Deutsche Bank Trojaner c:\recycle.bin (Trojan.Spyeyes)
 

Hey Leute,

hoffe das ich alle Board-Regeln beachtet habe.

Habe "vermutlich seit gestern" ein Trojaner auf meine PC, der mir alle Nerven raubt.

Beim eingeben des Links: https://meine.deutsche-bank.de, wird man auf eine Seite weitergeleitet, welche haargenau so aussieht wir das Original (es fehlt nur der Vermerk das die DB niemals nach dem TAN fragt).

Beim einloggen kommt man dann auf mit erheblichern Verzögerugen auf sein Konto, merkwürdig hierbei ist eine Ladestandsanzeige mit dem Titel (Bitte warten, Ihre letzte Sitzung wird wiederhergestellt).

Dannach erscheint ein Popup mit folgenden Titel: "Sehr geehrter Kunde, während der letzten Sitzung gab es einen Fehler, Sie müssen sich verifiziern..." Bitte TAN-Nr. eingeben

Mein handeln:

- Habe erstmal mein Konto sperren lassen.
- Suchlauf mit Avira AntiVir Personal
- Installation von Ad-Aware
- Ad-Aware suche ergab ein Trojaner und 5 unerwünschte Datein
- beim testen ob es geklappt hat, bin ich wieder auf die Fake-Seite gekommen
- installation von Malwarebytes, aktualisiert, Suchlauf gestartet

Hier das Log-Verzeichnis:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6597

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.05.2011 11:07:47
mbam-log-2011-05-17 (11-07-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 198081
Laufzeit: 22 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\recycle.bin (Trojan.Spyeyes) -> Delete on reboot.

Infizierte Dateien:
c:\recycle.bin\recycle.bin.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\recycle.bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.


Wie soll ich weiterverfahren, bzw. wie kann man sicherstellen das der PC sauber ist??? :wtf:

Vielen Dank
Stefan

Welche genau?

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Habe ebend nochmal Malwarebytes nach Neustart durchlaufen lassen:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6597

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.05.2011 12:04:45
mbam-log-2011-05-17 (12-04-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 198950
Laufzeit: 22 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.SpyEyes) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


AntiVir hat folgendes Baby gefunden:

In der Datei 'C:\System Volume Information\_restore{EECB8739-18C0-4B6E-9F1D-1567FE232861}\RP403\A0044273.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Softomat.AN' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


Bei Ad-Aware finde ich leider nicht mehr den Verlauf von gestern :headbang:!

Habs bei Ad-Aware im Experten Modus gefunden:

Familie: Trojan.Win32.Spyeye.conf(v)

Datei steht unter Quarantäne, spricht etwas dagegen diese zu löschen?

Wieviele Scans hast du insgesamt mit Malwarebytes jetzt gemacht?

2 Durchläufe sind abgeschlossen.

Nr. 3 ist noch in Arbeit.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL Logfile:
--- --- ---
OTL Logfile:
--- --- ---

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Der Rechner wurde nicht neu gestartet.

========== OTL ==========
ADS C:\WINDOWS:B7355156D6F44858 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.22.3 log created on 05172011_132809

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hi Arne,

mit den Eigene Dateien gibt es keine Probleme.

