Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.01.2011, 17:44   #1
Ordo
 
Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Böse

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)



Hallo und Guten Tag!

Ich komme gleich zu meinem Problem.
Ich habe ein Backdoor Trojaner; Wurm, was auch immer auf meinem PC. Er wird durch Antivir erkannt, kann aber nicht gelöscht werden.
(Welchen Namen er trägt habe ich mir nicht gemerkt)

Jedenfalls war ich neulich in einem Chat und da wurde mir gesagt, dass ich gesperrt sei, weil ich Müll im Chat geschrieben hätte. (Ich war an dem Abend am PC aber nicht(!) in dem Chat)

Nun wollte ich wissen ob jemand sich über das backdoor programm eingeloggt haben kann und das quasi parallel über meinen PC passiert ist? Bzw. über meine IP Adresse? So dass dort meine IP angezeigt wurde aber jemand anders dort Unsinn getrieben hat mit meinen ausspionierten Daten? Ist dies möglich?
(Werde demnächst auch meinem PC Neuaufsetzen um ihn loszuwerden)
Jetzt geht es mir aber erstmal um diese Frage ob es so gewesen sein könnte. Dann müsste ich das mit dem PC Neuaufsetzen eher noch heute als morgen machen.

Viele Grüße und danke an alle die sich Zeit genommen haben!

Alt 10.01.2011, 19:38   #2
nochdigger
 
Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Standard

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)



Hallo und

Zitat:
Ich habe ein Backdoor Trojaner; Wurm, was auch immer auf meinem PC. Er wird durch Antivir erkannt, kann aber nicht gelöscht werden.
(Welchen Namen er trägt habe ich mir nicht gemerkt)
nenne bitte den genauen Pfad sowie den Dateinamen, Avira merkt so etwas i.d.R.

Zitat:
Nun wollte ich wissen ob jemand sich über das backdoor programm eingeloggt haben kann und das quasi parallel über meinen PC passiert ist? Bzw. über meine IP Adresse? So dass dort meine IP angezeigt wurde aber jemand anders dort Unsinn getrieben hat mit meinen ausspionierten Daten? Ist dies möglich?
das ist eher unwahrscheinlich, es ist eher so, dass deine Zugangsdaten über einen Keylogger o.ä. abgegriffen worden sind und sich dann, von wo auch immer, eingeloggt wird .....

Zitat:
Dann müsste ich das mit dem PC Neuaufsetzen eher noch heute als morgen machen.
Das ist die sicherste Variante.


MFG
__________________

__________________

Alt 10.01.2011, 22:14   #3
Ordo
 
Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Idee

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)



Das ist die Meldung von Avira:

In der Datei 'C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\uninstall.exe'
wurde ein Virus oder unerwünschtes Programm 'RKIT/MBR.Sinowal.J' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

...

Danke erstmal für deine schnelle Antwort!
Okay dann versuch ich mich mal am neuaufsetzen. Oder gibt es noch ne andere Möglichkeit den loszuwerden?
__________________

Alt 11.01.2011, 06:50   #4
nochdigger
 
Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Standard

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)



Moin

Ich würde dich bitten zunächst eine Sicherung deiner Daten vorzunehmen, es kann bei einem Bereinigungsversuch immer etwas schief gehen.

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 11.01.2011, 19:10   #5
Ordo
 
Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Standard

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)



Öhm okay hier ist der Inhalt.

