Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer (https://www.trojaner-board.de/94149-antivir-erkennt-tr-crypt-xpack-gen2-3-wuermer.html)

wurble 01.01.2011 03:00
AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer
 
Guten Tag allerseits!

zunächst ein großes Dankeschön an alle hier mithelfenden für Ihre Zeit!

Zu meinem Problem:
Auf dem Rechner meines Vaters hat AntiVir etwas gefunden: 17 Funde, beinhaltend Trojanische Pferde TR/Dropper.gen, TR/Crypt.XPACK.Gen2, TR/Agent.fbv.3, TR/Crypt.XPACK.Gen3, sowie die Würmer WORM/Palevo.yrg und WORM/Palevo.104960. Die genaue Beschreibung im Anhang unter quarantaene.txt zu finden.


Daraufhin habe ich nach Forenanleitung Load.exe heruntergeladen und die Schritte 1-4 erfolgreich ausgeführt.
Die defogger_disable.log ist im Anhang.

Bei Schritt 5 ist nach mehrstündigem Scan mit Gmer ein Fehler aufgetreten:

-------
"Datenverlust beim Schreiben" (Windows-Meldung)
Es konnten nicht alle Daten für die Datei \Device\HarddiskVolume1\$Mft gespeichert werden. Die Daten gingen verloren. Mögliche Ursachen könnten Computerhardware oder Netzwerkverbindungen sein. Versuchen Sie, die Datei woanders zu speichern."
-------

Gmer ist daraufhin abgestürzt, TaskMgr ließ sich nicht mehr öffnen. Ich konnte den PC allerdings noch normal herunterfahren.

Der PC schreib auf zwei Festplatten mit RAID1 (Mirror) zur Datensicherung.
Ist diese hier womöglich betroffen? Und ist es ratsam, eine Platte auszubauen um weiteren Schaden zu verhindern? Kann man später die Spiegelung aktualisieren? Sorry, falls das hier OT ist.
.

Den 6. Schritt habe ich wieder normal ausführen können. Die beiden Dateien Extras.txt und OTL.txt sind im Anhang.

---------------------------------

Der Computer wird leider z.Zt. gebraucht, daher die Frage: Inwieweit kann man ihn weiter benutzen, bevor die Probleme behoben sind? Ist z.b. die Nutzung ohne Internet okay? (Office, Drucken, etc.)

(Anhänge: defogger_disable.log ließ sich nicht hochladen, hab ich in defogger_disable.txt umbenannt.
Alle einzeln, oder zusammen als *.zip.)

Nochmal vielen Dank im Voraus für Eure Hilfe!
wurble





(bemerkung: in der anleitung aus "load.exe" steht in schritt 6: "Klicke nun in die Custom Scans/ Fixes Box. "
für unerfahrene benutzer ist womöglich der hinweis praktisch, dass DOPPELklick notwendig/gemeint ist. )

nachtrag:
ich habe bemerkt, dass ich versehentlich die gmer.exe nicht auf dem desktop hatte, sondern in desktop/gmer/gmer.exe
ich hab den scan gerade nochmal angeworfen und werde die fehlenden ergebnisse, falls es diesmal funktioniert, hier morgen früh posten.

merci & gute n8
wurble

Guten!
Nachdem der Rechner die ganze Nacht mit Gmer gescannt hat, ist er gerade eben wieder an der gleichen Stunde hängen geblieben.

Bitte um Hilfe!
Grüße,
wurble

hallo und ein gutes neues jahr!

hier die fehlenden mbam-logs.
ich hatte mich schon gewundert, warum ich keine antwort bekomme... :kloppen:

hier sind fünf logs, die ich in den letzten tagen bekommen habe.

ist ansteckung im lan ohne weiteres möglich? oder müsste man dazu dateien ausgeführt haben?

für hilfe wäre ich sehr dankbar!
schöne grüße! wurble
-----------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5396

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.12.2010 15:22:27
mbam-log-2010-12-26 (15-22-27).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 188057
Laufzeit: 4 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Family\anwendungsdaten\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Family\anwendungsdaten\nsvb.exe (Worm.Palevo) -> Quarantined and deleted successfully.

---------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5396

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.12.2010 21:23:39
mbam-log-2010-12-29 (21-23-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 895603
Laufzeit: 1 Stunde(n), 30 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
e:\f\users\Sara\stexamen\blöcke jörg\intenso usb (i)\System\Security\driveguard.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

--------------------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5396

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.12.2010 23:50:22
mbam-log-2010-12-29 (23-50-22).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 188039
Laufzeit: 2 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-------------------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5419

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.12.2010 02:21:38
mbam-log-2010-12-30 (02-21-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 895914
Laufzeit: 1 Stunde(n), 28 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


---------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5419

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.01.2011 02:42:41
mbam-log-2011-01-01 (02-42-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 896086
Laufzeit: 2 Stunde(n), 58 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Malware.Trace) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\arne\csrss.exe (Trojan.Palevo.Gen.A) -> Quarantined and deleted successfully.
----------------------------

cosinus 02.01.2011 12:01
Hallo und :hallo:


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.09.26 02:10:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{024cbe56-409d-11df-bd20-000c6ea69411}\Shell\AutoRun\command - "" = H:\TWINS\\jutroivece.exe -- File not found
O33 - MountPoints2\{024cbe56-409d-11df-bd20-000c6ea69411}\Shell\open\command - "" = H:\TWINS\\jutroivece.exe -- File not found
@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A1D3FEF0
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

wurble 02.01.2011 13:39
hi arne,

vielen dank für deine antwort! ich war gerade dabei alles vorzubereiten für ne neuinstallation :-) wäre saustark wenn mir das erspart bliebe. mein vater hat tausend programme auf dem rechner.

hier der log. wenn gewünscht, auch im anhang. (*.log ist nicht erlaubt, daher als txt)
der rechner fuhr übrigens nicht normal herunter, blieb bei "w. wird heruntergefahren" hängen. ich hab ein bisschen rumprobiert und schließlich reset gedrückt. nach dem reboot hat antivir wieder gepiept.
schöne grüße!
arne



All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{024cbe56-409d-11df-bd20-000c6ea69411}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{024cbe56-409d-11df-bd20-000c6ea69411}\ not found.
File H:\TWINS\\jutroivece.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{024cbe56-409d-11df-bd20-000c6ea69411}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{024cbe56-409d-11df-bd20-000c6ea69411}\ not found.
File H:\TWINS\\jutroivece.exe not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A1D3FEF0 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: admin
->Temp folder emptied: 4220707 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 27300602 bytes
->Flash cache emptied: 719 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: arne
->Temp folder emptied: 5242557 bytes
->Temporary Internet Files folder emptied: 402207 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 77900145 bytes
->Flash cache emptied: 1181 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Family
->Temp folder emptied: 141357 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 50815865 bytes
->Flash cache emptied: 933 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 43886 bytes
RecycleBin emptied: 797674 bytes

Total Files Cleaned = 159,00 mb


OTL by OldTimer - Version 3.2.18.0 log created on 01022011_131543

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 02.01.2011 14:02
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

wurble 02.01.2011 15:05
hoi!
cccleaner hab ich mehrmals durchlaufen lassen nach anleitung.
danach hab ich cofi.exe ausgeführt. die logdatei dazu:

Combofix Logfile:
Code:
ComboFix 11-01-01.02 - arne 02.01.2011  14:44:44.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.675 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\arne\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\arne\Anwendungsdaten\nsvb.exe
c:\dokumente und einstellungen\Family\csrss.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2010-12-02 bis 2011-01-02  ))))))))))))))))))))))))))))))
.

2010-12-26 14:07 . 2010-12-26 14:07        --------        d-----w-        c:\programme\ERUNT
2010-12-26 13:22 . 2010-12-26 13:22        --------        d-----w-        c:\dokumente und einstellungen\arne\Anwendungsdaten\Malwarebytes
2010-12-26 13:20 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-26 13:20 . 2010-12-26 13:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-26 13:20 . 2010-12-26 13:20        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-12-26 13:20 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-12-26 12:47 . 2010-12-26 12:47        388096        ----a-r-        c:\dokumente und einstellungen\arne\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-26 11:33 . 2010-12-26 11:33        --------        d-----w-        c:\dokumente und einstellungen\arne\Anwendungsdaten\Avira
2010-12-26 00:30 . 2010-12-26 00:30        --------        d-----w-        c:\windows\nvidia icons
2010-12-26 00:30 . 2010-12-26 00:30        --------        d-----w-        c:\windows\nview
2010-12-26 00:30 . 2008-05-03 04:46        442368        ----a-w-        c:\windows\system32\nvudisp.exe
2010-12-26 00:30 . 2008-04-30 16:27        442368        ----a-w-        c:\windows\system32\NVUNINST.EXE
2010-12-26 00:30 . 2003-11-10 17:13        69715        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2010-12-26 00:30 . 2003-11-10 17:12        266240        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2010-12-26 00:30 . 2003-11-10 17:12        192512        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2010-12-26 00:30 . 2003-11-10 17:14        729088        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2010-12-26 00:30 . 2003-11-10 17:11        5632        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2010-12-26 00:30 . 2010-12-26 00:30        311428        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2010-12-26 00:30 . 2010-12-26 00:30        188548        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll
2010-12-26 00:29 . 2010-12-26 00:29        --------        d-----w-        C:\NVIDIA
2010-12-26 00:02 . 2010-12-26 00:02        --------        d-----w-        c:\windows\Logs
2010-12-26 00:00 . 2010-12-26 11:45        --------        d-----w-        c:\programme\Landwirtschafts Simulator 2011
2010-12-24 19:42 . 2010-12-24 19:42        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Zylom
2010-12-07 17:19 . 2010-12-07 22:41        --------        d-----w-        c:\dokumente und einstellungen\arne\Anwendungsdaten\Winamp
2010-12-06 19:55 . 2010-12-06 19:55        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-12-06 19:55 . 2010-12-06 19:55        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2010-12-05 15:56 . 2010-12-29 21:49        --------        d-----w-        c:\windows\system32\NtmsData
2010-12-04 17:46 . 2010-12-04 17:46        --------        d-----w-        c:\dokumente und einstellungen\arne\Anwendungsdaten\DivX

