Nee ich hab mir nur ein wenig gewundert, hab auch erst vor kurzem den Tipp bekommen mit dem Umbenennen der combofix.exe, und da ich combofix an meinen Kisten rel. selten ausführe, wusste ich noch nicht so genau wie sich das Tool verhält wenn es umbenannt ausgeführt wird. Ich denke das passt schon alles bei Dir.

Zitat:

Zitat von cosinus

Ich denke das passt schon alles bei Dir.

bezieht sich nur auf das umbenennen oder? :-D

Kann es sein, dass die Partitionen oder Externen betroffen sind?
Würd sonst das System neu aufsetzen... geht ja wesentlich schneller...

nochmal danke :aplaus:

Wenn Du auf Nummer sicher gehen willst...ja dann setze neu auf, sowas kann ich begrüßen, denn beim Bereinigen hat man keine Garantie.

Die ext. Platte kann infizierte Daten beinhalten, die aktiven Schädlinge habens aber fast immer auf Systembereiche abgesehen. Wenn, dann legen sie immer eine Schädlingsdatei irgendwo auf dem ext. Datenträger (auch zB ein USB-Stick) ab und konfigurieren eine autorun.inf, in der dann durch den Autostart beschrieben wird, immer die Schädlingsdatei zu starten.

Da Windows standardmäßig IMMER den Autostart an hat und ca. 99,999 % der User ( ) immer mit Adminrechten unterwegs sind, ist die Wahrscheinlichkeit groß, einen Computer zu infizieren, wenn nun ein solches infiziertes ext. Gerät angeschlossen wird.

Ich werde morgen folgendes machen...
1. die externen mit allem was ich habe überprüfen
2. alle daten von den partitionen auf die externen ziehen
3. alle partitionen formatieren
4. system neu aufsetzen

Zitat:

Wenn, dann legen sie immer eine Schädlingsdatei irgendwo auf dem ext. Datenträger (auch zB ein USB-Stick) ab und konfigurieren eine autorun.inf, in der dann durch den Autostart beschrieben wird, immer die Schädlingsdatei zu starten.

Wie kann ich das herausfinden? Wäre ja sinnvoll das zu wissen, bevor ich das zeug woanders dransteck oder das system neu aufsetze...

Aber grundsätzlich sind die Probleme jetzt behoben oder?
Waren die log files soweit in Ordnung?

DANKE!!!!

Du könntest erstmal Dir alle Dateien anzeigen lassen. Auch die versteckten und die geschützten Systemdateien.

Schau dann mal auf die ext. Platten ob da eine autorun.inf vorhanden ist.

Normalerweise solltest Du auch alle ausführbaren Dateien nicht mehr ins neu aufgesetzte System übernehmen, also behalte keine Programm, Spiele sowie deren Setupdateien auf der ext. Platte.

Im log ist mir nur das aufgefallen:

Code: Alles auswählenAufklappen

ATTFilter

R0 sojubus;sojubus;c:\windows\system32\drivers\sojubus.sys [05.10.2003 10:41 123520]
R0 sojuscsi;sojuscsi;c:\windows\system32\drivers\sojuscsi.sys [28.09.2003 10:57 5504]
         

Du könntest mal die betroffenen Dateien auswerten lassen, denn bei denen bin ich mir nicht ganz sicher:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\drivers\sojubus.sys
c:\windows\system32\drivers\sojuscsi.sys
         

Zitat:

alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Das habe ich jetzt nicht so ganz verstanden... aber ich bin auch gerade nicht mehr zu Hause.
Ich mache das morgen... wird sich wahrscheinlich von allein lösen...

Edit: hab jetzt bisschen im Forum rumgeschaut, wie das andere machen.... einfach das was mir virustotal ausspuckt hier rein posten ja? ^^ Sowas wie Dateigrößen und Prüfsummen werden da wohl schon dabei sein :-D

Die autrun.inf kann man ja einfach löschen und nach nem neustart wird sie neu erstellt oder?