2011/05/17 13:42:01.0890 3040 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/05/17 13:42:01.0921 3040 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/05/17 13:42:01.0953 3040 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/05/17 13:42:01.0984 3040 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/05/17 13:42:02.0093 3040 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/05/17 13:42:02.0109 3040 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/05/17 13:42:02.0125 3040 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/05/17 13:42:02.0140 3040 PxHelp20 (d86b4a68565e444d76457f14172c875a) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/05/17 13:42:02.0218 3040 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/05/17 13:42:02.0250 3040 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/05/17 13:42:02.0265 3040 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/05/17 13:42:02.0296 3040 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/05/17 13:42:02.0328 3040 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/05/17 13:42:02.0343 3040 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/05/17 13:42:02.0390 3040 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/05/17 13:42:02.0421 3040 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/05/17 13:42:02.0468 3040 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/05/17 13:42:02.0500 3040 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/05/17 13:42:02.0531 3040 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/05/17 13:42:02.0562 3040 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/05/17 13:42:02.0609 3040 sfng32 (5fe18fff6fbcf218290042009eab023d) C:\WINDOWS\system32\drivers\sfng32.sys
2011/05/17 13:42:02.0671 3040 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/05/17 13:42:02.0703 3040 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/05/17 13:42:02.0734 3040 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/05/17 13:42:02.0765 3040 ssmdrv (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/05/17 13:42:02.0828 3040 STHDA (797fcc1d859b203958e915bb82528da9) C:\WINDOWS\system32\drivers\sthda.sys
2011/05/17 13:42:02.0843 3040 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/05/17 13:42:02.0875 3040 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/05/17 13:42:02.0937 3040 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/05/17 13:42:02.0968 3040 TBPanel (04e1c782cf14b7282ebc633b0fd3ed16) C:\WINDOWS\system32\drivers\TBPanel.sys
2011/05/17 13:42:03.0000 3040 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/05/17 13:42:03.0015 3040 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/05/17 13:42:03.0046 3040 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/05/17 13:42:03.0093 3040 telch (f5ac3e85f5bd686d12de0aceb5e91dee) C:\WINDOWS\system32\Drivers\telch.sys
2011/05/17 13:42:03.0109 3040 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/05/17 13:42:03.0156 3040 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/05/17 13:42:03.0218 3040 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/05/17 13:42:03.0281 3040 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/05/17 13:42:03.0312 3040 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/05/17 13:42:03.0328 3040 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/05/17 13:42:03.0343 3040 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/05/17 13:42:03.0375 3040 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/05/17 13:42:03.0390 3040 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/05/17 13:42:03.0406 3040 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/05/17 13:42:03.0421 3040 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/05/17 13:42:03.0437 3040 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/05/17 13:42:03.0468 3040 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/05/17 13:42:03.0515 3040 Wdf01000 (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/05/17 13:42:03.0578 3040 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/05/17 13:42:03.0609 3040 XMLDIUSB (2882b6fd4297219e2319e899dfc48a39) C:\WINDOWS\system32\Drivers\XMLDIUSB.sys
2011/05/17 13:42:03.0656 3040 xusb21 (a640c90b007762939507c28a021be3b3) C:\WINDOWS\system32\DRIVERS\xusb21.sys
2011/05/17 13:42:03.0812 3040 ================================================================================
2011/05/17 13:42:03.0812 3040 Scan finished
2011/05/17 13:42:03.0812 3040 ================================================================================

Habe nochmal Avira AntiVir gestartet.

=Fund: TR/Agent.ar.55

Solche unvollständigen Angaben sind unsinnig. POste das Log vollständig.

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39\43c6d8a7-5be2f8e4
[FUND] Ist das Trojanische Pferd TR/Agent.ar.55
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'H:\' <TREKSTOR>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39\43c6d8a7-5be2f8e4
[FUND] Ist das Trojanische Pferd TR/Agent.ar.55
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e356ca6.qua' verschoben!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000000bc