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 15:06 . 2010-11-20 16:35        135096        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-12-06 19:55 . 2010-05-18 16:02        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2010-11-23 23:44 . 2009-09-26 12:52        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-10-09 21:56 . 2009-11-22 16:03        2516        --sha-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2009-10-13 18:38 . 2009-10-13 18:38        8067224        ----a-w-        c:\programme\Firefox Setup 3.5.3.exe
2009-10-06 23:00 . 2009-10-06 22:57        22609166        ----a-w-        c:\programme\LyX-1.6.4-1-Installer.exe
2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\admin\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office Shortcut-Leiste.lnk - c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\misc.exe [2009-9-26 34304]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Corel\\DVD9\\WinDVD.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\TVAnts\\Tvants.exe"=
"c:\\Dokumente und Einstellungen\\Family\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.11.2010 17:35 135336]
R2 regi;regi;c:\windows\system32\drivers\regi.sys [17.04.2007 20:09 11032]
R2 vpnagent;Cisco AnyConnect VPN Agent;c:\programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [06.05.2010 02:59 583360]
S3 TridVid;Video Grabber;c:\windows\system32\drivers\tridvid.sys [16.12.2009 13:03 99200]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [09.08.2010 19:46 691696]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Append to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\arne\Anwendungsdaten\Mozilla\Firefox\Profiles\5ql2fei2.default\
FF - prefs.js: browser.startup.homepage - http://www.trojaner-board.de/94149-a...e-wuermer.html
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: YouTube mp3: info@youtube-mp3.org - %profile%\extensions\info@youtube-mp3.org
FF - Ext: German Dictionary: de-DE@dictionaries.addons.mozilla.org - %profile%\extensions\de-DE@dictionaries.addons.mozilla.org
FF - Ext: UnPlug: unplug@compunach - %profile%\extensions\unplug@compunach
FF - Ext: Gmail Notifier: {44d0a1b4-9c90-4f86-ac92-8680b5d6549e} - %profile%\extensions\{44d0a1b4-9c90-4f86-ac92-8680b5d6549e}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellIconOverlayIdentifiers-{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-02 14:50
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2011-01-02  14:53:26
ComboFix-quarantined-files.txt  2011-01-02 13:53

Vor Suchlauf: 10 Verzeichnis(se), 124.468.944.896 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 124.665.315.328 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - E32B694CD9CF1EF7213275A025B73AA3
--- --- ---

cosinus 02.01.2011 15:49
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

wurble 03.01.2011 00:19
hi
sorry dass ich noch nichts gepostet hab, der rechner ist seit vielen stunden mit gmer beschäftigt. allein für mein matheprogramm matlab braucht er jetzt schon 4 stunden..
naja, morgen früh werd ich dann noch osam laufen lassen und posten
gute n8
arne

wurble 03.01.2011 04:40
so. gmer ist wieder abgestürzt, an der gleichen stelle wie bei den vorherigen scancs auch (s.o.)

dann hab ich OSAM laufen gelassen:
###################################

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 04:32:09 on 03.01.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BrnStiCp.cpl" - "Brother Industries,Ltd." - C:\WINDOWS\system32\BrnStiCp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"plotman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\plotman.cpl
"styleman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\styleman.cpl
"wuaucpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\wuaucpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Adobe Gamma" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma.cpl
"Adobe Version Cue CS3" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.cpl
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
"SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"3Com 3C2000x EtherLink XL Adapter" (EL2000) - "3Com Corporation" - C:\WINDOWS\System32\DRIVERS\EL2K_XP.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\arne\LOKALE~1\Temp\catchme.sys  (File not found)
"CdaC15BA" (CdaC15BA) - "Macrovision Europe Ltd" - C:\WINDOWS\system32\drivers\CDAC15BA.SYS
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDFs.sys
"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDRm.sys
"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDPass.sys
"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys
"IVI ASPI Shell" (Iviaspi) - "InterVideo, Inc." - C:\WINDOWS\System32\drivers\iviaspi.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"regi" (regi) - "InterVideo" - C:\WINDOWS\System32\drivers\regi.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{8A0BC933-7552-42E2-A228-3BE055777227} "AcColumnHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{8A0BC933-7552-42E2-A228-3BE055777227} "AcColumnHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{ADC46291-D8A1-4486-A24C-86FFB392AEFA} "AcDgnImageExtractor" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcDgnCOM17.dll
{5800AD5B-72C1-477B-9A08-CA112DF06D97} "AcInfoTipHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll
{36A21736-36C2-4C11-8ACB-D4136F2B57BD} "AcSignIcon" - "Autodesk" - C:\WINDOWS\system32\AcSignIcon.dll
{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} "ACTHUMBNAIL" - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll
{5F327514-6C5E-4d60-8F16-D07FA08A78ED} "Auto Update Property Sheet Extension" - "Microsoft Corporation" - C:\WINDOWS\system32\wuaucpl.cpl
{D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Visio11\VISSHE.DLL
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -  (File not found | COM-object registry key not found)
{506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Visio11\VISSHE.DLL
{CAE3251E-9B15-4810-B268-852AD9792A59} "InCDShellExt Class" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDshx.dll
{B3D9AEDE-B2C3-406d-A254-6BE07767B08B} "InCDUdfPerm Class" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDUP.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{2F25CF20-C569-11D1-B94C-00608CB45480} "TextPad" - "Helios Software Solutions" - C:\Programme\TextPad 4\System\shellext.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
InCDShellExt extension "{CAE3251E-9B15-4810-B268-852AD9792A59}" - ? -  (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10c.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
{517BDDE4-E3A7-4570-B21E-2B52B6139FC7} "Contribute Toolbar" - "Adobe Systems Incorporated." - C:\Programme\Adobe\Adobe Contribute CS3\contributeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{074C1DC5-9320-4A9A-947D-C042949C6216} "ContributeBHO Class" - "Adobe Systems Incorporated." - C:\Programme\Adobe\Adobe Contribute CS3\contributeieplugin.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office Shortcut-Leiste.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\arne\Startmenü\Programme\Autostart\desktop.ini

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##" (Bonjour Service) - "Apple Computer, Inc." - C:\Programme\Bonjour\mDNSResponder.exe
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Adobe LM Service" (Adobe LM Service) - "Adobe Systems" - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
"Adobe Version Cue CS3" (Adobe Version Cue CS3) - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Autodesk Licensing Service" (Autodesk Licensing Service) - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"C-DillaCdaC11BA" (C-DillaCdaC11BA) - "Macrovision" - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
"Cisco AnyConnect VPN Agent" (vpnagent) - "Cisco Systems, Inc." - C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Programme\CyberLink\Shared Files\RichVideo.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
"IviRegMgr" (IviRegMgr) - "InterVideo" - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
"NMSAccessU" (NMSAccessU) - ? - C:\Programme\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Protexis Licensing V2" (PSI_SVC_2) - "Protexis Inc." - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
"SoundMAX Agent Service" (SoundMAX Agent Service (default)) - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Computer, Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru






######################################
dann hab ich MBRCheck laufen gelassen:
######################################

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00000f5d

Kernel Drivers (total 127):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7D63000 \WINDOWS\system32\KDCOM.DLL
0xF7C73000 \WINDOWS\system32\BOOTVID.dll
0xF7813000 ACPI.sys
0xF7D65000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7802000 pci.sys
0xF7863000 isapnp.sys
0xF7E2B000 pciide.sys
0xF7AE3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7D67000 intelide.sys
0xF7873000 MountMgr.sys
0xF77E3000 ftdisk.sys
0xF7D69000 dmload.sys
0xF77BD000 dmio.sys
0xF7AEB000 PartMgr.sys
0xF7883000 VolSnap.sys
0xF77A5000 atapi.sys
0xF7761000 iaStor.sys
0xF7893000 disk.sys
0xF78A3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7741000 fltmgr.sys
0xF772F000 sr.sys
0xF78B3000 PxHelp20.sys
0xF7718000 KSecDD.sys
0xF768B000 Ntfs.sys
0xF765E000 NDIS.sys
0xF7644000 Mup.sys
0xF78C3000 agp440.sys
0xF7AB3000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF641E000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF640A000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7B3B000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF63E6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7B43000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF63C2000 \SystemRoot\system32\DRIVERS\EL2K_XP.sys
0xF7AC3000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7B4B000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7AD3000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7D5B000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7B53000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF63AE000 \SystemRoot\system32\DRIVERS\parport.sys
0xF78F3000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7D5F000 \SystemRoot\system32\drivers\iviaspi.sys
0xF7903000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7913000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF638B000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7B5B000 \SystemRoot\system32\drivers\InCDPass.sys
0xF7923000 \SystemRoot\system32\drivers\InCDRm.sys
0xF5329000 \SystemRoot\system32\drivers\smwdm.sys
0xF5305000 \SystemRoot\system32\drivers\portcls.sys
0xF6A5F000 \SystemRoot\system32\drivers\drmk.sys
0xF52ED000 \SystemRoot\system32\drivers\aeaudio.sys
0xF7EF6000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7953000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7608000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF52D6000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7963000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7973000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7BD3000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF5225000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7983000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7BDB000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7BE3000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF51F5000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7993000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7BEB000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7DB5000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF516F000 \SystemRoot\system32\DRIVERS\update.sys
0xF72D9000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF09E4000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xED759000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7E09000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF034F000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7E21000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E7C000 \SystemRoot\System32\Drivers\Null.SYS
0xF7E23000 \SystemRoot\System32\Drivers\Beep.SYS
0xF033F000 \SystemRoot\System32\drivers\vga.sys
0xF7E25000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7E27000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xEC0F0000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xB877E000 \SystemRoot\system32\drivers\InCDFs.sys
0xF0337000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF032F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xEC0EC000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB876B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB8712000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB86EA000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB86C4000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB86A2000 \SystemRoot\System32\drivers\afd.sys
0xF6CDC000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xED15F000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF0327000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB8677000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB8607000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF6CCC000 \SystemRoot\System32\Drivers\Fips.SYS
0xB85E1000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7D6B000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB543D000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB4898000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF1463000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF145B000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB4935000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF035F000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xB4931000 \SystemRoot\system32\DRIVERS\BrScnUsb.sys
0xF0347000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB4848000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB3375000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB3DC6000 \SystemRoot\System32\drivers\Dxapi.sys
0xB4028000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7F53000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB2998000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB5C29000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB2943000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7DD9000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB2988000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
0xB2851000 \SystemRoot\system32\DRIVERS\srv.sys
0xF7E15000 \SystemRoot\system32\drivers\regi.sys
0xB256C000 \SystemRoot\system32\drivers\wdmaud.sys
0xB25E9000 \SystemRoot\system32\drivers\sysaudio.sys
0xB2226000 \SystemRoot\System32\Drivers\HTTP.sys
0xB140A000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 37):
0 System Idle Process
4 System
616 C:\WINDOWS\system32\smss.exe
668 csrss.exe
692 C:\WINDOWS\system32\winlogon.exe
736 C:\WINDOWS\system32\services.exe
748 C:\WINDOWS\system32\lsass.exe
936 C:\WINDOWS\system32\svchost.exe
1004 svchost.exe
1044 C:\WINDOWS\system32\svchost.exe
1096 svchost.exe
1160 svchost.exe
1172 C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
1348 C:\WINDOWS\system32\spoolsv.exe
1396 C:\Programme\Avira\AntiVir Desktop\sched.exe
1432 svchost.exe
1496 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1512 C:\Programme\Bonjour\mDNSResponder.exe
1524 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
1580 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
1624 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
1648 C:\Programme\Java\jre6\bin\jqs.exe
1684 C:\WINDOWS\system32\mgabg.exe
1708 C:\Programme\CDBurnerXP\NMSAccessU.exe
1728 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1752 C:\WINDOWS\system32\nvsvc32.exe
1824 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
1872 C:\Programme\CyberLink\Shared Files\RichVideo.exe
1900 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
1980 C:\WINDOWS\system32\svchost.exe
2000 wdfmgr.exe
492 alg.exe
1780 C:\WINDOWS\system32\wscntfy.exe
2132 C:\WINDOWS\explorer.exe
2896 C:\Programme\Mozilla Firefox\firefox.exe
3424 C:\Programme\Mozilla Firefox\plugin-container.exe
2968 C:\Dokumente und Einstellungen\arne\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200 (NTFS)

PhysicalDrive0 Model Number: IntelRaid 1 Volume, Rev: 0.1.

