Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   online banking dank gozi gesperrt (https://www.trojaner-board.de/94444-online-banking-dank-gozi-gesperrt.html)

cosinus 07.01.2011 13:31
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

ninas 07.01.2011 14:24
hier nun zunächst die logfiles von GMER und Osam:

GMER Logfile:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-07 14:07:04
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MHT2080AT rev.0022
Running: 22bjzs8c.exe; Driver: C:\DOKUME~1\xx\LOKALE~1\Temp\awtdypod.sys


---- System - GMER 1.0.15 ----

SSDT  F8F39A96                                        ZwCreateKey
SSDT  F8F39A8C                                        ZwCreateThread
SSDT  F8F39A9B                                        ZwDeleteKey
SSDT  F8F39AA5                                        ZwDeleteValueKey
SSDT  F8F39AAA                                        ZwLoadKey
SSDT  F8F39A78                                        ZwOpenProcess
SSDT  F8F39A7D                                        ZwOpenThread
SSDT  F8F39AB4                                        ZwReplaceKey
SSDT  F8F39AAF                                        ZwRestoreKey
SSDT  F8F39AA0                                        ZwSetValueKey
SSDT  F8F39A87                                        ZwTerminateProcess

Code  \??\C:\DOKUME~1\xx\LOKALE~1\Temp\catchme.sys  pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

init  C:\WINDOWS\system32\drivers\o2mmb.sys          entry point in "init" section [0xF78F3320]
?    C:\DOKUME~1\xx\LOKALE~1\Temp\catchme.sys      Das System kann die angegebene Datei nicht finden. !
?    C:\WINDOWS\system32\Drivers\PROCEXP113.SYS      Das System kann die angegebene Datei nicht finden. !

