Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden (https://www.trojaner-board.de/94692-neuinstallation-tr-cryptet-xpack-gen2-rootkit-viren-schaedlinge-immer-noch-vorhanden.html)

MoC-Man 12.01.2011 20:49
Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden
 
Hallo an Alle,

Ich habe ein Großes Problem und hoffe, dass ich hier ein wenig hilfe finde. Ich selbst bin mit meinem Latein am ende.

Ich hatten auf Meinem Acer Laptop (WinXP SP3, Avira) Mehere Schädlinge.
Den TR/Cryptet.Xpack.gen2 nen Rootkit.tdl3 und nen TDSS.tdl4

Ich hatte diese mit Hilfe von Kaspersky TDSS.Killer und einem anderen Tool dessen Namen ich nicht mehr weiss gelöscht.
Um auf Nummer sicher zu gehen habe ich heute mein System mit der Acer Wiederherstellungskonsole auf der Gesperrten Partition wiederhergestellt.

Einige Dateien die mir aber während der suche nachen den anderen Schädlingen aufgefallen sind, sind aber wieder vorhanden, das Internet is nach wie vor lahm, und ich muss manche Seiten teilweise 30 eingeben um darauf zugreifen zu können.

Es wurde damals auch ein Trojaner in C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lyloel\rici.exe gefunden

Die Dateien die mir nach dem Neuaufsetzen direkt aufgefallen sind sind :

In C:\Windows\Temp\CLML_AGENT_LOG1.txt
C:\Windows\Temp\sqlite_MuhQ9l6YU9gkTdj

wobei sqlite_ mehrfach vorkommt mit verschiedenen zufälligen endungen

Diese Dateien kann ich nicht verschieben und Löschen, beim Löschen, entsteht sofort eine neue sqlite Datei mit anderer Endung, und es wird ein Ordner erstellt, der sofort von Avirs als TR/Cryptet.Xpack.gen2 erkannt wird.
Diese waren vor dem Formatieren auch schon vorhanden und machten Ärger.

Was mir gerade noch Einfällt, ich habe mein System mit Antivir, NAV, Malwarebytes und OTL gesannt und keine der Scanner hat damals was gefunden.

Leider habe ich keine Logs mehr, da ich davon ausgeganen bin, dass dieses Problem nach dem Neuaufsetzen verschwunden ist.

Dem ist aber wohl nicht so.


Mein Anliegen wäre, mit Fachkundiger Hilfe das System erst mal Entwurmen um es dann komplett neuaufzusetzen.


Soweit ist das alles was mir gerade einfällt. Sollte ich was vergessen haben, bitte nicht schlagen, ich doch neu hier ;-)


Ich mache gerade einen Systemscan mit Mbam und OTL, die Logs hänge ich an, sobald sie fertig sind.


Und jetz Bendanke ich micht schon mal im Vorraus für jeden Fetzen Hilfe den ich kriegen kann.


Schönen Abend noch.


Edit:

Habe jetze noch ein HijackThis Log angehängt, ich hoffe damit schon ein wenig arbeit vorneweggenommen zu haben.

Ich werden jetz noch andere Scanner drüberlaufenlassen. Die logs Speichern und auf das Fixen vorerst noch verzichten.

cosinus 12.01.2011 21:23
Hallo,

ich habs schon ein paar mal erlebt, dass durch das Recovern keiner neuer MBR geschrieben wurde. Wenn der auch infiziert wurde bringt das Recovern nicht viel.

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

MoC-Man 12.01.2011 21:35
Hallo Cosinus und Danke für die Hilfe

Ich habe das Programm ausgeführt. Er Meldet einen Infizierten MBR

Ich habe 3 Möglichkeiten, welche soll ich nehmen?

1 Dump the Infectet File
2 Restore
3 Exit


Bei 2 Fragt er nach einer nummer des Physikalischen Datenträgers, was ist das?

Mfg

MoC-Man 12.01.2011 21:37
Sorry für Doppelpost.

Es braucht, ca 20 anläufe bis ich meine Posts schicken kann, manche kommen scheinbar doch durch obwohl es mir einen abbruch anzeigt.

Also ich hab jetz folgendes ausgeführt. MBR.check
- Auf fix - die 2 Partitionen meiner Platte - und dort die 1 für XP

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Home Edition
Windows Information:                Service Pack 2 (build 2600)
Logical Drives Mask:                0x0000003c

