Dank Angel21 Hinweise:

Alternativer Link für das Sophos Anti-Rootkit => |MG| Sophos Anti-Rootkit 1.5 Download

Wegen GMER: GMER aufm Desktop speichern, Vista im abgesicherten Modus starten und dann GMER ausführen, könnte klappen!

also sophos anti rootkit hat alles durch gescannt und sagt mir "no hidden items found on scan"

aber ich könnte das mit GMER nochmal versuchen wie beschrieben?!

Jo, mach mal mit GMER im abgesicherten Modus.

ok hat geklappt, hoff ich zumindest, das ging plötzlich so schnell...

GemLog

Ich hoffe so seh ich mehr:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

da hab ich dann direkt meine mittagspause genutzt

OTL-Scan

Deine Mittagspause?
Ist das ein Bürorechner?

nein, keine panick

bin mittags immer zu hause

Kannst Du mal bitte die Windows-Suche anschmeißen und nach iastor suchen? Poste bitte wenn die gefunden werden alle PFad komplett!

okay es wurden 6 Dateien gefunden:

C:\Toshiba\Drivers\Robson\Winall\Driver64\iaStor.cat
C:\Toshiba\Drivers\Robson\Winall\Driver\iaStor.cat
C:\Toshiba\Drivers\Robson\Winall\Driver64\IaStor.sys
C:\Toshiba\Drivers\Robson\Winall\Driver\iaStor.sys
C:\Toshiba\Drivers\Robson\Winall\Driver64\iaStor.inf
C:\Toshiba\Drivers\Robson\Winall\Driver\iaStor.inf

beim 3. Pfad ist das Große "I" kein Versehen, das steht da wirklich so drin.

Sehr gut, ich glaub das kriegen wir noch hin
Bitte nochmal den Avenger wie o.g. anwenden aber folgendes Script nutzen:

Zitat:

files to move:
C:\Toshiba\Drivers\Robson\Winall\Driver\iaStor.sys | C:\Windows\system32\DRIVERS\iaStor.sys

gesagt, getan.

Übrigens kam jetzt nach den neustart die meldung von antivir das in C:\Avenger\iaStor.sys das Trojanische Pferd TR/Patched.Gen gefunden wurde. ich hab die meldung noch auf dem schirm, soll ich es in Quarantäne verschieben, oder direkt löschen?

PHP-Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "C:\Toshiba\Drivers\Robson\Winall\Driver\iaStor.sys|C:\Windows\system32\DRIVERS\iaStor.sys" completed successfully.

Completed script processing.

*******************

Finished!  Terminate. 


Zitat:

Übrigens kam jetzt nach den neustart die meldung von antivir das in C:\Avenger\iaStor.sys das Trojanische Pferd TR/Patched.Gen gefunden wurde. ich hab die meldung noch auf dem schirm, soll ich es in Quarantäne verschieben, oder direkt löschen?

Bitte erst bei Virustotal.com auswerten lassen! Danach bitte einen neuen Durchlauf mit GMER machen

ich kann die datei nicht hochladen

avira piepst mir dann immer dazwischen und es kommt eine meldung von windows, dass ich nicht berechtigt bin diese datei zu öffnen.

Sag, Avira soll die Datei ignorieren! Die ist nicht aktiv und kann Dir so ohne Weiteres keinen Schaden anrichten!