MBR rootkit-like behavior |
||
---|---|---|
#0
| ||
07.12.2010, 18:39
...neu hier
Beiträge: 3 |
||
|
||
08.12.2010, 13:38
Moderator
Beiträge: 5694 |
#2
Hallo und herzlich Willkommen auf Protecus.de
Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte: • Halte Dich an die Anweisungen des jeweiligen Helfers. • Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an. • Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden. • Bitte arbeite jeden Schritt der Reihe nach ab. • Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben. • Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt. • Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist. • Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden. • Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden. • Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird. • Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert. • Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät. • In letzter Instanz ist dann immer der User welcher entscheidet. Vista und Win7 User: Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen. Schritt 1 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren. Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop. • BleepingComputer • ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird** • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören. • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen. • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen. • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread. Schritt 2 Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit) • Downloade die MBR.exe von Gmer und kopiere die Datei mbr.exe in den Ordner C:\Windows\system32. Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen. • Start => ausführen => cmd (da reinschreiben) => OK es öffnet sich eine Eingabeaufforderung. Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen. Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen. Code mbr.exe -t > C:\mbr.log & C:\mbr.log(Enter drücken) • Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten. Bitte kopiere den Inhalt hier in Deinen Thread. |
|
|
||
08.12.2010, 17:14
...neu hier
Themenstarter Beiträge: 3 |
#3
Hallo,
vielen Dank,das Du Dir mein Problem anhörst. Hier von Combofix: ComboFix 10-12-07.04 - Netz 08.12.2010 16:29:39.2.1 - x86 Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1031.18.3071.2123 [GMT 1:00] ausgeführt von:: c:\users\Netz\Desktop\Combofix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Vorheriger Suchlauf ------- . c:\cleenprogx.exe\cleenprogx.exe c:\cleenprogx.exe\config.bin c:\jdsfjsdijf.exe\config.bin c:\jdsfjsdijf.exe\jdsfjsdijf.exe c:\portwexexe.exe\config.bin c:\programdata\hpeB4.dll c:\windows\7Loader.TAG c:\windows\system32\pthreadVC.dll . \\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected . ((((((((((((((((((((((( Dateien erstellt von 2010-11-08 bis 2010-12-08 )))))))))))))))))))))))))))))) . 2010-12-08 15:42 . 2010-12-08 15:46 -------- d-----w- c:\users\Netz\AppData\Local\temp 2010-12-08 15:42 . 2010-12-08 15:42 -------- d-----w- c:\users\Default\AppData\Local\temp 2010-12-08 13:28 . 2010-12-08 13:28 -------- d-----w- c:\program files\ProtectDisc Driver Installer 2010-12-08 13:28 . 2010-12-08 13:28 -------- d-----w- c:\users\Netz\AppData\Roaming\ProtectDisc 2010-12-08 12:38 . 2010-12-08 12:55 -------- d-----w- c:\program files\Black Mirror 2 2010-12-07 16:27 . 2010-12-07 07:22 89088 ----a-w- C:\mbr.exe 2010-12-06 21:00 . 2010-12-06 21:00 -------- d-sh--w- c:\windows\system32\%APPDATA% 2010-12-06 10:41 . 2010-12-05 21:17 660752 ----a-w- C:\rkill.com 2010-12-05 19:50 . 2010-12-05 19:50 -------- d-----w- c:\windows\system32\%LOCALAPPDATA% 2010-12-05 19:40 . 2010-12-05 20:15 -------- d-----w- c:\program files\Sophos 2010-12-04 03:20 . 2010-12-04 03:20 -------- d-----w- c:\windows\Sun 2010-12-03 19:51 . 2010-12-03 19:51 79872 --sha-r- c:\windows\system32\en-US9.dll 2010-12-03 07:59 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{16B441F2-2411-4208-AA84-E1AA425DD924}\mpengine.dll 2010-12-02 21:29 . 2010-12-02 21:29 -------- d-----w- c:\windows\Internet Logs 2010-12-02 19:02 . 2010-12-02 21:26 -------- d-----w- c:\users\Netz\AppData\Roaming\CheckPoint 2010-12-02 19:02 . 2010-12-02 21:26 -------- d-----w- c:\program files\CheckPoint 2010-12-02 19:02 . 2009-12-04 15:35 46472 ----a-w- c:\windows\system32\vsutil_loc0407.dll 2010-12-02 18:59 . 2010-12-02 18:59 -------- d-----w- c:\programdata\CheckPoint 2010-12-02 18:51 . 2010-12-02 18:51 -------- d-----w- c:\users\Netz\AppData\Local\AskToolbar 2010-12-02 18:45 . 2010-12-02 18:45 -------- d-----w- C:\ATISupport 2010-12-02 18:34 . 2010-12-02 18:34 -------- dc-h--w- c:\programdata\{33588740-582D-4EBF-BFB5-B796C5594E33} 2010-12-02 18:34 . 