Hi,

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Poste dann noch bitte ein neues GMER -Log...

chris

soo, zur abwechslung mal ein kurzes script , hoffe mal, dass das ein gutes zeichen ist

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-13 19:10:55
Windows 5.1.2600 Service Pack 3
Running: 2hmtic6g.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kwtoypow.sys


---- System - GMER 1.0.15 ----

SSDT F7E9A106 ZwCreateKey
SSDT F7E9A0FC ZwCreateThread
SSDT F7E9A10B ZwDeleteKey
SSDT F7E9A115 ZwDeleteValueKey
SSDT F7E9A11A ZwLoadKey
SSDT F7E9A0E8 ZwOpenProcess
SSDT F7E9A0ED ZwOpenThread
SSDT F7E9A124 ZwReplaceKey
SSDT F7E9A11F ZwRestoreKey
SSDT F7E9A110 ZwSetValueKey
SSDT F7E9A0F7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF60EB340, 0x10843F, 0xF8000020]
.text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF9D5300, 0x237860, 0xF8000020]

---- EOF - GMER 1.0.15 ----

Hi,

das sieht gut aus, der Sicherheitshalber beide Treiber bei Virustotal prüfen:

C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable
C:\WINDOWS\System32\nv4_disp.dll

Das kann noch ein Rest der Infektion sein, oder ein Programmierfehler...

Poste die Logs von Virustotal...

chris

hier C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable

Datei nv4_mini.sys empfangen 2010.01.13 19:27:09 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit ist zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.48 2010.01.13 -
AhnLab-V3 5.0.0.2 2010.01.13 -
AntiVir 7.9.1.134 2010.01.13 -
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.13 -
Avast 4.8.1351.0 2010.01.13 -
AVG 9.0.0.725 2010.01.13 -
BitDefender 7.2 2010.01.13 -
CAT-QuickHeal 10.00 2010.01.13 -
ClamAV 0.94.1 2010.01.13 -
Comodo 3570 2010.01.13 -
DrWeb 5.0.1.12222 2010.01.13 -
eSafe 7.0.17.0 2010.01.13 -
eTrust-Vet 35.2.7235 2010.01.13 -
F-Prot 4.5.1.85 2010.01.12 -
F-Secure 9.0.15370.0 2010.01.13 -
Fortinet 4.0.14.0 2010.01.13 -
GData 19 2010.01.13 -
Ikarus T3.1.1.80.0 2010.01.13 -
Jiangmin 13.0.900 2010.01.13 -
K7AntiVirus 7.10.946 2010.01.13 -
Kaspersky 7.0.0.125 2010.01.13 -
McAfee 5859 2010.01.12 -
McAfee+Artemis 5859 2010.01.12 -
McAfee-GW-Edition 6.8.5 2010.01.13 -
Microsoft 1.5302 2010.01.13 -
NOD32 4768 2010.01.13 -
Norman 6.04.03 2010.01.13 -
nProtect 2009.1.8.0 2010.01.13 -
Panda 10.0.2.2 2010.01.13 -
PCTools 7.0.3.5 2010.01.13 -
Prevx 3.0 2010.01.13 -
Rising 22.30.02.06 2010.01.13 -
Sophos 4.49.0 2010.01.13 -
Sunbelt 3.2.1858.2 2010.01.13 -
Symantec 20091.2.0.41 2010.01.13 -
TheHacker 6.5.0.3.149 2010.01.13 -
TrendMicro 9.120.0.1004 2010.01.13 -
VBA32 3.12.12.1 2010.01.13 -
ViRobot 2010.1.13.2134 2010.01.13 -
VirusBuster 5.0.21.0 2010.01.13 -
weitere Informationen
File size: 1383450 bytes
MD5...: c4b773ad9425eba624b6638100a55a32
SHA1..: d05a64bf647a77ccfbf135b07204d64d99123261
SHA256: 4b8bbd044ee40eca93034b2bb1e1636bdde073c81e2f269d8e8318eaecab5d8f
ssdeep: 24576:eFrVSUjYf9R5DaCUTxjGuXN0gucINi+3faZOHPPPGuuuuea+MYfZWqfu+O
vlnDJ9:eF4UCP5D2UqN0niefWOHPPPGuuuue3Bu
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x135abc
timedatestamp.....: 0x3f729656 (Thu Sep 25 07:16:38 2003)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x340 0x10843f 0x108440 6.47 1f39f4e5f59e49088d153fd9bb9f1a32
_NVTEXT3 0x108780 0xaea 0xb00 5.42 674e5a2a64ef3b5b5ef4a2950f5c3fb0
.rdata 0x109280 0x9f4f 0x9f60 6.48 22c999154c5cb09153cabe5ccadd1454
.data 0x1131e0 0x2203c 0x22040 3.57 5da7b6698516b54d1ad495d1b47de211
PAGE 0x135220 0x512b 0x5140 6.39 9711710267d8e11ef77de3c3c6eea56f
PAGE 0x13a360 0x40 0x40 1.66 0c450ab949199e425a55f5b8e625140e
INIT 0x13a3a0 0x9a8 0x9c0 5.36 2646a2b03f4db6562c9f4c619d3f743c
.rsrc 0x13ad60 0xfa0 0xfa0 3.53 3d5a40b47c515f8de455e34d7d6ec8fa
.reloc 0x13bd00 0x5892 0x58a0 6.27 b4055c8018bc9fa85ce107c7c47499ed

