Trojaner-Board
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Infizierung durch Trojaner? (https://www.trojaner-board.de/94676-infizierung-trojaner.html)

cosinus 17.01.2011 10:23
F8 musst du nicht drücken. Das Bootmenü hast du ganz kurz bevor Windows anfängt zu booten. Da musst du die Recovery Console auswählen und booten.

alina 17.01.2011 14:58
irgendwie erscheint bei mir das Bootmenü nicht... es kommt nur das Logo mit dem Ladebalken und danach kommt gleich die Passworteingabe.
Kann man das ändern?

Viele Grüße,
alina

cosinus 17.01.2011 15:12
Zitat:
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
Combofix hat aber eindeutig die WHK installiert!! Du musst für zwei Sekunden so ein Bild haben (bzw. so ein ähnliches Bild) bevor Windows gestartet wird:

http://www.zdnet.de/techupdate/artik...ngskonsole.gif

alina 17.01.2011 15:29
bei mir kommt dieses Bild leider nicht...ich bekomme zwar für ein paar Sekunden einen schwarzen Bildschirm, aber ohne Text...

cosinus 17.01.2011 15:47
Mach mal einen Rechtsklick auf Arbeitsplatz => Eigenschaften => Erweitert => Button Einstellungen bei Starten und Wiederherstellen => Anzeige der Betriebssystemliste auf 30 Sekunden stellen und ok klicken, Rechner neustarten und ab in die WHK

alina 17.01.2011 16:09
Dieses Mal hat es geklappt. Es kam noch die Meldung:
"Bei welcher Windows-Installation möchten Sie sich anmelden? 1: C:/WINDOWS"

ich habe 1 gewählt und enter gedrückt, erst dann konnte ich den Befehl "fixmbr" eingeben. Allerdings kam dann folgende Meldung:

Code:
*Vorsicht*
Der MBR scheint ungültig oder nicht sstandardmäßig zu sein.
Wenn Sie den Vorgang fortsetzen wird FIXMBR wird möglicherweise die Partitionstabellen beschädigen.
Dan kann dazu führen, dass auf keine Partition auf der aktuellen Festplatte zugegriffen werden kann.
Setzen Sie den Vorgang nicht fort, wenn Sie keine Probleme mit dem Zugriff auf das Laufwerk haben
Danach habe ich mit exit neu gestartet. Wollte mich nochmal vergewissern, ob ich danach wirklich bestätigen soll.

cosinus 17.01.2011 16:11
Hast du diese Abfrage bestätigt? Wenn nicht wurde der MBR nicht neu geschrieben!!
FIXBOOT auch ausgeführt?

alina 17.01.2011 16:17
nein, ich wollte nochmal nachfragen, ob ich trotz dieser Meldung den Befehl bestätigen soll.
Anscheinend schon?

cosinus 17.01.2011 16:22
Ja sollst du!!

alina 17.01.2011 16:49
ok, hab die Befehle durchgeführt.
Anbei das Log von Bootkit Remover.

cosinus 17.01.2011 19:09
Sry ich meinte MBRCheck :schmoll:
Mach bitte noch ein neues Log mit MBRCheck

alina 18.01.2011 13:26
Hallo,

hier nun auch das neue Log von MBRCheck.

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Professional
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x000007bc

