Hallo liebes Team,
ich brauche mal wieder einen kleinen Rat
Habe neulich meine Festplatte bei einem Freund angeschlossen und es war auch nichts auffälliges zu bemerken. Naja zuhause wieder angekommen schloss ich meine Festplatte wieder an meinen Rechner an und Schwupp die wupp war da das besagte würmchen. Da ich ja auch nun schon ein wenig Erfahrung habe, habe ich es erst versucht mit Avast zu löschen, aber nun kommt die meldung wieder ich will wieder löschen und es wird mir gesagt die Datei würde nicht existieren.

Hier erst mal ein HJT mit der angeschlossenen Festplatte:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:29, on 17.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\oodtray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 3643 bytes
         

Ich lasse grade noch Malewarebytes Anti-Malware durchlaufen um zu schauen ob sich nicht evtl. noch mehr versteckt.

Hoffe ihr könnt mir ein wenig weiter helfen.

Lg
Angel

Ich entschuldige mich schon mal im Voraus für den Doppelpost.
Malwarebytes Anti Malware ist leider immer noch am Festplatten durchsuchen.
Allerdings bekomme ich zwischenzeitlich gelegentlich meldungen von Avast das sich in der "autorun.exe" Ein Rootkit befindet habe ihn vorerst versucht mit Avast zu löschen, weis allerdings nicht ob das ein Fehler war. Die Festplatte zu formatieren wäre für mich eine der ungelegensten Sachen überhaupt, da sich dort sehr wichtige Daten befinden. Sobald Malewarebytes durch ist poste ich den Logfile.

Lg

Hi,

das HJ-Log ist unauffällig...

Wenn es wirklich ein Rootkit ist, wird MAM nichts finden...

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

So hier schon mal die ersten 2 Logs:

Code: Alles auswählenAufklappen

ATTFilter

info.txt logfile of random's system information tool 1.06 2010-01-17 19:51:32

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Download Manager-->"C:\WINDOWS\system32\rundll32.exe" "C:\Programme\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0.8 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70800000002}
Anno 1701-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A2433A63-5F5D-40E5-B529-9123C2B3E734}\setup.exe" -l0x7  -removeonly
Ashampoo Burning Studio 6-->"C:\Programme\Ashampoo\Ashampoo Burning Studio 6\Uninstall\BS6_Uninstall.EXE"
Ashampoo WinOptimizer 4 FREE-->"D:\Programme\Ashampoo\Ashampoo WinOptimizer 4\unins000.exe"
avast! Antivirus-->C:\Programme\Alwil Software\Avast4\aswRunDll.exe "C:\Programme\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
BladeFTP FREE Edition v2.6-->D:\PROGRA~1\BLADEF~1\UNWISE.EXE D:\PROGRA~1\BLADEF~1\INSTALL.LOG
CCleaner (remove only)-->"D:\Programme\CCleaner\uninst.exe"
Die Sims 2: Nightlife-->D:\2-Spiele\Sims2\Nightlife\EAUninstall.exe
Die Sims 2: Open For Business-->D:\2-Spiele\Sims2\Open for Business\EAUninstall.exe
Die Sims 2: Wilde Campus-Jahre-->D:\2-Spiele\Sims2\Wilde Campus Jahre\EAUninstall.exe
Die Sims 2-->D:\2-Spiele\Sims2\Sims2\EAUninstall.exe
Die Sims™ 2 Gute Reise-->D:\2-Spiele\Sims2\Gute Reise\EAUninstall.exe
Die Sims™ 2 Haustiere-->D:\2-Spiele\Sims2\Haustiere\EAUninstall.exe
Die Sims™ 2 Vier Jahreszeiten-->D:\2-Spiele\Sims2\Vier Jahreszeiten\EAUninstall.exe
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Intel(R) Graphics Media Accelerator Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx2ID PCI\VEN_8086&DEV_2782 PCI\VEN_8086&DEV_2582
IrfanView (remove only)-->D:\Programme\IrfanView\iv_uninstall.exe
Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
Malwarebytes' Anti-Malware-->"D:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Mozilla Firefox (3.0.17)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
O&O Defrag Professional Edition-->MsiExec.exe /I{53480330-E1D1-41CA-B8F8-7F78644F7F50}
PowerISO-->"D:\Programme\PowerISO\uninstall.exe"
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7  -removeonly
Roll-->C:\WINDOWS\UniFish3.exe D:\2-Spiele\Rollercoaster Tycoon 1\RollerCoaster Tycoon.log
RollerCoaster Tycoon 3-->"D:\2-Spiele\Rollercoaster Tycoon 3\uninst\unins000.exe"
Skype 3.0-->"C:\Programme\Skype\Phone\unins000.exe"
Skype Plugin Manager-->MsiExec.exe /I{3D5E5C0A-5B36-4F98-99A7-287F7DBDCE03}
Sygate Personal Firewall-->MsiExec.exe /X{F860F390-78F4-4B45-8C1A-0489618E315B}
TeamSpeak 2 RC2-->D:\Programme\Teamspeak2_RC2\unins000.exe
TeamViewer 4-->C:\Programme\TeamViewer\Version4\uninstall.exe
Tomb Raider: Legend 1.2-->D:\2-Spiele\Tomb Raider - Legend\uninsttrl.exe
VideoLAN VLC media player 0.8.5-->D:\Programme\VideoLAN\VLC\uninstall.exe
Virtual DJ - Atomix Productions-->D:\PROGRA~1\VIRTUA~1\UNWISE.EXE D:\PROGRA~1\VIRTUA~1\INSTALL.LOG
Winamp-->"D:\Programme\Winamp\UninstWA.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe

======Security center information======

AV: avast! antivirus 4.8.1201 [VPS 100117-1]

======System event log======

Computer Name: MACHINENAME
Event Code: 55
Message: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen Sie chkdsk auf Volume "E:" aus.

Record Number: 5
Source Name: Ntfs
Time Written: 20091109184111.000000+060
Event Type: Fehler
User: 

Computer Name: MACHINENAME
Event Code: 55
Message: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen Sie chkdsk auf Volume "E:" aus.

Record Number: 4
Source Name: Ntfs
Time Written: 20091109184111.000000+060
Event Type: Fehler
User: 

Computer Name: MACHINENAME
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 3
Source Name: EventLog
Time Written: 20091109184054.000000+060
Event Type: Informationen
User: 

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600  Uniprocessor Free.

Record Number: 2
Source Name: EventLog
Time Written: 20091109184054.000000+060
Event Type: Informationen
User: 

Computer Name: MACHINENAME
Event Code: 2
Message: Bei der Überprüfung, ob \Device\Serial0 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet.

Record Number: 1
Source Name: Serial
Time Written: 20091109184111.000000+060
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: KIRIKA
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst MSDTC (MSDTC) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20091109184638.000000+060
Event Type: Informationen
User: 

Computer Name: KIRIKA
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20091109184636.000000+060
Event Type: Informationen
User: 

Computer Name: KIRIKA
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20091109184506.000000+060
Event Type: Informationen
User: 

Computer Name: KIRIKA
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20091109184442.000000+060
Event Type: Informationen
User: 

Computer Name: KIRIKA
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20091109184441.000000+060
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 1, GenuineIntel
"PROCESSOR_REVISION"=0401
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------
         

Code: Alles auswählenAufklappen

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by DJ Kirika at 2010-01-17 19:51:15
Microsoft Windows XP Professional Service Pack 2
System drive C: has 13 GB (41%) free of 31 GB
Total RAM: 502 MB (21% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:51:29, on 17.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\oodtray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Windows Media Player\wmplayer.exe
D:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\DJ Kirika\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\DJ Kirika.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 3701 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-11-09 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-11-09 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-06-20 77824]
"OODefragTray"=C:\WINDOWS\system32\oodtray.exe [2007-05-16 2512392]
"SmcService"=C:\PROGRA~1\Sygate\SPF\smc.exe [2004-02-24 2372760]
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2008-05-16 79224]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2007-07-27 348160]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\TeamViewer\Version4\TeamViewer.exe"="C:\Programme\TeamViewer\Version4\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application"
"D:\2-Spiele\Anno 1701\Anno1701.exe"="D:\2-Spiele\Anno 1701\Anno1701.exe:*:Enabled:Anno 1701"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2010-01-17 19:51:15 ----D---- C:\rsit
2010-01-17 14:36:10 ----D---- C:\Programme\Trend Micro
2010-01-13 14:01:06 ----A---- C:\WINDOWS\system32\aswBoot.exe
2010-01-06 11:55:42 ----RHD---- C:\Dokumente und Einstellungen\DJ Kirika\Anwendungsdaten\SecuROM
2010-01-06 11:55:42 ----A---- C:\WINDOWS\system32\CmdLineExt.dll