---- Disk sectors - GMER 1.0.15 ----

Disk  \Device\Harddisk0\DR0                          sector 10: copy of MBR

---- EOF - GMER 1.0.15 ----
--- --- ---

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:20:50 on 07.01.2011

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"slcpappl.cpl" - ? - C:\WINDOWS\system32\slcpappl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~2\avconfig.cpl  (File not found)
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\System32\drivers\aspi32.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"awtdypod" (awtdypod) - ? - C:\DOKUME~1\jani\LOKALE~1\Temp\awtdypod.sys  (Hidden registry entry, rootkit activity | File not found)
"catchme" (catchme) - ? - C:\DOKUME~1\jani\LOKALE~1\Temp\catchme.sys  (File not found)
"cdrbsvsd" (cdrbsvsd) - "B.H.A Corporation" - C:\WINDOWS\system32\drivers\cdrbsvsd.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
"FBAPI" (FBAPI) - ? - C:\WINDOWS\system32\drivers\FBAPI.sys  (File found, but it contains no detailed information)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"mbr" (mbr) - ? - C:\cofi.exe\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PhnxVcd" (PhnxVcd) - "Phoenix Technologies Ltd." - C:\WINDOWS\System32\Drivers\PhnxVcd.sys
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"RITCPT" (RITCPT) - ? - C:\WINDOWS\system32\drivers\RITCPT.sys  (File found, but it contains no detailed information)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"VVBackd5" (VVBackd5) - ? - C:\WINDOWS\system32\drivers\VVBackd5.sys  (File found, but it contains no detailed information)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{16148659-720A-457d-850B-2DBD87BB129D} "AudibleShlExt Class" - "Audible, Inc." - C:\Programme\Audible\Bin\AudibleExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{7D4D6379-F301-4311-BEBA-E26EB0561882} "{7D4D6379-F301-4311-BEBA-E26EB0561882}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{16148659-720A-457d-850B-2DBD87BB129D} "AudibleShlExt Class" - "Audible, Inc." - C:\Programme\Audible\Bin\AudibleExt.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{B28C18DB-6816-4F31-9630-397683E3C2C3} "Filzip Shell Extension" - ? -  (File not found | COM-object registry key not found)
{73B24247-042E-4EF5-ADC2-42F62E6FD654} "ICQ Lite Shell Extension" - ? -  (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -  (File not found | COM-object registry key not found)
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler" - ? -  (File not found | COM-object registry key not found)
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler" - ? -  (File not found | COM-object registry key not found)
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "Shell Extensions for RealOne Player" - ? -  (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Ask Toolbar" - "Ask.com" - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
<binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
<binary data> "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
{9CB65206-89C4-402c-BA80-02D8C59F9B1D} "{9CB65206-89C4-402c-BA80-02D8C59F9B1D}" - "Ask.com" - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -  (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\dajava.cab
{6E5E167B-1566-4316-B27F-0DDAB3484CF7} "Image Uploader Control" - "Aurigma, Inc." - C:\WINDOWS\Downloaded Program Files\ImageUploader4.ocx / hxxp://static.ak.studivz.net/photouploader/ImageUploader4.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -  (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
{96512D57-F751-4088-A689-5778FCC77F7A} "Photo Uploader Control" - "StudiVZ" - C:\WINDOWS\Downloaded Program Files\PhotoUploader.ocx / hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab
{9EBA6AB8-DB90-48F7-A0C1-EC3DAE86220D} "PTV xVectorMap Plugin 3.0" - "PTV Planung Transport Verkehr AG Karlsruhe" - C:\WINDOWS\Downloaded Program Files\PTVxVectorMap30.dll / hxxp://xvectormap.ptv.de/xvectormap/PTVxVectorMap30.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{609D670F-B735-4da7-AC6D-F3BD358E325E} "Citavi Picker" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
"ICQ Lite" - ? - C:\Programme\ICQLite\ICQLite.exe  (File not found)
"ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{FE063DB9-4EC0-403e-8DD8-394C54984B2C} "Ask Toolbar" - "Ask.com" - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
<binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{9CB65201-89C4-402c-BA80-02D8C59F9B1D} "Ask Search Assistant BHO" - "Ask.com" - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
{FE063DB1-4EC0-403e-8DD8-394C54984B2C} "Ask Toolbar BHO" - "Ask.com" - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
{609D670F-B735-4da7-AC6D-F3BD358E325E} "Asz.Citavi.IEPicker.IEPickerButton" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} "EpsonToolBandKicker Class" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{3049C3E9-B461-4BC5-8870-4C09146192CA} "{3049C3E9-B461-4BC5-8870-4C09146192CA}" - ? -  (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"VPN Client.lnk" - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\vpngui.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\jani\Startmenü\Programme\Autostart\desktop.ini

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
"Google Updater Service" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

