Verdammt, da ist ein Downloader aktiv.

1.) GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Doppelklick auf gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Blacklight ausführen und Logfile posten.

4.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

5.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-02 23:55:45
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT F7BAA8CC ZwCreateThread
SSDT F7BAA8B8 ZwOpenProcess
SSDT F7BAA8BD ZwOpenThread
SSDT F7BAA8C7 ZwTerminateProcess
SSDT F7BAA8C2 ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 02: copy of MBR

---- EOF - GMER 1.0.14 ----

Blacklight findet nichts!

Panda läuft! zwischendurch kam 2 Mal so eine Art DFÜ-Verbindung mit der headline: Verbindung mit "i-connect" herstellen. Im Textfeld waren 3 oder 4 Nullen. Hilft euch das weiter, hat das was damit zu tun?

Soll ich in Avira die Funde löschen oder parallel besser nicht anderes machen ?

Panda ist bei 28% das wird noch länger dauern, da ich morgen arbeiten muss, wollte ich fragen, ob man dann morgen abend weitermachen kann!?
Wie sähe das mit einer Datensicherung und Formatierung aus?

Danke bis hier hin!

Herzlichen Glückwunsch!

Ihr PC ist momentan nicht infiziert.

Als Meldung von Panda.

Zitat:

Wie sähe das mit einer Datensicherung und Formatierung aus?

Das ist der einzige sichere Weg: http://www.trojaner-board.de/51262-a...sicherung.html

Zitat:

Panda ist bei 28% das wird noch länger dauern, da ich morgen arbeiten muss, wollte ich fragen, ob man dann morgen abend weitermachen kann!?

Klar, ich warte.

ciao, andreas

Ok zurück von der Maloche an den PC .

Folgendes vom AVP-Tool:

Scan
----
Scanned: 595450
Detected: 0
Untreated: 0
Start time: 03.02.2009 08:08:25
Duration: 02:37:28
Finish time: 03.02.2009 10:45:53


Detected
--------
Status Object
------ ------


Events
------
Time Name Status Reason
---- ---- ------ ------
03.02.2009 08:09:43 Running module: SMSS.EXE\smss.exe ok scanned
03.02.2009 08:09:45 File: C:\WINDOWS\System32\smss.exe ok scanned
03.02.2009 08:09:46 Running module: SMSS.EXE\ntdll.dll ok scanned
03.02.2009 08:09:46 File: C:\WINDOWS\system32\ntdll.dll ok scanned
03.02.2009 08:09:47 Running module: CSRSS.EXE\csrss.exe ok scanned
03.02.2009 08:09:47 File: C:\WINDOWS\system32\csrss.exe ok scanned
03.02.2009 08:09:47 Running module: CSRSS.EXE\ntdll.dll ok scanned
03.02.2009 08:09:47 File: C:\WINDOWS\system32\ntdll.dll ok scanned
03.02.2009 08:09:47 Running module: CSRSS.EXE\CSRSRV.dll ok scanned
03.02.2009 08:09:47 File: C:\WINDOWS\system32\CSRSRV.dll ok scanned
03.02.2009 08:09:47 Running module: CSRSS.EXE\basesrv.dll ok scanned
03.02.2009 08:09:47 File: C:\WINDOWS\system32\basesrv.dll ok scanned
03.02.2009 08:09:47 Running module: CSRSS.EXE\winsrv.dll ok scanned
03.02.2009 08:09:48 File: C:\WINDOWS\system32\winsrv.dll ok scanned
03.02.2009 08:09:48 Running module: CSRSS.EXE\GDI32.dll ok scanned
03.02.2009 08:09:49 File: C:\WINDOWS\system32\GDI32.dll ok scanned
03.02.2009 08:09:49 Running module: CSRSS.EXE\KERNEL32.dll ok scanned
03.02.2009 08:09:50 File: C:\WINDOWS\system32\KERNEL32.dll ok scanned
03.02.2009 08:09:50 Running module: CSRSS.EXE\USER32.dll ok scanned
03.02.2009 08:09:51 File: C:\WINDOWS\system32\USER32.dll ok scanned
03.02.2009 08:09:51 Running module: CSRSS.EXE\sxs.dll ok scanned
03.02.2009 08:09:51 File: C:\WINDOWS\system32\sxs.dll ok scanned
03.02.2009 08:09:51 Running module: CSRSS.EXE\ADVAPI32.dll ok scanned


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----


Ist es problematisch die Daten zu brennen und neu aufzuspielen?

PrevXCSi sagt alles clean!

Soll ich nochmal Avira laufen lassen, wie siehts mit aktivieren der System-Wiederherstellung aus?

Was sich verändert hat: Festplattenzugriff, keine rezidivierenden Avira-Virus-Pop-ups

gruss