Hallo leider geht der Scan nicht...
es hängt sich immer wieder auf
habe es 4x probiert aber es geht nicht..
immer wieder diese hänger..

Was heisst genau "hängt sich auf"? Kannst du das bitte mal genauer beschreiben?

Gruß

Acid

Natürlich..
also das Programm hängt sich auf so das Keine Rückmeldung kommt und paar Sekunden später hängt sich der ganze PC auf.. kann aber noch die Maus bewegen aber der PC reagiert auf nichts mehr.

Sprich nur noch Neustart hilft

Also das mit "Keine Rückmeldung" kommt ab und an mal vor kurz bevor GMER fertig mit dem scan ist. Normalerweise kommt dann kurze Zeit später das log. Kann aber auch daran liegen daß gmer ziemlich direkt ins System rein geht (was es auch muss). Das macht nicht jeder Rechner mit.

Aber lass es uns zur vorsicht mal mit einem anderen Tool probieren, RootRepeal.

Einstellungen und Verhaltensweise wie beim Scan mit GMER aber natürlich ist dei Bedienung des Programms etwas anders.

Lade dir RootRepeal hier herunter: RootRepeal - RootRepeal - Rootkit Detector

• Entpacke die Datei auf Deinen Desktop.
  Doppelklicke die RootRepeal.exe, um den Scanner zu starten. Klicke auf den Reiter Report und dann auf den Button Scan.
  Mache einen Haken bei den folgenden Elementen und klicke Ok.

Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT

• # Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• # Wähle C:\ und klicke wieder Ok.
• # Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• # Wenn der Suchlauf beendet ist, klicke auf Save Report.
• # Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• # Kopiere den Inhalt hier in den Thread.

nach 5 versuchen passiert genau das selbe
es hängt sich auf...
nur noch neustart hilft
er hängt sich immer bei files auf..

was soll ich jetz tun bin langsam echt ratlos

Hallo dome

Schon sehr suspekt das ganze. Probieren wir das mal mit Sysprot:

Rootkitsuche mit SysProt

• Lade dir SysProt auf den Desktop und starte das Tool
• Gehe dort auf den Reiter "Log"
• Setze nun einen Haken bei:
  • Kernel Modules
  • Kernel Hooks
  • Hidden Files
  • Und unten bei "Hidden Objects Only"
• Drücke nun auf "Create Log"
• Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
• Wenn der Scan abgeschlossen ist, beende SysProt.
• Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

Gruß

Acid

guten abend,

endlich hat es mal geklappt

habe diesen log nur gefunden
hoffe das ist der richtige

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_nvata.sys
Service Name: ---
Module Base: B5DC7000
Module End: B5DE1000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS
Service Name: ---
Module Base: BADE8000
Module End: BADEA000
Hidden: Yes

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: D:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: D:\System Volume Information\tracking.log
Status: Access denied

Object: D:\System Volume Information\_restore{BA3EEF0E-5B44-43B8-BC0D-F24F75B08B22}
Status: Access denied

Object: C:\Dokumente und Einstellungen\dome.DOME-7705E5FC68\Eigene Dateien\ICQ\407737737\ReceivedFiles\409626065 »?????¢s???«
Status: Hidden

Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\tracking.log
Status: Access denied

Object: C:\System Volume Information\_restore{B8F7E53B-6406-4BFD-8298-32D1497D7A5D}
Status: Access denied

Object: C:\System Volume Information\_restore{BA3EEF0E-5B44-43B8-BC0D-F24F75B08B22}
Status: Access denied


hoffe du kannst mir jetzt weiter helfen

Hallo dome

Unerwünschter Gast anwesend.

Anleitung Avenger (by swandog46)

Lade dir das Tool File-Upload.net - Hopsassa.exe und speichere es auf dem Desktop: SCRIPT NUR MIT KOMPLETTEN PFADNAMEN

* Doppelklick auf das Avenger-Symbol

* Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

files to delete: 
C:\WINXP\system32\drivers\EagleNT.sys

drivers to delete: 
EagleNT
         

* Schliesse nun alle Programme undr Browse-Fenster

* Um den Avenger zu starten klicke auf -> Execute
* Dann bestätigen mit "Yes" das der Rechner neu startet

* Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

* Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Gruß

Acid

kam folgendes bei raus

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINXP\system32\drivers\EagleNT.sys" not found!
Deletion of file "C:\WINXP\system32\drivers\EagleNT.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "EagleNT" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hallo dome

Das ist doch schon mal was.

Probieren wirs jetzt nochmal mit

Bevor mit GMER gescant werden kann müssen erst einige Dinge erledigt werden:

Alle Scanner gegen Viren, Spyware und sonstiges müssen deaktiviert werden
Alle Netzwerk- und Internetverbindungen trennen (auch WLAN)
Beim Scan nichts am Rechner machen
Nach dem Scan den Rechner neustarten

Der GMER Scan:

* GMER auf den Desktop herunter laden.
* Gmer ist geeignet für => NT/W2K/XP/VISTA.
* Alle geöffneten Programme schließen (auch den Browser) Hintergrundprogramme nach Möglichkeit beenden
* Gmer.exe starten
* Vista-User müssen das Programm als Administrator starten
* Den Scan mit "Scan" starten. Nichts am Rechner machen während der Scan läuft.
* Wenn der Scan fertig ist auf "Copy" klicken um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Das Log entweder direkt als Antwort posten oder als Textdatei auf den Desktop speichern falls erst der Neustart durchgeführt wird.

Falls sich ein Fenster mit folgender Warnung öffnet:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Gruß

Acid

Scan lief gut durch...
nach dem neustart fand ich den log hier

GMER 1.0.15.15163 - GMER - Rootkit Detector and Remover
Rootkit scan 2009-11-01 11:24:57
Windows 5.1.2600 Service Pack 3
Running: iphfnv0q.exe; Driver: C:\DOKUME~1\DOME~1.DOM\LOKALE~1\Temp\kxwiraow.sys


---- System - GMER 1.0.15 ----

SSDT BAEA8896 ZwCreateKey
SSDT BAEA888C ZwCreateThread
SSDT BAEA889B ZwDeleteKey
SSDT BAEA88A5 ZwDeleteValueKey
SSDT BAEA88AA ZwLoadKey
SSDT BAEA8878 ZwOpenProcess
SSDT BAEA887D ZwOpenThread
SSDT BAEA88B4 ZwReplaceKey
SSDT BAEA88AF ZwRestoreKey
SSDT BAEA88A0 ZwSetValueKey
SSDT BAEA8887 ZwTerminateProcess

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Hallo dome

Versuche jetzt bitte ob du deinen Rechner mit Malwarebytes scannen kannst (vorher updaten). Vor dem Scan alle externen Festplatten und USB-Sticks an den Rechner anschließen, Komplett Scan. Danch noch http://www.trojaner-board.de/51871-a...tispyware.html. Beide logs posten.

Gruß

Acid

geht leider beides nicht..
es hängt sich wieder auf

noch ne idee?

Hallo dome

Bitte deinstalliere beide Programme und lösche auch die beiden setup.exe. Danach neu runter laden aber diesmal mit rechtsklick => Ziel speichern unter => smss.exe (MBAM) und blubb.exe (SAS). Beide bitte direkt auf den Desktop laden, nicht in ein Verzeichnis. Installieren, updaten, funktionierts dann?

Gruß

Acid

geht leider auch so nicht
hängt sich immer noch auf

noch ne idee?
bin langsam am verzweifeln ^^