MBR rootkit-like behavior

#0
07.12.2010, 18:39
...neu hier

Beiträge: 3
#1 Hallo,

habe mir wahrscheinlich einen Rootkit eingehandelt.
Firefox und IE lassen sich nicht mehr öffnen
Windows Sicherheitsdienst kann nicht mehr gestartet werden.
Ich hoffe mir kann jemand helfen,oder muss ich eine Neuinstallation machen ?
vielen Dank im voraus

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2010-12-07 18:08:04
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdePort2 SAMSUNG_HD501LJ rev.CR100-12
Running: 56jlr0hf.exe; Driver: C:\Users\Netz\AppData\Local\Temp\kxldqpow.sys


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 03: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 04: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 05: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 06: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 16: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 17: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 39: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 40: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 41: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 42: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 43: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 45: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 46: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 47: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 48: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 49: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 50: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 51: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 58: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sectors 976772912 (+255): rootkit-like behavior;

---- Devices - GMER 1.0.15 ----

Device Ntfs.sys (NT-Dateisystemtreiber/Microsoft Corporation)

AttachedDevice tdrpm258.sys (Acronis Try&Decide Volume Filter Driver/Acronis)

Device \Device\Ide\IdeDeviceP2T0L0-2 -> \??\IDE#DiskSAMSUNG_HD501LJ_________________________CR100-12#5&343a6acb&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found

---- EOF - GMER 1.0.15 ----
Seitenanfang Seitenende
08.12.2010, 13:38
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1


Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

BleepingComputer
ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Schritt 2

Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)


• Downloade die MBR.exe von Gmer und
kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
• Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich eine Eingabeaufforderung.

Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

Code

mbr.exe -t > C:\mbr.log & C:\mbr.log
(Enter drücken)
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
Bitte kopiere den Inhalt hier in Deinen Thread.
Seitenanfang Seitenende
08.12.2010, 17:14
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo,

vielen Dank,das Du Dir mein Problem anhörst.
Hier von Combofix:
ComboFix 10-12-07.04 - Netz 08.12.2010 16:29:39.2.1 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1031.18.3071.2123 [GMT 1:00]
ausgeführt von:: c:\users\Netz\Desktop\Combofix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\cleenprogx.exe\cleenprogx.exe
c:\cleenprogx.exe\config.bin
c:\jdsfjsdijf.exe\config.bin
c:\jdsfjsdijf.exe\jdsfjsdijf.exe
c:\portwexexe.exe\config.bin
c:\programdata\hpeB4.dll
c:\windows\7Loader.TAG
c:\windows\system32\pthreadVC.dll

.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-08 bis 2010-12-08 ))))))))))))))))))))))))))))))
.