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x000000fc

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB7EB4000 spuw.sys
0xB85AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xB7E9C000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xB7E76000 d347bus.sys
0xB7E47000 ACPI.sys
0xB80A8000 isapnp.sys
0xB7E36000 pci.sys
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xB80B8000 MountMgr.sys
0xB7E17000 ftdisk.sys
0xB85AC000 dmload.sys
0xB7DF1000 dmio.sys
0xB8330000 PartMgr.sys
0xB80C8000 VolSnap.sys
0xB7DD9000
0xB85AE000 d347prt.sys
0xB80D8000 disk.sys
0xB80E8000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xB7DB9000 fltmgr.sys
0xB7DA7000 sr.sys
0xB7D90000 KSecDD.sys
0xB7D03000 Ntfs.sys
0xB7CD6000 NDIS.sys
0xB7CC2000 srescan.sys
0xB85B0000 speedfan.sys
0xB7CA8000 Mup.sys
0xB8671000 giveio.sys
0xB82A8000 \SystemRoot\system32\DRIVERS\ATITool.sys
0xB82D8000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xB7274000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB7260000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB723B000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB721E000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xB83F8000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xB71FA000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xB8400000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB71DE000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xB71CD000 \SystemRoot\System32\DRIVERS\serial.sys
0xB7C78000 \SystemRoot\System32\DRIVERS\serenum.sys
0xB71B9000 \SystemRoot\System32\DRIVERS\parport.sys
0xB82E8000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xB8408000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xB8410000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xB82F8000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB8308000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xB8318000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB7196000 \SystemRoot\System32\DRIVERS\ks.sys
0xB715D000 \SystemRoot\System32\Drivers\ao1bjqaf.SYS
0xB878B000 \SystemRoot\System32\DRIVERS\audstub.sys
0xB8118000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xB7C60000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB7146000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xB8128000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xB8138000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xB8478000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB7135000 \SystemRoot\System32\DRIVERS\psched.sys
0xB8148000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xB8480000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xB8488000 \SystemRoot\System32\DRIVERS\raspti.sys
0xB8490000 \SystemRoot\system32\DRIVERS\tap0901.sys
0xB70DC000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xB8158000 \SystemRoot\System32\DRIVERS\termdd.sys
0xB85CC000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB70A8000 \SystemRoot\System32\DRIVERS\update.sys
0xB7C44000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xB8168000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB4A8E000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB4A6C000 \SystemRoot\system32\drivers\portcls.sys
0xB8178000 \SystemRoot\system32\drivers\drmk.sys
0xB8198000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xB85E0000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xB85FC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB8702000 \SystemRoot\System32\Drivers\Null.SYS
0xB85FE000 \SystemRoot\System32\Drivers\Beep.SYS
0xB83B0000 \SystemRoot\System32\drivers\vga.sys
0xB8600000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB8602000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB83B8000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB83C0000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB710D000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xB4949000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xB48F1000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xB48C9000 \SystemRoot\System32\DRIVERS\netbt.sys
0xB81A8000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xB486A000 \SystemRoot\System32\vsdatant.sys
0xB4848000 \SystemRoot\System32\drivers\afd.sys
0xB81B8000 \SystemRoot\System32\DRIVERS\netbios.sys
0xB83C8000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB481D000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xB47AE000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xB81D8000 \SystemRoot\System32\Drivers\Fips.SYS
0xB4792000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB860A000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB81F8000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB83E8000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB8208000 \SystemRoot\System32\Drivers\nx6000.sys
0xB474C000 \SystemRoot\System32\Drivers\usbvideo.sys
0xB8218000 \SystemRoot\system32\drivers\usbaudio.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB4A44000 \SystemRoot\System32\drivers\Dxapi.sys
0xB8428000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB875A000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB4397000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB43AB000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xB4433000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xB3ED2000 \SystemRoot\system32\drivers\wdmaud.sys
0xB401F000 \SystemRoot\system32\drivers\sysaudio.sys
0xB865A000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB3BB0000 \SystemRoot\System32\DRIVERS\srv.sys
0xB3AC0000 \SystemRoot\System32\DRIVERS\secdrv.sys
0xB3AF8000 \??\C:\WINDOWS\gdrv.sys
0xB2494000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
0x10000000 \DAEMON Tools Lite\Engine.dll
0x00400000 \WINDOWS\system32\ntkrnlpa.exe