======List of files/folders modified in the last 1 months======

2010-01-17 19:51:24 ----D---- C:\WINDOWS\Prefetch
2010-01-17 19:05:18 ----D---- C:\Programme\Mozilla Firefox
2010-01-17 18:21:41 ----D---- C:\WINDOWS\Temp
2010-01-17 14:42:09 ----D---- C:\WINDOWS
2010-01-17 14:36:10 ----RD---- C:\Programme
2010-01-15 17:01:46 ----D---- C:\Dokumente und Einstellungen\DJ Kirika\Anwendungsdaten\Skype
2010-01-15 16:16:35 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-15 16:16:24 ----A---- C:\WINDOWS\system32\CmdLineExt03.dll
2010-01-13 14:01:40 ----N---- C:\WINDOWS\SchedLgU.Txt
2010-01-13 14:01:20 ----D---- C:\WINDOWS\system32\drivers
2010-01-13 14:01:18 ----D---- C:\WINDOWS\system32
2010-01-13 13:58:31 ----D---- C:\WINDOWS\security
2010-01-11 14:55:12 ----D---- C:\Dokumente und Einstellungen\DJ Kirika\Anwendungsdaten\teamspeak2
2010-01-06 14:11:57 ----D---- C:\WINDOWS\WinSxS
2010-01-06 11:48:57 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2010-01-05 13:15:25 ----SHD---- C:\WINDOWS\Installer
2010-01-05 13:15:25 ----D---- C:\Config.Msi
2009-12-20 12:44:24 ----HD---- C:\WINDOWS\inf

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2008-05-16 26944]
R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 78416]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2008-05-16 42912]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 SCDEmu;SCDEmu; C:\WINDOWS\system32\drivers\SCDEmu.sys [2008-03-14 46652]
R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys []
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2008-05-16 94416]
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2009-11-09 271360]
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2009-11-09 18048]
R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2004-02-02 11914]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-06-20 2324480]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2008-05-16 23152]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-18 9600]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2007-07-27 773565]
R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernetadapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 teamviewervpn;TeamViewer VPN Adapter; C:\WINDOWS\system32\DRIVERS\teamviewervpn.sys [2008-01-25 25088]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Alwil Software\Avast4\aswUpdSv.exe [2008-05-16 17272]
R2 avast! Antivirus;avast! Antivirus; C:\Programme\Alwil Software\Avast4\ashServ.exe [2008-05-16 144760]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-11-09 153376]
R2 O&O Defrag;O&O Defrag; C:\WINDOWS\system32\oodag.exe [2007-05-16 1050120]
R2 SmcService;Sygate Personal Firewall; C:\Programme\Sygate\SPF\smc.exe [2004-02-24 2372760]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Alwil Software\Avast4\ashMaiSv.exe [2008-05-16 247160]
R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Alwil Software\Avast4\ashWebSv.exe [2008-05-16 349560]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 getPlusHelper;getPlus(R) Helper; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]

-----------------EOF-----------------
         

So dann zu meiner Frage da der Rootkit auf der usb platte gefunden worde, muss ich eig. alle platten durchsuchen lassen oder?

Hi,

ja. Aber stöpsele die Platte mit gedrückter SHIFT-Taste an, damit der autorun unterdrückt wird. Normalerweise installiert sich das Teil ja dann auf dem Rechner...
Was meldet AVAST?
Dein System ist veraltet, unbedingt SP3 und IE8 aufspielen...

Bis jetzt nichts zu finden, poste MAM&GMER-Log...

chris

MAM ist mir nach gut 4 h scan abgestürzt und GMER sucht noch.
Wobei ich das mit MAM noch nie hatte soll ich in den Fall nur mal die USB Platte mit MAM scannen? Die anderen waren bei mir unauffällig beim ersten Scannen waren bis es sich verabschiedet hat nur 2 Funde welche in der USB Platte gefunden worden.

Hi,

poste das GMER-Log sobald Du es hast....

chris

okay, das wird dann wohl noch ein wenige dauern da er nun insgeamt ca 700gb durchsuchen muss...
Bisher hat avast nicht weiter gemeldet, hab die funde die bisher waren immer gelöscht.

So hier dann erst mal das ertige Logfile von GMER

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-17 22:07:04
Windows 5.1.2600 Service Pack 2
Running: wftv84dx.exe; Driver: C:\DOKUME~1\DJKIRI~1\LOKALE~1\Temp\uwtdqpod.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwClose [0xAAD08588]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwCreateKey [0xAAD08444]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                             ZwCreateThread [0xF87DBC40]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwDeleteValueKey [0xAAD08922]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwDuplicateObject [0xAAD0801C]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                             ZwMapViewOfSection [0xF87DB8D0]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenKey [0xAAD0851E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenProcess [0xAAD07F5C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenThread [0xAAD07FC0]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwQueryValueKey [0xAAD0863E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwRestoreKey [0xAAD085FE]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwSetValueKey [0xAAD0877E]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                             ZwShutdownSystem [0xF87DBE70]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                             ZwTerminateProcess [0xF87DBE00]