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!




##################################
am ende erhielt ich den hinweis "mbr code faked", wie man auch in der log sieht.
vielleicht hilfreich zu wissen: in der maschine laufen zwei platten in raid1 (mirror).

danke & schöne grüße!

cosinus 03.01.2011 09:40
Zitat:
vielleicht hilfreich zu wissen: in der maschine laufen zwei platten in raid1 (mirror).
Das OS erkennt den RAID1-Verbund als eine (physikalische Platte)

Zitat:
465 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F
Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck nochmals aus und poste das neue Log.

wurble 04.01.2011 22:27
hi!
sorry dass ich nicht schneller geantwortet habe, war unterwegs.


fixmbr: den befehl nimmt er an, ohne reaktion.

fixboot c: "fixboot konnte das systemlaufwerk nicht finden, oder das angegebene laufwerk ist ungültig"

das system kann aber noch starten. hm....

wurble 04.01.2011 22:47
mbrcheck ausgeführt:

blabla
logical drives mask: 0x00000f5d
\\.\c:-->\\.\physicaldrive0 at offset: 0x00000000'00007e00 <ntfs>
\\.\e:-->\\.\physicaldrive0 at offset: 0x00000024'9ed8e200 <ntfs>

size: 465 gb
device name: physicaldrive0
mbr-status: mbr-code faked!

SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F

Found non-standard or infected MBR.

y for more options, n für exit.

options:
1) dump the mbr of a physical mbr to file
2) restore the mbr of a physical mbr with a standard boot code
3) exit

cosinus 05.01.2011 12:13
Zitat:
fixboot c: "fixboot konnte das systemlaufwerk nicht finden, oder das angegebene laufwerk ist ungültig"
Wieso fixbott c:?! Ich hab nur fixboot geschrieben!!

wurble 05.01.2011 16:38
jau. ich (bzw. mein paps übers telefon) hat zunächst fixmbr gemacht, dann fixboot. das ging aber nicht. dann hab ich in der syntax nachgeschaut, da steht fixboot [laufwerksbuchstabe] -- wobei dieser ja dann optional ist.
ich hab ihn jetzt nochmal gefragt, er meint die fehlermeldung bei fixboot (ohne c) wäre aber die gleiche gewesen wie angegeben. ich werd heute abend mal mit ihm telefonieren und ihn nochmal testen lassen.

eine frage mal: ich hab die daten schon gesichert. ich hab auch die software da. ich bin nicht sicher ob es nicht weniger aufwand (bzw. zuverlässiger) ist, einfach neu zu installieren?
für dem fall weiß ich aber nicht: besteht das mbr-problem danach womöglich noch? und wie verhindere ich, dass der trojanerquark, der jetzt auf der externen platte in den daten ist, nicht nachher wieder reinkommt?

wenn du sagst ich sollte lieber noch ein-zwei sachen zum fixen probieren mach ich das natürlich lieber. ich weiß, die frage ist albern, aber kannst du ne avg-case zeitabschätzung geben? :heilig:

cosinus 05.01.2011 18:45
Nach fixmbr sollte auf jeden Fall der MBR sauber geschrieben sein. Sicher, dass Vati die Abfragen nach Ausführung von fixmbr alle bestätigt hat?

wurble 05.01.2011 22:43
also:
bin erst freitag wieder daheim. ich habs nochmal übers telefon versucht, was herauszukriegen:

ich hab ihn, weil das gestern anders aussah in der wiederherstellungskonsole als erwartet (kein admin-kennwort abgefragt, keine auswahl des OS usw.) die wiederherstellungskonsole installieren lassen.
wenn man diese dann statt dem os bootet, kommt n bluescreen.
stop: 0x0000007b (0xf7cae524,0xc0000034,0x00000000,0x00000000)

cosinus 06.01.2011 10:44
Hm, kannst du von der Windows-CD booten und dort die WHK starten?

wurble 07.01.2011 16:26
nope, also die versuche mit befehlseingabe habe ich (er übers telefon) alle so gemacht. weils nicht ging hab ich ja die whk installiert, da kann man aber nicht rein (bluescreen).

wie kann ich die daten später von der externen zurückholen, ohne mich wieder zu infizieren?

und wie kann ich die festplatte klarmachen für ne neuinstallation, mit sauberem mbr? muss ich nochwas anderes beachten?

danke & beste grüße!
arne

cosinus 07.01.2011 19:33
Probieren wir den MBR-Fix mit dem Tool selbst nochmal:

Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei
  • Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
  • Enter your choice: 2
  • Enter the physical disk number to fix (0-99, -1 to cancel): 0
  • Please select the MBR code to write to this drive: 1 (für XP)
  • Gib nun Yes ein und bestätige mit ENTER.
  • Starte den Rechner neu auf.
Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

Zitat:
wie kann ich die daten später von der externen zurückholen, ohne mich wieder zu infizieren?
Indem nichts Verseuchtes ausgeführt wird ;)
1.) Sorge dafür, dass die automatische Wiedergabe (Autorun/Autoplay) von allen Laufwerken deaktiviert ist
2.) Kopier nur reine Datendateien, keine ausführbaren Dateien

Zitat:
und wie kann ich die festplatte klarmachen für ne neuinstallation, mit sauberem mbr? muss ich nochwas anderes beachten?
An für für sich schreibt das Windows-Setup bei einer sauberen Neuinstallation mit Löschung der Partitionen und format c den MBR neu (ob unbedingt die Partitionen gelöscht werden müssen damit der MBR neu geschrieben wird weiß ich leider nicht genau, vermutlich aber nicht).
Wer aber ganz sicher gehen will, macht ein Wipe der gesamten Platte mit DBAN oder in einem Live-CD-Linux mittels dd:

Code:
dd if=/dev/zero of=/dev/sda bs=512 count=1
Vorausgesetzt die betroffene Platte ist /dev/sda (erste SCSI- oder SATA-Platte) - statt count=1 kann man auch count=1000000 schreiben um die erste Million Sektoren (= ersten 512 MB der Platte) zu wipen)

wurble 07.01.2011 22:23
okay, dann hier jetzt noch ein versuch.
VOR der bearbeitung:
********
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00000f5d

Kernel Drivers (total 127):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7D63000 \WINDOWS\system32\KDCOM.DLL
0xF7C73000 \WINDOWS\system32\BOOTVID.dll
0xF7813000 ACPI.sys
0xF7D65000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7802000 pci.sys
0xF7863000 isapnp.sys
0xF7E2B000 pciide.sys
0xF7AE3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7D67000 intelide.sys
0xF7873000 MountMgr.sys
0xF77E3000 ftdisk.sys
0xF7D69000 dmload.sys
0xF77BD000 dmio.sys
0xF7AEB000 PartMgr.sys
0xF7883000 VolSnap.sys
0xF77A5000 atapi.sys
0xF7761000 iaStor.sys
0xF7893000 disk.sys
0xF78A3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7741000 fltmgr.sys
0xF772F000 sr.sys
0xF78B3000 PxHelp20.sys
0xF7718000 KSecDD.sys
0xF768B000 Ntfs.sys
0xF765E000 NDIS.sys
0xF7644000 Mup.sys
0xF78C3000 agp440.sys
0xF7AA3000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6510000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF64FC000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7B53000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF64D8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7B5B000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF64B4000 \SystemRoot\system32\DRIVERS\EL2K_XP.sys
0xF7AB3000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7B63000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7AC3000 \SystemRoot\system32\DRIVERS\serial.sys
0xF761C000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7B6B000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF64A0000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7AD3000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7618000 \SystemRoot\system32\drivers\iviaspi.sys
0xF6BE1000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF6B81000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF4D54000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7BD3000 \SystemRoot\system32\drivers\InCDPass.sys
0xF6B61000 \SystemRoot\system32\drivers\InCDRm.sys
0xF4CC6000 \SystemRoot\system32\drivers\smwdm.sys
0xF4CA2000 \SystemRoot\system32\drivers\portcls.sys
0xF6B51000 \SystemRoot\system32\drivers\drmk.sys
0xF4C8A000 \SystemRoot\system32\drivers\aeaudio.sys
0xF7EE4000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7933000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7600000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF4C73000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7943000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7953000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7BDB000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF4C62000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7963000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7BE3000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7BEB000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF4B92000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7973000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7BF3000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7DAF000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF4B34000 \SystemRoot\system32\DRIVERS\update.sys
0xF7D17000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xEFD10000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xECDCB000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7E03000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xEC0C2000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7DEB000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB39D3000 \SystemRoot\System32\Drivers\Null.SYS
0xF7DED000 \SystemRoot\System32\Drivers\Beep.SYS
0xF0C19000 \SystemRoot\System32\drivers\vga.sys
0xF7DEF000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7DF1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB419B000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xB2F6A000 \SystemRoot\system32\drivers\InCDFs.sys
0xF0C11000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF0C09000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB4197000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB2F07000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB2EAE000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB2E86000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB2E60000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB2E3E000 \SystemRoot\System32\drivers\afd.sys
0xB49C0000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB49B0000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF0C01000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB2E13000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB2D7B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB4283000 \SystemRoot\System32\Drivers\Fips.SYS
0xB417B000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB4273000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF0BF9000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF0BF1000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB2D55000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7DFB000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB38C3000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF0BE9000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xB38BF000 \SystemRoot\system32\DRIVERS\BrScnUsb.sys
0xF0BE1000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB4203000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB2D11000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB9B28000 \SystemRoot\System32\drivers\Dxapi.sys
0xB35C1000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7F52000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB2487000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB5AC7000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB2432000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7E0B000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF7D53000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
0xB2340000 \SystemRoot\system32\DRIVERS\srv.sys
0xF7DDB000 \SystemRoot\system32\drivers\regi.sys
0xB2033000 \SystemRoot\system32\drivers\wdmaud.sys
0xB20F8000 \SystemRoot\system32\drivers\sysaudio.sys
0xB14BE000 \SystemRoot\System32\Drivers\HTTP.sys
0xB08EE000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 38):
0 System Idle Process
4 System
616 C:\WINDOWS\system32\smss.exe
668 csrss.exe
692 C:\WINDOWS\system32\winlogon.exe
736 C:\WINDOWS\system32\services.exe
748 C:\WINDOWS\system32\lsass.exe
932 C:\WINDOWS\system32\svchost.exe
1000 svchost.exe
1040 C:\WINDOWS\system32\svchost.exe
1128 svchost.exe
1156 svchost.exe
1168 C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
1292 C:\WINDOWS\system32\spoolsv.exe
1408 C:\Programme\Avira\AntiVir Desktop\sched.exe
1448 svchost.exe
1512 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1528 C:\Programme\Bonjour\mDNSResponder.exe
1540 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
1604 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
1632 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
1664 C:\Programme\Java\jre6\bin\jqs.exe
1700 C:\WINDOWS\system32\mgabg.exe
1728 C:\Programme\CDBurnerXP\NMSAccessU.exe
1744 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1824 C:\WINDOWS\system32\nvsvc32.exe
1848 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
1884 C:\Programme\CyberLink\Shared Files\RichVideo.exe
1920 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
1980 C:\WINDOWS\system32\svchost.exe
2012 wdfmgr.exe
492 alg.exe
532 wmiprvse.exe
2072 C:\WINDOWS\system32\wscntfy.exe
2140 C:\WINDOWS\explorer.exe
2208 C:\WINDOWS\system32\ctfmon.exe
2616 C:\WINDOWS\system32\wuauclt.exe
2800 C:\Dokumente und Einstellungen\arne\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200 (NTFS)

