Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   gefährliches Backdooprogramm BDS/Papras.PK (https://www.trojaner-board.de/90513-gefaehrliches-backdooprogramm-bds-papras-pk.html)

Ambro 27.09.2010 20:29
Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line: 
Windows Version:  Windows XP Professional
Windows Information:  Service Pack 3 (build 2600)
Logical Drives Mask:  0x0000009c

Kernel Drivers (total 130):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
  0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
  0xB9F78000 ACPI.sys
  0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xB9F67000 pci.sys
  0xBA0A8000 isapnp.sys
  0xB9F54000 sfsync04.sys
  0xBA670000 pciide.sys
  0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBA0B8000 MountMgr.sys
  0xB9F35000 ftdisk.sys
  0xBA5AC000 dmload.sys
  0xB9F0F000 dmio.sys
  0xBA330000 PartMgr.sys
  0xBA0C8000 VolSnap.sys
  0xB9EF7000 atapi.sys
  0xB9EDD000 nvata.sys
  0xBA0D8000 disk.sys
  0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB9EBD000 fltmgr.sys
  0xB9EAB000 sr.sys
  0xB9E94000 KSecDD.sys
  0xB9E07000 Ntfs.sys
  0xB9DDA000 NDIS.sys
  0xBA338000 sfhlp02.sys
  0xB9DC6000 sfdrv01a.sys
  0xB9DAC000 Mup.sys
  0xBA188000 \SystemRoot\system32\DRIVERS\processr.sys
  0xBA3F8000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xB99D4000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBA400000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB99AC000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xBA198000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBA1A8000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB9989000 \SystemRoot\system32\DRIVERS\ks.sys
  0xBA1B8000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
  0xB986D000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
  0xB9339000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xB9325000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xBA408000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xBA1C8000 \SystemRoot\system32\DRIVERS\serial.sys
  0xBA56C000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB9311000 \SystemRoot\system32\DRIVERS\parport.sys
  0xBA1D8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBA410000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBA418000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xBA68F000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBA1E8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xBA570000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB92FA000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBA1F8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBA208000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xBA420000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB92E9000 \SystemRoot\system32\DRIVERS\psched.sys
  0xBA218000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBA428000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBA430000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xBA228000 \SystemRoot\system32\DRIVERS\tap0901t.sys
  0xB92B9000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xBA238000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBA248000 \SystemRoot\system32\DRIVERS\VClone.sys
  0xB9279000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS
  0xBA5D6000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB921B000 \SystemRoot\system32\DRIVERS\update.sys
  0xBA58C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xBA258000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xBA268000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBA5D8000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB7E65000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xB7E41000 \SystemRoot\system32\drivers\portcls.sys
  0xB9A88000 \SystemRoot\system32\drivers\drmk.sys
  0xB9A78000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
  0xABD43000 \SystemRoot\system32\drivers\AtiHdmi.sys
  0xABD21000 \??\C:\WINDOWS\system32\drivers\SSHDRV65.sys
  0xBA5DE000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBA791000 \SystemRoot\System32\Drivers\Null.SYS
  0xBA5E0000 \SystemRoot\System32\Drivers\Beep.SYS
  0xBA450000 \SystemRoot\System32\drivers\vga.sys
  0xBA5E2000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBA5E4000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xBA458000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xBA460000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB908E000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xABCEE000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xABC95000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xABC6D000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xABC47000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xABC25000 \SystemRoot\System32\drivers\afd.sys
  0xB9A28000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB9A18000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xBA468000 \SystemRoot\System32\Drivers\StarOpen.SYS
  0xBA470000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xABB5A000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xABAEA000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xB99F8000 \SystemRoot\System32\Drivers\Fips.SYS
  0xBA478000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xBA480000 \SystemRoot\system32\DRIVERS\usbprint.sys
  0xB905A000 \SystemRoot\system32\DRIVERS\BrScnUsb.sys
  0xBA488000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xBA490000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
  0xABAA6000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xBA5F2000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xBA2E8000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xABA66000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xBA614000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xABADE000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBA370000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xBA708000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF063000 \SystemRoot\System32\ati2cqag.dll
  0xBF0F0000 \SystemRoot\System32\atikvmag.dll
  0xBF163000 \SystemRoot\System32\atiok3x2.dll
  0xBF1AD000 \SystemRoot\System32\ati3duag.dll
  0xBF59B000 \SystemRoot\System32\ativvaxx.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xA9701000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xA9731000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xA9454000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xBA618000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xA9245000 \SystemRoot\system32\DRIVERS\srv.sys
  0xA8E44000 \SystemRoot\System32\Drivers\HTTP.sys
  0xA8DDF000 \SystemRoot\system32\drivers\wdmaud.sys
  0xA92AC000 \SystemRoot\system32\drivers\sysaudio.sys
  0xA85CB000 \SystemRoot\system32\drivers\kmixer.sys
  0xBA5CA000 \SystemRoot\system32\drivers\splitter.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 48):
      0 System Idle Process
      4 System
    864 C:\WINDOWS\system32\smss.exe
    912 csrss.exe
    944 C:\WINDOWS\system32\winlogon.exe
    988 C:\WINDOWS\system32\services.exe
    1000 C:\WINDOWS\system32\lsass.exe
    1200 C:\WINDOWS\system32\ati2evxx.exe
    1220 C:\WINDOWS\system32\svchost.exe
    1276 svchost.exe
    1420 C:\WINDOWS\system32\svchost.exe
    1560 svchost.exe
    1688 C:\WINDOWS\system32\ati2evxx.exe
    1780 svchost.exe
    1884 C:\WINDOWS\system32\spoolsv.exe
    1940 C:\Programme\Avira\AntiVir Desktop\sched.exe
    2012 svchost.exe
    132 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    180 C:\Programme\Bonjour\mDNSResponder.exe
    212 C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
    488 C:\Programme\Java\jre6\bin\jqs.exe
    632 C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    840 C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
    1344 C:\WINDOWS\system32\svchost.exe
    1364 C:\Programme\Tunngle\TnglCtrl.exe
    200 C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    1576 alg.exe
    3980 C:\WINDOWS\explorer.exe
    1520 C:\WINDOWS\RTHDCPL.EXE
    1568 C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
    1932 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    2064 C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
    2076 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    2156 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
    2176 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    2232 C:\Programme\Brother\ControlCenter3\BrccMCtl.exe
    2316 C:\Programme\Brother\Brmfcmon\BrMfcMon.exe
    2336 C:\Programme\DivX\DivX Update\DivXUpdate.exe
    2344 C:\Programme\Microsoft ActiveSync\wcescomm.exe
    2384 C:\WINDOWS\system32\ctfmon.exe
    2648 C:\Programme\Microsoft ActiveSync\rapimgr.exe
    2844 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    3248 C:\Programme\Windows Media Player\wmplayer.exe
    3444 C:\Programme\Mozilla Firefox\firefox.exe
    3744 C:\Programme\Mozilla Firefox\plugin-container.exe
    3088 C:\Programme\Skype\Phone\Skype.exe
    2820 C:\Programme\Skype\Plugin Manager\skypePM.exe
    3464 C:\Dokumente und Einstellungen\Isa\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: ST3160022ACE, Rev: 9.01   