Processes (total 44):
0 System Idle Process
4 System
1048 C:\WINDOWS\system32\smss.exe
1108 csrss.exe
1136 C:\WINDOWS\system32\winlogon.exe
1180 C:\WINDOWS\system32\services.exe
1192 C:\WINDOWS\system32\lsass.exe
1392 C:\WINDOWS\system32\nvsvc32.exe
1424 C:\WINDOWS\system32\svchost.exe
1492 svchost.exe
1636 C:\WINDOWS\system32\svchost.exe
1800 svchost.exe
2032 svchost.exe
2044 C:\WINDOWS\system32\ZoneLabs\vsmon.exe
436 C:\WINDOWS\explorer.exe
540 C:\WINDOWS\system32\spoolsv.exe
1036 C:\Programme\Avira\AntiVir Desktop\sched.exe
1996 C:\WINDOWS\system32\netdde.exe
292 C:\Programme\Avira\AntiVir Desktop\avguard.exe
320 C:\Programme\Gigabyte\EasySaver\essvr.exe
604 C:\Programme\ICQ6Toolbar\ICQ Service.exe
716 C:\Programme\Java\jre6\bin\jqs.exe
1692 C:\Programme\Microsoft LifeCam\MSCamS32.exe
1720 C:\WINDOWS\system32\PnkBstrA.exe
356 C:\WINDOWS\system32\svchost.exe
2120 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2716 F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
2796 C:\WINDOWS\RTHDCPL.EXE
2828 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2836 C:\WINDOWS\vsnpstd.exe
2868 C:\WINDOWS\system32\rundll32.exe
2908 C:\Programme\Windows Live\Messenger\msnmsgr.exe
3020 C:\WINDOWS\system32\ctfmon.exe
2516 C:\Programme\Messenger\msmsgs.exe
3448 C:\Programme\Skype\Phone\Skype.exe
2928 C:\Programme\Skype\Plugin Manager\skypePM.exe
3348 C:\Programme\Alice Software\AliceEinwahl.exe
796 C:\Programme\Windows Live\Contacts\wlcomm.exe
3144 C:\Programme\ICQ7.2\ICQ.exe
2784 C:\Programme\Mozilla Firefox\plugin-container.exe
3148 C:\Programme\Mozilla Firefox\firefox.exe
2172 C:\Programme\Mozilla Firefox\plugin-container.exe
440 C:\WINDOWS\system32\igfxsrvc.exe
1588 C:\Dokumente und Einstellungen\Gunnar\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000007`14826200 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000002a`b951ca00 (NTFS)
\\.\G: --> \\.\PhysicalDrive0 at offset 0x00000034`3eeaa200 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD400LJ, Rev: ZZ100-15

Size Device Name MBR Status
--------------------------------------------
372 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 7A7945078798118328CC09106AF527DEFCD28CEC


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice:

----

Und was kann man daraus jetzt ablesen?


Alt 11.01.2011, 22:09   #6
nochdigger
 
Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Standard

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)



Hallo

Zitat:
Und was kann man daraus jetzt ablesen?
für mich wichtig
a.
Zitat:
Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
warum nur SP2?

b.
Zitat:
Size Device Name MBR Status
--------------------------------------------
372 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 7A7945078798118328CC09106AF527DEFCD28CEC


Found non-standard or infected MBR.
Avira hat ihn ja schon gemeldet...


Lösche bitte die vorhandenen MBRCheck.txt.

Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei
  • Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
  • Enter your choice: 2
  • Enter the physical disk number to fix (0-99, -1 to cancel): 0
  • PLease select the MBR code to write to this drive: 1
Die rot eingerahmten Zahlen aus der Anleitung entnehmen!!!
  • Gib nun Yes ein und bestätige mit ENTER.
  • Starte den Rechner neu auf.
Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

MFG
__________________
--> Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)

Alt 12.01.2011, 15:59   #7
Ordo
 
Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Standard

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)



Nun gut.