2010-12-02 18:45 -------- d-----w- c:\program files\WinSysClean X 2010-12-02 18:31 . 2010-12-02 18:31 -------- d-----w- c:\users\Netz\AppData\Local\PackageAware 2010-11-29 22:52 . 2010-12-03 18:49 -------- d-----w- C:\DreamLoadData 2010-11-25 18:52 . 2010-11-25 19:29 -------- d-----w- c:\users\Netz\AppData\Local\Nero 2010-11-25 18:52 . 2010-11-26 04:16 -------- d-----w- c:\users\Netz\AppData\Roaming\Nero 2010-11-25 16:46 . 2010-11-25 16:59 -------- d-----w- c:\program files\Common Files\Nero 2010-11-25 16:35 . 2010-12-03 20:02 -------- d-----w- c:\programdata\Nero 2010-11-24 17:47 . 2010-11-24 17:47 -------- d-----w- c:\program files\Microsoft Silverlight 2010-11-24 17:41 . 2010-11-29 16:05 -------- d-----w- c:\program files\Ask.com 2010-11-24 17:11 . 2010-11-24 17:11 -------- d-----w- c:\users\Netz\AppData\Local\Xilisoft 2010-11-24 17:11 . 2010-11-24 17:11 -------- d-----w- c:\users\Netz\AppData\Roaming\Xilisoft 2010-11-24 17:11 . 2009-09-04 16:29 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll 2010-11-24 17:10 . 2010-11-24 17:10 -------- d-----w- c:\programdata\Xilisoft 2010-11-24 17:04 . 2009-09-04 16:29 1892184 ----a-w- c:\windows\system32\D3DX9_42.dll 2010-11-24 17:02 . 2010-11-24 17:02 -------- d-----w- c:\program files\Xilisoft 2010-11-24 16:59 . 2008-10-15 05:22 4379984 ----a-w- c:\windows\system32\D3DX9_40.dll 2010-11-24 16:54 . 2007-07-19 17:14 3727720 ----a-w- c:\windows\system32\d3dx9_35.dll 2010-11-24 16:51 . 2007-05-16 15:45 3497832 ----a-w- c:\windows\system32\d3dx9_34.dll 2010-11-24 16:08 . 2010-11-24 16:08 -------- d-----w- c:\users\Netz\AppData\Roaming\AVS4YOU 2010-11-24 16:06 . 2010-09-03 12:32 10833920 ----a-w- c:\windows\system32\libmfxsw32.dll 2010-11-24 16:06 . 2010-09-03 12:32 10915840 ----a-w- c:\windows\system32\libmfxhw32.dll 2010-11-24 16:06 . 2010-11-24 16:08 -------- d-----w- c:\program files\Common Files\AVSMedia 2010-11-24 16:06 . 2010-11-24 16:08 -------- d-----w- c:\programdata\AVS4YOU 2010-11-24 16:06 . 2010-11-24 16:08 -------- d-----w- c:\program files\AVS4YOU 2010-11-24 16:06 . 2010-09-03 12:33 24576 ----a-w- c:\windows\system32\msxml3a.dll 2010-11-24 16:01 . 2010-11-24 16:01 -------- d-----w- c:\programdata\Elaborate Bytes 2010-11-24 11:15 . 2010-11-24 11:15 -------- d-----w- c:\users\Netz\AppData\Roaming\Avira 2010-11-24 08:33 . 2010-10-19 08:10 7680 ----a-w- c:\program files\Internet Explorer\iecompat.dll 2010-11-23 17:13 . 2010-11-24 16:01 48 --sh--w- c:\windows\S52897ABE.tmp 2010-11-23 17:09 . 2010-11-23 17:09 -------- d-----w- c:\program files\Elaborate Bytes 2010-11-15 07:41 . 2009-07-06 01:00 472368 ------w- c:\windows\install.dex 2010-11-14 11:31 . 2010-11-14 11:31 -------- d-----w- C:\Handy Flori . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-29 16:42 . 2010-09-06 14:50 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-29 16:42 . 2010-09-06 14:49 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-24 11:14 . 2010-02-01 23:51 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-11-23 12:41 . 2010-09-10 13:35 253952 ------w- c:\windows\Setup1.exe 2010-11-23 12:41 . 2010-09-10 13:35 74752 ----a-w- c:\windows\ST6UNST.EXE 2010-11-10 09:57 . 2010-02-01 23:51 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-10-24 18:26 . 2007-10-25 15:26 5632 ----a-w- c:\windows\system32\drivers\StarOpen.sys 2010-10-19 09:41 . 2010-02-01 23:51 222080 ------w- c:\windows\system32\MpSigStub.exe 2010-10-10 09:55 . 2010-10-10 09:55 53248 ----a-r- c:\users\Netz\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe 2010-09-19 11:18 . 2010-07-05 10:08 16400 ----a-w- c:\windows\system32\drivers\LNonPnP.sys 2010-09-15 17:26 . 2010-09-15 17:26 101248 ----a-w- c:\windows\system32\drivers\avmaura.sys 2010-09-14 08:00 . 2010-10-10 15:55 108032 ----a-w- c:\windows\system32\ff_vfw.dll 2010-09-10 13:48 . 2010-09-10 13:48 40960 ----a-r- c:\users\Netz\AppData\Roaming\Microsoft\Installer\{CB2D3647-18D2-4E06-8062-AF6224C5489E}\Neue_Verkn_pfung_S19_CB2D364718D24E068062AF6224C5489E.exe . ------- Sigcheck ------- [-] 2010-05-26 . 7BD7F45FF37FA0669CD32CA0EF46E22C . 811520 . . [6.1.7600.16385] . . c:\windows\System32\user32.dll [7] 2009-07-14 . 34B7E222E81FAFA885F0C5F2CFA56861 . 811520 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_cd0ec264ceb014a3\user32.