2010-12-08 15:42 . 2010-12-08 15:46 -------- d-----w- c:\users\Netz\AppData\Local\temp
2010-12-08 15:42 . 2010-12-08 15:42 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-12-08 13:28 . 2010-12-08 13:28 -------- d-----w- c:\program files\ProtectDisc Driver Installer
2010-12-08 13:28 . 2010-12-08 13:28 -------- d-----w- c:\users\Netz\AppData\Roaming\ProtectDisc
2010-12-08 12:38 . 2010-12-08 12:55 -------- d-----w- c:\program files\Black Mirror 2
2010-12-07 16:27 . 2010-12-07 07:22 89088 ----a-w- C:\mbr.exe
2010-12-06 21:00 . 2010-12-06 21:00 -------- d-sh--w- c:\windows\system32\%APPDATA%
2010-12-06 10:41 . 2010-12-05 21:17 660752 ----a-w- C:\rkill.com
2010-12-05 19:50 . 2010-12-05 19:50 -------- d-----w- c:\windows\system32\%LOCALAPPDATA%
2010-12-05 19:40 . 2010-12-05 20:15 -------- d-----w- c:\program files\Sophos
2010-12-04 03:20 . 2010-12-04 03:20 -------- d-----w- c:\windows\Sun
2010-12-03 19:51 . 2010-12-03 19:51 79872 --sha-r- c:\windows\system32\en-US9.dll
2010-12-03 07:59 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{16B441F2-2411-4208-AA84-E1AA425DD924}\mpengine.dll
2010-12-02 21:29 . 2010-12-02 21:29 -------- d-----w- c:\windows\Internet Logs
2010-12-02 19:02 . 2010-12-02 21:26 -------- d-----w- c:\users\Netz\AppData\Roaming\CheckPoint
2010-12-02 19:02 . 2010-12-02 21:26 -------- d-----w- c:\program files\CheckPoint
2010-12-02 19:02 . 2009-12-04 15:35 46472 ----a-w- c:\windows\system32\vsutil_loc0407.dll
2010-12-02 18:59 . 2010-12-02 18:59 -------- d-----w- c:\programdata\CheckPoint
2010-12-02 18:51 . 2010-12-02 18:51 -------- d-----w- c:\users\Netz\AppData\Local\AskToolbar
2010-12-02 18:45 . 2010-12-02 18:45 -------- d-----w- C:\ATISupport
2010-12-02 18:34 . 2010-12-02 18:34 -------- dc-h--w- c:\programdata\{33588740-582D-4EBF-BFB5-B796C5594E33}
2010-12-02 18:34 . 2010-12-02 18:45 -------- d-----w- c:\program files\WinSysClean X
2010-12-02 18:31 . 2010-12-02 18:31 -------- d-----w- c:\users\Netz\AppData\Local\PackageAware
2010-11-29 22:52 . 2010-12-03 18:49 -------- d-----w- C:\DreamLoadData
2010-11-25 18:52 . 2010-11-25 19:29 -------- d-----w- c:\users\Netz\AppData\Local\Nero
2010-11-25 18:52 . 2010-11-26 04:16 -------- d-----w- c:\users\Netz\AppData\Roaming\Nero
2010-11-25 16:46 . 2010-11-25 16:59 -------- d-----w- c:\program files\Common Files\Nero
2010-11-25 16:35 . 2010-12-03 20:02 -------- d-----w- c:\programdata\Nero
2010-11-24 17:47 . 2010-11-24 17:47 -------- d-----w- c:\program files\Microsoft Silverlight
2010-11-24 17:41 . 2010-11-29 16:05 -------- d-----w- c:\program files\Ask.com
2010-11-24 17:11 . 2010-11-24 17:11 -------- d-----w- c:\users\Netz\AppData\Local\Xilisoft
2010-11-24 17:11 . 2010-11-24 17:11 -------- d-----w- c:\users\Netz\AppData\Roaming\Xilisoft
2010-11-24 17:11 . 2009-09-04 16:29 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll
2010-11-24 17:10 . 2010-11-24 17:10 -------- d-----w- c:\programdata\Xilisoft
2010-11-24 17:04 . 2009-09-04 16:29 1892184 ----a-w- c:\windows\system32\D3DX9_42.dll
2010-11-24 17:02 . 2010-11-24 17:02 -------- d-----w- c:\program files\Xilisoft
2010-11-24 16:59 . 2008-10-15 05:22 4379984 ----a-w- c:\windows\system32\D3DX9_40.dll
2010-11-24 16:54 . 2007-07-19 17:14 3727720 ----a-w- c:\windows\system32\d3dx9_35.dll
2010-11-24 16:51 . 2007-05-16 15:45 3497832 ----a-w- c:\windows\system32\d3dx9_34.dll
2010-11-24 16:08 . 2010-11-24 16:08 -------- d-----w- c:\users\Netz\AppData\Roaming\AVS4YOU
2010-11-24 16:06 . 2010-09-03 12:32 10833920 ----a-w- c:\windows\system32\libmfxsw32.dll
2010-11-24 16:06 . 2010-09-03 12:32 10915840 ----a-w- c:\windows\system32\libmfxhw32.dll
2010-11-24 16:06 . 2010-11-24 16:08 -------- d-----w- c:\program files\Common Files\AVSMedia
2010-11-24 16:06 . 2010-11-24 16:08 -------- d-----w- c:\programdata\AVS4YOU
2010-11-24 16:06 . 2010-11-24 16:08 -------- d-----w- c:\program files\AVS4YOU
2010-11-24 16:06 . 2010-09-03 12:33 24576 ----a-w- c:\windows\system32\msxml3a.dll
2010-11-24 16:01 . 2010-11-24 16:01 -------- d-----w- c:\programdata\Elaborate Bytes
2010-11-24 11:15 . 2010-11-24 11:15 -------- d-----w- c:\users\Netz\AppData\Roaming\Avira
2010-11-24 08:33 . 2010-10-19 08:10 7680 ----a-w- c:\program files\Internet Explorer\iecompat.dll
2010-11-23 17:13 . 2010-11-24 16:01 48 --sh--w- c:\windows\S52897ABE.tmp
2010-11-23 17:09 . 2010-11-23 17:09 -------- d-----w- c:\program files\Elaborate Bytes
2010-11-15 07:41 . 2009-07-06 01:00 472368 ------w- c:\windows\install.dex
2010-11-14 11:31 . 2010-11-14 11:31 -------- d-----w- C:\Handy Flori