( 3 imports )
> VIDEOPRT.SYS: VideoPortGetBusData, VideoPortStartTimer, VideoPortSetTrappedEmulatorPorts, VideoPortGetRegistryParameters, VideoPortSetRegistryParameters, VideoPortFreeDeviceBase, VideoPortGetDeviceBase, VideoPortGetCurrentIrql, VideoPortGetAccessRanges, VideoPortSetBusData, VideoPortGetVgaStatus, VideoPortAllocateBuffer, VideoPortMapMemory, VideoPortUnmapMemory, VideoPortInitialize, VideoPortCompareMemory, VideoPortSynchronizeExecution, VideoPortQueryServices, VideoPortQueueDpc, VideoPortStallExecution, VideoPortInt10, VideoPortReadRegisterUlong, VideoPortReadRegisterUshort, VideoPortReadRegisterUchar, VideoPortWriteRegisterUlong, VideoPortWriteRegisterUshort, VideoPortWriteRegisterUchar, VideoPortGetAssociatedDeviceExtension, VideoPortEnumerateChildren, VideoPortMoveMemory, VideoPortReleaseBuffer, VideoPortZeroMemory
> ntoskrnl.exe: MmUnlockPages, MmMapLockedPages, IoAllocateMdl, MmMapLockedPagesSpecifyCache, MmUnmapLockedPages, MmIsAddressValid, ZwUnmapViewOfSection, ZwClose, ZwMapViewOfSection, ObReferenceObjectByHandle, ZwOpenSection, RtlInitUnicodeString, PsCreateSystemThread, ObfDereferenceObject, RtlUnwind, MmProbeAndLockPages, IoFreeMdl, RtlInitAnsiString, RtlAnsiStringToUnicodeString, IoCreateSynchronizationEvent, KeClearEvent, KeSetEvent, KeRestoreFloatingPointState, KeSaveFloatingPointState, ExAllocatePoolWithTag, ExFreePool, PsGetCurrentProcessId, MmUnmapIoSpace, ExAllocatePool, ZwPowerInformation, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, KeDelayExecutionThread, MmFreeContiguousMemorySpecifyCache, MmAllocateContiguousMemorySpecifyCache, RtlTimeToTimeFields, KeInitializeSpinLock, KeGetCurrentThread, MmBuildMdlForNonPagedPool, KeQueryActiveProcessors, MmMapIoSpace, PsGetVersion, KeQuerySystemTime, MmGetPhysicalAddress
> HAL.dll: HalTranslateBusAddress, HalSetBusDataByOffset, HalGetBusDataByOffset, KfAcquireSpinLock, KfReleaseSpinLock, KeQueryPerformanceCounter, HalGetBusData

