hallo,
heute hat mir antivir folgende meldung gebracht:

Zitat:

In der Datei 'D:\WINDOWS\Temp\~TM7B.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

ca 1min später hat mein rechner ohne vorwarnung neugestartet, bis zu dem punkt an dem der bildschirm beim windowsstart hellblau wird (willkommen) und die maus angezeigt wird. 3sek später sehr kurzer bluescreen und neustart. das ging immer so weiter als schleife...
im abgesicherten modus konnte ich arbeiten. ein manuelles löschen der datei hat nichts gebracht, der pc startete immer wieder neu.
im abgesicherten modus hat antivir 4 mal TR/Patched.Gen gefunden, die sind jetzt in quarantäne verschoben wurden. spybot hatte mir nichts angezeigt!

jetzt läuft mein system stabil, antivir zeigt soweit nichts mehr an. kann ich mir sicher sein, dass erstmal ruhe ist, oder muss ich mit weiteren problemen rechnen?

Zitat:

Zitat von flok

hallo, kann ich mir sicher sein, dass erstmal ruhe ist, oder muss ich mit weiteren problemen rechnen?

Ich tippe auf Rootkits.

lg.

du hast recht, kurz nachdem ich das geschrieben hatte kamen weitere meldungen und es ging nur über den abgesicherten modus was..
nach ewigem scannen:

Zitat:

Die Datei 'D:\WINDOWS\system32\eseninit.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.35328' [trojan].

außerdem

Zitat:

D:\WINDOWS\system32\drivers\jwcqk.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen

habe soeben noch sophos anti-rootkit durchlaufen lassen, welches keine meldung brachte.

Zitat:

du hast recht,

Die Erstellung von verseuchten Tempdateien ist ein Hinweis auf Rootkit Installation.

Zitat:

habe soeben noch sophos anti-rootkit durchlaufen lassen, welches keine meldung brachte

Dieses Tool ist unbrauchbar!

Scanne mit mit "Catchme" von Gmer.


http://www2.gmer.net/catchme.exe

How to scan
#

Download catchme.exe ( 137KB ) to your desktop.
Download die catchme.exe auf dein Desktop
#

Double click the catchme.exe to run it
Doppelklick die catchme.exe
#

Click the "Scan" button to start scan
Klick auf "Scan"
#

Open catchme.log to see results
Öffne und poste den Text des "catchme.log"

Ausserdem:

http://www.trojaner-board.de/51187-a...i-malware.html
Log posten.

lg.

hab ich gemacht...
was mich wundert bzgl netuza: im ordner ...autostart befindet sich nichts! beim systemstart ist aber immer ein haken bei netuza32, auch wenn ich ihn wegnehme.

hier die catchme.log

Zitat:

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-10 17:53:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="D:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000001
"hdf12"=hex:c8,9d,17,1a,f1,a6,e4,8f,56,e7,a9,97,b5,e0,4c,c1,e9,31,8e,4c,dd,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,66,44,c3,72,69,7e,15,8e,9a,23,2d,48,f6,43,e7,7a,08,..
"hdf12"=hex:7a,32,b6,e3,23,de,6f,f9,48,99,b8,67,d9,37,97,4e,47,09,c5,d3,2f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:bf,ea,55,9c,05,30,a9,e0,b2,b8,29,12,43,7f,02,90,25,09,a3,30,a2,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1]
"hdf12"=hex:3a,7d,20,c3,2d,70,ee,7c,96,3b,60,9b,a1,f4,a0,c6,88,ba,55,18,8b,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:d8,a1,79,95,b0,18,9a,6c,17,1c,78,ec,c4,eb,00,27,f8,81,6b,1b,0b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="D:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000001
"hdf12"=hex:c8,9d,17,1a,f1,a6,e4,8f,56,e7,a9,97,b5,e0,4c,c1,e9,31,8e,4c,dd,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,66,44,c3,72,69,7e,15,8e,9a,23,2d,48,f6,43,e7,7a,08,..
"hdf12"=hex:7a,32,b6,e3,23,de,6f,f9,48,99,b8,67,d9,37,97,4e,47,09,c5,d3,2f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:bf,ea,55,9c,05,30,a9,e0,b2,b8,29,12,43,7f,02,90,25,09,a3,30,a2,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1]
"hdf12"=hex:3a,7d,20,c3,2d,70,ee,7c,96,3b,60,9b,a1,f4,a0,c6,88,ba,55,18,8b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:d8,a1,79,95,b0,18,9a,6c,17,1c,78,ec,c4,eb,00,27,f8,81,6b,1b,0b,..

scanning hidden registry entries ...

scanning hidden files ...

D:\Dokumente und Einstellungen\Flo am Start\Startmenü\Programme\Autostart\netuza32.exe 30720 bytes executable

log von malewarebytes folgt sogleich, danke schonmal für die hilfe!!!

sry wegen doppelpost, konnte nicht mehr editieren

hier die 2.log, wirklich interessant was man hier alles so findet
in wie weit bin ich jetzt sicher bzgl onlinebanking usw...

Zitat:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3720
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

10.02.2010 19:08:29
mbam-log-2010-02-10 (19-08-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 303229
Laufzeit: 1 hour(s), 9 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Flo am Start\Eigene Dateien\pchtches_cracks_install\ms office 2007\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Flo am Start\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Flo am Start\Startmenü\Programme\Autostart\netuza32.exe (Trojan.Downloader) -> Delete on reboot.

Zitat:

C:\Flo am Start\Eigene Dateien\pchtches_cracks_install\ms office 2007\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Was ist denn das? Keygens sind illegal, fast immer verseucht und werden hier auf dem Board, gerade von dem Helfer Team (zudem ich nicht gehöre, aber es dennoch unterstreiche!) nicht gerne gesehen. Also Finger weg davon!

jup, hab sowas schon lang nicht mehr angerührt, wird schon zimlich lang auf meinem rechner sein :/

Zitat:

Was ist denn das? Keygens sind illegal, fast immer verseucht und werden hier auf dem Board, gerade von dem Helfer Team (zudem ich nicht gehöre, aber es dennoch unterstreiche!) nicht gerne gesehen. Also Finger weg davon!

So ist es.

Zitat:

Zitat von flok

jup, hab sowas schon lang nicht mehr angerührt, wird schon zimlich lang auf meinem rechner sein :/

?

Zitat:

scanning hidden files ...

D:\Dokumente und Einstellungen\Flo am Start\Startmenü\Programme\Autostart\netuza32.exe 30720 bytes executable

Da haben wir unseren Rootkit.

Support endet hier, meinerseits. Keygens verderben mir dir Lust zum Helfen.
Formatiere dein System und -
http://www.trojaner-board.de/51262-a...sicherung.html

lg.

trotzdem danke und daumen hoch fürs forum!