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] 2010-10-11 15:12 1244040 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-10-11 1244040] [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1] [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-10-11 1244040] [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1] [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504] "AVMUSBFernanschluss"="c:\users\Netz\AppData\Local\Apps\2.0\6HPDQXN9.L4W\OEHBCNC9.V1G\frit..tion_8488884cfbcefd60_0002.0002_9409db79b3f040fd\AVMAutoStart.exe" [2010-11-12 147456] "AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2010-10-24 102400] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-10 281768] "hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208] "ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-03-04 311296] "AVMWlanClient"="c:\program files\avmwlanstick\wlangui.exe" [2008-02-24 1753088] "TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2010-03-27 5141512] "Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2010-03-27 362952] "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-11-29 963976] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888] "EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2010-06-26 1311312] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-08-25 98304] "Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-11-29 963976] c:\users\Netz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled Logitech . Produktregistrierung.lnk - c:\program files\Common Files\LogiShrd\eReg\SetPoint\eReg.exe [2009-11-16 517384] OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2010-05-06 09:29 64592 ----a-w- c:\program files\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux1"=wdmaud.drv [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk] path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup backupExtension=.CommonStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nitro PDF Printer Monitor] 2009-05-14 11:05 209216 ----a-w- c:\program files\Nitro PDF\Professional\NitroPDFPrinterMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-09-08 09:17 421888 ----a-w- c:\program files\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] 2010-08-25 19:37 98304 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 gupdate1cb01b0a6483ae4;Google Update Service (gupdate1cb01b0a6483ae4);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-01 133104] R2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\program files\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe [2010-10-05 549384] R3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\Drivers\AVerAF15DMBTH.sys [2009-07-27 554368] R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-11-07 4352] R3 fwlanusbn;FRITZ!WLAN N;c:\windows\system32\DRIVERS\fwlanusbn.sys [2007-12-18 401920] R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2010-08-29 13224] R3 MEMSWEEP2;MEMSWEEP2;c:\windows\system32\B930.tmp [x] R3 Revoflt;Revoflt;c:\windows\system32\DRIVERS\revoflt.sys [2009-12-30 27192] R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [2008-05-16 89256] R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [2008-05-16 15016] R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [2008-05-16 120744] R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [2008-05-16 114216] R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [2008-05-16 25512] R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [2008-05-16 110632] R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [2008-05-16 115752] R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112] R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976] R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856] R3 USBPNPA;USB PnP Sound Device Interface;c:\windows\system32\drivers\CM108.sys [2007-06-28 1310720] S0 hotcore3;Hotcore helper;c:\windows\system32\DRIVERS\hotcore3.sys [2009-07-29 40496] S0 tdrpman258;Acronis Try&Decide and Restore Points filter (build 258);c:\windows\system32\DRIVERS\tdrpm258.sys [2010-08-17 911680] S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2009-01-19 277544] S2 afcdpsrv;Acronis Nonstop Backup service;c:\program files\Common Files\Acronis\CDP\afcdpsrv.exe [2010-08-17 2480048] S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-08-26 176128] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-10 135336] S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-03-31 233472] S2 nsService;NovaStor NovaBACKUP Backup/Copy Engine;c:\program files\NovaStor\NovaStor NovaBACKUP\nsService.exe [2009-10-19 261184] S2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [2009-04-30 90112] S2 OS Selector;Acronis OS Selector Activator;c:\program files\Acronis\DiskDirector\OSS\reinstall_svc.exe [2010-05-25 2155848] S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-07-06 173352] S3 afcdp;afcdp;c:\windows\system32\DRIVERS\afcdp.sys [2010-08-17 160704] S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-08-26 6380032] S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-08-26 221696] S3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\DRIVERS\avmaura.sys [2010-09-15 101248] S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608] S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [2010-08-29 27632] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - FSUSBEXDISK [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 HPService REG_MULTI_SZ HPSLPSVC hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Inhalt des "geplante Tasks" Ordners 2010-12-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-06-01 17:34] 2010-12-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-06-01 17:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://fritz.box/ uInternet Settings,ProxyServer = http=127.0.0.1:43902 uInternet Settings,ProxyOverride = <local> IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000 IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/2.9.2.0/GarminAxControl.CAB FF - ProfilePath - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms} FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://fritz.box/ FF - component: c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll FF - component: c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\FFExternalAlert.dll FF - component: c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\RadioWMPCore.dll FF - component: c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll FF - component: c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\fb_add_on@avm.de\components\FB_AddOn.dll FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll FF - plugin: c:\users\Netz\AppData\Roaming\Move Networks\plugins\071802000001\npqmp071802000001.dll FF - plugin: c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Extension: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} FF - Extension: FRITZ!Box AddOn: fb_add_on@avm.de - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\fb_add_on@avm.de FF - Extension: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} FF - Extension: Google Shortcuts: {5C46D283-ABDE-4dce-B83C-08881401921C} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{5C46D283-ABDE-4dce-B83C-08881401921C} FF - Extension: ImTranslator: {9AA46F4F-4DC7-4c06-97AF-5035170634FE} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE} FF - Extension: WOT: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} FF - Extension: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} FF - Extension: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360} FF - Extension: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} FF - Extension: FoxTab: {ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a} FF - Extension: HotSearch: searcher@web.com - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\searcher@web.com FF - Extension: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} FF - Extension: German Dictionary: de-DE@dictionaries.addons.mozilla.org - c:\users\Netz\AppData\Roaming\Mozilla\Firefox\Profiles\zf28e7r0.default\extensions\de-DE@dictionaries.addons.mozilla.org FF - Extension: AutocompletePro - Your handy search suggestions tool: support@predictad.com - c:\program files\AutocompletePro\support@predictad.com ---- FIREFOX Richtlinien ---- FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . - - - - Entfernte verwaiste Registrierungseinträge - - - - URLSearchHooks-{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file) Toolbar-{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file) WebBrowser-{BA14329E-9550-4989-B3F2-9732E92D17CC} - (no file) HKCU-Run-cleenprogx.exe - c:\cleenprogx.exe\cleenprogx.exe HKCU-Run-jdsfjsdijf.exe - c:\jdsfjsdijf.exe\jdsfjsdijf.exe HKU-Default-Run-jdsfjsdijf.exe - c:\jdsfjsdijf.exe\jdsfjsdijf.exe MSConfigStartUp-BCSSync - c:\program files\Microsoft Office\Office14\BCSSync.exe ActiveSetup-Nitro PDF Professional - (no file) AddRemove-MakeTorrent 2 - c:\program files\Maketorrent 2\uninstall.exe ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 6.1.7600 Disk: SAMSUNG_HD501LJ rev.CR100-12 -> Harddisk0\DR0 -> \Device\Ide\IdePort2 P2T0L0-2 device: opened successfully user: MBR read successfully Disk trace: called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x8675E555]<< _asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x867647b0]; MOV EAX, [0x8676482c]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; } 1 ntkrnlpa!IofCallDriver[0x82C7D458] -> \Device\Harddisk0\DR0[0x86737030] 3 CLASSPNP[0x8B80459E] -> ntkrnlpa!IofCallDriver[0x82C7D458] -> [0x86261918] 5 ACPI[0x834473B2] -> ntkrnlpa!IofCallDriver[0x82C7D458] -> \IdeDeviceP2T0L0-2[0x862B0908] \Driver\atapi[0x86743030] -> IRP_MJ_CREATE -> 0x8675E555 kernel: MBR read successfully _asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; PUSHA ; MOV CX, 0x132; MOV BP, 0x62a; ROR BYTE [BP+0x0], CL; INC BP; } detected disk devices: \Device\Ide\IdeDeviceP2T0L0-2 -> \??