Ich sag mal Gute Nacht und nochmal vielen Dank!

sojubus.sys --> 0/41

Code: Alles auswählenAufklappen

ATTFilter

  
Datei sojubus.sys empfangen 2009.08.21 08:25:09 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 


Ergebnis: 0/41 (0%)
Laden der Serverinformationen... 
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen. 
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. 
Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt. 
 Filter Drucken der Ergebnisse  
Datei existiert nicht oder dessen Lebensdauer wurde überschritten 
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). 
Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, 
oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", 
damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 
 Email:  
  

Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.5.0.24 2009.08.21 - 
AhnLab-V3 5.0.0.2 2009.08.20 - 
AntiVir 7.9.1.3 2009.08.21 - 
Antiy-AVL 2.0.3.7 2009.08.21 - 
Authentium 5.1.2.4 2009.08.20 - 
Avast 4.8.1335.0 2009.08.20 - 
AVG 8.5.0.406 2009.08.21 - 
BitDefender 7.2 2009.08.21 - 
CAT-QuickHeal 10.00 2009.08.20 - 
ClamAV 0.94.1 2009.08.21 - 
Comodo 2043 2009.08.21 - 
DrWeb 5.0.0.12182 2009.08.21 - 
eSafe 7.0.17.0 2009.08.20 - 
eTrust-Vet 31.6.6692 2009.08.21 - 
F-Prot 4.4.4.56 2009.08.20 - 
F-Secure 8.0.14470.0 2009.08.21 - 
Fortinet 3.120.0.0 2009.08.21 - 
GData 19 2009.08.21 - 
Ikarus T3.1.1.68.0 2009.08.21 - 
Jiangmin 11.0.800 2009.08.21 - 
K7AntiVirus 7.10.823 2009.08.20 - 
Kaspersky 7.0.0.125 2009.08.21 - 
McAfee 5715 2009.08.20 - 
McAfee+Artemis 5715 2009.08.20 - 
McAfee-GW-Edition 6.8.5 2009.08.21 - 
Microsoft 1.4903 2009.08.21 - 
NOD32 4353 2009.08.20 - 
Norman 6.01.09 2009.08.20 - 
nProtect 2009.1.8.0 2009.08.21 - 
Panda 10.0.0.14 2009.08.20 - 
PCTools 4.4.2.0 2009.08.20 - 
Prevx 3.0 2009.08.21 - 
Rising 21.43.41.00 2009.08.21 - 
Sophos 4.44.0 2009.08.21 - 
Sunbelt 3.2.1858.2 2009.08.21 - 
Symantec 1.4.4.12 2009.08.21 - 
TheHacker 6.3.4.3.384 2009.08.21 - 
TrendMicro 8.950.0.1094 2009.08.21 - 
VBA32 3.12.10.9 2009.08.20 - 
ViRobot 2009.8.21.1894 2009.08.21 - 
VirusBuster 4.6.5.0 2009.08.20 - 
weitere Informationen 
File size: 123520 bytes 
MD5...: 218bfa61acdc109df7df6c8aaed1422c 
SHA1..: 729e3ca20f696c74788b80e0c95dbb5a7c24254c 
SHA256: f1370e56dd1281671a291b18db8736064736c63d3a9a33b726d881d4e5ee28ba 
ssdeep: 3072:CzMi7aGMQTUtoBIepjzRci3c4N7nzeAe/PuWUzKZPqn3CFY8Z:CzXa1mUto
B1pj+i3RNLzOuNOZPUC7Z
 
PEiD..: - 
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x19a8a
timedatestamp.....: 0x3f7ef9b7 (Sat Oct 04 16:47:51 2003)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x11f4b 0x11f80 6.73 ef028e3a7d760a2ffe4d5018554818fd
.rdata 0x12300 0x26b 0x280 4.96 9f8f694f7bcfc58a51ca2a05901895c7
.data 0x12580 0x2ec0 0x2f00 5.89 2307cf546c093a2a195ecd7d7a62fb51
PAGE 0x15480 0x4574 0x4580 6.56 0837a7972e24bd65abbeed0769676089
.edata 0x19a00 0x47 0x80 2.36 bb21e040f68623fbb957bea59db9c9fa
INIT 0x19a80 0x325c 0x3280 6.89 92c4e15f0ca27df3626cab8652754d79
.rsrc 0x1cd00 0x340 0x380 3.11 ec2b15d6485e61e67bc8a6330efe4c7a
.reloc 0x1d080 0x11ea 0x1200 6.59 3273db78631b8b84dea2f5fd18a2ead1