Kernel Drivers (total 195):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E3000 \WINDOWS\system32\hal.dll
  0xBADA8000 \WINDOWS\system32\KDCOM.DLL
  0xBACB8000 \WINDOWS\system32\BOOTVID.dll
  0xBA778000 ACPI.sys
  0xBADAA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xBA767000 pci.sys
  0xBA8A8000 isapnp.sys
  0xBA8B8000 ohci1394.sys
  0xBA8C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xBACBC000 compbatt.sys
  0xBACC0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
  0xBAE70000 pciide.sys
  0xBAB28000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBADAC000 aliide.sys
  0xBADAE000 intelide.sys
  0xBADB0000 toside.sys
  0xBADB2000 viaide.sys
  0xBADB4000 cmdide.sys
  0xBA749000 pcmcia.sys
  0xBA8D8000 MountMgr.sys
  0xBA72A000 ftdisk.sys
  0xBACC4000 ACPIEC.sys
  0xBAE71000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xBAB30000 PartMgr.sys
  0xBACC8000 UBHelper.sys
  0xBA8E8000 VolSnap.sys
  0xBACCC000 cpqarray.sys
  0xBA712000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
  0xBA6FA000 atapi.sys
  0xBACD0000 aha154x.sys
  0xBAB38000 sparrow.sys
  0xBACD4000 symc810.sys
  0xBA8F8000 aic78xx.sys
  0xBACD8000 dac960nt.sys
  0xBA908000 ql10wnt.sys
  0xBACDC000 amsint.sys
  0xBAB40000 asc.sys
  0xBACE0000 asc3550.sys
  0xBAB48000 mraid35x.sys
  0xBAB50000 i2omp.sys
  0xBACE4000 ini910u.sys
  0xBA918000 ql1240.sys
  0xBA928000 aic78u2.sys
  0xBAB58000 symc8xx.sys
  0xBAB60000 sym_hi.sys
  0xBAB68000 sym_u3.sys
  0xBAB70000 ABP480N5.SYS
  0xBAB78000 asc3350p.sys
  0xBADB6000 cd20xrnt.sys
  0xBA938000 ultra.sys
  0xBA6E1000 adpu160m.sys
  0xBAB80000 dpti2o.sys
  0xBA948000 ql1080.sys
  0xBA958000 ql1280.sys
  0xBA968000 ql12160.sys
  0xBAB88000 perc2.sys
  0xBADB8000 perc2hib.sys
  0xBAB90000 hpn.sys
  0xBACE8000 cbidf2k.sys
  0xBA6B5000 dac2w2k.sys
  0xBA978000 disk.sys
  0xBA988000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xBA696000 fltMgr.sys
  0xBA684000 sr.sys
  0xBA661000 Fastfat.sys
  0xBA64A000 KSecDD.sys
  0xBA61D000 NDIS.sys
  0xBA998000 sisagp.sys
  0xBA9A8000 viaagp.sys
  0xBA602000 Mup.sys
  0xBA9B8000 agp440.sys
  0xBA9C8000 alim1541.sys
  0xBA9D8000 amdagp.sys
  0xBA9E8000 agpCPQ.sys
  0xBAA08000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xBAD6C000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0xBA16D000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xBA159000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xBA134000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xBA111000 \SystemRoot\system32\DRIVERS\b57xp32.sys
  0xB9FB4000 \SystemRoot\system32\DRIVERS\w39n51.sys
  0xBAC00000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB9F91000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBAC08000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xBAA18000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xBAA28000 \SystemRoot\system32\DRIVERS\EMS7SK.sys
  0xB9F80000 \SystemRoot\system32\DRIVERS\sdbus.sys
  0xB9F6D000 \SystemRoot\system32\DRIVERS\ESM7SK.sys
  0xBAA38000 \SystemRoot\system32\DRIVERS\ESD7SK.sys
  0xBAD80000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xBAA48000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBAC10000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
  0xBAC18000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xB9F16000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xBADBA000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xBAC20000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBAA58000 \SystemRoot\system32\DRIVERS\smcirda.sys
  0xBAD84000 \SystemRoot\system32\DRIVERS\irenum.sys
  0xBAA68000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBAA78000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBAA88000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB9E53000 \SystemRoot\system32\DRIVERS\ks.sys
  0xBADBC000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
  0xB9D87000 \SystemRoot\system32\DRIVERS\btkrnl.sys
  0xBAF29000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBAC28000 \SystemRoot\system32\DRIVERS\rasirda.sys
  0xBAC30000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xBAA98000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xBAD94000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB9D70000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBAAA8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBAAB8000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xB9D5F000 \SystemRoot\system32\DRIVERS\psched.sys
  0xBAAC8000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBAC38000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBAC40000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xBAAD8000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBADBE000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB9D2B000 \SystemRoot\system32\DRIVERS\update.sys
  0xBAD9C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB9CDD000 \SystemRoot\system32\drivers\btaudio.sys
  0xB9CB9000 \SystemRoot\system32\drivers\portcls.sys
  0xBAAE8000 \SystemRoot\system32\drivers\drmk.sys
  0xBAAF8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB7883000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xB784D000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
  0xB7759000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
  0xB76A8000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
  0xBAC48000 \SystemRoot\System32\Drivers\Modem.SYS
  0xBAB18000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBADC4000 \SystemRoot\System32\Drivers\i2omgmt.SYS
  0xBADC6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBAF8F000 \SystemRoot\System32\Drivers\Null.SYS
  0xBADC8000 \SystemRoot\System32\Drivers\Beep.SYS
  0xBAC68000 \SystemRoot\System32\drivers\vga.sys
  0xBADCA000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBADCC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xBAC70000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xBAC78000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xBA512000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB755D000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB7505000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB74E4000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB74A9000 \SystemRoot\System32\Drivers\SYMTDI.SYS