PhysicalDrive0 Model Number: IntelRaid 1 Volume, Rev: 0.1.

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: YES
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!

**********


NACH der bearbeitung:

**************
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00000f5d

Kernel Drivers (total 127):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7D63000 \WINDOWS\system32\KDCOM.DLL
0xF7C73000 \WINDOWS\system32\BOOTVID.dll
0xF7813000 ACPI.sys
0xF7D65000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7802000 pci.sys
0xF7863000 isapnp.sys
0xF7E2B000 pciide.sys
0xF7AE3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7D67000 intelide.sys
0xF7873000 MountMgr.sys
0xF77E3000 ftdisk.sys
0xF7D69000 dmload.sys
0xF77BD000 dmio.sys
0xF7AEB000 PartMgr.sys
0xF7883000 VolSnap.sys
0xF77A5000 atapi.sys
0xF7761000 iaStor.sys
0xF7893000 disk.sys
0xF78A3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7741000 fltmgr.sys
0xF772F000 sr.sys
0xF78B3000 PxHelp20.sys
0xF7718000 KSecDD.sys
0xF768B000 Ntfs.sys
0xF765E000 NDIS.sys
0xF7644000 Mup.sys
0xF78C3000 agp440.sys
0xF7A83000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF652A000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF6516000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7B73000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF64F2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7B7B000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF64CE000 \SystemRoot\system32\DRIVERS\EL2K_XP.sys
0xF7A93000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7BAB000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF6BBB000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7610000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7BEB000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF4D91000 \SystemRoot\system32\DRIVERS\parport.sys
0xF6BAB000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF760C000 \SystemRoot\system32\drivers\iviaspi.sys
0xF6B9B000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF6B8B000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF4D6E000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7BF3000 \SystemRoot\system32\drivers\InCDPass.sys
0xF6B7B000 \SystemRoot\system32\drivers\InCDRm.sys
0xF4CE0000 \SystemRoot\system32\drivers\smwdm.sys
0xF4CBC000 \SystemRoot\system32\drivers\portcls.sys
0xF6B6B000 \SystemRoot\system32\drivers\drmk.sys
0xF4CA4000 \SystemRoot\system32\drivers\aeaudio.sys
0xF7EC1000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7913000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7600000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF4C8D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7923000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7933000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7BFB000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF4C7C000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7943000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7C03000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7C0B000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF4BAC000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7953000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7C13000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7DAD000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF4B4E000 \SystemRoot\system32\DRIVERS\update.sys
0xF73E5000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xEFB51000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xEFB41000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7DFF000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB927A000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7E11000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7F8F000 \SystemRoot\System32\Drivers\Null.SYS
0xF7E13000 \SystemRoot\System32\Drivers\Beep.SYS
0xB926A000 \SystemRoot\System32\drivers\vga.sys
0xF7E15000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7E17000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xED60E000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xB911F000 \SystemRoot\system32\drivers\InCDFs.sys
0xB9262000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB925A000 \SystemRoot\System32\Drivers\Npfs.SYS
0xED60A000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB910C000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB7E2A000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB72C6000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB6873000 \SystemRoot\System32\drivers\afd.sys
0xF3E62000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF4351000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB55FA000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB4452000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB53E6000 \SystemRoot\System32\Drivers\Fips.SYS
0xB3D74000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB53D6000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB5968000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB53C6000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF0C7B000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF0C73000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB3D4E000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7DFB000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB5238000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF0C6B000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xB5234000 \SystemRoot\system32\DRIVERS\BrScnUsb.sys
0xF0C63000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB5396000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB3D0A000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB521C000 \SystemRoot\System32\drivers\Dxapi.sys
0xB4A6A000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7EC6000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB3699000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xED62A000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB366C000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB4444000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB3648000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
0xB357A000 \SystemRoot\system32\DRIVERS\srv.sys
0xB3D9A000 \SystemRoot\system32\drivers\regi.sys
0xB3385000 \SystemRoot\system32\drivers\wdmaud.sys
0xB344A000 \SystemRoot\system32\drivers\sysaudio.sys
0xB2F27000 \SystemRoot\System32\Drivers\HTTP.sys
0xB2683000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 39):
0 System Idle Process
4 System
616 C:\WINDOWS\system32\smss.exe
668 csrss.exe
692 C:\WINDOWS\system32\winlogon.exe
736 C:\WINDOWS\system32\services.exe
748 C:\WINDOWS\system32\lsass.exe
932 C:\WINDOWS\system32\svchost.exe
1000 svchost.exe
1040 C:\WINDOWS\system32\svchost.exe
1128 svchost.exe
1156 svchost.exe
1168 C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
1332 C:\WINDOWS\system32\spoolsv.exe
1396 C:\Programme\Avira\AntiVir Desktop\sched.exe
1440 svchost.exe
1496 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1508 C:\Programme\Bonjour\mDNSResponder.exe
1524 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
1588 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
1616 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
1636 C:\Programme\Java\jre6\bin\jqs.exe
1684 C:\WINDOWS\system32\mgabg.exe
1716 C:\Programme\CDBurnerXP\NMSAccessU.exe
1756 C:\WINDOWS\system32\nvsvc32.exe
1776 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1800 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
1840 C:\Programme\CyberLink\Shared Files\RichVideo.exe
1948 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
1968 C:\WINDOWS\system32\svchost.exe
1984 wdfmgr.exe
660 wmiprvse.exe
1700 C:\WINDOWS\explorer.exe
1712 C:\WINDOWS\system32\wscntfy.exe
1944 alg.exe
2148 C:\WINDOWS\system32\ctfmon.exe
2616 C:\WINDOWS\system32\wuauclt.exe
2692 C:\Programme\Avira\AntiVir Desktop\avcenter.exe
2784 C:\Dokumente und Einstellungen\arne\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200 (NTFS)

PhysicalDrive0 Model Number: IntelRaid 1 Volume, Rev: 0.1.

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

***********

ich werd einfach, wenn wir das jetzt nicht direkt hinkriegen, alle *.exe in der externen suchen und löschen. da sollte eigentlich eh keine drauf sein. muss ich auch noch nach vb und allem möglichen dateien suchen?

danke für deine hilfe!
arne

cosinus 07.01.2011 23:35
Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:
Code:
remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat
Lad danach die neu erstellte Datei c:\mbr.dat bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

wurble 08.01.2011 15:34
hier die bildschirmausgabe:


**********************
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\arne>remover.exe dump \\.\PhysicalDrive0 c:\mbr.d
at
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Dumping master boot sector of \\.\PhysicalDrive0...

00000000: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
000000a0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
000000b0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
000000c0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
000000d0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
000000e0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
000000f0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000100: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000110: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000120: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000130: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000140: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000150: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000160: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000170: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000180: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00000190: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
000001a0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
000001b0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
000001c0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
000001d0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
000001e0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
000001f0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................

512 bytes written to c:\mbr.dat

Done;
Press any key to quit...



*****************
datei ist hochgeladen über den upload-channel

wurble 08.01.2011 15:38
falls von interesse, hier die ausgabe von remover, was ich danach nochmal ausgeführt habe (also nur den scan):

***********

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Controlled by rootkit!

Boot code on some of your physical disks is hidden by a rootkit.
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]


Done;
Press any key to quit...

******************

cosinus 08.01.2011 21:49
Da ist immer noch ein Rootkit am Werkeln. Du musst unbedingt in die WHK kommen. Anders bekommt man den nicht wirklich gefixt.