---- Kernel code sections - GMER 1.0.15 ----

.text           tcpip.sys!IPTransmit + 10B7                                                                                   AAE70CFA 6 Bytes  CALL F81BE200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           tcpip.sys!IPTransmit + 24D9                                                                                   AAE7211C 6 Bytes  CALL F81BE200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           tcpip.sys!IPTransmit + 4662                                                                                   AAE742A5 6 Bytes  CALL F81BE200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           wanarp.sys                                                                                                    F86B73FD 4 Bytes  CALL F81BE350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           wanarp.sys                                                                                                    F86B7402 2 Bytes  [90, 90] {NOP ; NOP }
.text           C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                        section is writeable [0xAA3A5300, 0x3ACC8, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                        section is writeable [0xF8822300, 0x1B7E, 0xE8000020]
?               System32\Drivers\hiber_WMILIB.SYS                                                                             Das System kann den angegebenen Pfad nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                           [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                            [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                     [F81BECB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                                       [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                      [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                           [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                          [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                    [F81BECB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                      [F81BECB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                        [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                             [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                            [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                       [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                           [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                            [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                     [F81BECB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                             [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                         [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                              [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                      [F81BECB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                        [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                             [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                            [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                       [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                     [F81BECB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                           [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                            [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[612] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]  00370002
IAT             C:\WINDOWS\system32\services.exe[612] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]        00370000

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                        aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                      wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\aswTdi \Device\AswUdpFilter                                                                           wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                     wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\aswTdi \Device\ASWTDI                                                                                 wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\aswTdi \Device\AswTcpFilter                                                                           wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                     wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                   wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                   aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                      fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                      aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                         
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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

---- EOF - GMER 1.0.15 ----
         

So, aber keine Meldung wegen evtl. rootkits oder kann es sein, das Avast diese schon durch die Aktion Löschen komplett beseitigt hat?

Hi,

ja, das log von GMER ist sauber...

Gehen wir nochmal mit Dr. Web drüber, der findet auch so manches Rootkit (es kann eigentlich nur ein autorun-virus gewesen sein, der versuchte ein rootkit zu installieren. der aufruf von sowas lässt sich einfach überwachen, will sagen: wenn avil das teil gekannt hat, kann er es durchaus komplett entfernt haben)...

Hast Du ggf. ein Backup? Würde gerne noch ein bestimmtes tool einsetzen...

Dr. Web:
Festplatte angehängt lassen...
http://www.trojaner-board.de/59299-a...eb-cureit.html

Um weitere Infektionen vorzubeugen (falls Du die Festplatte mal wieder irgendwohin mitnimmst):
Rechner unbedingt vom Netz nehmen, alle Scanner ausschalten und alle Laufwerke bei gedrückter SHIFT-Taste anschließen:
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sect...isinfector.exe
oder
http://www.trojaner-board.de/72847-f...absichern.html

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
3. Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Er hinterlässt eine autorun-datei die nicht so einfach überschrieben werden kann, damit kann sich ein autorun-virus nicht mehr auf die USB-Festplatte kopieren (außerdem wird autorun komplett ausgeschaltet)...

chris

Ein Backup habe ich von der Festplatte leider nicht.
Habe auch so keine möglichkeit 500gb auf meinem rechner zu sichern weil meine Festplatte dazu leider zu klein ist.
Dr.Web also im Abgesicherten Modus ausführen so wie es in der Anleitung steht, wenn ich das nun richtig verstanden habe.

Si sancho!
Gute Nacht, muss morgen um 06:15 raus...
chris

So, dann hier entlich das fertige log, lang hats gedauert aber manche funde kann ich nicht nachvollziehen weil die exe datein teilweise von original cd's stammen.