\IDE#DiskSAMSUNG_HD501LJ_________________________CR100-12#5&343a6acb&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found detected hooks: user != kernel MBR !!! sectors 976773166 (+255): user != kernel Warning: possible TDL4 rootkit infection ! TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix. ************************************************************************** [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MEMSWEEP2] "ImagePath"="\??\c:\windows\system32\B930.tmp" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\atieclxx.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Avira\AntiVir Desktop\avshadow.exe c:\windows\system32\conhost.exe c:\windows\system32\rundll32.exe c:\program files\Common Files\Acronis\Schedule2\schedul2.exe c:\program files\avmwlanstick\WlanNetService.exe c:\program files\CDBurnerXP\NMSAccessU.exe c:\windows\system32\UI0Detect.exe c:\windows\system32\conhost.exe c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe c:\program files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE c:\windows\Microsoft.NET\Framework\v4.0.30319\dfsvc.exe c:\program files\Common Files\HP\Digital Imaging\Bin\hpqPhotoCrm.exe c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\windows\system32\AUDIODG.EXE . ************************************************************************** . Zeit der Fertigstellung: 2010-12-08 16:52:33 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-12-08 15:52 Vor Suchlauf: 23 Verzeichnis(se), 132.927.578.112 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 132.835.565.568 Bytes frei - - End Of File - - 2DF9D06CA2D0AA4FCE23B3E1EE4EB0B7 Hier von gmer: Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 6.1.7600 Disk: SAMSUNG_HD501LJ rev.CR100-12 -> Harddisk0\DR0 -> \Device\Ide\IdePort2 P2T0L0-2 device: opened successfully user: MBR read successfully kernel: MBR read successfully detected disk devices: \Device\Ide\IdeDeviceP2T0L0-2 -> \??\IDE#DiskSAMSUNG_HD501LJ_________________________CR100-12#5&343a6acb&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found detected hooks: user != kernel MBR !!! sectors 976773166 (+255): user != kernel |
|
|
||
09.12.2010, 18:55
Moderator
Beiträge: 5694 |
#4
MBR mit MBRCheck prüfen
Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin). XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten. Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen. Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen. Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen. Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread. |
|
|
||
habe mir wahrscheinlich einen Rootkit eingehandelt.
Firefox und IE lassen sich nicht mehr öffnen
Windows Sicherheitsdienst kann nicht mehr gestartet werden.
Ich hoffe mir kann jemand helfen,oder muss ich eine Neuinstallation machen ?
vielen Dank im voraus
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2010-12-07 18:08:04
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdePort2 SAMSUNG_HD501LJ rev.CR100-12
Running: 56jlr0hf.exe; Driver: C:\Users\Netz\AppData\Local\Temp\kxldqpow.sys
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 03: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 04: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 05: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 06: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 16: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 17: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 39: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 40: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 41: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 42: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 43: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 45: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 46: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 47: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 48: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 49: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 50: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 51: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 58: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sectors 976772912 (+255): rootkit-like behavior;
---- Devices - GMER 1.0.15 ----
Device Ntfs.sys (NT-Dateisystemtreiber/Microsoft Corporation)
AttachedDevice tdrpm258.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
Device \Device\Ide\IdeDeviceP2T0L0-2 -> \??\IDE#DiskSAMSUNG_HD501LJ_________________________CR100-12#5&343a6acb&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
---- EOF - GMER 1.0.15 ----