( 2 imports ) 
> ntoskrnl.exe: IofCompleteRequest, KeClearEvent, IofCallDriver, ObfReferenceObject, IoDeleteSymbolicLink, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlAppendUnicodeStringToString, ZwClose, ZwCreateKey, ZwOpenKey, RtlCopyUnicodeString, RtlInitUnicodeString, KeLeaveCriticalRegion, KeEnterCriticalRegion, sprintf, IoAttachDeviceToDeviceStack, KeInitializeEvent, KeWaitForSingleObject, IoDetachDevice, swprintf, ObfDereferenceObject, IoBuildSynchronousFsdRequest, MmProbeAndLockPages, ZwQuerySystemInformation, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoGetAttachedDevice, MmMapLockedPages, _stricmp, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, KeDelayExecutionThread, RtlEqualUnicodeString, MmUnlockPages, ZwUnmapViewOfSection, ZwMapViewOfSection, ObReferenceObjectByHandle, _alldiv, RtlCompareMemory, IoAllocateMdl, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, KeResetEvent, ZwSetValueKey, wcslen, IoFreeIrp, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, IoAllocateIrp, MmBuildMdlForNonPagedPool, ExfInterlockedRemoveHeadList, KeReleaseSemaphore, ExfInterlockedInsertTailList, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, _allmul, ZwQueryValueKey, _allshr, RtlUnicodeStringToAnsiString, memmove, PsGetVersion, KeInitializeSemaphore, KeInitializeSpinLock, _wcsnicmp, ExDeleteResourceLite, ExInitializeResourceLite, IoGetConfigurationInformation, _allrem, RtlUnwind, KeSetEvent, ExFreePool, ExAllocatePoolWithTag, IoReleaseCancelSpinLock, IoAcquireCancelSpinLock, IoFreeMdl, PsGetCurrentProcessId
> HAL.dll: KfReleaseSpinLock, KeStallExecutionProcessor, KeQueryPerformanceCounter, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock

( 1 exports ) 
_PnpA@20
 
PDFiD.: - 
RDS...: NSRL Reference Data Set
-
         

Zitat:

Zitat von update

Die autrun.inf kann man ja einfach löschen und nach nem neustart wird sie neu erstellt oder?

Was ich meinte, bezog sich nur auf den Typus Malware, der sich auch auf USB-Sticks/-Platten einnisten will. Da wird eben eine Schädlingsdatei irgendwo auf dem ext. medium kopiert und eine autorun.inf vom Schädling ertzeugt - diese sorgt dafür, dass beim Autoplay die Schädlingsdatei auch ausgeführt wird.

Wieso sollte sie nach dem Neustart neu erstellt werden (sollen)? Sowas hat auch auf ext. Medien eigentlich nichts zu suchen (außer bei CDROM, da ist ein Neustart ja gewollt, für mich aber lästig)

Du könntest - falls so eine autorun.inf auf einen Deiner Sticks oder ext. Platten drin ist - die mal mit dem Editor öffnen. Sie ist so aufgebaut:

Code: Alles auswählenAufklappen

ATTFilter

[AutoRun]
open=programm.exe
icon=programm.ico
action=Programm starten
         

Nach "open" steht der Pfad zum Programm drin, also die mutmaßliche Schädlingsdatei.

Zitat:

Scheinbar ist die eine Datei ja ein rootkit oder so...

Wegen der Sojobus...Nein ich denke das ist kein Rootkit! Da hat nur ein Scanner angeschlagen, und das wird sehr wahrscheinlich ein Fehlalarm sein. Die Hinweise bei der sojubus verdichten sich auf BIOS PlugnPlay Extensions.

Ob Du jetzt noch neu aufsetzen möchtest, ist Deine Entscheidung, die offensichtliche Schädlinge sind entfernt worden.

Wenn Du erstmal mit dem System so weiterarbeiten willst, solltest Du noch die Systemwiederherstellung deaktivieren , denn im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.