ninas 07.01.2011 14:30
und nun das MBR file:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 138):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF8CF5000 \WINDOWS\system32\KDCOM.DLL
0xF8C05000 \WINDOWS\system32\BOOTVID.dll
0xF87A5000 ACPI.sys
0xF8CF7000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF8794000 pci.sys
0xF87F5000 isapnp.sys
0xF8805000 ohci1394.sys
0xF8815000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF8C09000 compbatt.sys
0xF8C0D000 \WINDOWS\System32\DRIVERS\BATTC.SYS
0xF8DBD000 pciide.sys
0xF8A75000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF8CF9000 intelide.sys
0xF8776000 pcmcia.sys
0xF8825000 MountMgr.sys
0xF8757000 ftdisk.sys
0xF8C11000 ACPIEC.sys
0xF8DBE000 \WINDOWS\System32\DRIVERS\OPRGHDLR.SYS
0xF8A7D000 PartMgr.sys
0xF8835000 VolSnap.sys
0xF873F000 atapi.sys
0xF8845000 disk.sys
0xF8855000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF871F000 fltmgr.sys
0xF870D000 sr.sys
0xF8865000 PxHelp20.sys
0xF86F6000 KSecDD.sys
0xF86E3000 WudfPf.sys
0xF8656000 Ntfs.sys
0xF8629000 NDIS.sys
0xF85FE000 VVBackd5.sys
0xF8875000 RITCPT.sys
0xF8C15000 RecAgent.sys
0xF85E4000 Mup.sys
0xF8885000 agp440.sys
0xF7A97000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xF796C000 \SystemRoot\System32\DRIVERS\ati2mtag.sys
0xF7958000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF8BB5000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xF7934000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF8BBD000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF7A87000 \SystemRoot\System32\DRIVERS\nic1394.sys
0xF7922000 \SystemRoot\System32\DRIVERS\Rtlnicxp.sys
0xF8D17000 \SystemRoot\system32\drivers\MbxStby.sys
0xF78F3000 \SystemRoot\system32\drivers\o2mmb.sys
0xF76D5000 \SystemRoot\system32\DRIVERS\w29n51.sys
0xF7A77000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF8BC5000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF8BCD000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF85A8000 \SystemRoot\System32\Drivers\cdrbsvsd.SYS
0xF7A67000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF85A4000 \SystemRoot\system32\drivers\pfc.sys
0xF7A57000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF7A47000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF76B2000 \SystemRoot\System32\DRIVERS\ks.sys
0xF8BD5000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF768B000 \SystemRoot\system32\drivers\vinyl97.sys
0xF7667000 \SystemRoot\system32\drivers\portcls.sys
0xF88C5000 \SystemRoot\system32\drivers\drmk.sys
0xF7604000 \SystemRoot\System32\DRIVERS\slntamr.sys
0xF859C000 \SystemRoot\System32\DRIVERS\SlWdmSup.sys
0xF75C6000 \SystemRoot\System32\DRIVERS\Mtlmnt5.sys
0xF8BDD000 \SystemRoot\System32\Drivers\Modem.SYS
0xF7B07000 \SystemRoot\System32\DRIVERS\CmBatt.sys
0xF75A8000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xF8EA3000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF88D5000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF7B03000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF7591000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF88E5000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF88F5000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF8BE5000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF7580000 \SystemRoot\System32\DRIVERS\psched.sys
0xF8905000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF8BED000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF8BF5000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF8915000 \SystemRoot\System32\Drivers\PhnxVcd.sys
0xF8945000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF8D25000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF7522000 \SystemRoot\System32\DRIVERS\update.sys
0xF7AFB000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF7AE7000 \SystemRoot\system32\drivers\MODEMCSA.sys
0xF8965000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF8995000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF8D27000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF8D29000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8EF0000 \SystemRoot\System32\Drivers\Null.SYS
0xF8D2B000 \SystemRoot\System32\Drivers\Beep.SYS
0xF8AA5000 \SystemRoot\System32\drivers\vga.sys
0xF8D2D000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8D2F000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF8AAD000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF8AB5000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF8CB5000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xB27A5000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xB274C000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xB2724000 \SystemRoot\System32\DRIVERS\netbt.sys
0xB2702000 \SystemRoot\System32\drivers\afd.sys
0xF89A5000 \SystemRoot\System32\DRIVERS\netbios.sys
0xF8ABD000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB26D7000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xB2667000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF89C5000 \SystemRoot\System32\Drivers\Fips.SYS
0xB2641000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xF89D5000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF89E5000 \SystemRoot\System32\DRIVERS\arp1394.sys
0xB2625000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF8D35000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF8A55000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB25E5000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8D4D000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF750A000 \SystemRoot\System32\drivers\Dxapi.sys
0xF8B0D000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF8E19000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF04A000 \SystemRoot\System32\ati2cqag.dll
0xBF084000 \SystemRoot\System32\ati3duag.dll
0xBF2A7000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB24B9000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB2469000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xB2144000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF8B65000 \SystemRoot\System32\drivers\aspi32.sys
0xB203C000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
0xF8D5B000 \??\C:\WINDOWS\system32\drivers\FBAPI.sys
0xB2027000 \SystemRoot\system32\drivers\wdmaud.sys
0xB21A1000 \SystemRoot\system32\drivers\sysaudio.sys
0xB1EB9000 \SystemRoot\System32\DRIVERS\srv.sys
0xB18D0000 \SystemRoot\System32\Drivers\HTTP.sys
0xF8B95000 \??\C:\DOKUME~1\jani\LOKALE~1\Temp\catchme.sys
0xF8D57000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0xB1728000 \??\C:\DOKUME~1\jani\LOKALE~1\Temp\awtdypod.sys
0xB16D5000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 29):
0 System Idle Process
4 System
1020 C:\WINDOWS\system32\smss.exe
1068 csrss.exe
1092 C:\WINDOWS\system32\winlogon.exe
1140 C:\WINDOWS\system32\services.exe
1152 C:\WINDOWS\system32\lsass.exe
1316 C:\WINDOWS\system32\svchost.exe
1396 svchost.exe
1540 C:\WINDOWS\system32\svchost.exe
1576 C:\WINDOWS\system32\svchost.exe
1752 svchost.exe
188 svchost.exe
500 C:\WINDOWS\system32\spoolsv.exe
548 C:\Programme\Avira\AntiVir Desktop\sched.exe
600 svchost.exe
680 C:\Programme\Avira\AntiVir Desktop\avguard.exe
704 C:\Programme\Bonjour\mDNSResponder.exe
736 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
788 C:\Programme\Java\jre6\bin\jqs.exe
972 C:\WINDOWS\system32\svchost.exe
320 C:\WINDOWS\system32\wbem\wmiapsrv.exe
1812 C:\WINDOWS\system32\ctfmon.exe
1744 alg.exe
1392 C:\WINDOWS\explorer.exe
1232 C:\Programme\ICQ7.2\ICQ.exe
2476 C:\Programme\Mozilla Firefox\firefox.exe
996 C:\Programme\Mozilla Firefox\plugin-container.exe
2660 C:\Dokumente und Einstellungen\jani\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: FUJITSUMHT2080AT, Rev: 0022

