Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Besteht noch Risikio nach einem (kompletten) Windows 8 Systremreset? (https://www.trojaner-board.de/158784-besteht-noch-risikio-kompletten-windows-8-systremreset.html)

TLChris 16.09.2014 16:37
Besteht noch Risikio nach einem (kompletten) Windows 8 Systremreset?
 
Im Vorhinein: Vielen Dank an alle, die sich Zeit nehmen, Leuten wie mir zu helfen. Ihr seid großartig.
Nun zu meinem Problem:

Folgendes Szenario:

Ich bin auf einen Backdoor reingefallen, der sich als andere Datei getarnt hatte. Die Datei verschwand nach dem Ausführen, und ich wussste dass das typisches Verhalten von Backdoors wie Cybergate ist.
Ich nutzte den PC noch einen Tag, weil ich sichergehen wollte dass dies auch wirklich eine Infektion war.
Dann fand Malwarebytes 2 Dateien die höchstwahrscheinlich Fragmente von Backdoor.Bot waren.
(Die Logs habe ich leider nicht :-(, aber es war eine msi-Datei und eine scr-Datei.)

Daraufhin habe ich sofort jegliche Internetverbindung gekappt, neu gestartet, F9 gehalten, und mit Windows 8 'auf Originalzustand zurückgesetzt, & 'alle Festplatten komplett gelöscht'

Ich habe keine Sicherungen gemacht, da ich nichts wichtiges abgespeichert habe.
Der Vorgang dauerte knapp 4:30 Stunden.
Währenddessen habe ich über mein Smartphone alle meine Passwörter und Sicherungsemails geändert.

Nun meine Frage:
Könnte noch Risikio bestehen, da sich das Backdoor eventuell in den Masterbootrecord oder Bios geschrieben hat?
Wenn ja, bitte ich um Anweisungen, welche Programme ich ausführen, Logs posten, etc.. soll.



Vielen Dank im Vorraus. :-)

schrauber 16.09.2014 19:21
hi,

nein, kein Risiko :)

TLChris 17.09.2014 19:02
Hallo schrauber,
tut mir Leid, dass ich falsch gehandelt habe :-(

Jedenfalls komm ich bis morgen nicht mehr an meinen Pc, daher kann ich das Logfile hier leiden nicht posten... Ich denke, du hast es dir im andern Thread schon angesehen?

Vielen Dank erstmal dass du mir überhaupt antwortest :daumenhoc

schrauber 18.09.2014 13:48
Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

TLChris 20.09.2014 15:07
Hi,
danke für die Antwort, kann heute abend wieder an meinen Rechner.
Zuvor ne Frage: Seit dem Zurücksetzen habe ich nicht mehr Windows 8 sondern 8.1.
Seitdem lässt sich der Rechner nichtmehr herunterfahren, d.h. ich muss die einen Hardreset machen da der Explorer auf herunterfahren nicht reagiert.
Nun habe ich die Angst, das die durch z.B. einen versteckten Rootkit-Treiber verursacht wird... ist das realistisch?

Mfg, Chris

Edit: Hier der GMER-log.

Code:
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-09-17 19:57:23
Windows 6.2.9200  x64 \Device\Harddisk1\DR1 -> \Device\0000003d LITEONIT_LCS-256M6S rev.DC81605 238,47GB
Running: ssomlflp.exe; Driver: C:\Users\CHRIST~1\AppData\Local\Temp\fgtyrpod.sys