Code: Alles auswählenAufklappen

ATTFilter

yugioh.exe\data020;D:\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.NewDotNet;;
yugioh.exe\data021;D:\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.NewDotNet;;
yugioh.exe\data022;D:\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.Ezula;;
yugioh.exe\data023;D:\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.Gator;;
yugioh.exe\data024;D:\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Trojan.Rameh;;
yugioh.exe;D:\C\Eigene Bilder\Hentai\Saver;Archiv enthält infizierte Objekte;Verschoben.;
A0026372.exe\data020;D:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026372.exe;Adware.NewDotNet;;
A0026372.exe\data021;D:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026372.exe;Adware.NewDotNet;;
A0026372.exe\data022;D:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026372.exe;Adware.Ezula;;
A0026372.exe\data023;D:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026372.exe;Adware.Gator;;
A0026372.exe\data024;D:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026372.exe;Trojan.Rameh;;
A0026372.exe;D:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Archiv enthält infizierte Objekte;Verschoben.;
ComboFix.exe\32788R22FWJFW\List-C.bat;G:\exe. ordner\ComboFix.exe;Wahrscheinlich BATCH.Virus;;
ComboFix.exe;G:\exe. ordner;Archiv enthält infizierte Objekte;Verschoben.;
Kindersicherung.exe\30.file;G:\exe. ordner\Kindersicherung.exe;Wahrscheinlich BACKDOOR.Trojan;;
Kindersicherung.exe;G:\exe. ordner;Archiv enthält infizierte Objekte;Verschoben.;
kisi2009.exe/data002\{sys}\cchservice.exe;G:\exe. ordner\kisi2009.exe/data002;Wahrscheinlich WIN.WORM.Virus;;
data002;G:\exe. ordner;Archiv enthält infizierte Objekte;;
kisi2009.exe;G:\exe. ordner;Container enthält infizierte Objekte;Verschoben.;
TSMulti.exe;G:\exe. ordner;Wahrscheinlich MULDROP.Trojan;;
vnc-4_1_2-x86_win32.exe/data002\{app}\vncviewer.exe;G:\exe. ordner\vnc-4_1_2-x86_win32\vnc-4_1_2-x86_win32.exe/data002;Program.RemoteAdmin.51;;
data002;G:\exe. ordner\vnc-4_1_2-x86_win32;Archiv enthält infizierte Objekte;;
vnc-4_1_2-x86_win32.exe;G:\exe. ordner\vnc-4_1_2-x86_win32;Container enthält infizierte Objekte;Verschoben.;
jwgkvsq.vmx;G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665;Win32.HLLW.Shadow.based;Gelöscht.;
yugioh.exe\data020;G:\Sicherung Rechner\D\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.NewDotNet;;
yugioh.exe\data021;G:\Sicherung Rechner\D\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.NewDotNet;;
yugioh.exe\data022;G:\Sicherung Rechner\D\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.Ezula;;
yugioh.exe\data023;G:\Sicherung Rechner\D\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.Gator;;
yugioh.exe\data024;G:\Sicherung Rechner\D\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Trojan.Rameh;;
yugioh.exe;G:\Sicherung Rechner\D\C\Eigene Bilder\Hentai\Saver;Archiv enthält infizierte Objekte;Verschoben.;
TSMulti.exe;G:\Sicherung Rechner\D\Programme\Teamspeak2_RC2;Wahrscheinlich MULDROP.Trojan;;
A0026363.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;BackDoor.IRC.Sdbot.8011;Gelöscht.;
A0026373.exe\32788R22FWJFW\List-C.bat;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026373.exe;Wahrscheinlich BATCH.Virus;;
A0026373.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Archiv enthält infizierte Objekte;Verschoben.;
A0026374.exe\30.file;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026374.exe;Wahrscheinlich BACKDOOR.Trojan;;
A0026374.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Archiv enthält infizierte Objekte;Verschoben.;
A0026375.exe/data002\{sys}\cchservice.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026375.exe/data002;Wahrscheinlich WIN.WORM.Virus;;
data002;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Archiv enthält infizierte Objekte;;
A0026375.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Container enthält infizierte Objekte;Verschoben.;
A0026376.exe/data002\{app}\vncviewer.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026376.exe/data002;Program.RemoteAdmin.51;;
data002;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Archiv enthält infizierte Objekte;;
A0026376.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Container enthält infizierte Objekte;Verschoben.;
A0026377.exe\data020;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026377.exe;Adware.NewDotNet;;
A0026377.exe\data021;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026377.exe;Adware.NewDotNet;;
A0026377.exe\data022;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026377.exe;Adware.Ezula;;
A0026377.exe\data023;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026377.exe;Adware.Gator;;
A0026377.exe\data024;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026377.exe;Trojan.Rameh;;
A0026377.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Archiv enthält infizierte Objekte;Verschoben.;
         

Teilweise stammen auch nicht alle Datein von mir sondern auch noch vom meinem Freund, der die Festplatte mit nutzt über das Netzwerk. Sollte ich daher auch seinen Rechner überprüfen nach Viren?

Hi,

ja und die Systemwiederherstellung für das Laufwerk G ausschalten.
Für ein Datenlaufwerk ist das sowieso nicht notwendig...

chris

So soweit alles fertig, der andere Rechner ist sauber.
Wie bekomme ich nun die "Störenfriede" von meinem Rechner oder sind die nun schon weg? Glaube nicht.