TR/Kazy.mekml.1' [trojan

cosinus · 04.05.2011, 08:58

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Wolfi1989 · 06.05.2011, 15:07

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15627 - hxxp://www.gmer.net
Rootkit scan 2011-05-06 16:02:11
Windows 6.0.6001 Service Pack 1 Harddisk0\DR0 -> \Device\00000064 Hitachi_ rev.FB4O
Running: 5ns4ks8q.exe; Driver: C:\Users\Wolfi\AppData\Local\Temp\awdoqpob.sys


---- System - GMER 1.0.15 ----

SSDT            80D231BC                                                                                                 ZwCreateThread
SSDT            80D231A8                                                                                                 ZwOpenProcess
SSDT            80D231AD                                                                                                 ZwOpenThread
SSDT            80D231B7                                                                                                 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetTimerEx + 454                                                                          828CFCA8 4 Bytes  [BC, 31, D2, 80]
.text           ntkrnlpa.exe!KeSetTimerEx + 624                                                                          828CFE78 4 Bytes  [A8, 31, D2, 80]
.text           ntkrnlpa.exe!KeSetTimerEx + 640                                                                          828CFE94 4 Bytes  [AD, 31, D2, 80]
.text           ntkrnlpa.exe!KeSetTimerEx + 854                                                                          828D00A8 4 Bytes  [B7, 31, D2, 80]
.text           C:\Windows\system32\DRIVERS\nvlddmkm.sys                                                                 section is writeable [0x8D20B340, 0x3EDF57, 0xE8000020]
                C:\Program Files\Acer Arcade Deluxe\PlayMovie\000.fcl                                                    entry point in "" section [0xA3D3941C]
.clc            C:\Program Files\Acer Arcade Deluxe\PlayMovie\000.fcl                                                    unknown last code section [0xA3D3A000, 0x1000, 0xE0000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\Windows\Explorer.EXE[2848] SHELL32.dll!InitNetworkAddressControl + 2939                               75F1006C 4 Bytes  [00, 26, 00, 10] {ADD [ESI], AH; ADD [EAX], DL}

