| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: online banking dank gozi gesperrtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.01.2011, 13:31
| #16 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  online banking dank gozi gesperrt Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
07.01.2011, 14:24
| #17 |
 | online banking dank gozi gesperrt hier nun zunächst die logfiles von GMER und Osam:
__________________GMER Logfile: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-07 14:07:04
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MHT2080AT rev.0022
Running: 22bjzs8c.exe; Driver: C:\DOKUME~1\xx\LOKALE~1\Temp\awtdypod.sys
---- System - GMER 1.0.15 ----
SSDT F8F39A96 ZwCreateKey
SSDT F8F39A8C ZwCreateThread
SSDT F8F39A9B ZwDeleteKey
SSDT F8F39AA5 ZwDeleteValueKey
SSDT F8F39AAA ZwLoadKey
SSDT F8F39A78 ZwOpenProcess
SSDT F8F39A7D ZwOpenThread
SSDT F8F39AB4 ZwReplaceKey
SSDT F8F39AAF ZwRestoreKey
SSDT F8F39AA0 ZwSetValueKey
SSDT F8F39A87 ZwTerminateProcess
Code \??\C:\DOKUME~1\xx\LOKALE~1\Temp\catchme.sys pIofCallDriver
---- Kernel code sections - GMER 1.0.15 ----
init C:\WINDOWS\system32\drivers\o2mmb.sys entry point in "init" section [0xF78F3320]
? C:\DOKUME~1\xx\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. !
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 10: copy of MBR
---- EOF - GMER 1.0.15 ----
OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 14:20:50 on 07.01.2011 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.13 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "slcpappl.cpl" - ? - C:\WINDOWS\system32\slcpappl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~2\avconfig.cpl (File not found) "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\System32\drivers\aspi32.sys "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "awtdypod" (awtdypod) - ? - C:\DOKUME~1\jani\LOKALE~1\Temp\awtdypod.sys (Hidden registry entry, rootkit activity | File not found) "catchme" (catchme) - ? - C:\DOKUME~1\jani\LOKALE~1\Temp\catchme.sys (File not found) "cdrbsvsd" (cdrbsvsd) - "B.H.A Corporation" - C:\WINDOWS\system32\drivers\cdrbsvsd.sys "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys "FBAPI" (FBAPI) - ? - C:\WINDOWS\system32\drivers\FBAPI.sys (File found, but it contains no detailed information) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "mbr" (mbr) - ? - C:\cofi.exe\mbr.sys (Hidden registry entry, rootkit activity | File not found) "Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PhnxVcd" (PhnxVcd) - "Phoenix Technologies Ltd." - C:\WINDOWS\System32\Drivers\PhnxVcd.sys "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "RITCPT" (RITCPT) - ? - C:\WINDOWS\system32\drivers\RITCPT.sys (File found, but it contains no detailed information) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "VVBackd5" (VVBackd5) - ? - C:\WINDOWS\system32\drivers\VVBackd5.sys (File found, but it contains no detailed information) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {16148659-720A-457d-850B-2DBD87BB129D} "AudibleShlExt Class" - "Audible, Inc." - C:\Programme\Audible\Bin\AudibleExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {7D4D6379-F301-4311-BEBA-E26EB0561882} "{7D4D6379-F301-4311-BEBA-E26EB0561882}" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {16148659-720A-457d-850B-2DBD87BB129D} "AudibleShlExt Class" - "Audible, Inc." - C:\Programme\Audible\Bin\AudibleExt.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {B28C18DB-6816-4F31-9630-397683E3C2C3} "Filzip Shell Extension" - ? - (File not found | COM-object registry key not found) {73B24247-042E-4EF5-ADC2-42F62E6FD654} "ICQ Lite Shell Extension" - ? - (File not found | COM-object registry key not found) {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? - (File not found | COM-object registry key not found) {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler" - ? - (File not found | COM-object registry key not found) {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler" - ? - (File not found | COM-object registry key not found) {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "Shell Extensions for RealOne Player" - ? - (File not found | COM-object registry key not found) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )----- {32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "Ask