mehrere Trojaner, die sich nicht löschen lassen

kira · 15.01.2010, 08:38

hi

Folgende Ergebnisse möchte ich noch sehen:

Code:

ATTFilter

Malwarebytes

nicht scannen lassen, sondern das fertige 1. Log posten!

Ausserdem:
Bitte alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Fuzzel · 15.01.2010, 16:36

huhuuuuu,
wusst nicht genau welchen Log du jetzt von Malwarebytes sehen wolltest. hab dir jetzt einen vom 08.01. und danach den vom 11.01 eingestellt.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.01.2010 00:39:52
mbam-log-2010-01-08 (00-39-52).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 125083
Laufzeit: 17 minute(s), 12 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 21

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\c.exe (Trojan.Downloader) -> Unloaded process successfully.
C:\WINDOWS\msa.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas.dll (Trojan.Downloader) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\LREC75DND7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\E8WECRKKMV (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\e8wecrkkmv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lrec75dnd7 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\sshnas.dll (Trojan.Downloader) -> Delete on reboot.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\c.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\10.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\19.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\a.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\sys2c.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\systmn.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\taskengc.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\d.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\f.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\g.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\i.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\l.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\nsd14B.tmp\SimpleFC.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\spool\prtprocs\w32x86\13.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\4323569.lnk (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\msa.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\b.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\e.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

der log vom 11.01

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.01.2010 13:26:34
mbam-log-2010-01-11 (13-26-34).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 124037
Laufzeit: 7 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\fsc44.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\InstModule.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\8614335.lnk (Malware.Trace) -> Quarantined and deleted successfully.

Die Log-Datei von kaspersky schick ich sofort nach

LG

Fuzzel · 15.01.2010, 22:56

hi coverflow,
hier nun das ergebnis vom onlinescan.

Code:

ATTFilter

C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\EULA.exe	<html><a href='http://www.viruslist.com/en/find?search_mode=virus&words=Trojan-Downloader.NSIS.Agent.dn'>Trojan-Downloader.NSIS.Agent.dn</a></html>	1

ist also anscheinend nur eine datei...
komisch...
wie kann/soll ich nun weiter vorgehen...

VIELEN LIEBEN DANK SCHONMAL UND NOCHMAL FÜR DEINE HILFE

SUPER, dass es hier echt leute gibt die einem versuchen zu helfen

glg

kira · 17.01.2010, 09:43

hi

1.
Alte Java-Versionen entfernen:
- Lade Dir JavaRa von prm753 herunter
- auf dem Desktop entpacken
- die JavaRa.exe per Doppelklick starten
- wähle "Remove Older Versions" und klicke auf "Yes
- wird ein Log erstellt, kannst Du speichern (posten nicht nötig)

Installiere die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url]

2.
um die neueste Version von Adobe zu erhalten klick hier: Adobe Reader - oder über das Programm selbst kannst auch Update aufrufen

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

`Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
`Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
für jedes Benutzerkonto bitte durchführen
anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

5.

lade Dir SUPERAntiSpyware FREE Edition herunter.
installiere das Programm und update online.
starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Fuzzel · 17.01.2010, 19:02

huhuuu,
hier das log aus dem antispyware
der hat nichts gefunden:

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 01/17/2010 bei 03:53 PM

Version der Applikation : 4.33.1000

Version der Kern-Datenbank : 4486
Version der Spur-Datenbank : 2303

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:59:26

Gescannte Speicherelemente  : 495
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 5324
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 22952
Erfasste Datei-Elemente   : 0

allerdings bekomme ich jetzt von sophos, meinem antivirus prog meldungen:

Code:

ATTFilter

****************** Sophos Anti-Virus Protokoll - 17.01.2010 17:54:10 **************

...
20100117 112430 Die Erkennungsdatenversion 4.49E (Detection Engine 3.3.1) wird verwendet. Diese Version kann 1291022 Objekte erkennen.
20100117 112431 Anwender (NT-AUTORITÄT\LOKALER DIENST) hat die On-Access-Überprüfung für diesen Rechner gestartet.
20100117 112645 Anwender (NT-AUTORITÄT\SYSTEM) hat die On-Access-Überprüfung für diesen Rechner gestoppt.
20100117 112716 Die Erkennungsdatenversion 4.49E (Detection Engine 3.3.1) wird verwendet. Diese Version kann 1291030 Objekte erkennen.
20100117 112717 Anwender (NT-AUTORITÄT\SYSTEM) hat die On-Access-Überprüfung für diesen Rechner gestartet.
20100117 113945 Virus/Spyware 'Mal/TDSS-G' wurde erkannt in 'C:\WINDOWS\system32\drivers\atapi.sys'. Bereinigung steht nicht zur Verfügung.
20100117 113945 On-Access-Scanner hat den Zugriff verweigert auf den Speicherort 'C:\WINDOWS\system32\drivers\atapi.sys' für Anwender NT-AUTORITÄT\SYSTEM
20100117 113951 Virus/Spyware 'Mal/TDSS-G' wurde erkannt in 'C:\WINDOWS\system32\drivers\atapi.sys'. Bereinigung steht nicht zur Verfügung.
20100117 113951 On-Access-Scanner hat den Zugriff verweigert auf den Speicherort 'C:\WINDOWS\system32\drivers\atapi.sys' für Anwender NT-AUTORITÄT\SYSTEM
20100117 113957 Virus/Spyware 'Mal/TDSS-G' wurde erkannt in 'C:\WINDOWS\system32\drivers\atapi.sys'. Bereinigung steht nicht zur Verfügung.
20100117 113957 On-Access-Scanner hat den Zugriff verweigert auf den Speicherort 'C:\WINDOWS\system32\drivers\atapi.sys' für Anwender NT-AUTORITÄT\SYSTEM

diese meldungen hab ich ungefähr 300mal

glg

kira · 18.01.2010, 08:48

Die Meldung v Sophos hört sich nicht gut an..