Bist du nun selbst vor Ort am Rechner? Hast du noch einen zweiten Rechner, bei dem man die WHK von der Windows-CD starten kann? Dann gibt es vllt doch noch Hoffnung außer format c: :)

Edit: Mit dieser RAID-Konfig wird's schwierig. Hast du einen Treiber, den du per F6 beim Start von der Windows-XP-CD einbinden kannst?

wurble 10.01.2011 02:39
hello

bin jetzt vor ort, aber "leider" hat mein vater wohl alles richtig gemacht (-:
aber er hat natürlich nicht f6 gedrückt um in die WHK zu kommen, als er es von CD aus versucht hat. das müsste doch notwendig sein..

also ich komme nach wie vor nicht in die installierte WHK (bluescreen).

ein anderer rechner ist am start, netzwerk auch (- falls ich den für irgendwas benötigen sollte).

am problemrechner ist kein floppy. ich werd morgen eines suchen. falls das nicht klappt versuch ichs mit nem nlite inkl. dem entsprechenden raid-treiber, den ich schon gefunden hab.

greetings

wurble 10.01.2011 10:44
Moin!

also gut, mit Raid-Treibern vom eingehängten floppy komme ich problemlos in die WHK und habe auch fixmbr sowie fixboot ausführen können, alles gut.
der mbr-check im windows danach war nicht so prickelnd:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00000f1d

Kernel Drivers (total 124):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7D63000 \WINDOWS\system32\KDCOM.DLL
0xF7C73000 \WINDOWS\system32\BOOTVID.dll
0xF7813000 ACPI.sys
0xF7D65000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7802000 pci.sys
0xF7863000 isapnp.sys
0xF7E2B000 pciide.sys
0xF7AE3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7D67000 intelide.sys
0xF7873000 MountMgr.sys
0xF77E3000 ftdisk.sys
0xF7D69000 dmload.sys
0xF77BD000 dmio.sys
0xF7AEB000 PartMgr.sys
0xF7883000 VolSnap.sys
0xF77A5000 atapi.sys
0xF7761000 iaStor.sys
0xF7893000 disk.sys
0xF78A3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7741000 fltmgr.sys
0xF772F000 sr.sys
0xF78B3000 PxHelp20.sys
0xF7718000 KSecDD.sys
0xF768B000 Ntfs.sys
0xF765E000 NDIS.sys
0xF7644000 Mup.sys
0xF78C3000 agp440.sys
0xF7943000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6063000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF604F000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7B8B000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF602B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7B93000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF6007000 \SystemRoot\system32\DRIVERS\EL2K_XP.sys
0xF7953000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7B9B000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7963000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7D5F000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7BA3000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF5FF3000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7973000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7620000 \SystemRoot\system32\drivers\iviaspi.sys
0xF7983000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7993000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF5FD0000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7BAB000 \SystemRoot\system32\drivers\InCDPass.sys
0xF79B3000 \SystemRoot\system32\drivers\InCDRm.sys
0xF4F53000 \SystemRoot\system32\drivers\smwdm.sys
0xF4F2F000 \SystemRoot\system32\drivers\portcls.sys
0xF66B4000 \SystemRoot\system32\drivers\drmk.sys
0xF4F17000 \SystemRoot\system32\drivers\aeaudio.sys
0xF7F29000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF66A4000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7610000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF4F00000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF79D3000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF79E3000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7C0B000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF4EEF000 \SystemRoot\system32\DRIVERS\psched.sys
0xF79F3000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7C13000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7C1B000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF4E1F000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7A03000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7C23000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7DBB000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF4DC1000 \SystemRoot\system32\DRIVERS\update.sys
0xF6F1A000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xEFF7D000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xEFF6D000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7E0B000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xED123000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7E1F000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7EBB000 \SystemRoot\System32\Drivers\Null.SYS
0xF7E21000 \SystemRoot\System32\Drivers\Beep.SYS
0xECD6D000 \SystemRoot\System32\drivers\vga.sys
0xF7E23000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7E25000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xEBC1B000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xB72A6000 \SystemRoot\system32\drivers\InCDFs.sys
0xECD85000 \SystemRoot\System32\Drivers\Msfs.SYS
0xECD8D000 \SystemRoot\System32\Drivers\Npfs.SYS
0xEBC17000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB7293000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB723A000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB7212000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB71EC000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB71CA000 \SystemRoot\System32\drivers\afd.sys
0xEFF3D000 \SystemRoot\system32\DRIVERS\netbios.sys
0xEBC1F000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xECD75000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB719F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB712F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB9217000 \SystemRoot\System32\Drivers\Fips.SYS
0xB7109000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7E05000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB3C1A000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB3988000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF1883000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB3C06000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF103E000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB2D0F000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB1F5F000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB3333000 \SystemRoot\System32\drivers\Dxapi.sys
0xF102E000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7F61000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB16B5000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF284D000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB1660000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7D6F000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB168D000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
0xB156E000 \SystemRoot\system32\DRIVERS\srv.sys
0xF7D95000 \SystemRoot\system32\drivers\regi.sys
0xB1289000 \SystemRoot\system32\drivers\wdmaud.sys
0xF7A43000 \SystemRoot\system32\drivers\sysaudio.sys
0xB0FBB000 \SystemRoot\System32\Drivers\HTTP.sys
0xB073F000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 37):
0 System Idle Process
4 System
616 C:\WINDOWS\system32\smss.exe
668 csrss.exe
692 C:\WINDOWS\system32\winlogon.exe
736 C:\WINDOWS\system32\services.exe
748 C:\WINDOWS\system32\lsass.exe
936 C:\WINDOWS\system32\svchost.exe
1000 svchost.exe
1040 C:\WINDOWS\system32\svchost.exe
1120 svchost.exe
1160 svchost.exe
1172 C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
1284 C:\WINDOWS\system32\spoolsv.exe
1400 C:\Programme\Avira\AntiVir Desktop\sched.exe
1436 svchost.exe
1500 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1512 C:\Programme\Bonjour\mDNSResponder.exe
1528 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
1596 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
1620 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
1656 C:\Programme\Java\jre6\bin\jqs.exe
1688 C:\WINDOWS\system32\mgabg.exe
1700 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1716 C:\Programme\CDBurnerXP\NMSAccessU.exe
1776 C:\WINDOWS\system32\nvsvc32.exe
1840 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
1880 C:\Programme\CyberLink\Shared Files\RichVideo.exe
1920 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
1972 C:\WINDOWS\system32\svchost.exe
2012 wdfmgr.exe
536 alg.exe
2076 C:\WINDOWS\system32\wscntfy.exe
2152 C:\WINDOWS\explorer.exe
2228 C:\WINDOWS\system32\ctfmon.exe
2600 C:\WINDOWS\system32\wuauclt.exe
2832 C:\Dokumente und Einstellungen\arne\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200 (NTFS)

PhysicalDrive0 Model Number: IntelRaid 1 Volume, Rev: 0.1.

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:


*********
:eek:

cosinus 10.01.2011 11:00
Strange :eek:
Wiederhol fixboot und fixmbr bitte nochmal :dummguck:

wurble 10.01.2011 13:41
jo, nochens ausgeführt. erst fixmbr, dann fixboot.


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00000f5d

Kernel Drivers (total 127):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7D63000 \WINDOWS\system32\KDCOM.DLL
0xF7C73000 \WINDOWS\system32\BOOTVID.dll
0xF7813000 ACPI.sys
0xF7D65000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7802000 pci.sys
0xF7863000 isapnp.sys
0xF7E2B000 pciide.sys
0xF7AE3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7D67000 intelide.sys
0xF7873000 MountMgr.sys
0xF77E3000 ftdisk.sys
0xF7D69000 dmload.sys
0xF77BD000 dmio.sys
0xF7AEB000 PartMgr.sys
0xF7883000 VolSnap.sys
0xF77A5000 atapi.sys
0xF7761000 iaStor.sys
0xF7893000 disk.sys
0xF78A3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7741000 fltmgr.sys
0xF772F000 sr.sys
0xF78B3000 PxHelp20.sys
0xF7718000 KSecDD.sys
0xF768B000 Ntfs.sys
0xF765E000 NDIS.sys
0xF7644000 Mup.sys
0xF78C3000 agp440.sys
0xF79A3000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF621C000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF6208000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7BCB000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF61E4000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7BD3000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF61C0000 \SystemRoot\system32\DRIVERS\EL2K_XP.sys
0xF79B3000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7BDB000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF79C3000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7608000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7BE3000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF61AC000 \SystemRoot\system32\DRIVERS\parport.sys
0xF79D3000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7604000 \SystemRoot\system32\drivers\iviaspi.sys
0xF79E3000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF79F3000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6189000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7BEB000 \SystemRoot\system32\drivers\InCDPass.sys
0xF7A03000 \SystemRoot\system32\drivers\InCDRm.sys
0xF60FB000 \SystemRoot\system32\drivers\smwdm.sys
0xF60D7000 \SystemRoot\system32\drivers\portcls.sys
0xF68ED000 \SystemRoot\system32\drivers\drmk.sys
0xF60BF000 \SystemRoot\system32\drivers\aeaudio.sys
0xF7EDE000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF68DD000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7D03000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF60A8000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF68CD000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF68BD000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7BF3000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6097000 \SystemRoot\system32\DRIVERS\psched.sys
0xF68AD000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7BFB000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7C03000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF5FCE000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7A43000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7C6B000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7DC1000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF4F38000 \SystemRoot\system32\DRIVERS\update.sys
0xF7D0F000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xEBC2E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xEBC0E000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7D87000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF1944000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7E17000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB311D000 \SystemRoot\System32\Drivers\Null.SYS
0xF7E19000 \SystemRoot\System32\Drivers\Beep.SYS
0xF1934000 \SystemRoot\System32\drivers\vga.sys
0xF7E1B000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7E1D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB3C53000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xB288B000 \SystemRoot\system32\drivers\InCDFs.sys
0xF192C000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF1924000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB3C4F000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB2878000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB281F000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB27F7000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB27D1000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB27AF000 \SystemRoot\System32\drivers\afd.sys
0xB3658000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB3648000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF191C000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB2784000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB2714000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB3638000 \SystemRoot\System32\Drivers\Fips.SYS
0xB3C37000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB3628000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB326C000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB26EE000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB3264000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF7E27000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB31A2000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB325C000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xB2BA1000 \SystemRoot\system32\DRIVERS\BrScnUsb.sys
0xB3254000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB35C8000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB26AA000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB2B89000 \SystemRoot\System32\drivers\Dxapi.sys
0xB323C000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7F88000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB2422000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF4F96000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB23CD000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF72EB000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xEBCE0000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
0xB22DB000 \SystemRoot\system32\DRIVERS\srv.sys
0xBA05F000 \SystemRoot\system32\drivers\regi.sys
0xB20E6000 \SystemRoot\system32\drivers\wdmaud.sys
0xF42D2000 \SystemRoot\system32\drivers\sysaudio.sys
0xB1621000 \SystemRoot\System32\Drivers\HTTP.sys
0xB0DF5000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 39):
0 System Idle Process
4 System
616 C:\WINDOWS\system32\smss.exe
680 csrss.exe
704 C:\WINDOWS\system32\winlogon.exe
748 C:\WINDOWS\system32\services.exe
760 C:\WINDOWS\system32\lsass.exe
948 C:\WINDOWS\system32\svchost.exe
1016 svchost.exe
1112 C:\WINDOWS\system32\svchost.exe
1236 svchost.exe
1308 svchost.exe
1320 C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
1632 C:\WINDOWS\system32\spoolsv.exe
1768 C:\Programme\Avira\AntiVir Desktop\sched.exe
1812 svchost.exe
1876 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1892 C:\Programme\Bonjour\mDNSResponder.exe
1916 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
1996 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
2036 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
176 C:\Programme\Java\jre6\bin\jqs.exe
288 C:\WINDOWS\system32\mgabg.exe
420 C:\Programme\CDBurnerXP\NMSAccessU.exe
436 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
476 C:\WINDOWS\system32\nvsvc32.exe
528 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
964 C:\Programme\CyberLink\Shared Files\RichVideo.exe
1280 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
1476 C:\WINDOWS\system32\svchost.exe
1516 wdfmgr.exe
1432 wmiprvse.exe
2212 alg.exe
2440 C:\WINDOWS\explorer.exe
2476 C:\WINDOWS\system32\wscntfy.exe
2556 C:\WINDOWS\system32\ctfmon.exe
3396 C:\WINDOWS\system32\wuauclt.exe
3720 C:\Programme\Avira\AntiVir Desktop\avcenter.exe
3908 C:\Dokumente und Einstellungen\arne\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200 (NTFS)

PhysicalDrive0 Model Number: IntelRaid 1 Volume, Rev: 0.1.