erstes Dokument:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x000000fc

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB7EB4000 spew.sys
0xB85AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xB7E9C000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xB7E76000 d347bus.sys
0xB7E47000 ACPI.sys
0xB80A8000 isapnp.sys
0xB7E36000 pci.sys
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xB80B8000 MountMgr.sys
0xB7E17000 ftdisk.sys
0xB85AC000 dmload.sys
0xB7DF1000 dmio.sys
0xB8330000 PartMgr.sys
0xB80C8000 VolSnap.sys
0xB7DD9000
0xB85AE000 d347prt.sys
0xB80D8000 disk.sys
0xB80E8000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xB7DB9000 fltmgr.sys
0xB7DA7000 sr.sys
0xB7D90000 KSecDD.sys
0xB7D03000 Ntfs.sys
0xB7CD6000 NDIS.sys
0xB7CC2000 srescan.sys
0xB85B0000 speedfan.sys
0xB7CA8000 Mup.sys
0xB8671000 giveio.sys
0xB82D8000 \SystemRoot\system32\DRIVERS\ATITool.sys
0xB8308000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xB7274000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB7260000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB723B000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB721E000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xB83E8000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xB71FA000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xB83F0000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB71DE000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xB71CD000 \SystemRoot\System32\DRIVERS\serial.sys
0xB85A0000 \SystemRoot\System32\DRIVERS\serenum.sys
0xB71B9000 \SystemRoot\System32\DRIVERS\parport.sys
0xB8318000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xB83F8000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xB8400000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xB8118000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB8128000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xB8138000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB7196000 \SystemRoot\System32\DRIVERS\ks.sys
0xB715D000 \SystemRoot\System32\Drivers\afe8kh4i.SYS
0xB877E000 \SystemRoot\System32\DRIVERS\audstub.sys
0xB8148000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xB7C60000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB7146000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xB8158000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xB8168000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xB8468000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB7135000 \SystemRoot\System32\DRIVERS\psched.sys
0xB8178000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xB8470000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xB8478000 \SystemRoot\System32\DRIVERS\raspti.sys
0xB8480000 \SystemRoot\system32\DRIVERS\tap0901.sys
0xB70DC000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xB8188000 \SystemRoot\System32\DRIVERS\termdd.sys
0xB85CA000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB70A8000 \SystemRoot\System32\DRIVERS\update.sys
0xB7C44000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xB8198000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB4A8E000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB4A6C000 \SystemRoot\system32\drivers\portcls.sys
0xB81A8000 \SystemRoot\system32\drivers\drmk.sys
0xB81B8000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xB85DC000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xB85F8000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB86EF000 \SystemRoot\System32\Drivers\Null.SYS
0xB85FA000 \SystemRoot\System32\Drivers\Beep.SYS
0xB8398000 \SystemRoot\System32\drivers\vga.sys
0xB85FC000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB85FE000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB83A0000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB83A8000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB710D000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xB4949000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xB48F1000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xB48C9000 \SystemRoot\System32\DRIVERS\netbt.sys
0xB81C8000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xB486A000 \SystemRoot\System32\vsdatant.sys
0xB4848000 \SystemRoot\System32\drivers\afd.sys
0xB81D8000 \SystemRoot\System32\DRIVERS\netbios.sys
0xB83B0000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB481D000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xB47AE000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xB81F8000 \SystemRoot\System32\Drivers\Fips.SYS
0xB4792000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB8606000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB8218000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB83D8000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB8228000 \SystemRoot\System32\Drivers\nx6000.sys
0xB474C000 \SystemRoot\System32\Drivers\usbvideo.sys
0xB8238000 \SystemRoot\system32\drivers\usbaudio.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB7131000 \SystemRoot\System32\drivers\Dxapi.sys
0xB8410000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB8750000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB4397000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB438B000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xB4433000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xB3EAA000 \SystemRoot\system32\drivers\wdmaud.sys
0xB3FF7000 \SystemRoot\system32\drivers\sysaudio.sys
0xB863A000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB3BB0000 \SystemRoot\System32\DRIVERS\srv.sys
0xB3AC0000 \SystemRoot\System32\DRIVERS\secdrv.sys
0xB3A3C000 \??\C:\WINDOWS\gdrv.sys
0xB26E7000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
0x10000000 \DAEMON Tools Lite\Engine.dll
0x00400000 \WINDOWS\system32\ntkrnlpa.exe

Processes (total 40):
0 System Idle Process
4 System
1048 C:\WINDOWS\system32\smss.exe
1112 csrss.exe
1140 C:\WINDOWS\system32\winlogon.exe
1184 C:\WINDOWS\system32\services.exe
1196 C:\WINDOWS\system32\lsass.exe
1396 C:\WINDOWS\system32\nvsvc32.exe
1428 C:\WINDOWS\system32\svchost.exe
1500 svchost.exe
1644 C:\WINDOWS\system32\svchost.exe
1836 svchost.exe
2040 svchost.exe
160 C:\WINDOWS\system32\ZoneLabs\vsmon.exe
496 C:\WINDOWS\explorer.exe
1008 C:\WINDOWS\system32\spoolsv.exe
1076 C:\Programme\Avira\AntiVir Desktop\sched.exe
2036 C:\WINDOWS\system32\netdde.exe
360 C:\Programme\Avira\AntiVir Desktop\avguard.exe
444 C:\Programme\Gigabyte\EasySaver\essvr.exe
628 C:\Programme\ICQ6Toolbar\ICQ Service.exe
716 C:\Programme\Java\jre6\bin\jqs.exe
1308 C:\Programme\Microsoft LifeCam\MSCamS32.exe
1748 C:\WINDOWS\system32\PnkBstrA.exe
484 C:\WINDOWS\system32\svchost.exe
2104 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2624 F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
2752 C:\WINDOWS\RTHDCPL.EXE
2792 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2800 C:\WINDOWS\vsnpstd.exe
2816 C:\WINDOWS\system32\rundll32.exe
2840 C:\Programme\Windows Live\Messenger\msnmsgr.exe
2964 C:\WINDOWS\system32\ctfmon.exe
3000 C:\Programme\Messenger\msmsgs.exe
3512 C:\Programme\Skype\Phone\Skype.exe
2940 C:\Programme\Skype\Plugin Manager\skypePM.exe
2700 C:\Programme\Alice Software\AliceEinwahl.exe
3708 C:\Programme\Mozilla Firefox\firefox.exe
3028 C:\Programme\Mozilla Firefox\plugin-container.exe
3116 C:\Dokumente und Einstellungen\Gunnar\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000007`14826200 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000002a`b951ca00 (NTFS)
\\.\G: --> \\.\PhysicalDrive0 at offset 0x00000034`3eeaa200 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD400LJ, Rev: ZZ100-15