Kernel Drivers (total 135):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
  0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
  0xB9F78000 ACPI.sys
  0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xB9F67000 pci.sys
  0xBA0A8000 isapnp.sys
  0xBA0B8000 ohci1394.sys
  0xBA0C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xBA670000 pciide.sys
  0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBA5AC000 viaide.sys
  0xBA0D8000 MountMgr.sys
  0xB9F48000 ftdisk.sys
  0xBA5AE000 dmload.sys
  0xB9F22000 dmio.sys
  0xBA330000 PartMgr.sys
  0xBA338000 videX32.sys
  0xBA340000 pavboot.sys
  0xBA0E8000 VolSnap.sys
  0xB9F0A000 atapi.sys
  0xBA0F8000 disk.sys
  0xBA108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB9EEA000 fltmgr.sys
  0xB9ED8000 sr.sys
  0xBA348000 xfilt.sys
  0xBA350000 PxHelp20.sys
  0xB9EC1000 KSecDD.sys
  0xB9E34000 Ntfs.sys
  0xB9E07000 NDIS.sys
  0xBA118000 uagp35.sys
  0xB9DED000 Mup.sys
  0xBA358000 GDBehave.sys
  0xBA148000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xBA298000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB94A6000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB9492000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xBA2A8000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBA2B8000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBA2C8000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB946F000 \SystemRoot\system32\DRIVERS\ks.sys
  0xBA3F0000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xBA3F8000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB944B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBA400000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xBA2D8000 \SystemRoot\system32\DRIVERS\fetnd5bv.sys
  0xB9423000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xB9315000 \SystemRoot\system32\DRIVERS\3xHybrid.sys
  0xBA570000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
  0xBA408000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xBA2E8000 \SystemRoot\system32\DRIVERS\serial.sys
  0xBA574000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB9301000 \SystemRoot\system32\DRIVERS\parport.sys
  0xBA2F8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBA410000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xBA5E0000 \SystemRoot\System32\Drivers\x10hid.sys
  0xBA308000 \SystemRoot\System32\Drivers\HIDCLASS.SYS
  0xBA418000 \SystemRoot\System32\Drivers\HIDPARSE.SYS
  0xBA709000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBA318000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xBA578000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB92EA000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBA158000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBA168000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xBA420000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xBA428000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBA430000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB92BA000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xBA178000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBA438000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBA5E2000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB9234000 \SystemRoot\system32\DRIVERS\update.sys
  0xBA590000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xBA5A0000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xB9905000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB98F5000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBA5F0000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB6CB8000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xB6C94000 \SystemRoot\system32\drivers\portcls.sys
  0xB98E5000 \SystemRoot\system32\drivers\drmk.sys
  0xB98C5000 \??\C:\WINDOWS\system32\drivers\MiniIcpt.sys
  0xBA450000 \??\C:\WINDOWS\system32\drivers\HookCentre.sys
  0xBA5F4000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBA728000 \SystemRoot\System32\Drivers\Null.SYS
  0xBA5F6000 \SystemRoot\System32\Drivers\Beep.SYS
  0xBA460000 \SystemRoot\System32\drivers\vga.sys
  0xBA5F8000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBA5FA000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xBA468000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xBA470000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB92AA000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB6C39000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB98B5000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xB6BE0000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB6B90000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB98A5000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB6B6A000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB6B48000 \SystemRoot\System32\drivers\afd.sys
  0xB9895000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB6A7D000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB9885000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xB6A0D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xB9875000 \??\C:\WINDOWS\system32\drivers\GRD.sys
  0xBA1A8000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB9228000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xB69E9000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xBA490000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xB920C000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xBA4A0000 \SystemRoot\system32\DRIVERS\usbprint.sys
  0xB9DB5000 \SystemRoot\System32\Drivers\BrScnUsb.sys
  0xBA4A8000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xBA3A8000 \SystemRoot\System32\Drivers\x10ufx2.sys
  0xB6959000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xBA62C000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB6BB8000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBA3C0000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xBA731000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xBA480000 \SystemRoot\system32\DRIVERS\AegisP.sys
  0xB62B0000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB6368000 \??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
  0xB6358000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB5723000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB548A000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB52EA000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB550B000 \SystemRoot\system32\drivers\sysaudio.sys
  0xBA5C2000 \SystemRoot\system32\drivers\MSPQM.sys
  0xB51EF000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB4CAF000 \SystemRoot\system32\DRIVERS\psi_mf.sys
  0xB1C24000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 59):
      0 System Idle Process
      4 System
    448 C:\WINDOWS\system32\smss.exe
    500 csrss.exe
    524 C:\WINDOWS\system32\winlogon.exe
    568 C:\WINDOWS\system32\services.exe
    580 C:\WINDOWS\system32\lsass.exe
    748 C:\WINDOWS\system32\svchost.exe
    796 svchost.exe
    864 C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
    884 C:\Programme\G Data\AntiVirus\AVK\AVKWCtl.exe
    924 C:\WINDOWS\system32\svchost.exe
    1012 svchost.exe
    1192 svchost.exe
    1372 C:\WINDOWS\system32\brsvc01a.exe
    1396 C:\WINDOWS\system32\brss01a.exe
    1404 C:\WINDOWS\system32\spoolsv.exe
    1904 svchost.exe
    1936 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    1952 C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe
    1980 C:\Programme\G Data\AntiVirus\AVK\AVKService.exe
    2032 C:\Programme\Bonjour\mDNSResponder.exe
    224 C:\WINDOWS\ehome\ehrecvr.exe
    440 C:\WINDOWS\ehome\ehSched.exe
    832 C:\WINDOWS\system32\svchost.exe
    1056 C:\Programme\Java\jre6\bin\jqs.exe
    1612 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    1744 C:\WINDOWS\system32\nvsvc32.exe
    2424 C:\Programme\CyberLink\Shared Files\RichVideo.exe
    2512 C:\Programme\Secunia\PSI\psia.exe
    2788 svchost.exe
    2812 C:\WINDOWS\system32\svchost.exe
    2956 C:\Programme\Common Files\X10\Common\X10nets.exe
    3160 mcrdsvc.exe
    3384 wmpnetwk.exe
    4020 C:\WINDOWS\system32\dllhost.exe
    384 alg.exe
    2496 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    3300 C:\Programme\Secunia\PSI\sua.exe
    3056 C:\WINDOWS\explorer.exe
    3396 C:\WINDOWS\ehome\ehtray.exe
    672 C:\WINDOWS\ehome\ehmsas.exe
    1732 C:\WINDOWS\RTHDCPL.exe
    1516 C:\Programme\SMSC\SetIcon.exe
    940 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
    3868 C:\Programme\Brother\ControlCenter2\brctrcen.exe
    3796 C:\Programme\iTunes\iTunesHelper.exe
    1392 C:\Programme\Real\RealPlayer\Update\realsched.exe
    3844 C:\Programme\G Data\AntiVirus\AVKTray\AVKTray.exe
    4080 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    3648 C:\Programme\Windows Media Player\wmpnscfg.exe
    3456 C:\WINDOWS\system32\ctfmon.exe
    3336 C:\Programme\Secunia\PSI\psi_tray.exe
    4116 C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
    4244 C:\Programme\Brother\Brmfcmon\BrMfcMon.exe
    4528 C:\Programme\iPod\bin\iPodService.exe
    4980 C:\Programme\Mozilla Firefox\firefox.exe
    3320 C:\Programme\Mozilla Firefox\plugin-container.exe
    1156 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000045`a3811400  (FAT32)

PhysicalDrive0 Model Number: ST3320820AS, Rev: 3.AAC 

      Size  Device Name          MBR Status
  --------------------------------------------
    298 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!
Viele Grüße,
alina

cosinus 18.01.2011 14:19
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

alina 18.01.2011 20:55
Hallo,

hier nochmal die Logs von SuperAntiSpyware und Malwarebytes.

Viele Grüße,
alina

cosinus 18.01.2011 21:13
Das eine ist das Log von MBRcheck nicht von Malwarebytes.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:42 Uhr.
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131