---- User code sections - GMER 2.1 ----

.text  C:\Windows\system32\dwm.exe[516] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                                            000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text  C:\Windows\system32\dwm.exe[516] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                                            000007f869b21782 4 bytes [B2, 69, F8, 07]
.text  C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1060] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                        000007f865981532 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1060] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                        000007f86598153a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1060] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                      000007f86598165a 4 bytes [98, 65, F8, 07]
.text  C:\Windows\system32\nvvsvc.exe[1072] C:\Windows\system32\MSIMG32.dll!GradientFill + 690                                                  000007f865981532 4 bytes [98, 65, F8, 07]
.text  C:\Windows\system32\nvvsvc.exe[1072] C:\Windows\system32\MSIMG32.dll!GradientFill + 698                                                  000007f86598153a 4 bytes [98, 65, F8, 07]
.text  C:\Windows\system32\nvvsvc.exe[1072] C:\Windows\system32\MSIMG32.dll!TransparentBlt + 246                                                000007f86598165a 4 bytes [98, 65, F8, 07]
.text  C:\Windows\system32\nvvsvc.exe[1072] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                                        000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text  C:\Windows\system32\nvvsvc.exe[1072] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                                        000007f869b21782 4 bytes [B2, 69, F8, 07]
.text  C:\Windows\system32\BtwRSupportService.exe[2020] C:\Windows\system32\MSIMG32.dll!GradientFill + 690                                      000007f865981532 4 bytes [98, 65, F8, 07]
.text  C:\Windows\system32\BtwRSupportService.exe[2020] C:\Windows\system32\MSIMG32.dll!GradientFill + 698                                      000007f86598153a 4 bytes [98, 65, F8, 07]
.text  C:\Windows\system32\BtwRSupportService.exe[2020] C:\Windows\system32\MSIMG32.dll!TransparentBlt + 246                                    000007f86598165a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe[2116] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306  000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text  C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe[2116] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314  000007f869b21782 4 bytes [B2, 69, F8, 07]
.text  C:\windows\system32\mfevtps.exe[2184] C:\Windows\system32\psapi.dll!GetProcessImageFileNameA + 306                                      000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text  C:\windows\system32\mfevtps.exe[2184] C:\Windows\system32\psapi.dll!GetProcessImageFileNameA + 314                                      000007f869b21782 4 bytes [B2, 69, F8, 07]
.text  C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe[2424] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306              000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text  C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe[2424] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314              000007f869b21782 4 bytes [B2, 69, F8, 07]
.text  C:\Program Files\Elantech\ETDCtrl.exe[3916] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                          000007f865981532 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Elantech\ETDCtrl.exe[3916] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                          000007f86598153a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Elantech\ETDCtrl.exe[3916] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                                        000007f86598165a 4 bytes [98, 65, F8, 07]
.text  C:\Windows\Explorer.EXE[3508] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                                              000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text  C:\Windows\Explorer.EXE[3508] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                                              000007f869b21782 4 bytes [B2, 69, F8, 07]
.text  C:\Windows\Explorer.EXE[3508] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                                        000007f865981532 4 bytes [98, 65, F8, 07]
.text  C:\Windows\Explorer.EXE[3508] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                                        000007f86598153a 4 bytes [98, 65, F8, 07]
.text  C:\Windows\Explorer.EXE[3508] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                                                      000007f86598165a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Elantech\ETDCtrlHelper.exe[3992] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                    000007f865981532 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Elantech\ETDCtrlHelper.exe[3992] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                    000007f86598153a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Elantech\ETDCtrlHelper.exe[3992] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                                  000007f86598165a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Elantech\ETDGesture.exe[3792] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                        000007f865981532 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Elantech\ETDGesture.exe[3792] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                        000007f86598153a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Elantech\ETDGesture.exe[3792] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                                      000007f86598165a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[5016] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                          000007f865981532 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[5016] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                          000007f86598153a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[5016] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                        000007f86598165a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5372] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                000007f865981532 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5372] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                000007f86598153a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5372] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                              000007f86598165a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5908] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                  000007f865981532 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5908] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                  000007f86598153a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5908] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                                000007f86598165a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe[1148] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                          000007f865981532 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe[1148] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                          000007f86598153a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe[1148] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                        000007f86598165a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe[1148] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text  C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe[1148] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                000007f869b21782 4 bytes [B2, 69, F8, 07]
.text  C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe[3528] C:\Windows\SYSTEM32\WSOCK32.dll!recvfrom + 742                      000007f84d7e1b32 4 bytes [7E, 4D, F8, 07]
.text  C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe[3528] C:\Windows\SYSTEM32\WSOCK32.dll!recvfrom + 750                      000007f84d7e1b3a 4 bytes [7E, 4D, F8, 07]
.text  C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe[3528] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                  000007f865981532 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe[3528] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                  000007f86598153a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe[3528] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                000007f86598165a 4 bytes [98, 65, F8, 07]
.text  C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe[5916] C:\Windows\system32\psapi.dll!GetProcessImageFileNameA + 306            000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text  C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe[5916] C:\Windows\system32\psapi.dll!GetProcessImageFileNameA + 314            000007f869b21782 4 bytes [B2, 69, F8, 07]
.text  C:\Program Files\Windows Media Player\wmpnetwk.exe[6316] C:\Windows\SYSTEM32\WSOCK32.dll!recvfrom + 742                                  000007f84d7e1b32 4 bytes [7E, 4D, F8, 07]
.text  C:\Program Files\Windows Media Player\wmpnetwk.exe[6316] C:\Windows\SYSTEM32\WSOCK32.dll!recvfrom + 750                                  000007f84d7e1b3a 4 bytes [7E, 4D, F8, 07]
.text  C:\Program Files\mcafee.com\agent\McUpdate.exe[6604] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                        000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text  C:\Program Files\mcafee.com\agent\McUpdate.exe[6604] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                        000007f869b21782 4 bytes [B2, 69, F8, 07]

---- Threads - GMER 2.1 ----

Thread  C:\Windows\system32\csrss.exe [668:692]                                                                                                  fffff9600087a5e8

---- Disk sectors - GMER 2.1 ----

Disk    \Device\Harddisk1\DR1                                                                                                                    unknown MBR code

---- EOF - GMER 2.1 ----



Edit 2: Beim Öffnen von GMER bekam ich außerdem den Fehler: "C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird."

schrauber 21.09.2014 09:35
Gmer und Win8.1 geht eigentlich nie richtig. Alles gut :)

TLChris 21.09.2014 18:28
Alles klar, vielen Dank!

Nun hab ich nurnoch die Frage, was das Problem mit dem Herunterfahren erzeugt.
Und, was hat es mit dem unknown MBRcode auf sich?

Mfg, Chris

schrauber 22.09.2014 09:38
Zitat:
was das Problem mit dem Herunterfahren erzeugt.
Was meinst Du?
Zitat:
Und, was hat es mit dem unknown MBRcode auf sich?
Zitat:
Gmer und Win8.1 geht eigentlich nie richtig.
;)

TLChris 22.09.2014 11:27
Hallo,
seit dem Zurücksetzen habe ich ja Windows 8.1, und seither lässt sich der Rechner nicht mehr normal herunterfahren (Explorer reagiert nicht auf den Befehl, alles läuft normal weiter) und ich muss ihn immer mit dem Aus-Schalter abschalten.

Mfg, Chris

schrauber 22.09.2014 16:41
http://www.deeprybka.trojaner-board....r/wraioneu.PNG
  • Lade Dir bitte Windows Repair - All in one von tweaking.com hier herunter und installiere es.
  • Deaktiviere bitte (wenn möglich) Dein Antivirusprogramm.
  • Bedenke, dass die einzelnen Reparaturen einige Zeit benötigen. Starte keine anderen Anwendungen in dieser Zeit.
  • Starte das Programm und führe die Punkte 1-5 durch. (Siehe Bildanleitung)
  • Achte darauf, dass bei Dir die Häkchen so gesetzt sind wie unter Punkt 4.
  • Setze auch ein Häkchen bei "Restart/Shutdown System" und klicke "Restart System" an bevor Du Punkt 5 durchführst.
http://deeprybka.trojaner-board.de/b...srepair271.png

TLChris 28.09.2014 21:40
Hallo,
nach dem ich diese Reparaturen ausgeführt habe scheint alles wieder zu laufen, danke dir vielmals!
Nun eine letzte Frage noch.

Um auf Nummer sicher zu gehen, habe ich mir Hirens Boot CD auf eine DVD gebrannt.
Mit dem cmd Befehl shutdown /r / o bin ich dann in die Bootoptionen, und habe CD/DVD ausgewählt. Nachdem ich dies tat, starte mein Computer allerdings nur neu, und bootete nicht von der DVD.

irgendeine Idee woran das liegen könnte?

Mfg, Chris

schrauber 29.09.2014 16:11
Warum machst Du das mit dem Befehl und nicht ganz normal? Und was willste mit der CD machen? :)

TLChris 29.09.2014 17:28
Wüsste nicht wie das sonst geht, außer komisch über die Einstellungen.

Ich mach das, weil ich paranoid bin Q_Q

schrauber 30.09.2014 09:18
Lass es, is total unnötig. :)

TLChris 30.09.2014 13:43
Hallo, das ist jetzt überhaupt nich böse gemeint, aber wie bist du dir da so sicher?
Ich hab einfach ein mulmiges Gefühl wenn ich vor dem Rechner sitze, weil ich weiss das man solche Programme undetectable usw machen kann... ich hatte halt einfach gern die sichere Feststellung dass da auch nix übrig ist :/

Mfg,
Chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:51 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131