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!



ist möglicherweise die interpretation des codes von mbrcheck nicht richtig? kennst du noch ne andere möglichkeit, den mbr zu checken?

cosinus 10.01.2011 14:03
Nein leider nicht :(
Entweder ein noch aktives Rootkit verändert sofort den MBR wieder wenn WIndows von der Festplatte gestartet wird, oder mbrcheck mag nicht so gern dein RAID :o

Man müsste im Grunde eine Vergleichsbasis haben, also Ergebnisse von mbrcheck von dieser Kiste, wenn auf dieser ein garantiert sauberes Windows läuft.

wurble 10.01.2011 14:18
ja das hört sich schlau an.
ich kann natürlich ne andere platte reinhängen - gibts mbr-check auch dos oder knoppix? per google hab ich grad nichts dazu gefunden.

denn die andere platte hat ja noch kein system. ich sonst n system installieren, um überhaupt mbrcheck ausführen zu können... :balla:


also ich bin mittlerweile längst bereit, alles plattzumachen. nur bringt mir das ja nichts, wenn nachher ausm mbr wieder alles draufkommt. kann man den nicht auch nullen und neu beschreiben?

cosinus 10.01.2011 14:26
Zitat:
denn die andere platte hat ja noch kein system. ich sonst n system installieren, um überhaupt mbrcheck ausführen zu können...
Hm, probier mbrcheck aus einer BartPE-Umgebung aus, BartPE sagt dir doch was oder :)
Denk an den RAID-Treiber, der muss da beim Starten der BartPE-CD auch per F6 eingebunden werden oder du baust den RAID-Treiber schon mit dem pebuilder direkt in die CD ein ;)

wurble 10.01.2011 16:52
hi!

BartPE kann fixmbr und fixboot nicht ausführen. das sind wohl reine recovery-console-kommandos.

vielleicht hiermit? das hat meine suche ergeben
hxxp://www.911cd.net/forums//index.php?showtopic=16470

vielleicht ist das auch mist..
ach scheiße, ich hab so krass kein bock mehr :headbang:
wenn ich doch einfach nur neuinstallieren könnte :heulen:

cosinus 10.01.2011 16:53
Zitat:
BartPE kann fixmbr und fixboot nicht ausführen. das sind wohl reine recovery-console-kommandos.
Ich meinte auch mbrcheck unter BartPE ;)

wurble 10.01.2011 17:40
:stirn:

also jetzt MBRcheck in bartpe ausgeführt. das logfile per diskette mitgenommen :-)

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: (build 2600)
Logical Drives Mask: 0x008001ff

Kernel Drivers (total 63):
0x80400000 \i386\system32\ntoskrnl.exe
0x80617000 \i386\system32\halaacpi.dll
0xF7D63000 \i386\system32\KDCOM.DLL
0xF7C73000 \i386\system32\BOOTVID.dll
0xF77C9000 setupdd.sys
0xF7E2B000 \i386\system32\drivers\SPDDLANG.SYS
0xF77B8000 pci.sys
0xF7789000 acpi.sys
0xF7D65000 \i386\system32\drivers\WMILIB.SYS
0xF7863000 isapnp.sys
0xF7E2C000 \i386\system32\drivers\OPRGHDLR.SYS
0xF7E2D000 pciide.sys
0xF7AE3000 \i386\system32\drivers\PCIIDEX.SYS
0xF7893000 mountmgr.sys
0xF774C000 ftdisk.sys
0xF7AEB000 partmgr.sys
0xF7AF3000 fdc.sys
0xF7D71000 dmload.sys
0xF7726000 dmio.sys
0xF7AFB000 usbehci.sys
0xF7702000 \i386\system32\drivers\USBPORT.SYS
0xF7B0B000 usbuhci.sys
0xF78C3000 usbhub.sys
0xF7D73000 \i386\system32\drivers\USBD.SYS
0xF7B13000 usbccgp.sys
0xF7C7B000 hidusb.sys
0xF7B1B000 \i386\system32\drivers\HIDPARSE.SYS
0xF78D3000 \i386\system32\drivers\HIDCLASS.SYS
0xF78E3000 serial.sys
0xF7C7F000 serenum.sys
0xF7B23000 usbstor.sys
0xF78F3000 i8042prt.sys
0xF7B2B000 kbdclass.sys
0xF7B33000 mouclass.sys
0xF7C87000 mouhid.sys
0xF76EA000 SCSIPORT.SYS
0xF76D2000 atapi.sys
0xF7649000 iaStor.sys
0xF7585000 dmboot.sys
0xF7B9B000 flpydisk.sys
0xF7983000 cdrom.sys
0xF7993000 \i386\system32\drivers\CLASSPNP.SYS
0xF79A3000 disk.sys
0xF74CE000 ksecdd.sys
0xF74AA000 fastfat.sys
0xF741D000 ntfs.sys
0xF79B3000 cdfs.sys
0xF73F0000 ndis.sys
0xF73D6000 mup.sys
0xF7D57000 \SystemRoot\system32\drivers\ramdriv.sys
0xF7B03000 \SystemRoot\System32\drivers\vga.sys
0xBBFEC000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0xF7E4B000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B53000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7B63000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7D79000 \SystemRoot\System32\Drivers\Beep.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7376000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7C03000 \SystemRoot\System32\watchdog.sys
0xBF9C3000 \SystemRoot\System32\drivers\dxg.sys
0xF7EA7000 \SystemRoot\System32\drivers\dxgthk.sys
0xBFF70000 \SystemRoot\System32\framebuf.dll
0x7C910000 \I386\SYSTEM32\NTDLL.DLL

Processes (total 9):
0 System Idle Process
4 System
204 X:\I386\SYSTEM32\CSRSS.EXE
264 X:\I386\SYSTEM32\SERVICES.EXE
276 X:\I386\SYSTEM32\LSASS.EXE
420 X:\I386\SYSTEM32\SVCHOST.EXE
500 X:\Programs\Nu2Menu\nu2menu.exe
516 X:\I386\SYSTEM32\CMD.EXE
536 A:\MBRCheck.exe

\\.\B: --> error 1
\\.\C: --> \\.\PhysicalDrive5 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive5 at offset 0x00000024`9ed8e200 (NTFS)

PhysicalDrive5 Model Number: IntelRaid 1 Volume, Rev: 0.1.

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive5 MBR Code Faked!
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!



same same

wurble 10.01.2011 17:42
und nochens der aktuelle... wohl uninteressant

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00000f5d

Kernel Drivers (total 127):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7D63000 \WINDOWS\system32\KDCOM.DLL
0xF7C73000 \WINDOWS\system32\BOOTVID.dll
0xF7813000 ACPI.sys
0xF7D65000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7802000 pci.sys
0xF7863000 isapnp.sys
0xF7E2B000 pciide.sys
0xF7AE3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7D67000 intelide.sys
0xF7873000 MountMgr.sys
0xF77E3000 ftdisk.sys
0xF7D69000 dmload.sys
0xF77BD000 dmio.sys
0xF7AEB000 PartMgr.sys
0xF7883000 VolSnap.sys
0xF77A5000 atapi.sys
0xF7761000 iaStor.sys
0xF7893000 disk.sys
0xF78A3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7741000 fltmgr.sys
0xF772F000 sr.sys
0xF78B3000 PxHelp20.sys
0xF7718000 KSecDD.sys
0xF768B000 Ntfs.sys
0xF765E000 NDIS.sys
0xF7644000 Mup.sys
0xF78C3000 agp440.sys
0xF7A03000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF623B000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF6227000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7BC3000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6203000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7BCB000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF61DF000 \SystemRoot\system32\DRIVERS\EL2K_XP.sys
0xF7A13000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7BD3000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7A23000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7610000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7BDB000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF61CB000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7A33000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF760C000 \SystemRoot\system32\drivers\iviaspi.sys
0xF7A43000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7A53000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF61A8000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7BE3000 \SystemRoot\system32\drivers\InCDPass.sys
0xF7A63000 \SystemRoot\system32\drivers\InCDRm.sys
0xF611A000 \SystemRoot\system32\drivers\smwdm.sys
0xF60F6000 \SystemRoot\system32\drivers\portcls.sys
0xF7A73000 \SystemRoot\system32\drivers\drmk.sys
0xF60DE000 \SystemRoot\system32\drivers\aeaudio.sys
0xF7EEC000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF690C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7600000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF60C7000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF68FC000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF68EC000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7BEB000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF60B6000 \SystemRoot\system32\DRIVERS\psched.sys
0xF68DC000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7BF3000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7C0B000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF4FDD000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7AC3000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7C63000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7DCB000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF4F7F000 \SystemRoot\system32\DRIVERS\update.sys
0xF70D6000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF746E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA6AC000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7D95000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA12B000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7E0F000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB1C2A000 \SystemRoot\System32\Drivers\Null.SYS
0xF7E11000 \SystemRoot\System32\Drivers\Beep.SYS
0xF10EC000 \SystemRoot\System32\drivers\vga.sys
0xF7E13000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7E15000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB2249000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xB110B000 \SystemRoot\system32\drivers\InCDFs.sys
0xF10E4000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF10DC000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB2245000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB10F8000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB109F000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB1077000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB1051000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB102F000 \SystemRoot\System32\drivers\afd.sys
0xB1F94000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB1F84000 \SystemRoot\system32\DRIVERS\netbios.sys
0xBA143000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB1004000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB0F94000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB1F74000 \SystemRoot\System32\Drivers\Fips.SYS
0xB1E1E000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB1F64000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB1C75000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB1C6D000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB0ECE000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7E1F000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB1E06000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB1C65000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xB1E02000 \SystemRoot\system32\DRIVERS\BrScnUsb.sys
0xB1C5D000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB171D000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB0E8A000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7407000 \SystemRoot\System32\drivers\Dxapi.sys
0xB14B4000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7F69000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB0C02000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF741B000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB0BAD000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7E1B000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB6A98000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
0xB0ABB000 \SystemRoot\system32\DRIVERS\srv.sys
0xF7DC3000 \SystemRoot\system32\drivers\regi.sys
0xB08C6000 \SystemRoot\system32\drivers\wdmaud.sys
0xB1F24000 \SystemRoot\system32\drivers\sysaudio.sys
0xB047F000 \SystemRoot\System32\Drivers\HTTP.sys
0xB026B000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 38):
0 System Idle Process
4 System
620 C:\WINDOWS\system32\smss.exe
672 csrss.exe
704 C:\WINDOWS\system32\winlogon.exe
748 C:\WINDOWS\system32\services.exe
760 C:\WINDOWS\system32\lsass.exe
952 C:\WINDOWS\system32\svchost.exe
1020 svchost.exe
1116 C:\WINDOWS\system32\svchost.exe
1232 svchost.exe
1312 svchost.exe
1324 C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
1652 C:\WINDOWS\system32\spoolsv.exe
1752 C:\Programme\Avira\AntiVir Desktop\sched.exe
1808 svchost.exe
1872 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1884 C:\Programme\Bonjour\mDNSResponder.exe
1908 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
2012 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
280 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
276 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
316 C:\Programme\Java\jre6\bin\jqs.exe
608 C:\WINDOWS\system32\mgabg.exe
652 C:\Programme\CDBurnerXP\NMSAccessU.exe
656 C:\WINDOWS\system32\nvsvc32.exe
980 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
1100 C:\Programme\CyberLink\Shared Files\RichVideo.exe
1160 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
1280 C:\WINDOWS\system32\svchost.exe
1292 wdfmgr.exe
2060 C:\WINDOWS\explorer.exe
2172 C:\WINDOWS\system32\ctfmon.exe
2404 alg.exe
2536 C:\WINDOWS\system32\wscntfy.exe
3120 C:\Programme\Mozilla Firefox\firefox.exe
3604 C:\WINDOWS\system32\wuauclt.exe
4076 C:\Dokumente und Einstellungen\arne\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200 (NTFS)