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: NVIDIA Corporation
copyright....: (C) NVIDIA Corporation. All rights reserved.
product......: NVIDIA Compatible Windows 2000 Miniport Driver, Version 46.30
description..: NVIDIA Compatible Windows 2000 Miniport Driver, Version 46.30
original name: nv4_mini.sys
internal name: nv4_mini.sys
file version.: 6.14.10.4630
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

und hier
C:\WINDOWS\System32\nv4_disp.dll

Datei nv4_disp.dll empfangen 2010.01.13 19:34:42 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.48 2010.01.13 -
AhnLab-V3 5.0.0.2 2010.01.13 -
AntiVir 7.9.1.134 2010.01.13 -
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.13 -
Avast 4.8.1351.0 2010.01.13 -
AVG 9.0.0.725 2010.01.13 -
BitDefender 7.2 2010.01.13 -
CAT-QuickHeal 10.00 2010.01.13 -
ClamAV 0.94.1 2010.01.13 -
Comodo 3570 2010.01.13 -
DrWeb 5.0.1.12222 2010.01.13 -
eSafe 7.0.17.0 2010.01.13 -
eTrust-Vet 35.2.7235 2010.01.13 -
F-Prot 4.5.1.85 2010.01.13 -
F-Secure 9.0.15370.0 2010.01.13 -
Fortinet 4.0.14.0 2010.01.13 -
GData 19 2010.01.13 -
Ikarus T3.1.1.80.0 2010.01.13 -
Jiangmin 13.0.900 2010.01.13 -
K7AntiVirus 7.10.946 2010.01.13 -
Kaspersky 7.0.0.125 2010.01.13 -
McAfee 5859 2010.01.12 -
McAfee+Artemis 5859 2010.01.12 -
McAfee-GW-Edition 6.8.5 2010.01.13 -
Microsoft 1.5302 2010.01.13 -
NOD32 4768 2010.01.13 -
Norman 6.04.03 2010.01.13 -
nProtect 2009.1.8.0 2010.01.13 -
Panda 10.0.2.2 2010.01.13 -
PCTools 7.0.3.5 2010.01.13 -
Prevx 3.0 2010.01.13 -
Rising 22.30.02.06 2010.01.13 -
Sophos 4.49.0 2010.01.13 -
Sunbelt 3.2.1858.2 2010.01.13 -
Symantec 20091.2.0.41 2010.01.13 -
TheHacker 6.5.0.3.149 2010.01.13 -
TrendMicro 9.120.0.1004 2010.01.13 -
VBA32 3.12.12.1 2010.01.13 -
ViRobot 2010.1.13.2134 2010.01.13 -
VirusBuster 5.0.21.0 2010.01.13 -
weitere Informationen
File size: 3911690 bytes
MD5...: 3395ca8eaae60d011692a419ad07c7a7
SHA1..: 97f1d8821e089c28613fe7a790308f4f04ef6a7b
SHA256: 0e075a4e841adbd899f1f467d80a2333e43920fbcbc3049a78cb0b36252b0697
ssdeep: 49152:rxTMs8k80z8u5C4r0pRPkLmP5Tl8r0Oc+m8KN+is5ePDtefmIewtlDFoSS
8EDi:rxUp0zzr0pSLo5Tem8KN+is5ebY+UDm2
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4646
timedatestamp.....: 0x3f729796 (Thu Sep 25 07:21:58 2003)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x237860 0x237860 7.89 e8e2fdefa2810548f8b149256f507639
.rdata 0x237b60 0xb5dc 0xb5e0 4.71 9be2a2d9f7bde616cecd21b676defe75
.data 0x243140 0x15fcb0 0x15fcc0 2.12 0f62e6745f9330c7f46ec9ed470babe0
.CRT 0x3a2e00 0x38 0x40 3.49 68a7fdc8906c18744b3e1f0a02c8dc54
INIT 0x3a2e40 0x7a0 0x7a0 5.42 cae517b6d49cc5952b14c846468da251
.rsrc 0x3a35e0 0x498 0x4a0 3.35 f4fe449f542d5e8fff8f0e939deec972
.reloc 0x3a3a80 0x17532 0x17540 6.48 85f2410d3eff1c76373f75f119045eae

