So, MBRChecker wieder Auf-Linie! :_)

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x000000fc

Kernel Drivers (total 108):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x806EF000 \WINDOWS\system32\hal.dll
  0xF7987000 \WINDOWS\system32\KDCOM.DLL
  0xF7897000 \WINDOWS\system32\BOOTVID.dll
  0xF75A7000 ACPI.sys
  0xF7989000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
  0xF7596000 pci.sys
  0xF75F7000 isapnp.sys
  0xF7607000 ohci1394.sys
  0xF7617000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
  0xF7A4F000 pciide.sys
  0xF7707000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
  0xF7627000 MountMgr.sys
  0xF74D7000 ftdisk.sys
  0xF770F000 PartMgr.sys
  0xF7637000 VolSnap.sys
  0xF74BF000 atapi.sys
  0xF7647000 disk.sys
  0xF7657000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
  0xF749F000 fltmgr.sys
  0xF748D000 sr.sys
  0xF7476000 KSecDD.sys
  0xF7B52000 Ntfs.sys
  0xF7449000 NDIS.sys
  0xF742F000 Mup.sys
  0xF7667000 gagp30kx.sys
  0xB8798000 \SystemRoot\System32\DRIVERS\intelppm.sys
  0xB7576000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB7544000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB8788000 \SystemRoot\System32\DRIVERS\nic1394.sys
  0xB8778000 \SystemRoot\System32\DRIVERS\cdrom.sys
  0xB8768000 \SystemRoot\System32\DRIVERS\redbook.sys
  0xB7521000 \SystemRoot\System32\DRIVERS\ks.sys
  0xF775F000 \SystemRoot\System32\DRIVERS\usbohci.sys
  0xB74FD000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
  0xF7767000 \SystemRoot\System32\DRIVERS\usbehci.sys
  0xF776F000 \SystemRoot\System32\DRIVERS\sisnicxp.sys
  0xB74B7000 \SystemRoot\system32\drivers\emu10k1m.sys
  0xB7493000 \SystemRoot\system32\drivers\portcls.sys
  0xB8758000 \SystemRoot\system32\drivers\drmk.sys
  0xB8748000 \SystemRoot\system32\drivers\sfmanm.sys
  0xF7997000 \SystemRoot\system32\drivers\ctlfacem.sys
  0xF7AA1000 \SystemRoot\System32\DRIVERS\ctljystk.sys
  0xF793F000 \SystemRoot\System32\DRIVERS\gameenum.sys
  0xF7777000 \SystemRoot\System32\DRIVERS\fdc.sys
  0xB8718000 \SystemRoot\System32\DRIVERS\i8042prt.sys
  0xF777F000 \SystemRoot\System32\DRIVERS\kbdclass.sys
  0xF7AA2000 \SystemRoot\system32\drivers\msmpu401.sys
  0xF7AA3000 \SystemRoot\System32\DRIVERS\audstub.sys
  0xF7697000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
  0xF7943000 \SystemRoot\System32\DRIVERS\ndistapi.sys
  0xB73DC000 \SystemRoot\System32\DRIVERS\ndiswan.sys
  0xF76A7000 \SystemRoot\System32\DRIVERS\raspppoe.sys
  0xF76B7000 \SystemRoot\System32\DRIVERS\raspptp.sys
  0xF7787000 \SystemRoot\System32\DRIVERS\TDI.SYS
  0xB73CB000 \SystemRoot\System32\DRIVERS\psched.sys
  0xF76C7000 \SystemRoot\System32\DRIVERS\msgpc.sys
  0xF778F000 \SystemRoot\System32\DRIVERS\ptilink.sys
  0xF7797000 \SystemRoot\System32\DRIVERS\raspti.sys
  0xF76D7000 \SystemRoot\system32\DRIVERS\ESLvnic.sys
  0xF76E7000 \SystemRoot\System32\DRIVERS\termdd.sys
  0xF779F000 \SystemRoot\System32\DRIVERS\mouclass.sys
  0xF799B000 \SystemRoot\System32\DRIVERS\swenum.sys
  0xB6699000 \SystemRoot\System32\DRIVERS\update.sys
  0xF794B000 \SystemRoot\System32\DRIVERS\mssmbios.sys