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 16:42 . 2010-09-06 14:50 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-29 16:42 . 2010-09-06 14:49 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-24 11:14 . 2010-02-01 23:51 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-23 12:41 . 2010-09-10 13:35 253952 ------w- c:\windows\Setup1.exe
2010-11-23 12:41 . 2010-09-10 13:35 74752 ----a-w- c:\windows\ST6UNST.EXE
2010-11-10 09:57 . 2010-02-01 23:51 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-10-24 18:26 . 2007-10-25 15:26 5632 ----a-w- c:\windows\system32\drivers\StarOpen.sys
2010-10-19 09:41 . 2010-02-01 23:51 222080 ------w- c:\windows\system32\MpSigStub.exe
2010-10-10 09:55 . 2010-10-10 09:55 53248 ----a-r- c:\users\Netz\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2010-09-19 11:18 . 2010-07-05 10:08 16400 ----a-w- c:\windows\system32\drivers\LNonPnP.sys
2010-09-15 17:26 . 2010-09-15 17:26 101248 ----a-w- c:\windows\system32\drivers\avmaura.sys
2010-09-14 08:00 . 2010-10-10 15:55 108032 ----a-w- c:\windows\system32\ff_vfw.dll
2010-09-10 13:48 . 2010-09-10 13:48 40960 ----a-r- c:\users\Netz\AppData\Roaming\Microsoft\Installer\{CB2D3647-18D2-4E06-8062-AF6224C5489E}\Neue_Verkn_pfung_S19_CB2D364718D24E068062AF6224C5489E.exe
.

------- Sigcheck -------

[-] 2010-05-26 . 7BD7F45FF37FA0669CD32CA0EF46E22C . 811520 . . [6.1.7600.16385] . . c:\windows\System32\user32.dll
[7] 2009-07-14 . 34B7E222E81FAFA885F0C5F2CFA56861 . 811520 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_cd0ec264ceb014a3\user32.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-10-11 15:12 1244040 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-10-11 1244040]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-10-11 1244040]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"AVMUSBFernanschluss"="c:\users\Netz\AppData\Local\Apps\2.0\6HPDQXN9.L4W\OEHBCNC9.V1G\frit..tion_8488884cfbcefd60_0002.0002_9409db79b3f040fd\AVMAutoStart.exe" [2010-11-12 147456]
"AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2010-10-24 102400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-10 281768]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-03-04 311296]
"AVMWlanClient"="c:\program files\avmwlanstick\wlangui.exe" [2008-02-24 1753088]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2010-03-27 5141512]
"Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2010-03-27 362952]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-11-29 963976]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2010-06-26 1311312]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-08-25 98304]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-11-29 963976]