Size Device Name MBR Status
--------------------------------------------
62 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 558F8645DD0D1FCB996F0CBD38A88265D3B8A7BA


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

ich bin da mal auf Exit gegangen!

cosinus 07.01.2011 15:13
Zitat:
62 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 558F8645DD0D1FCB996F0CBD38A88265D3B8A7BA
Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

ninas 07.01.2011 15:31
nein, da ist nur Win xp drauf.
bevor ich jetzt neustarte- hätte ich an irgendeiner Stelle den Bootkit Remover schon benutzt haben sollen? oder habe ich das sogar? weiß grade nicht, was ich im anschluss an den neustart nochmal nehmen soll und welches log dann zu
posten..?

danke,
Nina

cosinus 07.01.2011 15:54
Sry - meine mbrcheck und nicht Bootkit Remover :o

ninas 07.01.2011 16:27
komme nur bis zur auswahl, danach wurde mir sowas wie hdltk komprimiert oder sowas angezeigt und konnte nur mit strg alt und entf neustarten...
einfach nochmal probieren?

cosinus 07.01.2011 19:39
Zitat:
sowas wie hdltk komprimiert
Sry aber das versteh ich garnicht v.a. nicht im Zusammenhang mit der WHK...
Probier nochmal die WHK (recovery console) zu starten und tippsel die Befehle ein

ninas 10.01.2011 11:41
ich hab das nochmal probiert, mehrmals, wenn ich die WHk auswähle und auf Enter drücke kommt da "NTLDR ist komprimiert, Neustart mit STRG Alt und Entf"

was kann ich ändern??

danke

cosinus 10.01.2011 12:07
Hast du eine normale WinXP-CD da? Wenn nicht besorg dir die bitte


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:09 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19