Es gibt ja TDSS Varianten, die in der Tat die atapi.sys manipulieren und das Problem ist, so dass eine 100%ige Bereinigung nicht bzw nur sehr lückenhaft möglich ist...
Lade bitte die Datei bei Virustotal hoch:

→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien

Code:

ATTFilter

C:\WINDOWS\system32\drivers\atapi.sys

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

Fuzzel · 18.01.2010, 12:38

hier das was virustotal mir ausgespuckt hat

Code:

ATTFilter

Datei atapi.sys empfangen 2010.01.18 11:31:40 (UTC)
Status:   Beendet 
Ergebnis: 1/41 (2.44%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.50	2010.01.18	-
AhnLab-V3	5.0.0.2	2010.01.16	-
AntiVir	7.9.1.142	2010.01.18	-
Antiy-AVL	2.0.3.7	2010.01.18	-
Authentium	5.2.0.5	2010.01.16	-
Avast	4.8.1351.0	2010.01.17	-
AVG	9.0.0.730	2010.01.18	-
BitDefender	7.2	2010.01.18	-
CAT-QuickHeal	10.00	2010.01.18	-
ClamAV	0.94.1	2010.01.18	-
Comodo	3623	2010.01.18	-
DrWeb	5.0.1.12222	2010.01.18	-
eSafe	7.0.17.0	2010.01.17	Win32.Rootkit
eTrust-Vet	35.2.7243	2010.01.18	-
F-Prot	4.5.1.85	2010.01.17	-
F-Secure	9.0.15370.0	2010.01.18	-
Fortinet	4.0.14.0	2010.01.18	-
GData	19	2010.01.18	-
Ikarus	T3.1.1.80.0	2010.01.18	-
Jiangmin	13.0.900	2010.01.18	-
K7AntiVirus	7.10.949	2010.01.16	-
Kaspersky	7.0.0.125	2010.01.18	-
McAfee	5864	2010.01.17	-
McAfee+Artemis	5864	2010.01.17	-
McAfee-GW-Edition	6.8.5	2010.01.18	-
Microsoft	1.5302	2010.01.18	-
NOD32	4782	2010.01.18	-
Norman	6.04.03	2010.01.18	-
nProtect	2009.1.8.0	2010.01.18	-
Panda	10.0.2.2	2010.01.17	-
PCTools	7.0.3.5	2010.01.18	-
Prevx	3.0	2010.01.18	-
Rising	22.31.00.04	2010.01.18	-
Sophos	4.49.0	2010.01.18	-
Sunbelt	3.2.1858.2	2010.01.17	-
Symantec	20091.2.0.41	2010.01.18	-
TheHacker	6.5.0.6.154	2010.01.18	-
TrendMicro	9.120.0.1004	2010.01.18	-
VBA32	3.12.12.1	2010.01.17	-
ViRobot	2010.1.18.2142	2010.01.18	-
VirusBuster	5.0.21.0	2010.01.17	-
weitere Informationen
File size: 96512 bytes
MD5...: 9f3a2f5aa6875c72bf062c712cfa2674
SHA1..: a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9
ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb
DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x159f7
timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7
NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29
.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708
.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834
PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9
PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863
INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3
.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45

( 3 imports ) 
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports ) 
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch

ist das richtig so?
du hast geschrieben DA reinkopieren, meintest du hier in board oder woanders hin?
das mit dem sha1 und so hab ich nicht so ganz verstanden, hoffe es ist alles ok?

meinst du ich sollte lieber meinen rechner platt machen oder geht das alles so zu entfernen?
GLG und vielen dank für deine hilfe

Fuzzel · 19.01.2010, 12:23

hey coverflow,
das problem was ich mit dem platt machen habe ist, dass ich einen dell laptop habe und man dort keine windows cd dazu bekommt.
ich hab auch keine andere.
ich kann allerdings während des bootens eine tastenkombination drücken und dann das gesamte system wieder in den "lieferzustand" zurück versetzen. dafür wurde anscheinend eine kleine partition auf dem pc erstellt.
dann sind zwar alle daten weg aber ich weiß nicht, ob tatsächlich so, als wenn man format c: macht.
lustiger weise habe ich gestern keine virusmeldungen mehr von sophos bekommen, und heute morgen dann diese hier:

Code:

ATTFilter

****************** Sophos Anti-Virus Protokoll - 19.01.2010 11:20:45 **************
20100118 205612	Virus/Spyware 'Mal/TDSS-G' wurde erkannt in 'C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP89\A0019807.sys'. Bereinigung steht nicht zur Verfügung.
20100118 205612	On-Access-Scanner hat den Zugriff verweigert auf den Speicherort 'C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP89\A0019807.sys' für Anwender NT-AUTORITÄT\SYSTEM

hat sich der virus jetzt in meine restore partition geschrieben???

glg und

mehrere Trojaner, die sich nicht löschen lassen

Plagegeister aller Art und deren Bekämpfung: mehrere Trojaner, die sich nicht löschen lassen