Hallo zusammen


(eins vorweg, ich kenn mich mit PC`s nicht mega gut aus, habe mich aber jetzt 2 Tage mit dem Problem rumgeschlagen und komm nicht mehr weiter...)

anscheinend habe ich mit einer DVD mit selbstgebrannten Fotos, den genannten "Kollegen" mitgebrach ... Mein Virenscan "Sofos" hat in einem Ordner entdeckt und auch gelösch. Zusätzlich gibt er noch an, ihn hier zu finden:
\\GLOBALROOT\Device\HarddiskVolumeShadowcopy14\Users\***\Recycler\...jwgkvsq.vmx

kann ihn hier aber weder löschen, bereinigen, noch sonstwas unternehmen.

Der Scan mit MAM hat jetzt grad nix ergeben, irgendwie blick ich jetzt nicht mehr ganz durch... kann mir wohl jemand helfen??? (das System wurde auch mit CCleaner bereinigt)

Gruss

Markus

p.S. anbei der log des Scans

hier noch der log vom RSIT...

Guetz

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Code: Alles auswählenAufklappen

ATTFilter

deine Logfile
         

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Vielen Dank für die Antwort, Gmer läuft gerade. (Bin mit dem Laptop im Netz...)
Ist eine Verbreitung über das WLAN möglich, sollte ich entsprechend auch den Laptop überprüfen (Sophos hat nichts gefunden...)

Markus

Gmer hat folgende Probleme verursacht:

1. zuerst meldete der Bildschirm kein Signal, etwas später war wider alles iO mit einer Meldung Windows habe ein Problem mit dem Bildschirm behoben

2. nach ca. 10 minuten die Meldeung dass das Programm nicht ordnungsgemäss ausgeführt wird und beendet wird.

3. nach nochmaligem Starten des Programmes nach kurzer Zeit blauer Bildschirm, einige Textzeilen die ich nicht entziffern konne, und der PC startet neu...

wie weiter???

wurde folgendes eingehalten ?

Zitat:

Vista-User mit Rechtsklick und als Administrator starten.

Wenn nicht, nocheinmal versuchen

sonst folgendes versuchen

Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  Shadow SSDT
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

habe es natürlich als Administrator versucht, hat nix gebracht, auch neues downloaden hat nichts genützt.

dann den RootRepeal laufen lassen, nach ca. 2h erneuter Abbruch. Root repeal hat folgenden CrashReport erstellt:

Code: Alles auswählenAufklappen

ATTFilter

ROOTREPEAL CRASH REPORT
-------------------------
Windows Version: Windows Vista SP2
Exception Code: 0xc0000005
Exception Address: 0x76a29d72
Attempt to write to address: 0x00000000
         

hab die Kiste mal abgestellt, hoffe Du hast noch weitere Ideen???

schritt 1

Rootkit mit AVZ Antiviral-Toolkit entfernen

AVZ Antiviral Toolkit ist ein russisches Projekt, welches auch in englisch verfügbar ist. Das Programm prüft auf Viren, Adware, Spyware, Dialer, verdächtige Software (Risktools), Hacktools und Rootkits. AVZ ist ein sehr mächtiges Tool, bitte nichts "auf eigene Faust" machen.

Bitte lade AVZ4 herunter und entpacke es auf den Desktop.
Dort sollte sich nun der Ordner avz4 befinden.

• Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
• Aktualisiere die Signaturen:
  Im Menü => File => Database Update => Start-Button drücken => OK
• Im Menü => AVZPM
• Dort aud "Install extended monitoring driver" drücken
• AVZ wird nun einen Neustart verlangen, also neustarten.
• Setze Häkchen vor die Laufwerke, die gescannt werden sollen.
• Setze ein Häkchen rechts vor "Enable malware removal mode:"
• Setze ein Häkchen vor "Copy suspicious files to Quarantine".
  .
  
  .
• Drücke auf den Button "Start", um den Suchlauf zu starten.
• Geduld, der Suchlauf kann eine Weile dauern.
• Wenn der Suchlauf beendet ist (Scanning finished), drücke rechts auf auf das Diskettensymbol, um das Logfile als Text-Datei zu speichern.
• Poste das Logfile hier in den Thread.

Eine ausführliche und bebilderte Anleitung findest Du bei virus-protect.org.


schritt 2

RSIT erneut das System scannen lassen

• Schließe alle Fenster und Programme inkl. Browser.
• Lösche C:\rsit\info.txt manuell.
• Start => ausführen (bei Vista: im Feld "Suche starten")
• "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
  damit die alten Logdateien von RSIT überschrieben werden.
• Bitte poste den Inhalt folgender Logs hier in den Thread:
  C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt).