c:\users\Netz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled
Logitech . Produktregistrierung.lnk - c:\program files\Common Files\LogiShrd\eReg\SetPoint\eReg.exe [2009-11-16 517384]
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2010-05-06 09:29 64592 ----a-w- c:\program files\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nitro PDF Printer Monitor]
2009-05-14 11:05 209216 ----a-w- c:\program files\Nitro PDF\Professional\NitroPDFPrinterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 09:17 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2010-08-25 19:37 98304 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1cb01b0a6483ae4;Google Update Service (gupdate1cb01b0a6483ae4);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-01 133104]
R2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\program files\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe [2010-10-05 549384]
R3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\Drivers\AVerAF15DMBTH.sys [2009-07-27 554368]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-11-07 4352]
R3 fwlanusbn;FRITZ!WLAN N;c:\windows\system32\DRIVERS\fwlanusbn.sys [2007-12-18 401920]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2010-08-29 13224]
R3 MEMSWEEP2;MEMSWEEP2;c:\windows\system32\B930.tmp [x]
R3 Revoflt;Revoflt;c:\windows\system32\DRIVERS\revoflt.sys [2009-12-30 27192]
R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [2008-05-16 89256]
R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [2008-05-16 15016]
R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [2008-05-16 120744]
R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [2008-05-16 114216]
R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [2008-05-16 25512]
R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [2008-05-16 110632]
R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [2008-05-16 115752]
R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856]
R3 USBPNPA;USB PnP Sound Device Interface;c:\windows\system32\drivers\CM108.sys [2007-06-28 1310720]
S0 hotcore3;Hotcore helper;c:\windows\system32\DRIVERS\hotcore3.sys [2009-07-29 40496]
S0 tdrpman258;Acronis Try&Decide and Restore Points filter (build 258);c:\windows\system32\DRIVERS\tdrpm258.sys [2010-08-17 911680]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2009-01-19 277544]
S2 afcdpsrv;Acronis Nonstop Backup service;c:\program files\Common Files\Acronis\CDP\afcdpsrv.exe [2010-08-17 2480048]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-08-26 176128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-10 135336]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-03-31 233472]
S2 nsService;NovaStor NovaBACKUP Backup/Copy Engine;c:\program files\NovaStor\NovaStor NovaBACKUP\nsService.exe [2009-10-19 261184]
S2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [2009-04-30 90112]
S2 OS Selector;Acronis OS Selector Activator;c:\program files\Acronis\DiskDirector\OSS\reinstall_svc.exe [2010-05-25 2155848]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-07-06 173352]
S3 afcdp;afcdp;c:\windows\system32\DRIVERS\afcdp.sys [2010-08-17 160704]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-08-26 6380032]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-08-26 221696]
S3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\DRIVERS\avmaura.sys [2010-09-15 101248]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608]
S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [2010-08-29 27632]


--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - FSUSBEXDISK

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2010-12-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-01 17:34]

2010-12-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-01 17:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://fritz.box/
uInternet Settings,ProxyServer = http=127.0.0.1:43902
uInternet Settings,ProxyOverride = <local>
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/2.9.2.0/GarminAxControl.CAB
FF - ProfilePath - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://fritz.box/
FF - component: c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\FFExternalAlert.dll
FF - component: c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\RadioWMPCore.dll
FF - component: c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
FF - component: c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\fb_add_on@avm.de\components\FB_AddOn.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\users\Netz\AppData\Roaming\Move Networks\plugins\071802000001\npqmp071802000001.dll
FF - plugin: c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Extension: FRITZ!Box AddOn: fb_add_on@avm.de - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\fb_add_on@avm.de
FF - Extension: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Extension: Google Shortcuts: {5C46D283-ABDE-4dce-B83C-08881401921C} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{5C46D283-ABDE-4dce-B83C-08881401921C}
FF - Extension: ImTranslator: {9AA46F4F-4DC7-4c06-97AF-5035170634FE} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
FF - Extension: WOT: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
FF - Extension: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Extension: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
FF - Extension: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Extension: FoxTab: {ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}
FF - Extension: HotSearch: searcher@web.com - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\searcher@web.com
FF - Extension: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
FF - Extension: German Dictionary: de-DE@dictionaries.addons.mozilla.org - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\de-DE@dictionaries.addons.mozilla.org
FF - Extension: AutocompletePro - Your handy search suggestions tool: support@predictad.com - c:\program files\AutocompletePro\support@predictad.com