  0xB7487000 \??\C:\Programme\Symantec\SYMEVENT.SYS
  0xB745F000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB743D000 \SystemRoot\System32\drivers\afd.sys
  0xBA5D2000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB73DB000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys
  0xBA502000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xBA5C2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xBAC90000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xB73AF000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB9F69000 \??\C:\WINDOWS\system32\drivers\OsaFsLoc.sys
  0xB7340000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xBA5B2000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB728B000 \SystemRoot\System32\Drivers\Ntfs.SYS
  0xBA592000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xBA582000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xBAC98000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xB9CB5000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xBA572000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB7273000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xBADCE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xBACA0000 \SystemRoot\System32\watchdog.sys
  0xB9CAD000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBF9C1000 \SystemRoot\System32\drivers\dxg.sys
  0xBAF0B000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF9D3000 \SystemRoot\System32\nv4_disp.dll
  0xBACA8000 \SystemRoot\system32\DRIVERS\AegisP.sys
  0xB5EE4000 \SystemRoot\system32\DRIVERS\irda.sys
  0xB6022000 \SystemRoot\system32\DRIVERS\s24trans.sys
  0xB600A000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB59DF000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB59A2000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB5BBC000 \SystemRoot\system32\drivers\sysaudio.sys
  0xBACB0000 \??\C:\WINDOWS\system32\drivers\btserial.sys
  0xBAFA1000 \??\C:\WINDOWS\system32\drivers\epm-psd.sys
  0xB575D000 \??\C:\WINDOWS\system32\drivers\epm-shd.sys
  0xB5642000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB5977000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
  0xBAE62000 \??\C:\WINDOWS\system32\drivers\osaio.sys
  0xBAF5A000 \??\C:\WINDOWS\system32\drivers\osanbm.sys
  0xB5246000 \??\C:\Programme\Norton AntiVirus\SAVRTPEL.SYS
  0xBABD0000 \??\C:\WINDOWS\system32\drivers\symlcbrd.sys
  0xB5166000 \SystemRoot\System32\Drivers\SYMREDRV.SYS
  0xB4BFC000 \??\C:\Programme\Norton AntiVirus\SAVRT.SYS
  0xB4B5A000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20051012.006\NAVEX15.SYS
  0xB4B48000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20051012.006\NAVENG.SYS
  0xB4B07000 \SystemRoot\System32\Drivers\HTTP.sys
  0xBAE0E000 \SystemRoot\System32\Drivers\NdisFilt.sys
  0xB4ACE000 \??\C:\Acer\Empowering Technology\eRecovery\int15.sys
  0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 55):
      0 System Idle Process
      4 System
    436 C:\WINDOWS\System32\smss.exe
    856 csrss.exe
    884 C:\WINDOWS\System32\winlogon.exe
    928 C:\WINDOWS\System32\services.exe
    940 C:\WINDOWS\System32\lsass.exe
    1084 C:\WINDOWS\System32\svchost.exe
    1168 svchost.exe
    1208 C:\WINDOWS\System32\svchost.exe
    1276 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
    1300 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
    1408 svchost.exe
    1476 svchost.exe
    1860 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    1996 C:\WINDOWS\Explorer.EXE
    2020 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    256 C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    668 C:\WINDOWS\System32\spoolsv.exe
    780 C:\Acer\Empowering Technology\admServ.exe
    1396 svchost.exe
    1508 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    988 C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
    1704 C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
    1592 C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
    1756 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    1828 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    1920 C:\Programme\Acer\Acer Arcade\PCMService.exe
    168 C:\Programme\Norton AntiVirus\navapsvc.exe
    512 C:\Programme\QuickTime\qttask.exe
    516 C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    544 C:\Acer\Empowering Technology\admtray.exe
    580 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    816 C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
    860 C:\WINDOWS\System32\nvsvc32.exe
    1124 C:\WINDOWS\RTHDCPL.EXE
    1404 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
    1492 C:\Programme\CyberLink\Shared Files\RichVideo.exe
    1744 C:\WINDOWS\System32\RUNDLL32.EXE
    1884 C:\WINDOWS\System32\RUNDLL32.EXE
    1916 C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    2168 C:\Programme\Launch Manager\LManager.exe
    2220 C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    2288 C:\WINDOWS\System32\ctfmon.exe
    2348 C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
    2352 C:\Programme\Messenger\msmsgs.exe
    2500 C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
    3204 wmiprvse.exe
    3252 C:\WINDOWS\System32\wbem\unsecapp.exe
    3332 wmiprvse.exe
    3364 C:\Dokumente und Einstellungen\MoC\Lokale Einstellungen\Temp\RtkBtMnt.exe
    3980 alg.exe
    3656 C:\WINDOWS\System32\wuauclt.exe
    3580 C:\Programme\Mozilla Firefox\firefox.exe
    3420 C:\Dokumente und Einstellungen\MoC\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00  (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000e`85adbe00  (NTFS)
\\.\F: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: TOSHIBAMK1234GSX, Rev: AH001A 
PhysicalDrive1 Model Number: ToshibaStorE HDD, Rev:

      Size  Device Name          MBR Status
  --------------------------------------------
    111 GB  \\.\PhysicalDrive0  Unknown MBR code
            SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F
    465 GB  \\.\PhysicalDrive1  MBR Code Faked!
            SHA1: EE090A7417B01D4EA752D4996173A8477699C9C6


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
 [ 0] Default (Windows XP)
 [ 1] Windows XP
 [ 2] Windows Server 2003
 [ 3] Windows Vista
 [ 4] Windows 2008
 [ 5] Windows 7
 [-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code?  Type 'YES' and hit ENTER to continue: yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!

Edit:

So ich hab als letzte Aktion für heute den MBRCheck zur sicherheit nochmal aufgeführt und siehe da, der Infizierte MBR ist immer noch da und lässt sich nicht ändern ( Ich habe MBRCheck 5x ausgeführt, jeweils mit Neustart, jedesmal meldet das Programm

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F
465 GB \\.\PhysicalDrive1 MBR Code Faked!
SHA1: EE090A7417B01D4EA752D4996173A8477699C9C6)

was auch nicht stimmen kann, da ich nur eine 120GB Hdd verbaut habe.


Danke und Gute Nacht allerseits!

cosinus 12.01.2011 22:38
Zitat:
was auch nicht stimmen kann, da ich nur eine 120GB Hdd verbaut habe.
111 GB Angabe vom Betriebssystem entsprechend 120 GB der Festplattenhersteller, Grund sind die verschiedenen Einheiten. => http://de.wikipedia.org/wiki/Byte#Be...rpr.C3.A4fixen
Die andere Platte könnte eine 500GB ext. Platte sein.

Um den MBR zu fixen:
Am besten du installierst dir die Wiederherstellungskonsole. Wenn du eine Windows-XP-CD hast, kannst du diese davon installieren oder direkt die WHK von der CD starten.
Wenn du keine CD hast, können wir mit Combofix die WHK installieren:



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

MoC-Man 13.01.2011 07:32
Guten Morgen.

Hab heute früh erstmal den MBRCheck nochmal laufen lassen. Diesesmal fand er keinen Infekt mehr, sondern nur noch einen ungültigen MBR. Log kann ich posten, falls erwünscht.

Dannach hab ich CCleaner ausgeführt.

Und Combofix ( Jetzt wo du den Namen sagtes, ist mir wieder eingefallen, dass dieses Programm vor der Neuinstallation, das Programm war das die Schadsoftware als einziges gefunden hatte. Leider aber scheinbar nicht entfernen konnte.)

Hier der Log

Code:
ComboFix 11-01-12.03 - MoC 13.01.2011  7:11.1.2 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.3070.2541 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\MoC\Desktop\CoFi.exe
AV: Norton AntiVirus 2006 *Disabled/Updated* {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Worm Protection *Enabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\WinPCap
c:\programme\WinPCap\daemon_mgm.exe
c:\programme\WinPCap\npf_mgm.exe
c:\programme\WinPCap\rpcapd.exe
c:\windows\fix.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


(((((((((((((((((((((((  Dateien erstellt von 2010-12-13 bis 2011-01-13  ))))))))))))))))))))))))))))))
.