Toolbar" - "Ask.com" - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL <binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll <binary data> "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )----- {855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll {9CB65206-89C4-402c-BA80-02D8C59F9B1D} "{9CB65206-89C4-402c-BA80-02D8C59F9B1D}" - "Ask.com" - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- DirectAnimation Java Classes "DirectAnimation Java Classes" - ? - (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\dajava.cab {6E5E167B-1566-4316-B27F-0DDAB3484CF7} "Image Uploader Control" - "Aurigma, Inc." - C:\WINDOWS\Downloaded Program Files\ImageUploader4.ocx / hxxp://static.ak.studivz.net/photouploader/ImageUploader4.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? - (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab {96512D57-F751-4088-A689-5778FCC77F7A} "Photo Uploader Control" - "StudiVZ" - C:\WINDOWS\Downloaded Program Files\PhotoUploader.ocx / hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab {9EBA6AB8-DB90-48F7-A0C1-EC3DAE86220D} "PTV xVectorMap Plugin 3.0" - "PTV Planung Transport Verkehr AG Karlsruhe" - C:\WINDOWS\Downloaded Program Files\PTVxVectorMap30.dll / hxxp://xvectormap.ptv.de/xvectormap/PTVxVectorMap30.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {609D670F-B735-4da7-AC6D-F3BD358E325E} "Citavi Picker" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll "ICQ Lite" - ? - C:\Programme\ICQLite\ICQLite.exe (File not found) "ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {FE063DB9-4EC0-403e-8DD8-394C54984B2C} "Ask Toolbar" - "Ask.com" - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL <binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll {855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {9CB65201-89C4-402c-BA80-02D8C59F9B1D} "Ask Search Assistant BHO" - "Ask.com" - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL {FE063DB1-4EC0-403e-8DD8-394C54984B2C} "Ask Toolbar BHO" - "Ask.com" - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL {609D670F-B735-4da7-AC6D-F3BD358E325E} "Asz.Citavi.IEPicker.IEPickerButton" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} "EpsonToolBandKicker Class" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {3049C3E9-B461-4BC5-8870-4C09146192CA} "{3049C3E9-B461-4BC5-8870-4C09146192CA}" - ? - (File not found | COM-object registry key not found) [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "VPN Client.lnk" - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\vpngui.exe (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\jani\Startmenü\Programme\Autostart\desktop.ini [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe "Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe "Google Updater Service" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
|
07.01.2011, 14:30
| #18 |
| | online banking dank gozi gesperrt und nun das MBR file:
__________________MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000000c Kernel Drivers (total 138): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x806EF000 \WINDOWS\system32\hal.dll 0xF8CF5000 \WINDOWS\system32\KDCOM.DLL 0xF8C05000 \WINDOWS\system32\BOOTVID.dll 0xF87A5000 ACPI.sys 0xF8CF7000 \WINDOWS\System32\DRIVERS\WMILIB.SYS 0xF8794000 pci.sys 0xF87F5000 isapnp.sys 0xF8805000 ohci1394.sys 0xF8815000 \WINDOWS\System32\DRIVERS\1394BUS.SYS 0xF8C09000 compbatt.sys 0xF8C0D000 \WINDOWS\System32\DRIVERS\BATTC.SYS 0xF8DBD000 pciide.sys 0xF8A75000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS 0xF8CF9000 intelide.sys 0xF8776000 pcmcia.sys 0xF8825000 MountMgr.sys 0xF8757000 ftdisk.sys 0xF8C11000 ACPIEC.sys 0xF8DBE000 \WINDOWS\System32\DRIVERS\OPRGHDLR.SYS 0xF8A7D000 PartMgr.sys 0xF8835000 VolSnap.sys 0xF873F000 atapi.sys 0xF8845000 disk.sys 0xF8855000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS 0xF871F000 fltmgr.sys 0xF870D000 sr.sys 0xF8865000 PxHelp20.sys 0xF86F6000 KSecDD.sys 0xF86E3000 WudfPf.sys 0xF8656000 Ntfs.sys 0xF8629000 NDIS.sys 0xF85FE000 VVBackd5.sys 0xF8875000 RITCPT.sys 0xF8C15000 RecAgent.sys 0xF85E4000 Mup.sys 0xF8885000 agp440.sys 0xF7A97000 \SystemRoot\System32\DRIVERS\intelppm.sys 0xF796C000 \SystemRoot\System32\DRIVERS\ati2mtag.sys 0xF7958000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS 0xF8BB5000 \SystemRoot\System32\DRIVERS\usbuhci.sys 0xF7934000 \SystemRoot\System32\DRIVERS\USBPORT.SYS 0xF8BBD000 \SystemRoot\System32\DRIVERS\usbehci.sys 0xF7A87000 \SystemRoot\System32\DRIVERS\nic1394.sys 0xF7922000 \SystemRoot\System32\DRIVERS\Rtlnicxp.sys 0xF8D17000 \SystemRoot\system32\drivers\MbxStby.sys 0xF78F3000 \SystemRoot\system32\drivers\o2mmb.sys 0xF76D5000 \SystemRoot\system32\DRIVERS\w29n51.sys 0xF7A77000 \SystemRoot\System32\DRIVERS\i8042prt.sys 0xF8BC5000 \SystemRoot\System32\DRIVERS\kbdclass.sys 0xF8BCD000 \SystemRoot\System32\DRIVERS\mouclass.sys 0xF85A8000 \SystemRoot\System32\Drivers\cdrbsvsd.SYS 0xF7A67000 \SystemRoot\System32\DRIVERS\imapi.sys 0xF85A4000 \SystemRoot\system32\drivers\pfc.sys 0xF7A57000 \SystemRoot\System32\DRIVERS\cdrom.sys 0xF7A47000 \SystemRoot\System32\DRIVERS\redbook.sys 0xF76B2000 \SystemRoot\System32\DRIVERS\ks.sys 0xF8BD5000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0xF768B000 \SystemRoot\system32\drivers\vinyl97.sys 0xF7667000 \SystemRoot\system32\drivers\portcls.sys 0xF88C5000 \SystemRoot\system32\drivers\drmk.sys 0xF7604000 \SystemRoot\System32\DRIVERS\slntamr.sys 0xF859C000 \SystemRoot\System32\DRIVERS\SlWdmSup.sys 0xF75C6000 \SystemRoot\System32\DRIVERS\Mtlmnt5.sys 0xF8BDD000 \SystemRoot\System32\Drivers\Modem.SYS 0xF7B07000 \SystemRoot\System32\DRIVERS\CmBatt.sys 0xF75A8000 \SystemRoot\system32\DRIVERS\dne2000.sys 0xF8EA3000 \SystemRoot\System32\DRIVERS\audstub.sys 0xF88D5000 \SystemRoot\System32\DRIVERS\rasl2tp.sys 0xF7B03000 \SystemRoot\System32\DRIVERS\ndistapi.sys 0xF7591000 \SystemRoot\System32\DRIVERS\ndiswan.sys 0xF88E5000 \SystemRoot\System32\DRIVERS\raspppoe.sys 0xF88F5000 \SystemRoot\System32\DRIVERS\raspptp.sys 0xF8BE5000 \SystemRoot\System32\DRIVERS\TDI.SYS 0xF7580000 \SystemRoot\System32\DRIVERS\psched.sys 0xF8905000 \SystemRoot\System32\DRIVERS\msgpc.sys 0xF8BED000 \SystemRoot\System32\DRIVERS\ptilink.sys 0xF8BF5000 \SystemRoot\System32\DRIVERS\raspti.sys 0xF8915000 \SystemRoot\System32\Drivers\PhnxVcd.sys 0xF8945000 \SystemRoot\System32\DRIVERS\termdd.sys 0xF8D25000 \SystemRoot\System32\DRIVERS\swenum.sys 0xF7522000 \SystemRoot\System32\DRIVERS\update.sys 0xF7AFB000 \SystemRoot\System32\DRIVERS\mssmbios.sys 0xF7AE7000 \SystemRoot\system32\drivers\MODEMCSA.sys 0xF8965000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF8995000 \SystemRoot\System32\DRIVERS\usbhub.sys 0xF8D27000 \SystemRoot\System32\DRIVERS\USBD.SYS 0xF8D29000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF8EF0000 \SystemRoot\System32\Drivers\Null.SYS 0xF8D2B000 \SystemRoot\System32\Drivers\Beep.SYS 0xF8AA5000 \SystemRoot\System32\drivers\vga.sys 0xF8D2D000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF8D2F000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF8AAD000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF8AB5000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF8CB5000 \SystemRoot\System32\DRIVERS\rasacd.sys 0xB27A5000 \SystemRoot\System32\DRIVERS\ipsec.sys 0xB274C000 \SystemRoot\System32\DRIVERS\tcpip.sys 0xB2724000 \SystemRoot\System32\DRIVERS\netbt.sys 0xB2702000 \SystemRoot\System32\drivers\afd.sys 0xF89A5000 \SystemRoot\System32\DRIVERS\netbios.sys 0xF8ABD000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xB26D7000 \SystemRoot\System32\DRIVERS\rdbss.sys 0xB2667000 \SystemRoot\System32\DRIVERS\mrxsmb.sys 0xF89C5000 \SystemRoot\System32\Drivers\Fips.SYS 0xB2641000 \SystemRoot\System32\DRIVERS\ipnat.sys 0xF89D5000 \SystemRoot\System32\DRIVERS\wanarp.sys 0xF89E5000 \SystemRoot\System32\DRIVERS\arp1394.sys 0xB2625000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF8D35000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF8A55000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB25E5000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF8D4D000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF750A000 \SystemRoot\System32\drivers\Dxapi.sys 0xF8B0D000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF8E19000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF04A000 \SystemRoot\System32\ati2cqag.dll 0xBF084000 \SystemRoot\System32\ati3duag.dll 0xBF2A7000 \SystemRoot\System32\ativvaxx.