  0xF76F7000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF7586000 \SystemRoot\System32\DRIVERS\usbhub.sys
  0xF799D000 \SystemRoot\System32\DRIVERS\USBD.SYS
  0xF799F000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7A54000 \SystemRoot\System32\Drivers\Null.SYS
  0xF79A1000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF77C7000 \SystemRoot\System32\drivers\vga.sys
  0xF79A3000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF79A5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF77CF000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF77D7000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB8714000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0xB44DA000 \SystemRoot\System32\DRIVERS\ipsec.sys
  0xB4481000 \SystemRoot\System32\DRIVERS\tcpip.sys
  0xB4459000 \SystemRoot\System32\DRIVERS\netbt.sys
  0xB4437000 \SystemRoot\System32\drivers\afd.sys
  0xF7566000 \SystemRoot\System32\DRIVERS\netbios.sys
  0xB436C000 \SystemRoot\System32\DRIVERS\rdbss.sys
  0xB42D4000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
  0xF7536000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB42AE000 \SystemRoot\System32\DRIVERS\ipnat.sys
  0xF7526000 \SystemRoot\System32\DRIVERS\wanarp.sys
  0xF7516000 \SystemRoot\System32\DRIVERS\arp1394.sys
  0xF77DF000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
  0xB429D000 \SystemRoot\System32\Drivers\Udfs.SYS
  0xF7917000 \SystemRoot\System32\DRIVERS\hidusb.sys
  0xB7483000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
  0xF77E7000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
  0xF791B000 \SystemRoot\System32\DRIVERS\mouhid.sys
  0xB4285000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF79AD000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB457F000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF77FF000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7AB2000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 \SystemRoot\System32\nv4_disp.dll
  0xBD61F000 \SystemRoot\System32\ATMFD.DLL
  0xB3CB7000 \??\C:\WINDOWS\system32\drivers\ESLWireACD.sys
  0xB3C37000 \SystemRoot\System32\DRIVERS\srv.sys
  0xB3B32000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB3F64000 \SystemRoot\system32\drivers\sysaudio.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 22):
       0 System Idle Process
       4 System
     568 C:\WINDOWS\system32\smss.exe
     632 csrss.exe
     656 C:\WINDOWS\system32\winlogon.exe
     700 C:\WINDOWS\system32\services.exe
     712 C:\WINDOWS\system32\lsass.exe
     872 C:\WINDOWS\system32\svchost.exe
     932 svchost.exe
    1020 C:\WINDOWS\system32\svchost.exe
    1200 C:\WINDOWS\system32\spoolsv.exe
    1300 C:\Programme\Java\jre6\bin\jqs.exe
    1324 C:\WINDOWS\system32\PnkBstrA.exe
    1600 C:\WINDOWS\explorer.exe
    1688 C:\WINDOWS\system32\wuauclt.exe
     224 C:\WINDOWS\system32\rundll32.exe
     260 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
     284 C:\Programme\Steam\Steam.exe
     464 alg.exe
    1396 C:\WINDOWS\system32\devldr32.exe
    1608 C:\Programme\Mozilla Firefox\firefox.exe
    1680 C:\Dokumente und Einstellungen\Felix\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: ST3250820ACE, Rev: 3.ACD   