2011-01-13 06:06 . 2011-01-13 06:06    --------    d-----w-    c:\programme\CCleaner
2011-01-13 06:02 . 2011-01-13 06:02    --------    d-----w-    c:\windows\ServicePackFiles
2011-01-13 06:01 . 2011-01-13 06:01    --------    d-----w-    c:\programme\MSXML 4.0
2011-01-13 06:00 . 2011-01-13 06:00    --------    d-----w-    c:\windows\LastGood.Tmp
2011-01-12 21:28 . 2010-02-12 10:03    293376    ------w-    c:\windows\system32\browserchoice.exe
2011-01-12 21:21 . 2011-01-12 21:21    --------    d-----w-    C:\FOUND.000
2011-01-12 20:01 . 2011-01-12 20:02    --------    d-----w-    c:\programme\Trend Micro
2011-01-12 18:46 . 2010-12-20 17:09    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-12 18:46 . 2011-01-12 18:46    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-12 18:46 . 2011-01-12 18:46    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2011-01-12 18:46 . 2010-12-20 17:08    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2011-01-12 18:20 . 2004-08-04 04:00    26496    ----a-w-    c:\windows\system32\dllcache\usbstor.sys
2011-01-12 18:20 . 2011-01-12 18:20    --------    d-----w-    c:\dokumente und einstellungen\NetworkService\Startmenü
2011-01-12 16:10 . 2011-01-12 16:10    --------    d-----w-    c:\windows\Acer
2011-01-12 16:08 . 2005-09-26 15:40    258048    ----a-w-    c:\windows\system32\Uninstall_eRecovery.exe
2011-01-12 16:05 . 2006-01-23 11:41    78208    ----a-w-    c:\windows\system32\drivers\epm-shd.sys
2011-01-12 16:05 . 2006-01-23 11:41    4096    ----a-w-    c:\windows\system32\drivers\epm-psd.sys
2011-01-12 16:04 . 2011-01-12 16:04    21275    ----a-w-    c:\windows\system32\drivers\AegisP.sys
2011-01-12 16:04 . 2011-01-12 16:04    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2011-01-12 16:04 . 2006-04-10 09:09    61440    ----a-w-    c:\windows\system32\acerGina.dll
2011-01-12 16:03 . 2011-01-12 16:04    --------    d-----w-    c:\programme\Launch Manager
2011-01-12 16:03 . 2004-12-09 11:04    5120    ----a-w-    c:\windows\system32\FILTRCOI.DLL
2011-01-12 16:03 . 2004-12-08 13:10    16896    ----a-w-    c:\windows\system32\drivers\DKbFltr.SYS
2011-01-12 16:03 . 2005-10-03 16:21    225350    ----a-w-    c:\windows\system32\Epm-Po.dll
2011-01-12 16:00 . 2004-08-04 04:00    100992    ----a-w-    c:\windows\system32\drivers\bthpan.sys
2011-01-12 16:00 . 2004-08-04 04:00    100992    ----a-w-    c:\windows\system32\dllcache\bthpan.sys
2011-01-12 16:00 . 2004-08-04 04:00    59648    ----a-w-    c:\windows\system32\drivers\rfcomm.sys
2011-01-12 16:00 . 2004-08-04 04:00    59648    ----a-w-    c:\windows\system32\dllcache\rfcomm.sys
2011-01-12 16:00 . 2004-08-04 04:00    17024    ----a-w-    c:\windows\system32\drivers\BthEnum.sys
2011-01-12 16:00 . 2004-08-04 04:00    17024    ----a-w-    c:\windows\system32\dllcache\bthenum.sys
2011-01-12 16:00 . 2011-01-12 16:00    --------    d-----w-    c:\programme\WIDCOMM
2011-01-12 16:00 . 2004-08-04 04:00    275200    ----a-w-    c:\windows\system32\drivers\bthport.sys
2011-01-12 16:00 . 2004-08-04 04:00    275200    ----a-w-    c:\windows\system32\dllcache\bthport.sys
2011-01-12 16:00 . 2004-08-04 04:00    18944    ----a-w-    c:\windows\system32\drivers\BTHUSB.SYS
2011-01-12 16:00 . 2004-08-04 04:00    18944    ----a-w-    c:\windows\system32\dllcache\bthusb.sys
2011-01-12 15:58 . 2006-01-05 01:17    180224    ----a-w-    c:\windows\system32\NVUNINST.EXE
2011-01-12 15:58 . 2003-11-10 17:14    729088    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2011-01-12 15:58 . 2003-11-10 17:13    69715    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2011-01-12 15:58 . 2003-11-10 17:12    266240    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2011-01-12 15:58 . 2003-11-10 17:12    192512    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2011-01-12 15:58 . 2003-11-10 17:11    5632    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2011-01-12 15:58 . 2011-01-12 15:58    188548    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll
2011-01-12 15:58 . 2011-01-12 15:58    311428    ----a-w-    c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2011-01-12 15:57 . 2011-01-12 15:57    --------    d-----w-    c:\dokumente und einstellungen\MoC
2011-01-12 15:56 . 2006-06-28 01:16    --------    d-----w-    c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2011-01-12 15:56 . 2005-02-15 02:01    --------    d-----w-    c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Acer Arcade
2011-01-12 15:56 . 2005-02-14 11:26    --------    d-----w-    c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
2011-01-12 15:47 . 2001-08-18 03:22    12288    ----a-w-    c:\windows\system32\drivers\mouhid.sys
2011-01-12 15:47 . 2004-08-04 04:00    9600    ----a-w-    c:\windows\system32\drivers\hidusb.sys
2011-01-12 15:47 . 2011-01-12 15:47    --------    d-----w-    c:\windows\nview
2011-01-12 15:47 . 2006-01-04 08:28    180224    ----a-w-    c:\windows\system32\nvudisp.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-12 16:45 . 2004-06-25 00:13    70    ----a-w-    c:\windows\HotFix.bat
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-07-20 729177]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PCMService"="c:\programme\Acer\Acer Arcade\PCMService.exe" [2005-12-13 151552]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-02-15 98304]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-09-17 52848]
"SSC_UserPrompt"="c:\programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-11-09 218240]
"ntiMUI"="c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-19 15797248]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-04 7393280]
"nwiz"="nwiz.exe" [2006-01-04 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-01-04 86016]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 110592]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-01-17 344064]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-01-16 3080192]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-03-28 593920]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Acer\\Acer Arcade\\PCMService.exe"=

.
Inhalt des "geplante Tasks" Ordners

2011-01-13 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2005-09-22 17:23]

