Zitat:

Zitat von MalwareHero

ok das sieht besser aus.

Lade dir rootrepeal hier runter:
hxxp://ad13.geekstogo.com/RootRepeal.exe

Der Link ist tot. Hättest du evtl. eine Alternative?

Zitat:

Zitat von Koti

Der Link ist tot. Hättest du evtl. eine Alternative?

http://download.bleepingcomputer.com...RootRepeal.exe

ok, hier ist es.

Zitat:

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/07/21 18:13
Program Version: Version 1.3.5.0
Windows Version: Windows XP Media Center Edition SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB2462000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF8B69000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB0C60000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf8d16fc6

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf8d16fbc

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf8d16fcb

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf8d16fd5

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf8d16fda

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf8d16fa8

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf8d16fad

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf8d16fe4

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf8d16fdf

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf8d16fd0

==EOF==

Zitat:

Zitat von Koti

ok, hier ist es.

Bitte bis morgen noch durchführen und alle Logs posten:

> mbr.exe von hier runterladen:
http://www2.gmer.net/mbr/mbr.exe

• Download mbr.exe zum Desktop
• Doppelklick mbr.exe um das Tool zu starten (ganz kurz öffnet sich ein fenster)
• Es wird ein Log erstellt liegt auf deinem Desktop.
• poste dessen Inhalt

> sfc/scannow und chkdsk/f durchführen, anleitung hast du schon.

> Kontrollscans mit ESET und DR.Web

Führe DR.Web (schneller Scan) im abgesicherten Modus aus.
http://www.trojaner-board.de/59299-a...eb-cureit.html
Fünde löschen lassen/Log erstellen und hier posten

ESET Online Scan
ESET Online Scanner - ESET Antivirus Software
Fünde hier melden/entfernen

> Alles an veralterter Software deinstallieren> Adobe Reader/java...
Updates laden: Secunia Personal Software Inspector - Download - COMPUTER BILD

> Windows Update duchführen!

******************************************************

hier ist schon mal das mbr-Log

Zitat:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

was ist mit sfc/scannow bzw. chkdsk/f gemeint? Könntest du mir noch einen Hinweis geben. Hab schon so viel getestet... - danke.

Zitat:

> sfc/scannow und chkdsk/f durchführen, anleitung hast du schon.

War das mit dem Befehl "Ausführen"? Nicht schlimm, dass ich keine Windows CD habe?

Zitat:

Zitat von Koti

hier ist schon mal das mbr-Log

dein mbr ist sauber, das ist zurzeit die Infektion des Tages

Zitat:

was ist mit sfc/scannow bzw. chkdsk/f gemeint? Könntest du mir noch einen Hinweis geben. Hab schon so viel getestet... - danke.

Zitat:

DateiSystem Prüfung: Start/Ausführen schreibe rein: cmd in das schwarze Fenster schreibe rein sfc/scannow klicke enter. Wenn Systemdateien beschädigt sein sollten musst du evtl. deine XP Cd einlegen.
Wenn dieser Prozess durch ist schreibst du in das schwarze Fenster: chkdsk/f
kann sein du wirst aufgefordert zu bestätigen, dass das beim nächsten Systemstart durchgeführt wird.

so wie oben beschrieben durchführen

Zitat:

Zitat von MalwareHero

dein mbr ist sauber, das ist zurzeit die Infektion des Tages

Ist die größte Errungenschaft des Tages - ein Highlight - DANKE

Die CD muss dran, wobei es steht drin, dass Windows XP Service Pack 3 benötigt wird. Ich denke, das Betriebssystem ist damit gemeint, nicht das Servicepack. Muss also gleich suchen, wie ich diese auf CD gebrannt bekomme.

Zitat:

Zitat von Koti

War das mit dem Befehl "Ausführen"? Nicht schlimm, dass ich keine Windows CD habe?

siehe oben