PhysicalDrive0 Model Number: IntelRaid 1 Volume, Rev: 0.1.

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

cosinus 10.01.2011 20:01
Versuch mal den MBR mit mbrcheck unter BartPE zu fixen. Vllt hilft es.

wurble 23.01.2011 20:22
hi!
sorry for the delay, hatte uni-zeug um die ohren und war nicht daheim.

dafür jetzt mal eine sehr verwirrende nachricht:
ich wollte also jetzt gerade endlich deinem rat folgen, und unter bartPE mbrcheck laufen lassen.
ehrlich gesagt, hatte ich den eindruck, dass du selbst nicht mehr dran glaubtest ^^
na jedenfalls starte ich grade unter bartPE den MBRcheck, und siehe da:

grünes licht!


inthalt von MBRCheck_01.23.11_19.56.39:



MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: (build 2600)
Logical Drives Mask: 0x008000ff

Kernel Drivers (total 62):
0x80400000 \i386\system32\ntoskrnl.exe
0x80617000 \i386\system32\halaacpi.dll
0xF7D63000 \i386\system32\KDCOM.DLL
0xF7C73000 \i386\system32\BOOTVID.dll
0xF77C9000 setupdd.sys
0xF7E2B000 \i386\system32\drivers\SPDDLANG.SYS
0xF77B8000 pci.sys
0xF7789000 acpi.sys
0xF7D65000 \i386\system32\drivers\WMILIB.SYS
0xF7863000 isapnp.sys
0xF7E2C000 \i386\system32\drivers\OPRGHDLR.SYS
0xF7E2D000 pciide.sys
0xF7AE3000 \i386\system32\drivers\PCIIDEX.SYS
0xF7893000 mountmgr.sys
0xF774C000 ftdisk.sys
0xF7AEB000 partmgr.sys
0xF7AF3000 fdc.sys
0xF7D71000 dmload.sys
0xF7726000 dmio.sys
0xF7AFB000 usbehci.sys
0xF7702000 \i386\system32\drivers\USBPORT.SYS
0xF7B0B000 usbuhci.sys
0xF78C3000 usbhub.sys
0xF7D73000 \i386\system32\drivers\USBD.SYS
0xF7C7B000 hidusb.sys
0xF7B1B000 \i386\system32\drivers\HIDPARSE.SYS
0xF78D3000 \i386\system32\drivers\HIDCLASS.SYS
0xF78E3000 serial.sys
0xF7C7F000 serenum.sys
0xF7B23000 usbstor.sys
0xF78F3000 i8042prt.sys
0xF7B2B000 kbdclass.sys
0xF7B33000 mouclass.sys
0xF7C87000 mouhid.sys
0xF76EA000 SCSIPORT.SYS
0xF76D2000 atapi.sys
0xF75B7000 iaStor.sys
0xF74F3000 dmboot.sys
0xF7B9B000 flpydisk.sys
0xF7983000 cdrom.sys
0xF7993000 \i386\system32\drivers\CLASSPNP.SYS
0xF79A3000 disk.sys
0xF743C000 ksecdd.sys
0xF7418000 fastfat.sys
0xF738B000 ntfs.sys
0xF79B3000 cdfs.sys
0xF735E000 ndis.sys
0xF7344000 mup.sys
0xF7D5B000 \SystemRoot\system32\drivers\ramdriv.sys
0xF7B03000 \SystemRoot\System32\drivers\vga.sys
0xBBFEC000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0xF7E41000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B4B000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7B5B000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7D7D000 \SystemRoot\System32\Drivers\Beep.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF72E0000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BE3000 \SystemRoot\System32\watchdog.sys
0xBF9C3000 \SystemRoot\System32\drivers\dxg.sys
0xF7E9A000 \SystemRoot\System32\drivers\dxgthk.sys
0xBFF70000 \SystemRoot\System32\framebuf.dll
0x7C910000 \I386\SYSTEM32\NTDLL.DLL

Processes (total 9):
0 System Idle Process
4 System
216 X:\I386\SYSTEM32\CSRSS.EXE
276 X:\I386\SYSTEM32\SERVICES.EXE
288 X:\I386\SYSTEM32\LSASS.EXE
440 X:\I386\SYSTEM32\SVCHOST.EXE
516 X:\Programs\Nu2Menu\nu2menu.exe
524 X:\I386\SYSTEM32\CMD.EXE
552 A:\MBRCheck.exe

\\.\B: --> error 1
\\.\C: --> \\.\PhysicalDrive4 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive4 at offset 0x00000024`9ed8e200 (NTFS)

PhysicalDrive4 Model Number: †e

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive4 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!


um dann schließlich jetzt den mbrcheck nochmal unter windows auszuführen, und mir wieder rotes licht anzuschauen:


MBRCheck_01.23.11_20.19.43.txt


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00000f1d

Kernel Drivers (total 124):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7D63000 \WINDOWS\system32\KDCOM.DLL
0xF7C73000 \WINDOWS\system32\BOOTVID.dll
0xF7813000 ACPI.sys
0xF7D65000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7802000 pci.sys
0xF7863000 isapnp.sys
0xF7E2B000 pciide.sys
0xF7AE3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7D67000 intelide.sys
0xF7873000 MountMgr.sys
0xF77E3000 ftdisk.sys
0xF7D69000 dmload.sys
0xF77BD000 dmio.sys
0xF7AEB000 PartMgr.sys
0xF7883000 VolSnap.sys
0xF77A5000 atapi.sys
0xF7761000 iaStor.sys
0xF7893000 disk.sys
0xF78A3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7741000 fltmgr.sys
0xF772F000 sr.sys
0xF78B3000 PxHelp20.sys
0xF7718000 KSecDD.sys
0xF768B000 Ntfs.sys
0xF765E000 NDIS.sys
0xF7644000 Mup.sys
0xF78C3000 agp440.sys
0xF7983000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF65D3000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF65BF000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7BB3000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF659B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7BBB000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF6577000 \SystemRoot\system32\DRIVERS\EL2K_XP.sys
0xF7993000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7BC3000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF79A3000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7D5B000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7BCB000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF6563000 \SystemRoot\system32\DRIVERS\parport.sys
0xF79B3000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7D5F000 \SystemRoot\system32\drivers\iviaspi.sys
0xF79C3000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF79D3000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6540000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7BD3000 \SystemRoot\system32\drivers\InCDPass.sys
0xF79E3000 \SystemRoot\system32\drivers\InCDRm.sys
0xF64B2000 \SystemRoot\system32\drivers\smwdm.sys
0xF648E000 \SystemRoot\system32\drivers\portcls.sys
0xF79F3000 \SystemRoot\system32\drivers\drmk.sys
0xF6476000 \SystemRoot\system32\drivers\aeaudio.sys
0xF7F27000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7A03000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7618000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF645F000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF6CA4000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF6C94000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7BDB000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF644E000 \SystemRoot\system32\DRIVERS\psched.sys
0xF6C84000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7BE3000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7BFB000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF5361000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7A53000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7C53000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7DBB000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF5303000 \SystemRoot\system32\DRIVERS\update.sys
0xF7D0B000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xED3A8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xED338000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7D73000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF1C5A000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7DFF000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB3AF6000 \SystemRoot\System32\Drivers\Null.SYS
0xF7E01000 \SystemRoot\System32\Drivers\Beep.SYS
0xF1C4A000 \SystemRoot\System32\drivers\vga.sys
0xF7E03000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7E05000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB43C2000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xB2736000 \SystemRoot\system32\drivers\InCDFs.sys
0xF1C42000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF1C3A000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB43BE000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB26D3000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB267A000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB2654000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB262C000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB40F6000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB260A000 \SystemRoot\System32\drivers\afd.sys
0xB40E6000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF12E5000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB25DF000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB256F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB40D6000 \SystemRoot\System32\Drivers\Fips.SYS
0xB2549000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7E09000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB3B79000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB33AA000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF12DD000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB2D98000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF12D5000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB338A000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB24DD000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB2D8C000 \SystemRoot\System32\drivers\Dxapi.sys
0xF12CD000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7F74000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB1C69000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF7D4F000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB1C14000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB28C8000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB1C10000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
0xB1B22000 \SystemRoot\system32\DRIVERS\srv.sys
0xF7DA3000 \SystemRoot\system32\drivers\regi.sys
0xB1725000 \SystemRoot\system32\drivers\wdmaud.sys
0xB1912000 \SystemRoot\system32\drivers\sysaudio.sys
0xB12C8000 \SystemRoot\System32\Drivers\HTTP.sys
0xB118C000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 37):
0 System Idle Process
4 System
608 C:\WINDOWS\system32\smss.exe
672 csrss.exe
696 C:\WINDOWS\system32\winlogon.exe
748 C:\WINDOWS\system32\services.exe
760 C:\WINDOWS\system32\lsass.exe
952 C:\WINDOWS\system32\svchost.exe
1020 svchost.exe
1116 C:\WINDOWS\system32\svchost.exe
1236 svchost.exe
1312 svchost.exe
1324 C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
1696 C:\WINDOWS\system32\spoolsv.exe
1772 C:\Programme\Avira\AntiVir Desktop\sched.exe
1820 svchost.exe
1876 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1888 C:\Programme\Bonjour\mDNSResponder.exe
1920 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
1980 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
128 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
184 C:\Programme\Java\jre6\bin\jqs.exe
276 C:\WINDOWS\system32\mgabg.exe
420 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
524 C:\Programme\CDBurnerXP\NMSAccessU.exe
660 C:\WINDOWS\system32\nvsvc32.exe
904 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
1216 C:\Programme\CyberLink\Shared Files\RichVideo.exe
1416 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
1500 C:\WINDOWS\system32\svchost.exe
1540 wdfmgr.exe
1412 alg.exe
3124 C:\WINDOWS\explorer.exe
3204 C:\WINDOWS\system32\ctfmon.exe
3720 C:\Programme\Mozilla Firefox\firefox.exe
264 C:\WINDOWS\system32\notepad.exe
356 C:\Dokumente und Einstellungen\arne\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200 (NTFS)