( 1 imports )
> WIN32K.SYS: EngDebugPrint, EngDeleteSurface, EngUnlockSurface, EngLockSurface, EngAssociateSurface, EngCreateBitmap, XLATEOBJ_cGetPalette, CLIPOBJ_bEnum, CLIPOBJ_cEnumStart, BRUSHOBJ_pvGetRbrush, EngBitBlt, EngAlphaBlend, EngTransparentBlt, EngCopyBits, BRUSHOBJ_pvAllocRbrush, EngAllocMem, EngFreeMem, EngDeviceIoControl, EngCreateWnd, EngDeleteWnd, WNDOBJ_vSetConsumer, EngInitializeSafeSemaphore, EngDeleteSafeSemaphore, EngStretchBlt, EngStrokePath, EngLineTo, EngTextOut, EngCreateEvent, EngSaveFloatingPointState, EngDeleteEvent, EngCreateDeviceSurface, EngWaitForSingleObject, EngGetCurrentProcessId, EngRestoreFloatingPointState, EngMultiByteToUnicodeN, EngCreateDeviceBitmap, EngQueryPerformanceCounter, EngQueryPerformanceFrequency, XLATEOBJ_piVector, XLATEOBJ_iXlate, PATHOBJ_bEnum, PATHOBJ_vEnumStart, EngCreatePalette, EngDeletePalette, EngReleaseSemaphore, PALOBJ_cGetColors, EngAcquireSemaphore, STROBJ_bEnum, STROBJ_vEnumStart, EngCreateSemaphore, EngDeleteSemaphore, EngUnlockDriverObj, EngDeleteDriverObj, EngLockDriverObj, EngCreateDriverObj, WNDOBJ_cEnumStart, WNDOBJ_bEnum, EngControlSprites, PATHOBJ_vGetBounds, EngMovePointer, EngSetPointerShape, EngUnicodeToMultiByteN, EngQueryLocalTime, EngFreeModule, EngFindResource, EngLoadModule, EngSetEvent, EngProbeForReadAndWrite, EngAllocPrivateUserMem, EngFreePrivateUserMem, EngUnloadImage, EngFindImageProcAddress, EngLoadImage, RtlUnwind, RtlRaiseException, RtlUnicodeToMultiByteN

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: NVIDIA Corporation
copyright....: (C) NVIDIA Corporation. All rights reserved.
product......: NVIDIA Compatible Windows 2000 Display driver, Version 46.30
description..: NVIDIA Compatible Windows 2000 Display driver, Version 46.30
original name: nv4_disp.dll
internal name: nv4_disp.dll
file version.: 6.14.10.4630
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

Hi,

sieht nach Programmierfehler aus...
Dann wären wir soweit durch, was macht der Rechner?

chris

ok, d.h.?
also momentan läuft er gut. bekomm keine pop-ups mehr, es geht wieder alles schnell und nya antivir funktioniert auch endlich wieder

Hi,

gut, denke wir haben alles erwischt...
Falls gewünscht installiere noch einen verhaltensbasierten Scanner wie Threadfire (der macht manchmal Probleme, harmoniert sonst aber recht gut mit Avira): http://www.threatfire.com/de/
Es gibt auch ähnlich wie bei Avira eine kostenlose Version...
Nur gilt auch hier: Gehirn einschalten... versucht eine Anwendung plötzlich versteckte Treiber zu installiern, dann sollte man wohl eher abbrechen statt zulassen auswählen...

Ein letzter Scann noch mit Prevx (der kann nichts entfernen [kostenpflichtig], ist aber recht gut mit einer gewissen Neigung zu Fehlalarmen, d.h. die Funde erst immer bei Virustotal prüfen lassen!). Nach dem Scann kannst Du es wieder entfernen, falls nichts gefunden wurde:

http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris