Hallo,
ich habe einwenig das vertrauen in mein system verloren, nachdem ich die letzte Zeit trotz Kaspersky10 bei Kontrollscanns mit malwarbyte immer mal wieder Viren gefunden habe.
Aktuell finden weder malwarbyte noch kaspesky Bedrohungen.

Ich habe einen scan mit Catchme gemacht dabei habe ich zig hundert einträge aus den Messengerverzeichnis bekommen in denen ich die Verläufe speichere, ich kann das unmöglich alles hier reinkopieren ist auch immer im endefekt das gleiche nur eben mit wechselnden Adressen.

Code: Alles auswählenAufklappen

ATTFilter

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-20 16:21:14
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4135AAE1-55AF-B894-342C-D41E63D851B4}]
"iabfljlfjdbligbkob"=hex:6a,61,61,6b,68,69,63,6e,61,6f,62,62,67,6e,62,68,62,6b,61,61,00,..
"halfalgnhdknkken"=hex:6a,61,61,6b,68,69,63,6e,61,6f,62,62,67,6e,62,68,62,6b,61,61,00,..
"haagdjppphmfmncg"=hex:66,61,64,6b,69,6a,61,6d,61,6d,68,6a,00,f6

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

file zipped: C:\Users\Rupert\AppData\Local\Microsoft\Messenger\spxxxxx.xxxcom\SharingMetadata\adamixxxn73@hotmail.com\DFSR\Staging\CS{5097F963-5456-1F7E-A4CC-7B909CEFF3E5}\01\3723-{5097F963-5456-1F7E-A4CC-7B909CEFF3E5}-v1-{86981EB6-63F2-490C-8CAA-B7E3ED6D8D68}-v3723-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS ( 8 bytes ) 
file zipped:
         

Ich habe die Emailadresen mit einigen xxx abgeändert.
Mein Frage ist das ernstzunehmen oder eher harmlos.

Vielen dank und sonnige Inselgrüße
Rupert

Halli hallo.

Bitte deinstalliere Deamon Tools über die Systemsteuerung.
Während der Deinstallation musst du den Rechner neustarten.

Danach downloade dir das Tool hier: http://www.duplexsecure.com/download/SPTDinst-v162-x86.exe
Starte es durch einen Doppelklick. Im anschließenden Dialog wirst du den "Uninstall" Button finden. Betätige diesen um SPTD zu deinstallieren.
Starten den Rechner danach neu.

Räume mit dem CCleaner auf (Punkte 1&2).



GMER - Rootkit Detection

• Lade GMER von hier herunter. (Etwas weiter unten auf der Seite findet sich der Button "Download EXE". Es wird ein zufälliger Dateiname erzeugt.)
• Doppelklicke die zufälligerDateiname.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Hallo,
Wow das ging ja Fix.
Den CCleaner hatte ich gestern schon gemacht.
GMER - Rootkit Detection läuft seit ca 1 stunde und ist noch nicht Fertig, das dauert wohl noch ein bisserl. Sind ca. 1 terrabyte Daten drauf auf mehrern Platten. Da ich auf auch noch mein altes xp hin und wieder verwende habe ich beide Platten zum Durchsuchen angegben.

Zitat:

Bitte deinstalliere Deamon Tools über die Systemsteuerung.
Während der Deinstallation musst du den Rechner neustarten

hm also ich habe weder in der Sytemsteuerung unter Software noch unter Programme im Verzeichnis Daemon Tools gefunden.
Den Rest werde ich erledigen sobald das GMER seine Arbeit verrichtet hat.

Vielen Dank schon mal für die schnelle Reaktion

sonnige Inselgrüße
Rupert

In dem GMER Einstellungen solltest du eigentlich nichts verändern...

Bringt eh nichts wenn GMER ein system durchleuchtet welches in dem Moment garnicht aktiv ist.

Hallo,
ok ich habe dann nochmal von vorne angefangen inkl ccleaner, soweit so gut.
Allerdings bei gmr stürzte mir der Rechner nun 2 mal komplett ab mit Bluescreen. Jetzt beim 3. mal die Windows Meldung

Code: Alles auswählenAufklappen

ATTFilter

es.....exe funktioniert  nicht mehr.
         

\
Device\Hardisk\Shadowcopy1 war die letzte datei die er untersucht hatte.

Die Einstellungen hatte ich alle original so gelassen wie Sie sind.

Ds mbr hatte ich trotzdem noch gemacht aber heir scheint bis dahin alles in ordnung zu sein

Code: Alles auswählenAufklappen

ATTFilter

tealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

hatte die GMER datei auch nochmal neu runtergeladen.

Hallo,
ok ich habe dann nochmal von vorne angefangen inkl ccleaner, soweit so gut.
Allerdings bei gmr stürzte mir der Rechner nun 2 mal komplett ab mit Bluescreen. Jetzt beim 3. mal die Windows Meldung

Code: Alles auswählenAufklappen

ATTFilter

es.....exe funktioniert  nicht mehr.
         

\
Device\Hardisk\Shadowcopy1 war die letzte datei die er untersucht hatte.

Die Einstellungen hatte ich alle original so gelassen wie Sie sind.

Ds mbr hatte ich trotzdem noch gemacht aber heir scheint bis dahin alles in ordnung zu sein

Code: Alles auswählenAufklappen

ATTFilter

tealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

hatte die GMER datei auch nochmal neu runtergeladen.

Das er nun abschmiert ist kein gutes Zeichen.

Grade der Pfad Hardisk\Shadowcopy1 gefällt mir garnicht.

Erstelle bitte zwei AVZ logs.