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

cosinus 27.09.2010 22:44
Zitat:
149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Ambro 30.09.2010 20:09
Malwarebytes:

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4712

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

28.09.2010 22:30:27
mbam-log-2010-09-28 (22-30-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 256309
Laufzeit: 1 Stunde(n), 46 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{4C2BA951-B011-4E02-AC5E-FCD8D13A7979}\RP386\A0066650.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4C2BA951-B011-4E02-AC5E-FCD8D13A7979}\RP386\A0066651.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4C2BA951-B011-4E02-AC5E-FCD8D13A7979}\RP386\A0066652.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
SASW hab ich noch nicht gemacht, folgt aber bald...oder ist das unnötig?

cosinus 30.09.2010 20:11
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Ambro 30.09.2010 20:22
Ok, nachdem ich also die alten Wiederherstellungspunkte gelöscht habe, ist das Virus komplett entfernt und kommt nicht mehr wieder?

Falls es so sein sollte, ein riesengroßes Dankeschön dafür, dass du Zeit und Mühe für mich geopfert hast. Ich weiß das zu schätzen^^

cosinus 30.09.2010 20:30
Kein Problem ;)
Mach bitte noch den Kontrollscan mit SASW und poste das Log

Ambro 02.10.2010 20:57
Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/02/2010 at 09:13 PM

Application Version : 4.43.1000

Core Rules Database Version : 5621
Trace Rules Database Version: 3433

Scan type : Complete Scan
Total Scan Time : 01:30:45

Memory items scanned : 798
Memory threats detected : 0
Registry items scanned : 7225
Registry threats detected : 0
File items scanned : 105395
File threats detected : 7

Adware.Tracking Cookie
media.stage-entertainment.de [ C:\Dokumente und Einstellungen\Isa\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\XNAWSV9T ]
freeporn.youngleafs.com [ C:\Dokumente und Einstellungen\Stephan.ISABELLE\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\RU9AK2TZ ]
ia.media-imdb.com [ C:\Dokumente und Einstellungen\Stephan.ISABELLE\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\RU9AK2TZ ]
secure-us.imrworldwide.com [ C:\Dokumente und Einstellungen\Stephan.ISABELLE\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\RU9AK2TZ ]
www.naiadsystems.com [ C:\Dokumente und Einstellungen\Stephan.ISABELLE\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\RU9AK2TZ ]
www.ninamercedezxxx.com [ C:\Dokumente und Einstellungen\Stephan.ISABELLE\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\RU9AK2TZ ]

Application.Agent/Gen-TempZ
C:\DOKUMENTE UND EINSTELLUNGEN\STEPHAN.ISABELLE\DESKTOP\SIFA\START_LERNPROGRAMM_WINDOWS.EXE

cosinus 03.10.2010 13:25
Zitat:
Application.Agent/Gen-TempZ
C:\DOKUMENTE UND EINSTELLUNGEN\STEPHAN.ISABELLE\DESKTOP\SIFA\START_LERNPROGRAMM_WINDOWS.EXE
Sieht nach einem Fehlalarm aus. Kennst Du dieses angebliche Lernprogramm?

Sieht soweit ok aus, da wurden sonst nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:48 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19