Bitte poste in Deiner nächsten Antwort
Beide RSIT logfiles
Logfile von AVZ

So, hat jetzt alles soweit geklappt

hier das AVZ-logfile:

Code: Alles auswählenAufklappen

ATTFilter

AVZ Antiviral Toolkit log; AVZ version is 4.32
Scanning started at 31.10.2009 09:38:48
Database loaded: signatures - 247554, NN profile(s) - 2, malware removal microprograms - 56, signature database released 31.10.2009 09:42
Heuristic microprograms loaded: 374
PVS microprograms loaded: 9
Digital signatures of system files loaded: 151774
Heuristic analyzer mode: Medium heuristics mode
Malware removal mode: enabled
Windows version is: 6.0.6002, Service Pack 2 ; AVZ is run with administrator rights
System Restore: enabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
 Analysis: kernel32.dll, export table found in section .text
 Analysis: ntdll.dll, export table found in section .text
 Analysis: user32.dll, export table found in section .text
 Analysis: advapi32.dll, export table found in section .text
 Analysis: ws2_32.dll, export table found in section .text
 Analysis: wininet.dll, export table found in section .text
 Analysis: rasapi32.dll, export table found in section .text
 Analysis: urlmon.dll, export table found in section .text
 Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
 Driver loaded successfully
 SDT found (RVA=137B00)
 Kernel ntkrnlpa.exe found in memory at address 8223A000
   SDT = 82371B00
   KiST = 822E682C (391)
Functions checked: 391, intercepted: 0, restored: 0
1.3 Checking IDT and SYSENTER
 Analyzing CPU 1
 Analyzing CPU 2
 Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Masking process with PID=504, name = ""
 >> PID substitution detected (current PID is=0, real = 504)
Masking process with PID=552, name = ""
 >> PID substitution detected (current PID is=0, real = 552)
Masking process with PID=608, name = ""
 >> PID substitution detected (current PID is=0, real = 608)
Masking process with PID=1012, name = ""
 >> PID substitution detected (current PID is=0, real = 1012)
Masking process with PID=828, name = ""
 >> PID substitution detected (current PID is=0, real = 828)
Masking process with PID=848, name = ""
 >> PID substitution detected (current PID is=0, real = 848)
Masking process with PID=2076, name = ""
 >> PID substitution detected (current PID is=0, real = 2076)
Masking process with PID=2172, name = ""
 >> PID substitution detected (current PID is=0, real = 2172)
Masking process with PID=2276, name = ""
 >> PID substitution detected (current PID is=0, real = 2276)
Masking process with PID=2996, name = ""
 >> PID substitution detected (current PID is=0, real = 2996)
Masking process with PID=3036, name = ""
 >> PID substitution detected (current PID is=0, real = 3036)
Masking process with PID=3052, name = ""
 >> PID substitution detected (current PID is=0, real = 3052)
Masking process with PID=3188, name = ""
 >> PID substitution detected (current PID is=0, real = 3188)
Masking process with PID=3200, name = ""
 >> PID substitution detected (current PID is=0, real = 3200)
Masking process with PID=3216, name = ""
 >> PID substitution detected (current PID is=0, real = 3216)
Masking process with PID=3224, name = ""
 >> PID substitution detected (current PID is=0, real = 3224)
Masking process with PID=3264, name = ""
 >> PID substitution detected (current PID is=0, real = 3264)
Masking process with PID=3324, name = ""
 >> PID substitution detected (current PID is=0, real = 3324)
Masking process with PID=3396, name = ""
 >> PID substitution detected (current PID is=0, real = 3396)
Masking process with PID=3404, name = ""
 >> PID substitution detected (current PID is=0, real = 3404)
Masking process with PID=3452, name = ""
 >> PID substitution detected (current PID is=0, real = 3452)
Masking process with PID=3888, name = ""
 >> PID substitution detected (current PID is=0, real = 3888)
Masking process with PID=4000, name = ""
 >> PID substitution detected (current PID is=0, real = 4000)
Masking process with PID=3104, name = ""
 >> PID substitution detected (current PID is=0, real = 3104)
Masking process with PID=2360, name = ""
 >> PID substitution detected (current PID is=0, real = 2360)
Masking process with PID=3704, name = ""
 >> PID substitution detected (current PID is=0, real = 3704)
Masking process with PID=848, name = ""
 >> PID substitution detected (current PID is=0, real = 848)
Masking process with PID=2060, name = ""
 >> PID substitution detected (current PID is=0, real = 2060)
Masking process with PID=232, name = ""
 >> PID substitution detected (current PID is=0, real = 232)
Masking process with PID=3232, name = ""
 >> PID substitution detected (current PID is=0, real = 3232)
Masking process with PID=2128, name = ""
 >> PID substitution detected (current PID is=0, real = 2128)
Masking process with PID=3320, name = ""
 >> PID substitution detected (current PID is=0, real = 3320)
 Searching for masking processes and drivers - complete
 Driver loaded successfully
1.5 Checking IRP handlers
 Checking - complete
2. Scanning RAM
 Number of processes found: 61
 Number of modules loaded: 485
Scanning RAM - complete
3. Scanning disks
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFF1DF.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFF1DF.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFF1DF.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Temp\~DFEE56.tmp
4. Checking  Winsock Layered Service Provider (SPI/LSP)
 LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL>>> Behaviour analysis 
 Behaviour typical for keyloggers was not detected
File quarantined succesfully (C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL)
Note: Do NOT delete suspicious files, send them for analysis  (see FAQ for more details),  because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious software
 Checking - disabled by user
7. Heuristic system check
Latent DLL loading through AppInit_DLLs suspected: "C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL"
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Services: potentially dangerous service allowed: SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Services: potentially dangerous service allowed: Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
 >>  HDD autorun is allowed
 >>  Network drives autorun is allowed
 >>  Removable media autorun is allowed
Checking - complete
Files scanned: 39971569, extracted from archives: 7528450, malicious software found 0, suspicions - 0
Scanning finished at 01.11.2009 06:19:46
Time of scanning: 20:41:00
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
         