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                    [73858864] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                     [73899855] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]                 [7385B984] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]           [7384FB47] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                     [73857A29] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]                  [7384EA65] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM]      [7388B12D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream]         [7385BC4A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]                 [73850756] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]                  [738506BD] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                   [738471B3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM]           [738DD9E0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile]              [73877329] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]                 [7384E109] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                           [7384697E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                          [738469A9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]             [73852475] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18551_none_9e7a1850c9c1b3dc\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateThread]              [100027E0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!FreeLibraryAndExitThread]  [10001D90] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]            [10002B30] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT             C:\Windows\Explorer.EXE[2848] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]              [100011D0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                  Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                  Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer: Acer, Inc.
BIOS Manufacturer: Acer
System Manufacturer: Acer, inc.
System Product Name: Aspire 7530G
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 165):
0x82817000 \SystemRoot\system32\ntkrnlpa.exe
0x82BD2000 \SystemRoot\system32\hal.dll
0x80401000 \SystemRoot\system32\kdcom.dll
0x80409000 \SystemRoot\system32\PSHED.dll
0x8041A000 \SystemRoot\system32\BOOTVID.dll
0x80422000 \SystemRoot\system32\CLFS.SYS
0x80463000 \SystemRoot\system32\CI.dll
0x80543000 \SystemRoot\system32\drivers\Wdf01000.sys
0x805BF000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x80601000 \SystemRoot\system32\drivers\acpi.sys
0x80647000 \SystemRoot\system32\drivers\WMILIB.SYS
0x80650000 \SystemRoot\system32\drivers\msisadrv.sys
0x80658000 \SystemRoot\system32\drivers\pci.sys
0x8067F000 \SystemRoot\System32\drivers\partmgr.sys
0x8068E000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x80691000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8069B000 \SystemRoot\system32\drivers\volmgr.sys
0x806AA000 \SystemRoot\System32\drivers\volmgrx.sys
0x806F4000 \SystemRoot\System32\drivers\mountmgr.sys
0x80704000 \SystemRoot\System32\Drivers\UBHelper.sys
0x8070C000 \SystemRoot\system32\drivers\atapi.sys
0x80714000 \SystemRoot\system32\drivers\ataport.SYS
0x80732000 \SystemRoot\system32\drivers\msahci.sys
0x8073C000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x8074A000 \SystemRoot\system32\DRIVERS\nvstor32.sys
0x8076E000 \SystemRoot\system32\DRIVERS\storport.sys
0x807AF000 \SystemRoot\system32\drivers\fltmgr.sys
0x807E1000 \SystemRoot\system32\drivers\fileinfo.sys
0x807F1000 \SystemRoot\system32\DRIVERS\psdfilter.sys
0x805CC000 \SystemRoot\system32\Drivers\AlfaFF.sys
0x82E0C000 \SystemRoot\system32\Drivers\ksecdd.sys
0x82E7D000 \SystemRoot\system32\drivers\ndis.sys
0x82F88000 \SystemRoot\system32\drivers\msrpc.sys
0x82FB3000 \SystemRoot\system32\drivers\NETIO.SYS
0x89605000 \SystemRoot\System32\Drivers\Ntfs.sys
0x89714000 \SystemRoot\system32\drivers\volsnap.sys
0x8974D000 \SystemRoot\System32\Drivers\spldr.sys
0x89755000 \SystemRoot\System32\Drivers\mup.sys
0x89764000 \SystemRoot\System32\drivers\ecache.sys
0x8978B000 \SystemRoot\system32\drivers\disk.sys
0x8979C000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x897BD000 \SystemRoot\system32\drivers\crcdisk.sys
0x897DD000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x897E8000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x897F1000 \SystemRoot\system32\DRIVERS\processr.sys
0x8CE0E000 \SystemRoot\system32\DRIVERS\winbondcir.sys
0x8CE23000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8CE36000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x8CE65000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8CE67000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8CE72000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
0x8CE7C000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8CE87000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0x8CE8F000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x8CE99000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8CED7000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8CEE6000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8CEF8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8CF10000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
0x8D20B000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8D93E000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8D9DD000 \SystemRoot\System32\drivers\watchdog.sys
0x8CF18000 \SystemRoot\system32\DRIVERS\athr.sys
0x8DC0A000 \SystemRoot\system32\DRIVERS\b57nd60x.sys
0x8DC41000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x8DC4A000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8DC4E000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x8DC7C000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8DC87000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8DC9E000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8DCA9000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8DCCC000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8DCDB000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8DCEF000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8DD04000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8DD14000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8DD16000 \SystemRoot\system32\DRIVERS\ks.sys
0x8DD40000 \SystemRoot\system32\DRIVERS\circlass.sys
0x8DD4E000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8DD58000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8DD65000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8DD99000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8DE0B000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x8E015000 \SystemRoot\system32\drivers\portcls.sys
0x8E042000 \SystemRoot\system32\drivers\drmk.sys
0x8E067000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
0x8E0A4000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
0x8E20B000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
0x8E2C0000 \SystemRoot\system32\drivers\modem.sys
0x8E2CD000 \SystemRoot\system32\drivers\nvhda32v.sys
0x8E2DB000 \SystemRoot\system32\DRIVERS\hidir.sys
0x8E2E6000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x8E2F6000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x8E2FD000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x8E306000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x8E30E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x8E317000 \SystemRoot\System32\Drivers\Null.SYS
0x8E31E000 \SystemRoot\System32\Drivers\Beep.SYS
0x8E325000 \SystemRoot\System32\drivers\vga.sys
0x8E331000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8E352000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8E35A000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8E362000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8E36D000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8E37B000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x8E402000 \SystemRoot\System32\drivers\tcpip.sys
0x8E4EB000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8E506000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8E51C000 \SystemRoot\system32\DRIVERS\smb.sys
0x8E530000 \SystemRoot\system32\drivers\afd.sys
0x8E578000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8E5AA000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8E5C0000 \SystemRoot\system32\drivers\RTSTOR.SYS
0x8E5D4000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8E5E2000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8E5F5000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8E384000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8E3C0000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8E3CA000 \SystemRoot\System32\Drivers\dfsc.sys
0x8E3E1000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8E1A6000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x8E200000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x8E5FB000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x8E1BD000 \SystemRoot\system32\DRIVERS\ATSwpDrv.sys
0x8DDAA000 \SystemRoot\System32\Drivers\usbvideo.sys
0x8E1E0000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8E1ED000 \SystemRoot\System32\Drivers\dump_diskdump.sys
0x8DDCB000 \SystemRoot\System32\Drivers\dump_nvstor32.sys
0x96E40000 \SystemRoot\System32\win32k.sys
0x8DE00000 \SystemRoot\System32\drivers\Dxapi.sys
0x8DDEF000 \SystemRoot\system32\DRIVERS\monitor.sys
0x97060000 \SystemRoot\System32\TSDDD.dll
0x805D5000 \SystemRoot\system32\drivers\luafv.sys
0x8D9EA000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x9F609000 \SystemRoot\system32\drivers\spsys.sys
0x9F6B8000 \SystemRoot\system32\DRIVERS\ipfltdrv.sys
0x9F6CA000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x9F6DA000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x9F704000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x9F70E000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x9F721000 \SystemRoot\system32\drivers\HTTP.sys
0x9F78E000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9F7AB000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9F7C4000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9F7D9000 \SystemRoot\system32\drivers\mrxdav.sys
0xA0E09000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA0E28000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0xA0E61000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0xA0E79000 \SystemRoot\System32\DRIVERS\srv2.sys
0xA0EA1000 \SystemRoot\System32\DRIVERS\srv.sys
0xA0F08000 \??\C:\Windows\system32\drivers\int15.sys
0xA0F19000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xA0F1D000 \??\C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\NTIPPKernel.sys
0xA3C03000 \SystemRoot\system32\drivers\peauth.sys
0xA3CE1000 \SystemRoot\system32\DRIVERS\PSDNServ.sys
0xA3CEA000 \SystemRoot\system32\DRIVERS\PSDVdisk.sys
0xA3CFC000 \SystemRoot\System32\Drivers\secdrv.SYS
0xA3D06000 \SystemRoot\System32\drivers\tcpipreg.sys
0xA3D12000 \SystemRoot\system32\DRIVERS\xaudio.sys
0xA3D1A000 \??\C:\Program Files\Acer Arcade Deluxe\PlayMovie\000.fcl
0x97090000 \SystemRoot\System32\cdd.dll
0xA3D3B000 \SystemRoot\system32\DRIVERS\cdfs.sys
0xA3D51000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0xA3D5A000 \??\C:\Users\Wolfi\AppData\Local\Temp\awdoqpob.sys
0x77520000 \Windows\System32\ntdll.dll

Processes (total 99):
0 System Idle Process
4 System
440 C:\Windows\System32\smss.exe
580 csrss.exe
632 csrss.exe
640 C:\Windows\System32\wininit.exe
676 C:\Windows\System32\services.exe
688 C:\Windows\System32\lsass.exe
696 C:\Windows\System32\lsm.exe
860 C:\Windows\System32\svchost.exe
928 C:\Windows\System32\nvvsvc.exe
956 C:\Windows\System32\svchost.exe
992 C:\Windows\System32\svchost.exe
1044 C:\Windows\System32\svchost.exe
1080 C:\Windows\System32\svchost.exe
1104 C:\Windows\System32\svchost.exe
1172 C:\Windows\System32\audiodg.exe
1188 C:\Windows\System32\svchost.exe
1212 C:\Windows\System32\SLsvc.exe
1248 C:\Windows\System32\svchost.exe
1388 C:\Windows\System32\winlogon.exe
1460 C:\Windows\System32\svchost.exe
1672 C:\Windows\System32\spoolsv.exe
1696 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1708 C:\Windows\System32\svchost.exe
1928 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1968 C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
2024 C:\Program Files\Bonjour\mDNSResponder.exe
256 C:\Windows\System32\rundll32.exe
272 C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
372 C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
368 C:\Program Files\Acer\Acer Bio Protection\CompPtcVUI.exe
540 C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
1132 C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
1764 C:\Program Files\ICQ6Toolbar\ICQ Service.exe
2100 C:\Program Files\Acer\Acer Bio Protection\BASVC.exe
2144 C:\Program Files\Common Files\LightScribe\LSSrvc.exe
2176 C:\Windows\System32\lxeccoms.exe
2192 C:\ACER\Mobility Center\MobilityService.exe
2268 C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
2324 C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
2344 C:\Windows\System32\svchost.exe
2384 C:\Program Files\Cyberlink\Shared files\RichVideo.exe
2408 C:\Windows\System32\svchost.exe
2504 C:\Windows\System32\svchost.exe
2540 C:\Windows\System32\SearchIndexer.exe
2600 C:\Windows\System32\drivers\XAudio.exe
2868 C:\Windows\System32\taskeng.exe
3184 unsecapp.exe
3200 WmiPrvSE.exe
1552 C:\Windows\System32\taskeng.exe
840 C:\Windows\System32\dwm.exe
2848 C:\Windows\explorer.exe
3244 C:\Windows\RtHDVCpl.exe
2560 C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
3260 C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
3264 C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe
2880 C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
3408 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
2864 C:\Windows\System32\rundll32.exe
1688 C:\Windows\PLFSetI.exe
3684 C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe
3888 C:\Program Files\Windows Media Player\wmpnscfg.exe
3340 C:\Program Files\Windows Media Player\wmpnetwk.exe
3240 C:\Program Files\Launch Manager\QtZgAcer.EXE
2748 C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
3560 C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
2312 C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe
3600 C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
2468 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
2020 C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
3620 C:\Program Files\Common Files\Java\Java Update\jusched.exe
3848 C:\Program Files\Lexmark Pro800-Pro900 Series\lxecmon.exe
2900 C:\Program Files\Lexmark Pro800-Pro900 Series\ezprint.exe
3752 C:\Windows\ehome\ehtray.exe
3876 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
2452 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
3432 C:\Program Files\OpenOffice.org 3\program\soffice.exe
1260 C:\Program Files\Convesoft\Orion\Messenger.exe
2492 C:\Windows\ehome\ehmsas.exe
3104 C:\Users\Wolfi\AppData\Local\Temp\RtkBtMnt.exe
2944 C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
3900 C:\Program Files\OpenOffice.org 3\program\soffice.bin
3628 C:\Windows\System32\wbem\unsecapp.exe
5740 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
3648 C:\Windows\System32\wuauclt.exe
4572 C:\Program Files\Internet Explorer\iexplore.exe
5232 C:\Program Files\Internet Explorer\iexplore.exe
5272 C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe
940 C:\Windows\System32\Macromed\Flash\FlashUtil10m_ActiveX.exe
4364 C:\Windows\System32\SearchProtocolHost.exe
3192 C:\Windows\System32\SearchFilterHost.exe
4056 C:\Program Files\Internet Explorer\iexplore.exe
3860 C:\Program Files\Internet Explorer\iexplore.exe
6068 C:\Windows\System32\SearchProtocolHost.exe
4288 dllhost.exe
3636 dllhost.exe
2584 C:\Users\Wolfi\Desktop\MBRCheck.exe
768 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`80100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000026`82e00000 (NTFS)