2011-01-13 c:\windows\Tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - MoC.job
- c:\progra~1\NORTON~1\Navw32.exe [2005-10-21 16:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aceradvantage.com/stdreg
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\MoC\Anwendungsdaten\Mozilla\Firefox\Profiles\yoem30kq.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-13 07:17
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2324)
c:\windows\system32\MSNChatHook.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\MSVCR71.dll
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\acer\Empowering Technology\admServ.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\rundll32.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Norton AntiVirus\navapsvc.exe
c:\programme\Norton AntiVirus\IWP\NPFMntor.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\dokume~1\MoC\LOKALE~1\Temp\RtkBtMnt.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-13  07:18:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-13 06:18

Vor Suchlauf: 11 Verzeichnis(se), 45.891.321.856 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 45.766.082.560 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - B1277F70BB83AD2A365583D4E3523643

MfG MoC-Man

cosinus 13.01.2011 10:50
Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck nochmals aus und poste das neue Log.

MoC-Man 13.01.2011 12:55
Mahlzeit,


So habe alles Ausgeführt. MBRCheck scheint nun gut zu sein.

Log

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:           
Windows Version:        Windows XP Home Edition
Windows Information:        Service Pack 2 (build 2600)
Logical Drives Mask:        0x0000001c

Kernel Drivers (total 201):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E3000 \WINDOWS\system32\hal.dll
  0xBADA8000 \WINDOWS\system32\KDCOM.DLL
  0xBACB8000 \WINDOWS\system32\BOOTVID.dll
  0xBA778000 ACPI.sys
  0xBADAA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xBA767000 pci.sys
  0xBA8A8000 isapnp.sys
  0xBA8B8000 ohci1394.sys
  0xBA8C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xBACBC000 compbatt.sys
  0xBACC0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
  0xBAE70000 pciide.sys
  0xBAB28000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBADAC000 aliide.sys
  0xBADAE000 intelide.sys
  0xBADB0000 toside.sys
  0xBADB2000 viaide.sys
  0xBADB4000 cmdide.sys
  0xBA749000 pcmcia.sys
  0xBA8D8000 MountMgr.sys
  0xBA72A000 ftdisk.sys
  0xBACC4000 ACPIEC.sys
  0xBAE71000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xBAB30000 PartMgr.sys
  0xBACC8000 UBHelper.sys
  0xBA8E8000 VolSnap.sys
  0xBACCC000 cpqarray.sys
  0xBA712000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
  0xBA6FA000 atapi.sys
  0xBACD0000 aha154x.sys
  0xBAB38000 sparrow.sys
  0xBACD4000 symc810.sys
  0xBA8F8000 aic78xx.sys
  0xBACD8000 dac960nt.sys
  0xBA908000 ql10wnt.sys
  0xBACDC000 amsint.sys
  0xBAB40000 asc.sys
  0xBACE0000 asc3550.sys
  0xBAB48000 mraid35x.sys
  0xBAB50000 i2omp.sys
  0xBACE4000 ini910u.sys
  0xBA918000 ql1240.sys
  0xBA928000 aic78u2.sys
  0xBAB58000 symc8xx.sys
  0xBAB60000 sym_hi.sys
  0xBAB68000 sym_u3.sys
  0xBAB70000 ABP480N5.SYS
  0xBAB78000 asc3350p.sys
  0xBADB6000 cd20xrnt.sys
  0xBA938000 ultra.sys
  0xBA6E1000 adpu160m.sys
  0xBAB80000 dpti2o.sys
  0xBA948000 ql1080.sys
  0xBA958000 ql1280.sys
  0xBA968000 ql12160.sys
  0xBAB88000 perc2.sys
  0xBADB8000 perc2hib.sys
  0xBAB90000 hpn.sys
  0xBACE8000 cbidf2k.sys
  0xBA6B5000 dac2w2k.sys
  0xBA978000 disk.sys
  0xBA988000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xBA696000 fltMgr.sys
  0xBA684000 sr.sys
  0xBA661000 Fastfat.sys
  0xBA64A000 KSecDD.sys
  0xBA61D000 NDIS.sys
  0xBA998000 sisagp.sys
  0xBA9A8000 viaagp.sys
  0xBA602000 Mup.sys
  0xBA9B8000 agp440.sys
  0xBA9C8000 alim1541.sys
  0xBA9D8000 amdagp.sys
  0xBA9E8000 agpCPQ.sys
  0xBAA08000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xBAD6C000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0xBA16D000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xBA159000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xBA134000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xBA111000 \SystemRoot\system32\DRIVERS\b57xp32.sys
  0xB9FB4000 \SystemRoot\system32\DRIVERS\w39n51.sys
  0xBAC00000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB9F91000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBAC08000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xBAA18000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xBAA28000 \SystemRoot\system32\DRIVERS\EMS7SK.sys
  0xB9F80000 \SystemRoot\system32\DRIVERS\sdbus.sys
  0xB9F6D000 \SystemRoot\system32\DRIVERS\ESM7SK.sys
  0xBAA38000 \SystemRoot\system32\DRIVERS\ESD7SK.sys
  0xBAD80000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xBAA48000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBAC10000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
  0xBAC18000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xB9F16000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xBADBA000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xBAC20000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBAA58000 \SystemRoot\system32\DRIVERS\smcirda.sys
  0xBAD84000 \SystemRoot\system32\DRIVERS\irenum.sys
  0xBAA68000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBAA78000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBAA88000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB9E53000 \SystemRoot\system32\DRIVERS\ks.sys
  0xBADBC000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
  0xB9D87000 \SystemRoot\system32\DRIVERS\btkrnl.sys
  0xBAF29000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBAC28000 \SystemRoot\system32\DRIVERS\rasirda.sys
  0xBAC30000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xBAA98000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xBAD94000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB9D70000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBAAA8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBAAB8000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xB9D5F000 \SystemRoot\system32\DRIVERS\psched.sys
  0xBAAC8000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBAC38000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBAC40000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xBAAD8000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBADBE000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB9D2B000 \SystemRoot\system32\DRIVERS\update.sys
  0xBAD9C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB9CDD000 \SystemRoot\system32\drivers\btaudio.sys
  0xB9CB9000 \SystemRoot\system32\drivers\portcls.sys
  0xBAAE8000 \SystemRoot\system32\drivers\drmk.sys
  0xBAAF8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB7883000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xB784D000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
  0xB7759000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
  0xB76A8000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
