Zitat:

Zitat von Krifi

Ich hatte Deinen Beitrag schon gelesen und glaube/hoffe, daß Du wegen der "ntos.exe" neuinstallieren solltest.

Genau so ist es..


Hallo Krifi und





Lade dir bitte mbr detector herunter, führe ihn aus und poste das Log hier.


Erstelle außerdem ein Log mit

Cureit Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

So, da bin ich wieder

Der mbr.detector hat folgendes Log-File ergeben:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1e4 !
copy of MBR has been found in sector 62 !


Dr.Web Cureit habe ich wie angegeben heruntergeladen, entpackt und nach Anleitung eingestellt. Dann (nach Anleitung) einen Komplettscan gemacht, der über 6 Std gedauert hat. Die-Log-Datei ist mit über 92 MB entsprechend groß ausgefallen: 27162 Word-Seiten (kein Scherz)! Ich glaube nicht, das ich das hier wirklich so posten soll. Es gibt aber einen (kürzeren) Prüfbericht, der als Excel-Datei gespeichert wurde:

mzccntrl.exe;c:\programme\gemeinsame dateien\marmiko shared;Adware.Msearch.origin;Falscher Pfad zur Datei ;
proxy.exe;C:\Programme\- Privat\PC-Zubehör\Proxy\AnalogX\Proxy;Program.AnalogProxy;Verschoben.;
MZCCntrl.exe;C:\Programme\Gemeinsame Dateien\Marmiko Shared;Adware.Msearch.origin;Verschoben.;
Dc237.exe\327882R2FWJFW\psexec.cfexe;C:\RECYCLER\S-1-5-21-746137067-2139871995-1801674531-1004\Dc237.exe;Program.PsExec.171;;
Dc237.exe;C:\RECYCLER\S-1-5-21-746137067-2139871995-1801674531-1004;Archiv enthält infizierte Objekte;Verschoben.;
0025582.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP70;Trojan.Packed.511;Verschoben.;
A0026297.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72;Program.AnalogProxy;Verschoben.;
A0026299.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72;Adware.Msearch.origin;Verschoben.;
A0026301.exe\327882R2FWJFW\psexec.cfexe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72\A0026301.exe;Program.PsExec.171;;
A0026301.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72;Archiv enthält infizierte Objekte;Verschoben.;
970303EL.TXT.lnk;D:\Sicherheitskopien\Datensicherung vom 15.06.2008\- Betrieb\Archiv\Alle Jahre\4 - Rechnungen;Modifikation von Win32.Bumblebee.3864;Verschoben.;
A0010196.lnk;D:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP46;Modifikation von Win32.Bumblebee.3864;Verschoben.;
A0026307.lnk;D:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72;Modifikation von Win32.Bumblebee.3864;Verschoben.;
970303EL.TXT.lnk;F:\Eigene Dateien\- Betrieb\Archiv\Alle Jahre\4 - Rechnungen;Modifikation von Win32.Bumblebee.3864;Verschoben.;
970303EL.TXT.lnk;M:\- Betrieb\Archiv\Alle Jahre\4 - Rechnungen;Modifikation von Win32.Bumblebee.3864;;


Auch wenn Ihr das wahrscheinlich selber seht ein kuzer Hinweis:
Der Eintrag der ersten Zeile stammt wohl aus dem Expreßscan, den ich beim Starten von CureIT nicht umgehen konnte. Der Trojaner (oder was auch immer das ist) wurde dann beim Komplettscan nocheinmal gefunden und verschoben, darum die Angabe "falscher Pfad".

Das wars erst mal. Falls ich Euch die Log-Datei irgendwie anders doch noch schicken soll müsste ich nur wissen, wie Ihr das haben wollt.

Auf jeden Fall schon mal: Danke für die Hilfe

LG, Krifi