Kernel Drivers (total 132):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB80A8000 eyleergd.sys
0xB7F78000 ACPI.sys
0xB85AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB7F67000 pci.sys
0xB80B8000 isapnp.sys
0xB80C8000 ohci1394.sys
0xB80D8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xB80E8000 MountMgr.sys
0xB7F48000 ftdisk.sys
0xB8330000 PartMgr.sys
0xB80F8000 VolSnap.sys
0xB7F30000 atapi.sys
0xB8108000 disk.sys
0xB8118000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB7F10000 fltmgr.sys
0xB7EFE000 sr.sys
0xB8128000 Lbd.sys
0xB8138000 PxHelp20.sys
0xB7EE7000 KSecDD.sys
0xB7E5A000 Ntfs.sys
0xB7E2D000 NDIS.sys
0xB7E13000 Mup.sys
0xB8318000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB6876000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB6862000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB767C000 \SystemRoot\system32\DRIVERS\HECI.sys
0xB6830000 \SystemRoot\system32\DRIVERS\e1e5132.sys
0xB8400000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB680C000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB8408000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB67E4000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB766C000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB765C000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xB764C000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB67C1000 \SystemRoot\system32\DRIVERS\ks.sys
0xB763C000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xB67AD000 \SystemRoot\system32\DRIVERS\parport.sys
0xB762C000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xB8410000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB761C000 \SystemRoot\system32\DRIVERS\serial.sys
0xB8588000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB871F000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB760C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB858C000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB6796000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB75FC000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB75EC000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB8418000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB6785000 \SystemRoot\system32\DRIVERS\psched.sys
0xB8158000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB8420000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB8428000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB8168000 \SystemRoot\system32\DRIVERS\termdd.sys
0xB8430000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB85C2000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB6727000 \SystemRoot\system32\DRIVERS\update.sys
0xB8598000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB8178000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB81A8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB85C4000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB3815000 \SystemRoot\system32\drivers\sthda.sys
0xB37F1000 \SystemRoot\system32\drivers\portcls.sys
0xB81B8000 \SystemRoot\system32\drivers\drmk.sys
0xB81C8000 \SystemRoot\system32\drivers\sfng32.sys
0xB85C8000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB87DD000 \SystemRoot\System32\Drivers\Null.SYS
0xB85CA000 \SystemRoot\System32\Drivers\Beep.SYS
0xB8450000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB8458000 \SystemRoot\System32\drivers\vga.sys
0xB85CC000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB85CE000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB8460000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB8468000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB8558000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB3796000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB373D000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB36ED000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB36C7000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB36A5000 \SystemRoot\System32\drivers\afd.sys
0xB81F8000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB8208000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB8470000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB35DA000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB8218000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xB356A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB8228000 \SystemRoot\System32\Drivers\Fips.SYS
0xB8478000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB8480000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB354E000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB85D2000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB8488000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xB7252000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xB8248000 \SystemRoot\System32\Drivers\FaxLffv2.sys
0xB8258000 \SystemRoot\System32\Drivers\XMLDIUSB.sys
0xB724E000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB8268000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB8278000 \SystemRoot\system32\DRIVERS\xusb21.sys
0xB8288000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xB34D2000 \SystemRoot\System32\Drivers\wdf01000.sys
0xB724A000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB34AE000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xB346E000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xB85E4000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB8578000 \SystemRoot\System32\drivers\Dxapi.sys
0xB8490000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB879C000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBD610000 \SystemRoot\System32\ATMFD.DLL
0xB3142000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB316E000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB2DF5000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB863C000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB863E000 \SystemRoot\System32\Drivers\TBPanel.SYS
0xB2CA0000 \SystemRoot\system32\drivers\wdmaud.sys
0xB2D25000 \SystemRoot\system32\drivers\sysaudio.sys
0xB2A62000 \SystemRoot\system32\DRIVERS\srv.sys
0xB25F1000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB2309000 \SystemRoot\System32\Drivers\HTTP.sys
0xB85BC000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0xB84A8000 \??\C:\DOKUME~1\Stefan\LOKALE~1\Temp\catchme.sys
0xB3492000 \??\C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys
0xB0B8F000 \??\C:\DOKUME~1\Stefan\LOKALE~1\Temp\aflorpog.sys
0xB0B64000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 40):
0 System Idle Process
4 System
632 C:\WINDOWS\system32\smss.exe
696 csrss.exe
720 C:\WINDOWS\system32\winlogon.exe
764 C:\WINDOWS\system32\services.exe
776 C:\WINDOWS\system32\lsass.exe
972 C:\WINDOWS\system32\nvsvc32.exe
1004 C:\WINDOWS\system32\svchost.exe
1072 svchost.exe
1168 C:\WINDOWS\system32\svchost.exe
1260 svchost.exe
1364 svchost.exe
1564 C:\WINDOWS\system32\spoolsv.exe
1612 C:\Programme\Avira\AntiVir Desktop\sched.exe
1632 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1696 svchost.exe
1932 C:\Programme\Java\jre6\bin\jqs.exe
152 sqlservr.exe
420 sqlbrowser.exe
484 C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
364 C:\WINDOWS\system32\svchost.exe
1320 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1420 C:\Programme\Companion Suite Pro LL2\MFPrintServer.exe
1764 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
2084 C:\WINDOWS\system32\rundll32.exe
2148 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2408 C:\WINDOWS\system32\ctfmon.exe
3812 alg.exe
3248 C:\WINDOWS\system32\LFOGRPOW.EXE
3736 C:\WINDOWS\system32\wbem\wmiapsrv.exe
412 C:\WINDOWS\explorer.exe
3352 C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
416 unsecapp.exe
3120 wmiprvse.exe
460 C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
2600 C:\Programme\Internet Explorer\iexplore.exe
3916 C:\Programme\Internet Explorer\iexplore.exe
4040 C:\Programme\Internet Explorer\iexplore.exe
1392 C:\Dokumente und Einstellungen\Stefan\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000013`8836ac00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000027`106cda00 (NTFS)
\\.\H: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (FAT32)

PhysicalDrive0 Model Number: SAMSUNGSP2504C, Rev: VT100-41
PhysicalDrive1 Model Number: WDC WD5000AAVS-00ZTB0, Rev:

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
465 GB \\.\PhysicalDrive1 MBR Code Faked!
SHA1: 24333FC3E6BA98A85AEA05CC67CA7D1DD9518EE3


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice:

Bin auf dem Berreich echt nicht fit, was wäre den jetzte die bessere Wahl :confused: ???