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xB24B9000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xB2469000 \SystemRoot\System32\DRIVERS\ndisuio.sys 0xB2144000 \SystemRoot\System32\DRIVERS\mrxdav.sys 0xF8B65000 \SystemRoot\System32\drivers\aspi32.sys 0xB203C000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys 0xF8D5B000 \??\C:\WINDOWS\system32\drivers\FBAPI.sys 0xB2027000 \SystemRoot\system32\drivers\wdmaud.sys 0xB21A1000 \SystemRoot\system32\drivers\sysaudio.sys 0xB1EB9000 \SystemRoot\System32\DRIVERS\srv.sys 0xB18D0000 \SystemRoot\System32\Drivers\HTTP.sys 0xF8B95000 \??\C:\DOKUME~1\jani\LOKALE~1\Temp\catchme.sys 0xF8D57000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS 0xB1728000 \??\C:\DOKUME~1\jani\LOKALE~1\Temp\awtdypod.sys 0xB16D5000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 29): 0 System Idle Process 4 System 1020 C:\WINDOWS\system32\smss.exe 1068 csrss.exe 1092 C:\WINDOWS\system32\winlogon.exe 1140 C:\WINDOWS\system32\services.exe 1152 C:\WINDOWS\system32\lsass.exe 1316 C:\WINDOWS\system32\svchost.exe 1396 svchost.exe 1540 C:\WINDOWS\system32\svchost.exe 1576 C:\WINDOWS\system32\svchost.exe 1752 svchost.exe 188 svchost.exe 500 C:\WINDOWS\system32\spoolsv.exe 548 C:\Programme\Avira\AntiVir Desktop\sched.exe 600 svchost.exe 680 C:\Programme\Avira\AntiVir Desktop\avguard.exe 704 C:\Programme\Bonjour\mDNSResponder.exe 736 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe 788 C:\Programme\Java\jre6\bin\jqs.exe 972 C:\WINDOWS\system32\svchost.exe 320 C:\WINDOWS\system32\wbem\wmiapsrv.exe 1812 C:\WINDOWS\system32\ctfmon.exe 1744 alg.exe 1392 C:\WINDOWS\explorer.exe 1232 C:\Programme\ICQ7.2\ICQ.exe 2476 C:\Programme\Mozilla Firefox\firefox.exe 996 C:\Programme\Mozilla Firefox\plugin-container.exe 2660 C:\Dokumente und Einstellungen\jani\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: FUJITSUMHT2080AT, Rev: 0022 Size Device Name MBR Status -------------------------------------------- 62 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 558F8645DD0D1FCB996F0CBD38A88265D3B8A7BA Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: ich bin da mal auf Exit gegangen! |
|
07.01.2011, 15:13
| #19 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | online banking dank gozi gesperrtZitat:
Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
07.01.2011, 15:31
| #20 |
| | online banking dank gozi gesperrt nein, da ist nur Win xp drauf. bevor ich jetzt neustarte- hätte ich an irgendeiner Stelle den Bootkit Remover schon benutzt haben sollen? oder habe ich das sogar? weiß grade nicht, was ich im anschluss an den neustart nochmal nehmen soll und welches log dann zu posten..? danke, Nina |
|
07.01.2011, 15:54
| #21 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | online banking dank gozi gesperrt Sry - meine mbrcheck und nicht Bootkit Remover 
__________________ --> online banking dank gozi gesperrt |
|
07.01.2011, 16:27
| #22 |
| | online banking dank gozi gesperrt komme nur bis zur auswahl, danach wurde mir sowas wie hdltk komprimiert oder sowas angezeigt und konnte nur mit strg alt und entf neustarten... einfach nochmal probieren? |
|
07.01.2011, 19:39
| #23 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | online banking dank gozi gesperrtZitat:
Probier nochmal die WHK (recovery console) zu starten und tippsel die Befehle ein
__________________ Logfiles bitte immer in CODE-Tags posten |
|
10.01.2011, 11:41
| #24 |
| | online banking dank gozi gesperrt ich hab das nochmal probiert, mehrmals, wenn ich die WHk auswähle und auf Enter drücke kommt da "NTLDR ist komprimiert, Neustart mit STRG Alt und Entf" was kann ich ändern?? danke |
|
10.01.2011, 12:07
| #25 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | online banking dank gozi gesperrt Hast du eine normale WinXP-CD da? Wenn nicht besorg dir die bitte
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu online banking dank gozi gesperrt |
| adware.180solutions, adware.widgitoolbar, adware.zango, anti-malware, antivir, antivirus, ausgespäht, browser, center, dateien, e-banking, ebanking, explorer, folge, frage, gesperrt, helper, icq, logfile, malwarebytes, microsoft, nicht sicher, online, online banking, pdfforge toolbar, programme, pum.disabled.securitycenter, pup.dealio, rechner, rogue.winantivirus, security, services, software, spigot, system, trojan.bho, trojaner, trojaner gozi entfernen |
Linear-Darstellung
