Hi,

wir müssen abschließend noch aufräumen:

Systemwiederherstellung löschen
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Combofix deinstallieren (falls noch nicht gemacht):
Start->Ausführen-> combofix /u

Aufräumen:
Backups von Avenger&Co (falls vorhanden) löschen:
Falls der Rechner einwandfrei läuft, können die Backups der
Bereinigungstools gelöscht werden (soweit vorhanden):

C:\Qoobox - loeschen und Papierkorb leeren (ComboFix Backups)
C:\avenger\backup.zip - loeschen und Papierkorb leeren (Avenger)
C:\VundoFix Backups - loeschen und Papierkorb leeren
C:\RVAXO-results.log -->Papierkorb leeren
Backupfiles von HJ liegen im HJ-Ordner


Passwörter etc. ändern nicht vergessen...

Und, was meinte AVIRA?
Bie Rootkit und Backdoor sollte eigentlich Neuaufgesetzt werden, da Einstellungen und "Hintertürchen" angelegt worden sein können...

chris & out

So, ich habe alle von dir aufgezählten Schritte durchgeführt.

Also im Forum von Avira wurde mir direkt zur Neuinstallation von Windows geraten, ohne vorher irgendein anderes Programm auszuprobieren.
Du hast nun auch nochmal geschrieben, dass man bei Rootkits, wie ich es ja hatte, normalerweise das System neu aufsetzt. Ist mein PC denn nun trotzdem wieder sauber oder muss ich doch noch formatieren?

Hi,

besser wäre Neuaufsetzen auf jeden Fall, besonderst dann, wenn sicherheitsrelevante Dinge gemacht werden (Homebanking etc.)...
Ansonsten bleibt es im "Ermessen" des Einzelnen, was er weiter tun will...

chris

Also ist mein PC noch immer nicht wieder sauber? Ich dachte, wir hätten das Rootkit entfernt. Hat es denn dann überhaupt etwas gebracht, was wir bis hierher gemacht haben? Gibt es noch irgendwas, was man tun kann (abgesehen vom Neuaufsetzen)?

Hi,

momentan ist nach meinem Kenntnisstand und dem der verwendeten Tools der Rechner sauber...
Aber: Falls das Rootkit was ganz neues eingeschleust hat, oder Dir irgendwelche Ports freigeschaltet hat, sehe ich (und die tools) das nicht...

Ports können über eine Firewall wieder geschlossen werden, nach einigen Tagen und einer gewissen Verbreitung der Malware, wird diese wieder erkannt...

Also in dem Fall: Teetrinken und abwarten, V-Tools updaten und ab- und an neuscannen...

Ein Restrisiko bleibt, wie wenn SW getestet wird (oder Autoelektrik etc.)... im Prinziep geht es, aber Fehler sind nun mal drin...

chris
Ps.: Und was von Deinem Rechner schon "abgegriffen" wurde (Passwörter etc.) kann ich Dir nicht sagen, daher in so einem Fall Pwd sofort von einem sauberen Rechner aus ändern, und die verwendeten Pwd für den Rechner ebenfalls nach Bereinigung alle ändern...

Okay, dann werde ich in der nächsten Zeit mehrmals pro Woche Scans mit MBAM und AV machen und schauen, ob der PC sauber bleibt. Ich habe übrigens einen Router, also sollte das mit den Ports wahrscheinlich nicht so das Problem sein. Passwörter hatte ich bereits vom Laptop aus geändert.

Auf jeden Fall vielen Dank für deine Hilfe.

Eine Frage habe ich allerdings noch: Ich habe auf meiner Festplatte einen Ordner namens C:\ERDNT bemerkt. Was genau ist das und ist es ungefährlich oder sollte ich es löschen?

Hi,

erdnt ist ein Backup-Ordner von Combofix, kann nach Deinstallation von CF gelöscht werden...

chris & Out