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
Toolbar-{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
WebBrowser-{BA14329E-9550-4989-B3F2-9732E92D17CC} - (no file)
HKCU-Run-cleenprogx.exe - c:\cleenprogx.exe\cleenprogx.exe
HKCU-Run-jdsfjsdijf.exe - c:\jdsfjsdijf.exe\jdsfjsdijf.exe
HKU-Default-Run-jdsfjsdijf.exe - c:\jdsfjsdijf.exe\jdsfjsdijf.exe
MSConfigStartUp-BCSSync - c:\program files\Microsoft Office\Office14\BCSSync.exe
ActiveSetup-Nitro PDF Professional - (no file)
AddRemove-MakeTorrent 2 - c:\program files\Maketorrent 2\uninstall.exe



**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600 Disk: SAMSUNG_HD501LJ rev.CR100-12 -> Harddisk0\DR0 -> \Device\Ide\IdePort2 P2T0L0-2

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x8675E555]<<
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x867647b0]; MOV EAX, [0x8676482c]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
1 ntkrnlpa!IofCallDriver[0x82C7D458] -> \Device\Harddisk0\DR0[0x86737030]
3 CLASSPNP[0x8B80459E] -> ntkrnlpa!IofCallDriver[0x82C7D458] -> [0x86261918]
5 ACPI[0x834473B2] -> ntkrnlpa!IofCallDriver[0x82C7D458] -> \IdeDeviceP2T0L0-2[0x862B0908]
\Driver\atapi[0x86743030] -> IRP_MJ_CREATE -> 0x8675E555
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; PUSHA ; MOV CX, 0x132; MOV BP, 0x62a; ROR BYTE [BP+0x0], CL; INC BP; }
detected disk devices:
\Device\Ide\IdeDeviceP2T0L0-2 -> \??\IDE#DiskSAMSUNG_HD501LJ_________________________CR100-12#5&343a6acb&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user != kernel MBR !!!
sectors 976773166 (+255): user != kernel
Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\B930.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\atieclxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\windows\system32\rundll32.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\program files\avmwlanstick\WlanNetService.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\UI0Detect.exe
c:\windows\system32\conhost.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE
c:\windows\Microsoft.NET\Framework\v4.0.30319\dfsvc.exe
c:\program files\Common Files\HP\Digital Imaging\Bin\hpqPhotoCrm.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\AUDIODG.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-08 16:52:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-12-08 15:52

Vor Suchlauf: 23 Verzeichnis(se), 132.927.578.112 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 132.835.565.568 Bytes frei

- - End Of File - - 2DF9D06CA2D0AA4FCE23B3E1EE4EB0B7
Hier von gmer:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600 Disk: SAMSUNG_HD501LJ rev.CR100-12 -> Harddisk0\DR0 -> \Device\Ide\IdePort2 P2T0L0-2

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected disk devices:
\Device\Ide\IdeDeviceP2T0L0-2 -> \??\IDE#DiskSAMSUNG_HD501LJ_________________________CR100-12#5&343a6acb&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user != kernel MBR !!!
sectors 976773166 (+255): user != kernel
Seitenanfang Seitenende
09.12.2010, 18:55
Moderator

Beiträge: 5694
#4 MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: