Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Boot sector infiziert ?! (https://www.trojaner-board.de/75979-boot-sector-infiziert.html)

dfz 02.08.2009 14:13
Boot sector infiziert ?!
 
hi, dashier ist mein 1. post auf diesem board und habe sofort ein recht schwerwiegendes problem.
hoffe ihr könnt mir helfen! :confused:

ich habe wie der name schon sagt die vermutung, dass mein bootsector infiziert ist.
gund dafür ist u.a. das kein einziger von mir getesteter antivirus alarm schlägt.
mein pc bei jeder installation von netzwerktreibern abstürtzt und mein antivir sich manchmal von alleine abschaltet,
oder einfach irgendwelche netzwerkadapter neu dazu kommen.

letztendlich habe ich noch eine avir cd getestet um den bootsector zu bereinigen. jedoch stürtzt dabei der pc auch jedesmal ab.(passiert allerdings nur an meinem pc)

gehe davon aus das sich auch bei dem update auf sp2(xp) viren eingeschlichen haben. da ich ca 30 mal einen Error angezeigt bekommen habe.
mein windows wurde vor ca einer stunde neu installiert.
von daher weis ich nicht ob ein Hjtlog etwas bringen würde.

hab noch eine kleine evtl unbedeutendere frage am rande.
und zwar würde ich gerne wissen was es mit dem "legacy-Audiotreiber/Videoaufnahmegerät" auf sich hat.
es stand unmittelbar nach der win installation im geräte manager,
obwohl ich noch keine audiotreiber oder sonstiges installiert hatte.
desweiteren kann ich es weder deaktivieren noch deinstallieren.

edit: log folgt ^^

so das wars erstmal denke ich.
mfg dfz

john.doe 02.08.2009 14:31
Hallo und :hallo:

Downloade bitte folgendes Tool => http://www2.gmer.net/mbr/mbr.exe
  • Kopiere es auf den Desktop und führe es aus.
  • Es öffnet sich nur für einen Bruchteil ein CMD-Fenster, dass sich sofort wieder schließt.
  • Auf deinem Desktop ist eine neue Text-Datei: mbr.log
  • Poste bitte den Inhalt der Datei.
Zitat:
oder einfach irgendwelche netzwerkadapter neu dazu kommen.
Mit "irgendwelche" kann ich wenig anfangen, poste ein Screenshot vom Gerätemanager.
Zitat:
von daher weis ich nicht ob ein Hjtlog etwas bringen würde.
Nö, aber beide RSIT-Logs würde ich schon gerne sehen wollen.
Zitat:
würde ich gerne wissen was es mit dem "legacy-Audiotreiber/Videoaufnahmegerät" auf sich hat.
Das sind Kompatibilitätstreiber, die werden immer installiert, solange nicht der richtige Treiber installiert ist.

ciao, andreas

dfz 06.08.2009 03:17
hier mein hijackthis log
was mir dabei etwas eigenartig vorkommt ist "msmsgs.exe"
das ist doch microsoft messanger kurz msn oder?
das habe ich nämlich nicht installiert bzw nach der win isntallation gelöscht Oo






Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:08:18, on 06.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Steam\Steam.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Steam] "C:\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 4157 bytes

john.doe 06.08.2009 15:56
Zitat:
das habe ich nämlich nicht installiert bzw nach der win isntallation gelöscht Oo
Den bekommst du nicht so einfach weg. :)

XP-Antispy kann dabei helfen. ;)

Was soll ich mit einem gammeligen HJT-Log? Wo ist mbr.log? Wo sind die RSIT-Logs? Warum dauert das so lange?

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131