 disk.sys 0xF78A3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7741000 fltmgr.sys 0xF772F000 sr.sys 0xF78B3000 PxHelp20.sys 0xF7718000 KSecDD.sys 0xF768B000 Ntfs.sys 0xF765E000 NDIS.sys 0xF7644000 Mup.sys 0xF78C3000 agp440.sys 0xF7943000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF6063000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xF604F000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7B8B000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF602B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7B93000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF6007000 \SystemRoot\system32\DRIVERS\EL2K_XP.sys 0xF7953000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7B9B000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7963000 \SystemRoot\system32\DRIVERS\serial.sys 0xF7D5F000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF7BA3000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF5FF3000 \SystemRoot\system32\DRIVERS\parport.sys 0xF7973000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7620000 \SystemRoot\system32\drivers\iviaspi.sys 0xF7983000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF7993000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF5FD0000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7BAB000 \SystemRoot\system32\drivers\InCDPass.sys 0xF79B3000 \SystemRoot\system32\drivers\InCDRm.sys 0xF4F53000 \SystemRoot\system32\drivers\smwdm.sys 0xF4F2F000 \SystemRoot\system32\drivers\portcls.sys 0xF66B4000 \SystemRoot\system32\drivers\drmk.sys 0xF4F17000 \SystemRoot\system32\drivers\aeaudio.sys 0xF7F29000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF66A4000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7610000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF4F00000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF79D3000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF79E3000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7C0B000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF4EEF000 \SystemRoot\system32\DRIVERS\psched.sys 0xF79F3000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7C13000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7C1B000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF4E1F000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF7A03000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7C23000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7DBB000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF4DC1000 \SystemRoot\system32\DRIVERS\update.sys 0xF6F1A000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xEFF7D000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xEFF6D000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7E0B000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xED123000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xF7E1F000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7EBB000 \SystemRoot\System32\Drivers\Null.SYS 0xF7E21000 \SystemRoot\System32\Drivers\Beep.SYS 0xECD6D000 \SystemRoot\System32\drivers\vga.sys 0xF7E23000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7E25000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xEBC1B000 \SystemRoot\System32\Drivers\InCDrec.SYS 0xB72A6000 \SystemRoot\system32\drivers\InCDFs.sys 0xECD85000 \SystemRoot\System32\Drivers\Msfs.SYS 0xECD8D000 \SystemRoot\System32\Drivers\Npfs.SYS 0xEBC17000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xB7293000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xB723A000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xB7212000 \SystemRoot\system32\DRIVERS\netbt.sys 0xB71EC000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xB71CA000 \SystemRoot\System32\drivers\afd.sys 0xEFF3D000 \SystemRoot\system32\DRIVERS\netbios.sys 0xEBC1F000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xECD75000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xB719F000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xB712F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xB9217000 \SystemRoot\System32\Drivers\Fips.SYS 0xB7109000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7E05000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xB3C1A000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xB3988000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF1883000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xB3C06000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xF103E000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xB2D0F000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB1F5F000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0xB3333000 \SystemRoot\System32\drivers\Dxapi.sys 0xF102E000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7F61000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xB16B5000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xF284D000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB1660000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xF7D6F000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xB168D000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS 0xB156E000 \SystemRoot\system32\DRIVERS\srv.sys 0xF7D95000 \SystemRoot\system32\drivers\regi.sys 0xB1289000 \SystemRoot\system32\drivers\wdmaud.sys 0xF7A43000 \SystemRoot\system32\drivers\sysaudio.sys 0xB0FBB000 \SystemRoot\System32\Drivers\HTTP.sys 0xB073F000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 37): 0 System Idle Process 4 System 616 C:\WINDOWS\system32\smss.exe 668 csrss.exe 692 C:\WINDOWS\system32\winlogon.exe 736 C:\WINDOWS\system32\services.exe 748 C:\WINDOWS\system32\lsass.exe 936 C:\WINDOWS\system32\svchost.exe 1000 svchost.exe 1040 C:\WINDOWS\system32\svchost.exe 1120 svchost.exe 1160 svchost.exe 1172 C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe 1284 C:\WINDOWS\system32\spoolsv.exe 1400 C:\Programme\Avira\AntiVir Desktop\sched.exe 1436 svchost.exe 1500 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1512 C:\Programme\Bonjour\mDNSResponder.exe 1528 C:\WINDOWS\system32\drivers\CDAC11BA.EXE 1596 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe 1620 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe 1656 C:\Programme\Java\jre6\bin\jqs.exe 1688 C:\WINDOWS\system32\mgabg.exe 1700 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1716 C:\Programme\CDBurnerXP\NMSAccessU.exe 1776 C:\WINDOWS\system32\nvsvc32.exe 1840 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe 1880 C:\Programme\CyberLink\Shared Files\RichVideo.exe 1920 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe 1972 C:\WINDOWS\system32\svchost.exe 2012 wdfmgr.exe 536 alg.exe 2076 C:\WINDOWS\system32\wscntfy.exe 2152 C:\WINDOWS\explorer.exe 2228 C:\WINDOWS\system32\ctfmon.exe 2600 C:\WINDOWS\system32\wuauclt.exe 2832 C:\Dokumente und Einstellungen\arne\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200 (NTFS) PhysicalDrive0 Model Number: IntelRaid 1 Volume, Rev: 0.1. Size Device Name MBR Status -------------------------------------------- 465 GB \\.\PhysicalDrive0 MBR Code Faked! SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: *********  |
|
10.01.2011, 11:00
| #26 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer Strange Wiederhol fixboot und fixmbr bitte nochmal 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
10.01.2011, 13:41
| #27 |
| | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer jo, nochens ausgeführt. erst fixmbr, dann fixboot. MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x00000f5d Kernel Drivers (total 127): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80700000 \WINDOWS\system32\hal.dll 0xF7D63000 \WINDOWS\system32\KDCOM.DLL 0xF7C73000 \WINDOWS\system32\BOOTVID.dll 0xF7813000 ACPI.sys 0xF7D65000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7802000 pci.sys 0xF7863000 isapnp.sys 0xF7E2B000 pciide.sys 0xF7AE3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7D67000 intelide.sys 0xF7873000 MountMgr.sys 0xF77E3000 ftdisk.sys 0xF7D69000 dmload.sys 0xF77BD000 dmio.sys 0xF7AEB000 PartMgr.sys 0xF7883000 VolSnap.sys 0xF77A5000 atapi.sys 0xF7761000 iaStor.sys 0xF7893000 disk.sys 0xF78A3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7741000 fltmgr.sys 0xF772F000 sr.sys 0xF78B3000 PxHelp20.sys 0xF7718000 KSecDD.sys 0xF768B000 Ntfs.sys 0xF765E000 NDIS.sys 0xF7644000 Mup.sys 0xF78C3000 agp440.sys 0xF79A3000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF621C000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xF6208000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7BCB000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF61E4000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7BD3000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF61C0000 \SystemRoot\system32\DRIVERS\EL2K_XP.sys 0xF79B3000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7BDB000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF79C3000 \SystemRoot\system32\DRIVERS\serial.sys 0xF7608000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF7BE3000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF61AC000 \SystemRoot\system32\DRIVERS\parport.sys 0xF79D3000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7604000 \SystemRoot\system32\drivers\iviaspi.sys 0xF79E3000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF79F3000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF6189000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7BEB000 \SystemRoot\system32\drivers\InCDPass.sys 0xF7A03000 \SystemRoot\system32\drivers\InCDRm.sys 0xF60FB000 \SystemRoot\system32\drivers\smwdm.sys 0xF60D7000 \SystemRoot\system32\drivers\portcls.sys 0xF68ED000 \SystemRoot\system32\drivers\drmk.sys 0xF60BF000 \SystemRoot\system32\drivers\aeaudio.sys 0xF7EDE000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF68DD000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7D03000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF60A8000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF68CD000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF68BD000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7BF3000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF6097000 \SystemRoot\system32\DRIVERS\psched.sys 0xF68AD000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7BFB000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7C03000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF5FCE000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF7A43000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7C6B000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7DC1000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF4F38000 \SystemRoot\system32\DRIVERS\update.sys 0xF7D0F000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xEBC2E000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xEBC0E000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7D87000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF1944000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xF7E17000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xB311D000 \SystemRoot\System32\Drivers\Null.SYS 0xF7E19000 \SystemRoot\System32\Drivers\Beep.SYS 0xF1934000 \SystemRoot\System32\drivers\vga.sys 0xF7E1B000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7E1D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xB3C53000 \SystemRoot\System32\Drivers\InCDrec.SYS 0xB288B000 \SystemRoot\system32\drivers\InCDFs.sys 0xF192C000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF1924000 \SystemRoot\System32\Drivers\Npfs.SYS 