GMER ging nicht?

Was ist das für eine Platte? Handelt sich um eine 500 GB Platte. Laufwerk H:
Externe Platte? Nur zur Datenablage?

Jep, ist ne externe 500 GB zur Datenablage.

GMER lasse ich grade nochmal durchlaufen, hat vorhin nicht geklappt.

GMER Logfile:
--- --- ---

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6597

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.05.2011 21:38:40
mbam-log-2011-05-17 (21-38-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 194265
Laufzeit: 19 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zeigt deutlich auf welche Seiten man nicht gehen sollte :headbang::twak::stirn:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/17/2011 at 10:25 PM

Application Version : 4.52.1000

Core Rules Database Version : 7076
Trace Rules Database Version: 4888

Scan type : Complete Scan
Total Scan Time : 00:34:17

Memory items scanned : 529
Memory threats detected : 0
Registry items scanned : 6401
Registry threats detected : 0
File items scanned : 49818
File threats detected : 39

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@specificclick[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@tracking.quisma[3].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ww251.smartadserver[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@zanox[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@traffictrack[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@im.banner.t-online[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@fastclick[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@stats.paypal[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@doubleclick[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@serving-sys[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad3.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@e-2dj6wfkyqidzskp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad.ad-srv[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@paypal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@adtech[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@atdmt[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad4.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@adviva[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad.adc-serv[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@kaspersky.122.2o7[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@e-2dj6wnmyuoazefp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@imrworldwide[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@webmasterplan[2].txt
bc.youporn.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
cdn1.static.pornhub.phncdn.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
cdn5.specificclick.net [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
de.pornhub.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
files.youporn.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
objects.tremormedia.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
serving-sys.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
static.youporn.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
www.pornhub.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]

:uglyhammer:

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Keine neuen Funde :daumenhoc!!!

Dickes Lob, macht weiter so :applaus::dankeschoen::applaus:

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hi,

habe gestern alle Updates installiert für Java usw., auch alle optionalen Windows Updates.

Rechner wurde neugestartet, und ich bin über Opera ins Netz. Rechner fing an zu stocken, Bluescreen und Neustart.

Meine Sicherheitscenter meldet jetzt bei jeden Neustart, das die Firewall inaktiv ist und nicht angewählt werden kann. Nach 20 Sek. springt Sie von inaktiv auf aktiv, ohne das ich etwas angeklickt habe.

Heute morgen meldet Windows ein schwerwiegenden Fehler :twak:.

Bin jetzt am grübbeln, ob ich mir nicht ne neue Platte kaufe, Win 7 + NOD32 installiere und die alten festplatten erstmal plätte. Alle relevanten Daten ziehe ich auf die Exteren und lassen Sie vom neu aufgesetzte System scannen.

Gruß
Stefan

nach Opera oder nach den Updates?

1. Windows Updates
2. Neustart
3. Opera angewählt
4. Stocken & Bluscreen (ab hier wurde es merkwürdig)
5. Neustart

Edit: Opera war schon installiert!

Deinstallier Opera mal und beobachte.

Habe Opera deinstalliert!

Reaktion bei der Firewall bleibt gleich, der Rechner ist jetzt wesentlich langsamer.

Ist die CPU-Last hoch? Wenn ja, welcher Prozess erzeugt viel Last?

Hi Arne,

in der ersten Minute liegt die CPU Auslastung bei 90 - 95%, dannach pendel sie bei 50-55% (ca. 5 Min.). Nach den 5 Min. liegt die Auslastung bei den üblichen 0-1%.

Sorge macht mir die Menge der Prozesse: 47 Stk.
Darunter -- Name: daemonu.exe Benutzer: UpdateUser

PS: Habe mir gestern schon Windows 7 Pro bestellt, sobald es ankommt plätte ich die Platten :killpc:.

Gruß
Stefan

Die Anzahl sagt allein überhaupt nichts aus. 47 Prozesse sind aber von der Anzahl her garnicht so viel. Hab schon Rechner mit 70-80 Prozessen gesehen (WinXP) und einige TerminalServer mit 130 Prozessen :D