Kaspersky meldet noch gar nichts... Bin erst bei 8% von der Vollständigen Suche.

Vergiss den Kasper, tue das: http://www.trojaner-board.de/70235-v...tml#post415009

ciao, andreas

Ok, fertig:


Datei mv61xx.sys empfangen 2009.02.21 14:24:43 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.21 -
AhnLab-V3 2009.2.21.0 2009.02.21 -
AntiVir 7.9.0.87 2009.02.21 -
Authentium 5.1.0.4 2009.02.20 -
Avast 4.8.1335.0 2009.02.20 -
AVG 8.0.0.237 2009.02.20 -
BitDefender 7.2 2009.02.21 -
CAT-QuickHeal 10.00 2009.02.20 -
ClamAV 0.94.1 2009.02.21 -
Comodo 983 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.21 -
eSafe 7.0.17.0 2009.02.19 -
eTrust-Vet 31.6.6368 2009.02.20 -
F-Prot 4.4.4.56 2009.02.20 -
F-Secure 8.0.14470.0 2009.02.21 -
Fortinet 3.117.0.0 2009.02.21 -
GData 19 2009.02.21 -
Ikarus T3.1.1.45.0 2009.02.21 -
K7AntiVirus 7.10.638 2009.02.20 -
Kaspersky 7.0.0.125 2009.02.21 -
McAfee 5531 2009.02.21 -
McAfee+Artemis 5531 2009.02.21 -
Microsoft 1.4306 2009.02.21 -
NOD32 3875 2009.02.21 -
Norman 6.00.06 2009.02.20 -
nProtect 2009.1.8.0 2009.02.21 -
Panda 10.0.0.10 2009.02.20 -
PCTools 4.4.2.0 2009.02.21 -
Prevx1 V2 2009.02.21 -
Rising 21.17.52.00 2009.02.21 -
SecureWeb-Gateway 6.7.6 2009.02.21 -
Sophos 4.39.0 2009.02.21 -
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.21 -
TheHacker 6.3.2.4.262 2009.02.21 -
TrendMicro 8.700.0.1004 2009.02.20 -
VBA32 3.12.10.0 2009.02.21 -
ViRobot 2009.2.20.1617 2009.02.20 -
VirusBuster 4.5.11.0 2009.02.20 -
weitere Informationen
File size: 150568 bytes
MD5...: a95fed4c2fb11c79e7ddbe2eff1919b5
SHA1..: 9c50852bec4844e89dba865dadc3e8dca7092718
SHA256: f2754e72fb5691a0b519472a67f409f6f1cc7114941d63429395b0990e0087fb
SHA512: 2f9dbc7dc43caafb462153405b68659cd96c113d20d30c9f69a8c3ea5b645660
94ff908659695600ff13a7fb78bbeb5dc3c5c184836d6261fd8026b8fe5a9885
ssdeep: 3072:IIfpRzTuPe5o/uVKWr242JeSd97xn3yBOw+JRuH5wAu1NCizYuwZ:IIfpli
PaOuVKWr242JlpxQOlJ4H
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x48005
timedatestamp.....: 0x484e5690 (Tue Jun 10 10:25:20 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1c12e 0x1c200 6.63 3b2b873cb2f0a58971c29e654a3d0359
.rdata 0x1e000 0x1e4 0x200 4.26 6ad909439f4651a4e89dab3401c7b719
.data 0x1f000 0x18b7c 0x600 7.27 907a6b7a95f88bf0cf57228d9b547852
INIT 0x38000 0x6e8 0x800 5.11 d6683be34a7ae0353d36a6719363214c
.rsrc 0x39000 0x5268 0x5400 3.59 a45aded59ca26185084cb400257097c0
.reloc 0x3f000 0x702 0x800 4.37 3900b5ef16333f65a9a3daeda19a15f0

( 3 imports )
> ntoskrnl.exe: ObfDereferenceObject, ZwMakeTemporaryObject, ExUnregisterCallback, IoGetDmaAdapter, ExFreePoolWithTag, KeSetEvent, IoFreeIrp, KeWaitForSingleObject, IofCallDriver, KeInitializeEvent, IoAllocateIrp, IoBuildDeviceIoControlRequest, IoGetAttachedDeviceReference, ExfInterlockedInsertTailList, ExAllocatePoolWithTag, _vsnwprintf, ExRegisterCallback, ExCreateCallback, RtlInitUnicodeString, IofCompleteRequest, ExNotifyCallback, KeTickCount, KeBugCheckEx, RtlUnwind, KeInsertQueueDpc, KeInitializeDpc, KeRemoveQueueDpc, IoAllocateErrorLogEntry, memmove, IoWriteErrorLogEntry, _allrem, _alldiv, KeQuerySystemTime, ExSystemTimeToLocalTime, memcpy, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, RtlCreateRegistryKey, RtlWriteRegistryValue, memset, _allmul, _aullrem, _aulldiv, _allshl, _aullshr, sprintf, IoGetDeviceProperty, DbgPrint
> HAL.dll: KeGetCurrentIrql, KfAcquireSpinLock, KfReleaseSpinLock
> SCSIPORT.SYS: ScsiPortReadPortUlong, ScsiPortInitialize, ScsiPortGetPhysicalAddress, ScsiPortNotification, ScsiPortWritePortUlong, ScsiPortGetDeviceBase, ScsiPortSetBusDataByOffset, ScsiPortGetBusData, ScsiPortGetUncachedExtension, ScsiPortStallExecution, ScsiPortValidateRange, ScsiPortWriteRegisterUlong, ScsiPortReadRegisterUlong

( 0 exports )

Noch was... Kaspersky hat nun folgendes gefunden (ist aber noch nicht fertig / 25%):
21.02.2009 14:17:49 Gefunden: Packed.Win32.Tdss.c c:\Qoobox\Quarantine\G\RECYCLER\S-8-3-28-100019036-100005519-100007943-2105.com.vir
21.02.2009 14:18:54 Nicht desinfizierte Objekte: Packed.Win32.Tdss.c c:\Qoobox\Quarantine\G\RECYCLER\S-8-3-28-100019036-100005519-100007943-2105.com.vir Zurückgestellt

Die Meldungen haben nichts zu bedeuten.

1.) Start => Ausführen => combofix /u (aufs Leerzeichen achten!) => OK
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
3.) Neustart => Systemwiederherstellung aktivieren
4.) Arbeite noch die Punkte b und d unserer Liste ab:
http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

Punkt b) läuft gerade (zum 2. Mal schon)
das kann wieder ein paar Stunden dauern bis ich da ein Ergebnis hab.
Macht es einen Unterschied ob ich das jetzt nochmal mache, da es ja vorhin schon fertig ausgeführt wurde?
Und kann ich punkt d) sofort machen oder sollte ich damit warten bis Malwarebytes-Anti-Malware fertig ist?

Zitat:

Macht es einen Unterschied ob ich das jetzt nochmal mache, da es ja vorhin schon fertig ausgeführt wurde?

Du hast kein Log gepostet, also bin ich davon ausgegangen, dass es noch nicht getan wurde.

Zitat:

Und kann ich punkt d) sofort machen oder sollte ich damit warten bis Malwarebytes-Anti-Malware fertig ist?

Wie du möchtest.

ciao, andreas