Size Device Name MBR Status
--------------------------------------------
372 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 7A7945078798118328CC09106AF527DEFCD28CEC


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

zweites Dokument:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x000000fc

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB7EB4000 spew.sys
0xB85AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xB7E9C000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xB7E76000 d347bus.sys
0xB7E47000 ACPI.sys
0xB80A8000 isapnp.sys
0xB7E36000 pci.sys
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xB80B8000 MountMgr.sys
0xB7E17000 ftdisk.sys
0xB85AC000 dmload.sys
0xB7DF1000 dmio.sys
0xB8330000 PartMgr.sys
0xB80C8000 VolSnap.sys
0xB7DD9000
0xB85AE000 d347prt.sys
0xB80D8000 disk.sys
0xB80E8000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xB7DB9000 fltmgr.sys
0xB7DA7000 sr.sys
0xB7D90000 KSecDD.sys
0xB7D03000 Ntfs.sys
0xB7CD6000 NDIS.sys
0xB7CC2000 srescan.sys
0xB85B0000 speedfan.sys
0xB7CA8000 Mup.sys
0xB8671000 giveio.sys
0xB82D8000 \SystemRoot\system32\DRIVERS\ATITool.sys
0xB8308000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xB7274000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB7260000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB723B000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB721E000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xB83E8000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xB71FA000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xB83F0000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB71DE000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xB71CD000 \SystemRoot\System32\DRIVERS\serial.sys
0xB85A0000 \SystemRoot\System32\DRIVERS\serenum.sys
0xB71B9000 \SystemRoot\System32\DRIVERS\parport.sys
0xB8318000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xB83F8000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xB8400000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xB8118000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB8128000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xB8138000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB7196000 \SystemRoot\System32\DRIVERS\ks.sys
0xB715D000 \SystemRoot\System32\Drivers\afe8kh4i.SYS
0xB877E000 \SystemRoot\System32\DRIVERS\audstub.sys
0xB8148000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xB7C60000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB7146000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xB8158000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xB8168000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xB8468000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB7135000 \SystemRoot\System32\DRIVERS\psched.sys
0xB8178000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xB8470000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xB8478000 \SystemRoot\System32\DRIVERS\raspti.sys
0xB8480000 \SystemRoot\system32\DRIVERS\tap0901.sys
0xB70DC000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xB8188000 \SystemRoot\System32\DRIVERS\termdd.sys
0xB85CA000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB70A8000 \SystemRoot\System32\DRIVERS\update.sys
0xB7C44000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xB8198000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB4A8E000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB4A6C000 \SystemRoot\system32\drivers\portcls.sys
0xB81A8000 \SystemRoot\system32\drivers\drmk.sys
0xB81B8000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xB85DC000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xB85F8000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB86EF000 \SystemRoot\System32\Drivers\Null.SYS
0xB85FA000 \SystemRoot\System32\Drivers\Beep.SYS
0xB8398000 \SystemRoot\System32\drivers\vga.sys
0xB85FC000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB85FE000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB83A0000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB83A8000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB710D000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xB4949000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xB48F1000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xB48C9000 \SystemRoot\System32\DRIVERS\netbt.sys
0xB81C8000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xB486A000 \SystemRoot\System32\vsdatant.sys
0xB4848000 \SystemRoot\System32\drivers\afd.sys
0xB81D8000 \SystemRoot\System32\DRIVERS\netbios.sys
0xB83B0000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB481D000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xB47AE000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xB81F8000 \SystemRoot\System32\Drivers\Fips.SYS
0xB4792000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB8606000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB8218000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB83D8000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB8228000 \SystemRoot\System32\Drivers\nx6000.sys
0xB474C000 \SystemRoot\System32\Drivers\usbvideo.sys
0xB8238000 \SystemRoot\system32\drivers\usbaudio.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB7131000 \SystemRoot\System32\drivers\Dxapi.sys
0xB8410000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB8750000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB4397000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB438B000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xB4433000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xB3EAA000 \SystemRoot\system32\drivers\wdmaud.sys
0xB3FF7000 \SystemRoot\system32\drivers\sysaudio.sys
0xB863A000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB3BB0000 \SystemRoot\System32\DRIVERS\srv.sys
0xB3AC0000 \SystemRoot\System32\DRIVERS\secdrv.sys
0xB3A3C000 \??\C:\WINDOWS\gdrv.sys
0xB26E7000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
0x10000000 \DAEMON Tools Lite\Engine.dll
0x00400000 \WINDOWS\system32\ntkrnlpa.exe

Processes (total 40):
0 System Idle Process
4 System
1048 C:\WINDOWS\system32\smss.exe
1112 csrss.exe
1140 C:\WINDOWS\system32\winlogon.exe
1184 C:\WINDOWS\system32\services.exe
1196 C:\WINDOWS\system32\lsass.exe
1396 C:\WINDOWS\system32\nvsvc32.exe
1428 C:\WINDOWS\system32\svchost.exe
1500 svchost.exe
1644 C:\WINDOWS\system32\svchost.exe
1836 svchost.exe
2040 svchost.exe
160 C:\WINDOWS\system32\ZoneLabs\vsmon.exe
496 C:\WINDOWS\explorer.exe
1008 C:\WINDOWS\system32\spoolsv.exe
1076 C:\Programme\Avira\AntiVir Desktop\sched.exe
2036 C:\WINDOWS\system32\netdde.exe
360 C:\Programme\Avira\AntiVir Desktop\avguard.exe
444 C:\Programme\Gigabyte\EasySaver\essvr.exe
628 C:\Programme\ICQ6Toolbar\ICQ Service.exe
716 C:\Programme\Java\jre6\bin\jqs.exe
1308 C:\Programme\Microsoft LifeCam\MSCamS32.exe
1748 C:\WINDOWS\system32\PnkBstrA.exe
484 C:\WINDOWS\system32\svchost.exe
2104 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2624 F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
2752 C:\WINDOWS\RTHDCPL.EXE
2792 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2800 C:\WINDOWS\vsnpstd.exe
2816 C:\WINDOWS\system32\rundll32.exe
2840 C:\Programme\Windows Live\Messenger\msnmsgr.exe
2964 C:\WINDOWS\system32\ctfmon.exe
3000 C:\Programme\Messenger\msmsgs.exe
3512 C:\Programme\Skype\Phone\Skype.exe
2940 C:\Programme\Skype\Plugin Manager\skypePM.exe
2700 C:\Programme\Alice Software\AliceEinwahl.exe
3708 C:\Programme\Mozilla Firefox\firefox.exe
3028 C:\Programme\Mozilla Firefox\plugin-container.exe
2740 C:\Dokumente und Einstellungen\Gunnar\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000007`14826200 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000002a`b951ca00 (NTFS)
\\.\G: --> \\.\PhysicalDrive0 at offset 0x00000034`3eeaa200 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD400LJ, Rev: ZZ100-15

Size Device Name MBR Status
--------------------------------------------
372 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 7A7945078798118328CC09106AF527DEFCD28CEC


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!

----

Okay. Und was bringt der neue MBR Code?

Ach übrigens danke, dass du dir die Zeit nimmst und dich mit meinem Problem auseinander setzt.

Alt 12.01.2011, 16:20   #8
nochdigger
 
Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Standard

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)



Hallo


Lösche bitte die vorhandenen MBRCheck.txt.
Die müssen wir nochmal machen.

Zunächst aber einen Scan mit Malwarebytes sowie Antivir mit diesen Einstellungen
http://www.trojaner-board.de/54192-a...tellungen.html
Poste die Ergebnissen bitte hierher.


MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 13.01.2011, 15:59   #9
Ordo
 
Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Standard

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)



Okay:

Malwarebytes

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5511

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

13.01.2011 15:56:33
mbam-log-2011-01-13 (15-56-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 254820
Laufzeit: 36 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
f:\Crypt\cryptload_1.1.6\ocr\netload.in\asmcaptcha\test.exe (Malware.Packer) -> Quarantined and deleted successfully.

---

Antivir:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 13. Januar 2011 14:34

Es wird nach 2364983 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : GUNNAR

Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 13:49:03
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:49:03
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:22:25
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 17:22:25
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 17:22:25
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 17:22:25
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 17:22:26
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 17:22:26
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 17:22:26
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 17:22:26
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 17:22:26
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 17:22:26
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 17:22:26
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 17:22:26
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 17:22:26
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 17:51:38
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 17:51:41
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 15:40:51
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 15:40:52
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 15:40:52
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 15:40:52
VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 20:32:40
VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 20:32:50
VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 20:32:52
VBASE023.VDF : 7.11.1.88 2048 Bytes 11.01.2011 20:32:52
VBASE024.VDF : 7.11.1.89 2048 Bytes 11.01.2011 20:32:52
VBASE025.VDF : 7.11.1.90 2048 Bytes 11.01.2011 20:32:52
VBASE026.VDF : 7.11.1.91 2048 Bytes 11.01.2011 20:32:52
VBASE027.VDF : 7.11.1.92 2048 Bytes 11.01.2011 20:32:53
VBASE028.VDF : 7.11.1.93 2048 Bytes 11.01.2011 20:32:53
VBASE029.VDF : 7.11.1.94 2048 Bytes 11.01.2011 20:32:53
VBASE030.VDF : 7.11.1.95 2048 Bytes 11.01.2011 20:32:53
VBASE031.VDF : 7.11.1.117 94208 Bytes 13.01.2011 13:26:47
Engineversion : 8.2.4.140
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 05:30:32
AESCRIPT.DLL : 8.1.3.52 1282426 Bytes 06.01.2011 20:32:46
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 15:17:24
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 15:17:34
AERDL.DLL : 8.1.9.2 635252 Bytes 21.09.2010 20:09:32
AEPACK.DLL : 8.2.4.7 512375 Bytes 04.01.2011 15:40:58
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 15:17:22
AEHEUR.DLL : 8.1.2.64 3154294 Bytes 06.01.2011 20:32:45
AEHELP.DLL : 8.1.16.0 246136 Bytes 05.12.2010 20:31:05
AEGEN.DLL : 8.1.5.1 397683 Bytes 06.01.2011 20:32:42
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 15:16:46
AECORE.DLL : 8.1.19.0 196984 Bytes 05.12.2010 20:31:03
AEBB.DLL : 8.1.1.0 53618 Bytes 28.04.2010 15:01:30
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 12.09.2009 11:26:46
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 11:28:51
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 26.07.2009 20:27:00
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 26.07.2009 20:26:59
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 13:49:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: löschen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, F:, G:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 13. Januar 2011 14:34

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '44023' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AliceEinwahl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSCamS32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'essvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netdde.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[HINWEIS] Der Bootsektor wurde nicht repariert

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[HINWEIS] Der Bootsektor wurde nicht repariert
Bootsektor 'E:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[HINWEIS] Der Bootsektor wurde nicht repariert
Bootsektor 'F:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[HINWEIS] Der Bootsektor wurde nicht repariert
Bootsektor 'G:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[HINWEIS] Der Bootsektor wurde nicht repariert

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Catched Exception in SCAN_Registry
ACCESS_VIOLATION
EAX = 00000000 EBX = 00000000
ECX = 00000188 EDX = 00469224
ESI = 00469214 EDI = 00000000
EIP = 7C928FEA EBP = 0234FCF8
ESP = 0234FC84 Flg = 00010246
CS = 00000023 SS = 0000001B

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\uninstall.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4d980030.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\527AFWJ5\bell[1].jpg
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4d9b0179.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{7FE3523F-FF29-4BB4-A53E-0AD9274B0F06}\RP2\A0000631.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4d5f0420.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{7FE3523F-FF29-4BB4-A53E-0AD9274B0F06}\RP4\A0000817.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4d5f0423.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\' <Games>
E:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
E:\System Volume Information\_restore{7FE3523F-FF29-4BB4-A53E-0AD9274B0F06}\RP4\A0000772.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/VB.mar
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4d5f071b.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'F:\' <Programme>
Beginne mit der Suche in 'G:\' <Speicher>


Ende des Suchlaufs: Donnerstag, 13. Januar 2011 15:18
Benötigte Zeit: 43:14 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

9268 Verzeichnisse wurden überprüft
529397 Dateien wurden geprüft
11 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
4 Dateien wurden gelöscht
5 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
529388 Dateien ohne Befall
3178 Archive wurden durchsucht
4 Warnungen
11 Hinweise
44023 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
---

Sooo. Soweit erstmal. Vorhin wurde noch iwo Boo/sinowal. A gefunden. aber glaube das konnte ich so löschen.

Alt 13.01.2011, 17:36   #10
nochdigger
 
Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Standard

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)



Hallo

es scheint mir da waren mehrere Infektionen...

Bitte weiter mit Combofix

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop.
    Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen),
    installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt,
    diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v).
    Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden!
Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 13.01.2011, 18:08   #11
Ordo
 
Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Standard

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)



Hab alles so gemacht wie beschrieben.
Nachdem Combofix durchlief wurde mein PC neugestartet. Beim Hochfahren, nachdem das Windows Anzeigefenster kam wurde der Bildschirm blau und es wurde ein "Kernel.Data"- Fehler oder so etwas in der Art angezeigt. Ich dachte schon mein Pc ist hinnüber.
Nachdem ich dann meinen Pc nochmals neugestartet hab lief es wie gehabt.
Hochgefahren und schon kam wieder die Meldung von Avira zweimal wegen Sinowal J.
In dem Combifix text steht lediglich:

ComboFix 11-01-12.04 - Gunnar 13.01.2011 17:50:13.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1467 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Gunnar\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
* Neuer Wiederherstellungspunkt wurde erstellt
.
---

mehr nicht. Was nun? Nochmal den Teil mit MBR?

Alt 13.01.2011, 22:09   #12
nochdigger
 
Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Standard

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)



Hallo

Zitat:
Was nun? Nochmal den Teil mit MBR?
Nee, bitte Combofix neu runterladen und nochmals durchführen.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Antwort

Themen zu Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)
adresse, angezeigt, antivir, backdoor, backdoor programm, backdoor trojaner, chat, daten, erkannt, frage, gelöscht, gemerkt, gesperrt, guten, heute, ip adresse, morgen, namen, neuaufsetzen, parallel, pc neuaufsetzen, programm, troja, trojaner, unsinn, wissen, wurm




Ähnliche Themen: Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)


  1. Jemand hat unbemerkt ein Programm auf meinem PC geöffnet
    Log-Analyse und Auswertung - 08.09.2014 (3)
  2. Kann jemand mal über mein Hijack schauen
    Log-Analyse und Auswertung - 15.02.2014 (3)
  3. Kann mal jemand schnell über den HiJackThis scan drüber schauen.
    Log-Analyse und Auswertung - 29.03.2012 (72)
  4. Jemand anders hat meinen PC gesteuert!
    Log-Analyse und Auswertung - 21.07.2011 (4)
  5. Virus versendet eigenständig nachrichten in msn und kann mit mir chatten ...
    Alles rund um Windows - 06.12.2009 (1)
  6. Kann mir jemand helfen? - Ich bekomme schädliche Dateien nicht von meinem Rechner!
    Log-Analyse und Auswertung - 19.08.2008 (15)
  7. Auch Virus Alert nur anders
    Plagegeister aller Art und deren Bekämpfung - 13.07.2008 (8)
  8. Kann mir bitte jemand über meinen Scan Auskunft geben?
    Mülltonne - 07.06.2008 (0)
  9. Kann mir jemand mit meinem Logfile helfen? Ich weiß nicht, was gelöscht werden sol..
    Log-Analyse und Auswertung - 07.06.2006 (1)
  10. Kennt jemand BDS/Genlot.DX (Backdoor-Programm)???
    Plagegeister aller Art und deren Bekämpfung - 05.06.2006 (8)
  11. Kann mir bitte jemand bei meinem Log helfen?
    Log-Analyse und Auswertung - 03.05.2006 (2)
  12. Wer kann auch bitte über...
    Mülltonne - 23.04.2006 (2)
  13. hallo ihr ich habe auch das problem dem trojaner kann mir jemand helfen !
    Log-Analyse und Auswertung - 30.03.2006 (1)
  14. Kann das mal jemand checken?Seit neustem startet auch noch mein Pc neu..
    Log-Analyse und Auswertung - 05.03.2006 (4)
  15. bin neu Kann mir auch jeMAND helfen?
    Log-Analyse und Auswertung - 03.03.2005 (4)
  16. Kann mir jemand helfen?? Backdoor.Win32.Rbot.gen
    Plagegeister aller Art und deren Bekämpfung - 10.02.2005 (1)
  17. kann mir jemand mit meinem LOG helfen, bitte!!
    Log-Analyse und Auswertung - 12.07.2004 (2)

Zum Thema Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) - Hallo und Guten Tag! Ich komme gleich zu meinem Problem. Ich habe ein Backdoor Trojaner; Wurm, was auch immer auf meinem PC. Er wird durch Antivir erkannt, kann aber nicht - Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)...
Archiv
Du betrachtest: Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.