PhysicalDrive0 Model Number: IntelRaid 1 Volume, Rev: 0.1.

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

wat machemer denn nu? also ich bin ja laie, was das virengedöns angeht - aber kann es nicht auch sein dass der mbr doch sauber ist?
danke nochmal für deine hilfe!
schöne grüße!
arne

wurble 24.01.2011 00:48
hmmmm ich überleg gerade:
die physical-drives sind ja unterschiedlich bei den beiden checks! der mbrcheck-log der unter bartPE erstellt wurde ist bestimmt der von dem in die rams geladenen bartPE-system, und gar nicht von den festplatten. :crazy:

gibts da noch n trick wie ich den scanne? oder falls nicht, wie oben gesagt: kann es auch sein dass sich das ding irrt?

bitte bitte, sag mir doch einfach dass ich neuinstallieren soll, und dass ich das $*-%-Thema dann vergessen kann :headbang:


grüße & gute n8

cosinus 24.01.2011 10:23
Was sagt der Bootkit Remover unter BartPE?
Irgendwie hab ich den Eindruck, dass MBRCheck mit diesem RAID-Volume nicht zurechtkommt :balla:

wurble 24.01.2011 10:25
okay... ich nehme an du meinst wieder irgendein ding von eurer seite :-)

wohl das hier
http://www.trojaner-board.de/86574-bootkit-remover.html

wenn nicht, schrei. ich geh jetzt runter und probier das ^^

wurble 24.01.2011 11:02
das hat leider nicht funktioniert.
unter bartPE schreibt der remover etwas von
DeviceIOcontrol oder so, er kann nicht auf laufwerk x arbeiten - die cd.
ich hab den remover auch von diskette, von b: (virtuelles laufwerk im ram) und auf der eigentlichen platte gestartet. mit gleichem ergebnis.

cosinus 24.01.2011 11:32
Hm, mit dem MBR komm ich so nicht weiter.
Vllt hat es tatsächlich nur ein Anzeigeproblem, unter BartPE wird ja ein sauberer MBR gemeldet. Ist die Frage ob du diese Unsicherheit akzeptierst...

Wie ist es denn jetzt so um den Rechner bestellt? Noch andere Auffälligkeiten oder Probleme?

wurble 24.01.2011 12:01
also ehrlich gesagt: der rechner läuft, seit wir hier angefangen haben, stabil.
vorher war er langsam, das ist vorbei.
also abgesehen von dem mbr-ding: kann ich rausfinden, ob noch trojaner drauf sind? damit man wieder ebay, online-banking, paypal und son zeug machen kann ohne sich fürchten zu müssen.

neu aufsetzen? oder einfach noch programme drüber laufen lassen?

cosinus 24.01.2011 12:13
Wenn du nicht formatierst und neu aufsetzt, musst du natürlich immer ein Restrisiko in Kauf nehmen.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

wurble 24.01.2011 16:14
ok. der superantimalware-test kommt später.
hier erstmal mbam:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5587

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.01.2011 14:22:25
mbam-log-2011-01-24 (14-22-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 642762
Laufzeit: 1 Stunde(n), 9 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\admin\Desktop\ACAD2008\CRACK\autocad-2008-keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\dokumente und einstellungen\Family\csrss.exe.vir (Trojan.Palevo.Gen.A) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f0ef7c58-2114-490e-93a4-97fae8c95595}\RP431\A0108417.exe (Trojan.Palevo.Gen.A) -> Quarantined and deleted successfully.



nach dem reboot:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5587

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.01.2011 15:38:04
mbam-log-2011-01-24 (15-38-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 642851
Laufzeit: 1 Stunde(n), 8 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 24.01.2011 16:25
Zitat:
c:\dokumente und einstellungen\admin\Desktop\ACAD2008\CRACK\autocad-2008-keygen.exe
Sry aber du musst formatieren :stirn:

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

wurble 24.01.2011 16:30
wow...
das find ich jetzt mal krass.
ich hab das beim ersten mal schon gefunden, und meinem vater erklärt dass das nicht geht mit keygens etc. (er wusste eh nicht, woher das kommt). dann hab ich das gelöscht. und jetzt ist der ordner wieder da. der ganze rest vom programm ist futsch, aber der teil liegt wieder da.

okay. du meinst neuaufsetzten wegen "illegaler software" oder weils unrettbar ist? mir ist beides recht .-) hauptsache der spuk hat ein ende.

cosinus 24.01.2011 19:49
Wegen der illegalen Software darf ich nicht mehr weiterhelfen. Crack-/Keygens werden hier nicht unterstützt.

wurble 29.01.2011 23:14
Hallo!

Also ich hab jetzt alles plattgemacht. Es ist nur legale Software auf dem PC. Ich hab alle Daten von meinem Paps auf ne externe Platte gespeichert- die sind natürlich voller Viren. Aber der PC ist sauber.
Und siehe da: Der MBR ist ebenfalls sauber :-)

Also kurz zum System:
WinXp Pro,
Updates gemacht,
Sophos Endpoint Security and Control 9. Das krieg ich als Mitarbeiter in der Uni. gefällt mir ganz gut ehrlich gesagt!

Dann hab ich die externe angeschlossen und Sophos drüberlaufenlassen. Außerdem hab ich mir (meinem benutzer im system) vollständigen Zugriff auf die Platte gegeben. Was ich an illegaler Software darauf gefunden habe, hab ich gelöscht.

Mein Vater drängt natürlich darauf, seine Daten wiederzubekommen, aber nach einigen Scans mit Sophos bleibt ein Ding über:
in (altesSystem)\dokumente und einstellungen\admin\csrss.exe
wird jedesmal Mal/Palevo-A gefunden.

den kann ich zwar löschen ("bereinigen"), aber nach nem reboot ist er wieder da. das scannen der platte dauert stunden, sie ist etwa 700 gb groß und per usb ist das jedesmal ein nachmittag.

was soll ich tun?
heute nacht lass ich mal mbam drüberlaufen und poste das hier morgen rein. das dauerte früher für den ganzen rechner (500gb) immer 1,5 stunden, bei dem ding hier war er eben nach 2 stunden noch ganz am anfang. vielleicht reicht ja eine nacht.

sonst nochwas gutes anzuraten?

erstmal danke!
arne

wurble 30.01.2011 10:57
hier der mbam-log



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5636

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.01.2011 10:24:54
mbam-log-2011-01-30 (10-24-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|J:\|K:\|)
Durchsuchte Objekte: 615195
Laufzeit: 2 Stunde(n), 43 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{8a6c8851-a93a-4487-a8f1-b5ee70f367b7}\RP8\A0004591.exe (Trojan.Palevo.Gen.A) -> Quarantined and deleted successfully.
j:\sicherungfestplatte-2011-1-1\laufwerk c\dokumente und einstellungen\admin\csrss.exe (Trojan.Palevo.Gen.A) -> Quarantined and deleted successfully.
j:\system volume information\_restore{234d5355-e8d2-477e-85f4-cb3b21d014e1}\RP80\A0032465.exe (Trojan.Palevo.Gen.A) -> Quarantined and deleted successfully.
j:\system volume information\_restore{8a6c8851-a93a-4487-a8f1-b5ee70f367b7}\RP10\A0007286.exe (Trojan.Palevo.Gen.A) -> Quarantined and deleted successfully.
k:\TWINS\jutroivece.exe (Trojan.Palevo.Gen.A) -> Quarantined and deleted successfully.

cosinus 30.01.2011 13:52
Ich würde nur das allerwichtigste der ext. Platte temp. auf die interne Platte kopieren, danach die externe formatieren. Danach kann alles wichtige wieder auf die frisch formatierte ext. Platte landen.

wurble 30.01.2011 14:16
hi

die beschränkung auf "das allerwichtigste" löst aber das problem nicht. meinst du, wenn ich in den daten
daten1
daten2
daten3
daten4
daten5
daten6
daten7
daten8

nur in daten8 nen virus finde, kann ich einfach daten1-7 kopieren? das wundert mich.

außerdem: typischerweise findet er viren in dem ordner _system_volume_information
das sind doch so systemdateien der platte. wenn ich davon kopiere, wird doch immer darauf zugegriffen, oder?

cosinus 30.01.2011 20:05
Zitat:
die beschränkung auf "das allerwichtigste" löst aber das problem nicht.
Wie kommst du auf das dünne Brett? Du kopierst nur die wichtigsten nicht ausführbaren Dateien auf die interne Platte, danach wird die externe Platte formatiert. Wo soll es da nicht das Problem, ich kann deinen Gedankengang nicht nachvollziehen :balla:

wurble 30.01.2011 23:35
okayy...
solange ich keine exen kopiere passiert nix? was ist denn noch alles "ausführbar" ? vb und son zeug dachte ich, und es gibt doch auch pdf viren.
aber ich lass mich auch gerne aufklären (-:
ansonsten ist das ja ne gute nachricht!
vor allem, die in endlicher zeit sicher zu lösen ist :crazy:

cosinus 31.01.2011 11:08
Kopier nur eigene Dateien, Dokumente, Bilder, Musik, Videos usw - KEINE Programme, Spiele und Setups von Programmen/Spielen!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131