0xB3C4F000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xB2878000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xB281F000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xB27F7000 \SystemRoot\system32\DRIVERS\netbt.sys 0xB27D1000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xB27AF000 \SystemRoot\System32\drivers\afd.sys 0xB3658000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xB3648000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF191C000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xB2784000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xB2714000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xB3638000 \SystemRoot\System32\Drivers\Fips.SYS 0xB3C37000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xB3628000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xB326C000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xB26EE000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xB3264000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xF7E27000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xB31A2000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xB325C000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xB2BA1000 \SystemRoot\system32\DRIVERS\BrScnUsb.sys 0xB3254000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xB35C8000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB26AA000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0xB2B89000 \SystemRoot\System32\drivers\Dxapi.sys 0xB323C000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7F88000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xB2422000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xF4F96000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB23CD000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xF72EB000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xEBCE0000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS 0xB22DB000 \SystemRoot\system32\DRIVERS\srv.sys 0xBA05F000 \SystemRoot\system32\drivers\regi.sys 0xB20E6000 \SystemRoot\system32\drivers\wdmaud.sys 0xF42D2000 \SystemRoot\system32\drivers\sysaudio.sys 0xB1621000 \SystemRoot\System32\Drivers\HTTP.sys 0xB0DF5000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 39): 0 System Idle Process 4 System 616 C:\WINDOWS\system32\smss.exe 680 csrss.exe 704 C:\WINDOWS\system32\winlogon.exe 748 C:\WINDOWS\system32\services.exe 760 C:\WINDOWS\system32\lsass.exe 948 C:\WINDOWS\system32\svchost.exe 1016 svchost.exe 1112 C:\WINDOWS\system32\svchost.exe 1236 svchost.exe 1308 svchost.exe 1320 C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe 1632 C:\WINDOWS\system32\spoolsv.exe 1768 C:\Programme\Avira\AntiVir Desktop\sched.exe 1812 svchost.exe 1876 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1892 C:\Programme\Bonjour\mDNSResponder.exe 1916 C:\WINDOWS\system32\drivers\CDAC11BA.EXE 1996 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe 2036 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe 176 C:\Programme\Java\jre6\bin\jqs.exe 288 C:\WINDOWS\system32\mgabg.exe 420 C:\Programme\CDBurnerXP\NMSAccessU.exe 436 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 476 C:\WINDOWS\system32\nvsvc32.exe 528 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe 964 C:\Programme\CyberLink\Shared Files\RichVideo.exe 1280 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe 1476 C:\WINDOWS\system32\svchost.exe 1516 wdfmgr.exe 1432 wmiprvse.exe 2212 alg.exe 2440 C:\WINDOWS\explorer.exe 2476 C:\WINDOWS\system32\wscntfy.exe 2556 C:\WINDOWS\system32\ctfmon.exe 3396 C:\WINDOWS\system32\wuauclt.exe 3720 C:\Programme\Avira\AntiVir Desktop\avcenter.exe 3908 C:\Dokumente und Einstellungen\arne\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200 (NTFS) PhysicalDrive0 Model Number: IntelRaid 1 Volume, Rev: 0.1. Size Device Name MBR Status -------------------------------------------- 465 GB \\.\PhysicalDrive0 MBR Code Faked! SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Done! ist möglicherweise die interpretation des codes von mbrcheck nicht richtig? kennst du noch ne andere möglichkeit, den mbr zu checken? |
|
10.01.2011, 14:03
| #28 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer Nein leider nicht  Entweder ein noch aktives Rootkit verändert sofort den MBR wieder wenn WIndows von der Festplatte gestartet wird, oder mbrcheck mag nicht so gern dein RAID  Man müsste im Grunde eine Vergleichsbasis haben, also Ergebnisse von mbrcheck von dieser Kiste, wenn auf dieser ein garantiert sauberes Windows läuft.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
10.01.2011, 14:18
| #29 |
| | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer ja das hört sich schlau an. ich kann natürlich ne andere platte reinhängen - gibts mbr-check auch dos oder knoppix? per google hab ich grad nichts dazu gefunden. denn die andere platte hat ja noch kein system. ich sonst n system installieren, um überhaupt mbrcheck ausführen zu können...  also ich bin mittlerweile längst bereit, alles plattzumachen. nur bringt mir das ja nichts, wenn nachher ausm mbr wieder alles draufkommt. kann man den nicht auch nullen und neu beschreiben? |
|
10.01.2011, 14:26
| #30 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie WürmerZitat:
Denk an den RAID-Treiber, der muss da beim Starten der BartPE-CD auch per F6 eingebunden werden oder du baust den RAID-Treiber schon mit dem pebuilder direkt in die CD ein
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer |
| aktualisieren, anleitung, antivir, datei, dateien, extras.txt, fehler, festplatte, festplatten, frage, gebraucht, gmer, großes, internet, klicke, load.exe, netzwerkverbindungen, nicht mehr, office, ohne internet, otl.txt, problem, probleme, pum.disabled.securitycenter, rechner, scan, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen2, tr/dropper.gen, trojanische pferde, warum, würmer |
Linear-Darstellung