  0xBAC48000 \SystemRoot\System32\Drivers\Modem.SYS
  0xBAB18000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBADC4000 \SystemRoot\System32\Drivers\i2omgmt.SYS
  0xBADC6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBAF8F000 \SystemRoot\System32\Drivers\Null.SYS
  0xBADC8000 \SystemRoot\System32\Drivers\Beep.SYS
  0xBAC68000 \SystemRoot\System32\drivers\vga.sys
  0xBADCA000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBADCC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xBAC70000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xBAC78000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xBA512000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB755D000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB7505000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB74CC000 \SystemRoot\System32\Drivers\SYMTDI.SYS
  0xB74AB000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xBA5D2000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB7486000 \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
  0xBA5C2000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xB745E000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB743C000 \SystemRoot\System32\drivers\afd.sys
  0xBA5B2000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB73DA000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys
  0xBA4FA000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xBA5A2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xBAC90000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xB73C6000 \??\C:\Programme\Norton AntiVirus\SAVRTPEL.SYS
  0xB739A000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xBA4F2000 \??\C:\WINDOWS\system32\drivers\OsaFsLoc.sys
  0xB9F69000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xB732B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xBA592000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB72CD000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
  0xB72B0000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
  0xB71FB000 \SystemRoot\System32\Drivers\Ntfs.SYS
  0xBA572000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB71E3000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xBADCE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xBACA0000 \SystemRoot\System32\watchdog.sys
  0xB9CA9000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBF9C1000 \SystemRoot\System32\drivers\dxg.sys
  0xBAF13000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF9D3000 \SystemRoot\System32\nv4_disp.dll
  0xBACA8000 \SystemRoot\system32\DRIVERS\AegisP.sys
  0xB6654000 \SystemRoot\system32\DRIVERS\irda.sys
  0xB678A000 \SystemRoot\system32\DRIVERS\s24trans.sys
  0xB676E000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xBA562000 \SystemRoot\System32\Drivers\SYMREDRV.SYS
  0xBACB0000 \SystemRoot\System32\Drivers\SYMDNS.SYS
  0xB5C14000 \SystemRoot\System32\Drivers\SYMNDIS.SYS
  0xB5ABE000 \SystemRoot\System32\Drivers\SYMFW.SYS
  0xB5C04000 \SystemRoot\System32\Drivers\SYMIDS.SYS
  0xB5A77000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\IDS-DI~1\20110108.001\symidsco.sys
  0xB5882000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB5A57000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB5676000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xBABC0000 \??\C:\WINDOWS\system32\drivers\btserial.sys
  0xBAF36000 \??\C:\WINDOWS\system32\drivers\epm-psd.sys
  0xB5572000 \??\C:\WINDOWS\system32\drivers\epm-shd.sys
  0xB54F7000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB5662000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
  0xBAE08000 \??\C:\WINDOWS\system32\drivers\osaio.sys
  0xBAFB6000 \??\C:\WINDOWS\system32\drivers\osanbm.sys
  0xBABC8000 \??\C:\WINDOWS\system32\drivers\symlcbrd.sys
  0xB5017000 \??\C:\Programme\Norton AntiVirus\SAVRT.SYS
  0xB4ECC000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20110112.002\NavEx15.Sys
  0xB4EB8000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20110112.002\NAVENG.Sys
  0xB4975000 \SystemRoot\System32\Drivers\HTTP.sys
  0xBAE0E000 \SystemRoot\System32\Drivers\NdisFilt.sys
  0xB4914000 \??\C:\Acer\Empowering Technology\eRecovery\int15.sys
  0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 56):
      0 System Idle Process
      4 System
    840 C:\WINDOWS\System32\smss.exe
    900 csrss.exe
    924 C:\WINDOWS\System32\winlogon.exe
    972 C:\WINDOWS\System32\services.exe
    984 C:\WINDOWS\System32\lsass.exe
    1136 C:\WINDOWS\System32\svchost.exe
    1220 svchost.exe
    1364 C:\WINDOWS\System32\svchost.exe
    1432 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
    1464 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
    1584 svchost.exe
    1724 svchost.exe
    1996 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    1308 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    1320 C:\WINDOWS\Explorer.EXE
    1824 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    1844 C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    1876 C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    148 C:\WINDOWS\System32\spoolsv.exe
    556 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
    580 C:\Acer\Empowering Technology\admServ.exe
    608 svchost.exe
    672 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    700 C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
    692 C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
    752 C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
    764 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    1552 C:\Programme\Norton AntiVirus\navapsvc.exe
    1764 C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
    188 C:\WINDOWS\System32\nvsvc32.exe
    1204 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
    448 C:\Programme\CyberLink\Shared Files\RichVideo.exe
    324 C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
    2280 wmiprvse.exe
    2372 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    2480 C:\Programme\Acer\Acer Arcade\PCMService.exe
    2588 C:\Programme\QuickTime\qttask.exe
    2620 C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    2628 C:\Acer\Empowering Technology\admtray.exe
    2640 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    2696 C:\WINDOWS\RTHDCPL.EXE
    2744 C:\WINDOWS\System32\rundll32.exe
    2756 C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    2776 C:\Programme\Launch Manager\LManager.exe
    2796 C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    2852 C:\Programme\Messenger\msmsgs.exe
    2920 C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
    3224 C:\WINDOWS\System32\wbem\unsecapp.exe
    3296 wmiprvse.exe
    3480 C:\Dokumente und Einstellungen\MoC\Lokale Einstellungen\Temp\RtkBtMnt.exe
    3996 C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    356 alg.exe
    2512 C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
    3428 C:\Dokumente und Einstellungen\MoC\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00  (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000e`85adbe00  (NTFS)