die beiden RSIT Dateien sind angehängt, gäbe sonst etwa 6 Teile...

soweit also alles abgearbeitet, bin schon ganz neugierig wie weiter...

gruss

Markus

Einen Versuchen wir noch

Rootkitsuche mit SysProt

• Lade dir SysProt auf den Desktop und starte das Tool
• Gehe dort auf den Reiter "Log"
• Setze nun einen Haken bei:
  • Kernel Modules
  • Kernel Hooks
  • Hidden Files
  • Und unten bei "Hidden Objects Only"
• Drücke nun auf "Create Log"
• Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
• Wenn der Scan abgeschlossen ist, beende SysProt.
• Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

Leider funktioniert der Link zu SysProt nicht...

Was meinst du mit einen Versuchen wir noch, ich hab keinen Plan wo ich stehe, kurz vor dem Sieg, oder eher in der Nähe des Formatieren???

Nimm den hier

bitteschön, läuft ja wie am schnürchen

Code: Alles auswählenAufklappen

ATTFilter

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_iaStor.sys
Service Name: ---
Module Base: 8670C000
Module End: 867C4000
Hidden: Yes

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: K:\System Volume Information\tracking.log
Status: Access denied

Object: K:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: K:\System Volume Information\{fb0e3f02-aa08-11de-82db-00247e8ba72b}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: J:\privat\Masterstudium\Literatur\Literaturverzeichnis Diplomarbeit 1993 ? Dipl.-Ing. Wilfried Böhling (Landespflege) Landschaftsplaner aus Stade nahe Hamburg - Auswertung faunistisch-ökologischer Untersuchungen an Schmetterlingen und Heuschrecken. Holzmi
Status: Hidden

Object: J:\privat\Masterstudium\Literatur\._Literaturverzeichnis Diplomarbeit 1993 ? Dipl.-Ing. Wilfried Böhling (Landespflege) Landschaftsplaner aus Stade nahe Hamburg - Auswertung faunistisch-ökologischer Untersuchungen an Schmetterlingen und Heuschrecken. Holz
Status: Hidden

Object: D:\System Volume Information\SPP
Status: Access denied

Object: D:\System Volume Information\tracking.log
Status: Access denied

Object: D:\System Volume Information\{47966bd5-6ece-11de-963e-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{7ab057e6-7179-11de-9b97-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{a75e3883-6f09-11de-b058-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{c9d86c05-6f72-11de-b62d-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\SPP
Status: Access denied

Object: C:\System Volume Information\tracking.log
Status: Access denied

Object: C:\System Volume Information\Windows Backup
Status: Access denied

Object: C:\System Volume Information\{2cc8e08d-c4a4-11de-90ad-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{4ee74213-c455-11de-b280-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{4ee74254-c455-11de-b280-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{4ee7425c-c455-11de-b280-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{61324d9f-c52d-11de-9028-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{61324db2-c52d-11de-9028-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{7f20973e-be73-11de-bba5-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{9bbe5b60-bf91-11de-aa0c-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{9bbe5ba8-bf91-11de-aa0c-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl
Status: Access denied
         

Specialfall :/

here we go

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.