PhysicalDrive0 Model Number: HitachiHTS543232L9A, Rev: FB4O
PhysicalDrive1 Model Number: HitachiHTS543232L9A, Rev: FB4O

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 01DEE3E923166F313E9E9FF27904B7A5F8D8F8FC
298 GB \\.\PhysicalDrive1 MBR Code Faked!
SHA1: 2565C7827555B83C4A17C94D31F9C7B1FA705950

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to dump (0-99, -1 to exit): 1Dumping \\.\PhysicalDisk1...
Enter filename to dump to: 1Dumped successfully!

Enter the physical disk number to dump (0-99, -1 to exit): -1

Done!

cosinus · 06.05.2011, 18:05

Zitat:

298 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 01DEE3E923166F313E9E9FF27904B7A5F8D8F8FC
298 GB \\.\PhysicalDrive1 MBR Code Faked!
SHA1: 2565C7827555B83C4A17C94D31F9C7B1FA705950

Wieso hast du da zwei Festplatten drin? Ein Betriebssystem ist nur auf der ersten in Laufwerk C:?

Wolfi1989 · 09.05.2011, 18:40

ich habe alles so gemacht, wie beschrieben...ich kenn mich leider nicht aus, um irgendwas zu ändern.

wie solls weiter gehen?

cosinus · 09.05.2011, 19:21

Du sollst nichts ändern, sondern mir nur erklären, ob das richtig ist, dass da zwei Platten drin sind.

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`80100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000026`82e00000 (NTFS)

C und D sind Partitionen der ersten Platte, E ist eine Partition der zweiten Platte. Wofür nutzt du D und E?

Wolfi1989 · 20.05.2011, 11:34

Hallo...sorry, dass ich mich jetzt erst wieder melde.

also ja es ist richtig, dass ich 2 Platten drin habe.

E nutze ich noch garnicht. (ist komplett leer)

D habe ich alles drin, was mir so gehört: Bilder, Musik, Uni-Unterlange, etc.

C war schon zur hälfte voll, seit dem ich den laptop habe (programme, etc.)

danke

cosinus · 20.05.2011, 13:13

Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Vista installiert?
Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).

Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.

TR/Kazy.mekml.1' [trojan

Log-Analyse und Auswertung: TR/Kazy.mekml.1' [trojan