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!
         

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Mit Malwarebytes und SUPERAntiSpyware habe ich schon vorher gescannt, und da haben die mir ja auch keine Bedrohung gemeldet, von daher gehe ich mal guten Gewissens davon aus, dass das ganze Generve behoben ist.

Vielen, vielen Dank an dich für die Hilfe!!!

Äh hast du meinen Beitrag nicht gelesen?
Ich hab nicht zur Deko geschrieben, dass du zur Kontrolle diese Scans (nochmal) machen musst. Außerdem war nicht nur von MBAM und SUPERAntiSpyware die Rede, sondern auch vom OnlineScanner ESET!

Zum Glück hast du darauf bestanden. Malwarebytes hat gleich was gefunden:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6707

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

29.05.2011 04:38:23
mbam-log-2011-05-29 (04-38-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 186065
Laufzeit: 22 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\WINDOWS\system32\wuauclt.exe.vir (Trojan.Patch) -> Quarantined and deleted successfully.
c:\system volume information\_restore{977fefbc-5de3-4b4a-ad5a-cf87937973af}\RP1\A0000017.exe (Trojan.Patch) -> Quarantined and deleted successfully.
         

Und auch SUPERAntiSpyware wurde wieder fündig, zum Mäuse melken. :-(

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/29/2011 at 05:36 AM

Application Version : 4.53.1000

Core Rules Database Version : 7161
Trace Rules Database Version: 4973

Scan type       : Complete Scan
Total Scan Time : 00:49:46

Memory items scanned      : 404
Memory threats detected   : 0
Registry items scanned    : 5019
Registry threats detected : 0
File items scanned        : 55368
File threats detected     : 2

Adware.Tracking Cookie
	media.mtvnservices.com [ C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\PERZPZ5T ]
	secure-us.imrworldwide.com [ C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\PERZPZ5T ]
         

Und hier noch das ESET Log:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=70c491e31c45914bba84de9a4e27e27e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 04:25:24
# local_time=2011-05-29 06:25:24 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 125 125 0 0
# scanned=55736
# found=5
# cleaned=0
# scan_time=2598
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\2b2e69e2-3b5e79db	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\187f06ef-7f208c77	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Programme\Java\jre6\bin\jqs.exe	Win32/Patched.HK trojan (unable to clean)	00000000000000000000000000000000	I
C:\WINDOWS\system32\PnkBstrA.exe	Win32/Patched.HK trojan (unable to clean)	00000000000000000000000000000000	I
${Memory}	Win32/Patched.HK trojan	00000000000000000000000000000000	I
         

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.


Anschließend bitte den Avenger ausführen, anscheinend wurde eine Datei von Java und Punkbuster manipuliert, diese zwei Anwendungen musst du danach wohl neu installieren:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken

Avenger Log sieht jetzt so aus:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Programme\Java\jre6\bin\jqs.exe" deleted successfully.
File "C:\WINDOWS\system32\PnkBstrA.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Und hier ist die backup Datei.

hxxp://www.file-upload.net/download-3466546/backup.zip.html

Da sind Kopien der infizierten Dateien drin, richtig oder?

Oha, die Dateien wurden tatsächlich manipuliert:

VirusTotal - PnkBstrA.exe
VirusTotal jqs.exe

Führe ESET bitte nochmal aus.

Jetzt sagt ESET mir, dass es nicht das Update mit den neusten Signaturen herunterladen könne, und fragt mich ob ich einen Proxy installiert hätte. Ich habe aber nichts umgestellt seit dem check heute morgen.




Edit:

Genaugenommen fragt ESET ob ein Proxy konfiguriert sei, und nicht ob ein Proxy installiert sei.



Anpingen kann ich den updateserver zumindest.

http://www.trojaner-board.de/94344-p...n-pruefen.html

Bei mir ist im IE kein Proxy eingestellt gewesen.




Zur Verdeutlichung des Status Quo ein Screenshot von den Verbindungseinstellungen.


EDIT:

Nach einem Neustart funktionierte das Update wieder, der Scan läuft jetzt durch!!!

Ja ich bin ein Horst. Jetzt ist der Scan durchgelaufen, hat auch 2 threats gefunden. Bevor ich die logfile kopiert habe, habe ich allerdings dooferweise das Programm deinstalliert. Dann konnte keine Logfile mehr ausgegeben werden.

Jetzt probiere ich das Programm wieder zu installieren um es nochmals durchlaufen zu lassen, aber er meckert wieder wegen Proxy-Einstellungen.



Dauert wohl noch ein bisschen, aber ich probiere es weiter.

Nimm den Haken bei Automatische Suche der Einstellungen raus.

Danke!

Hier jetzt das frisch erstellte ESET Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=70c491e31c45914bba84de9a4e27e27e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 02:30:33
# local_time=2011-05-29 04:30:33 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 9036 9036 0 0
# scanned=53844
# found=2
# cleaned=0
# scan_time=2113
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\2b2e69e2-3b5e79db	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\187f06ef-7f208c77	multiple threats (unable to clean)	00000000000000000000000000000000	I