PhysicalDrive0 Model Number: TOSHIBAMK1234GSX, Rev: AH001A 

      Size  Device Name          MBR Status
  --------------------------------------------
    111 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!
Ist jetzt eine Gefahrlose Neuinstallation möglich? Oder sollen wir vorher noch was checken?

Is es besser das ganze System mit CD neu aufzusetzen, habe jetzt bei Acer die RecoveryCDs angefordert, da ich der Partition nicht mehr so wirklich vertraue.


Beste Grüße

cosinus 13.01.2011 13:06
Mit CDs ist schon ein bisschen sicherer.
Achte darauf, dass die Systempartition NTFS bekommt, die ist jetzt bei dir nur FAT32.

MoC-Man 13.01.2011 14:12
Also, ein rießen Dankeschön, von meiner Seite. Ich hoffe das wars jetzt.

Die CDs bekomm ich leider erst im laufe der nächsten Tage, ich werde das System vorher einfach mal von der Partition neuinstallieren und mal kucken wies ausschaut.

Das System hatte ich schon mal auf NTFS, keine Ahnung warum das wieder FAT ist, aber ist ja zum glück kein Thema das zu ändern.


Was mich aber immer noch beunruhigt sind diese 2 Dateien, die ich in C:\Windows\Temp habe.

s.O.

Ich habe ein wenig gegooglt und habe gelesen, dies sollten Dateinbank archive sein, die Trojaner dazu verwenden Passwörter und LoginID zu Sammeln und an den Hacker zu schicken, das macht mich ein wenig nervös.
Firefox und McAffe sollen diese Dateien zwar ebenfalls nutzen, ich hatte aber nach dem Neuaufsetzen keines von beiden Installiert.

mfg MoC-Man

cosinus 13.01.2011 15:09
Zitat:
Das System hatte ich schon mal auf NTFS, keine Ahnung warum das wieder FAT ist, aber ist ja zum glück kein Thema das zu ändern.
Systempartition nach NTFS konvertieren:
1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!

MoC-Man 17.01.2011 15:03
Hallo,

ich bins nochmal. Leider nicht von meinem PC aus.

Wollte nur schnell eine kleine ergänzung schreiben,für alle die das gleiche problem haben und vielleicht hier mitlesen.

Wenn man den MBR und die ersten Bootsektoren fixt, kann man nicht mehr von der versteckten sicherheits partition booten um Windows neu aufzusetzen, da diese Infos scheinbar im MBR gespeichter werden.



Warte nun auf meine Recovery Discs.


Mfg

cosinus 17.01.2011 15:10
Zitat:
Wenn man den MBR und die ersten Bootsektoren fixt, kann man nicht mehr von der versteckten sicherheits partition booten um Windows neu aufzusetzen, da diese Infos scheinbar im MBR gespeichter werden.
Aha, interessant - das könnte ein Grund sein, warum bei manchen Recovery-Geschichten einige Leute hier berichtet hatten, dass das Problem immer noch da war, ein infizierter MBR, der beim Recovern nicht neu gemacht wurde :balla:

MoC-Man 18.01.2011 21:13
Freut mich auch etwas nützliches an die allgemeinheit weitergegeben zu haben.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131