Ntoskrnl-hook
 

Schönen guten Abend,

ich habe vor gut einer Woche mein bestelltes Dell Studio XPS 1340 erhalten.
Windows Vista 32-Bit-Betriebssystem
Intel Core 2 Duo CPU, P8600 2,4 GHz
NVIDIA GeForce 9500M (GF 9200MGS + GF 9400MG)

So weit so gut, eine Woche hat es getan was es sollte, dh. Office-Anwendungen, Poker, WinAmp und die Games FM 2009 sowie Assassins Creed.
Heute kommt ohne unmittelbaren Grund plötzlich ein Bluescreen, der mir berichtet, er müsse zu meines Laptops Sicherheit herunterfahren :mad:
Ich schaue dem gespannt zu und lasse ihn wieder hochbooten, mache daraufhin ein Screening mit dem vorinstallierten McAfee Security Center. Der meldet mir 2 entdeckte Trojaner der Marke "NTOSKRNL-HOOK", Entdeckungsname "Generic Rootkit.d!rootkit". Ich gucke also im Internet, was ist das denn überhaupt? In diesem moment erscheint erneut der Bluescreen, besagter Inhalt. Dumm nur, dass er mir den Bluescreen nun jedesmal andreht, soabld ich mich wieder anmelden will.
Der nächste Schritt war dann der Abgesicherte Modus, in dem ich mich momentan befinde. Nach diversen Suchen über Google habe ich dann diverse Programme (Malwarebytes' Anti-Malware, Combifix), die sich aber nicht öffnen lassen, sobald sie heruntergeladen worden sind.
Auch die Reinstallations-CD mit Reparaturmodus hat mch nicht weiterbringen können, was im Endeffekt heißt: Ich bitte um HILFE! :(

Hallo und :hallo:

Schließe alle Anwendungen und lass folgendes laufen:

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

ciao, andreas

Danke dir erstmal für die fixe Antwort :) Leider komme ich nur bis zur Auswahl der Platte C, danach initialisiert er und plötzlich ist er weg, wie die anderen Programme auch. Ich hoffe doch ich blamiere mich jetzt nicht... :(

Benenne es um in Quiek.exe und versuche es nochmal.

ciao, andreas

Dasselbe in grün. Er bringt mir übrigens (das hatte ich vorhin vergessen zu schreiben) die Nachricht, dass ich die exe auf eigene Gefahr ausführe und nicht garantiert werden kann dass es im Safe Mode funktioniert.

Wie ist es mit anderen Programmen, also nicht mit Sicherheitsprogrammen, sondern "normalen"? Gibt es dort auch Probleme?

Versuche combofix.exe in cofi.exe umzubenennen und zu starten.

ciao, andreas

Der Reihe nach: Normale Programme laufen ohne Probleme.
Ich habe ComboFix nocheinmal runtergeladen und deinem Rat nach benannt, und es tat sich was! Ein Fenster DOS-Manier, ähnlich der Eingabeaufforderung, öffnete sich, und gleich darauf ein Pop-Up mit der nachricht, auf meinem laptop gebe es Rootkit-Aktivitäten und er möchte das System sofort runterfahren. Die folgenden Pfade soll ich mir aufschreiben:

C:\Windows\system32\gxvxcfsyqwdrg... .sys
C:\Windows\system32\gxvxc.... .dll
C:\Windows\system32\gxvxc.... .dll

Daraufhin habe ich RootRepeal noch einmal geladen, umbenannt, und es öffnete sich auch da für eine Millisekunde ein Fenster, um dann zu verschwinden.

Da ist das Problem, ich brauche die genauen Dateinamen, ansonsten habe ich keine Chance. Bitte notiere dir jeden Buchstaben und kontrolliere zur Sicherheit nochmal.

ciao, andreas

p.s.: Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken
Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber
Dort den Treiber gxvxc..... deaktivieren => Rechner neustarten, nochmal probieren.

C:\Windows\system32\drivers\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys

C:\Windows\system32\drivers\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll

C:\Windows\system32\drivers\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll

:Boogie:

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Avenger.txt

Den CC-Cleaner habe ich auch angewandt, hat funktioniert. Dann öffne ich Combofix und stelle erst mal fest, dass ich keine Adminrechte habe. Das ganze als Admin nochmal geöffnet, aber keine Reaktion. Daraufhin dann dieselben Meldungen über Rootkit-Aktivitäten in besagten Dateien und Abschuss. :schmoll:

Dann stimmen die Dateinamen nicht, bitte noch einmal genau kontrollieren, jeden Buchstaben.

Neues Skript für Avenger:
ciao, andreas

Habe das in den Avenger eingegeben, es kam der Reboot und HALLELUJAH!
Es tut wieder, ich hoffe das bleibt jetzt auch so.
Vielen Dank dir für deine Zeit und deine Geduld :)

Wo ist das Log von Avenger?
Ja, zumindest bis der Downloader den nächsten Schädling nachgeladen hat. :)

Jetzt sollte Combofix wieder laufen, poste bitte das Log von Combofix.

ciao, andreas

Das Combofix-log war etwas länger als die maximal erlaubte Menge. Hier nun der Rest:

Wurde der Rechner erst kürzlich neuinstalliert?

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster (z.B. www.materialordner.de) hoch und schicke mir den Link als PN.

3.) Aktiviere den Wächter von Avira.

4.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

5.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung abarbeiten)

ciao, andreas

Das Laptop hab ich erst vor ner guten Woche bekommen :(

Qoobox:

http://www.materialordner.de/b4J5Z9ICPjZcjqliOLhUYu2MEw9lcLHe.html

Code:

---

info.txt logfile of random's system information tool 1.06 2009-06-03 20:56:30

======Uninstall list======

-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{88564CEF-20A5-4EF2-A05F-309F2EBA9B06}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BC12448A-0B41-4E11-B242-B1129512F5B7}\setup.exe" -l0x7
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Advanced Audio FX Engine-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{88564CEF-20A5-4EF2-A05F-309F2EBA9B06}\setup.exe" -l0x7  /remove
Assassin's Creed-->C:\Program Files\InstallShield Installation Information\{8CFA9151-6404-409A-AF22-4632D04582FD}\setup.exe -runfromtemp -l0x0007 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Dell DataSafe Online-->MsiExec.exe /X{13766F76-6C8C-4E57-A9F3-3212D1C6E0D1}
Dell Dock-->MsiExec.exe /I{F6CB42B9-F033-4152-8813-FF11DA8E6A78}
Dell Edoc Viewer-->MsiExec.exe /I{3138EAD3-700B-4A10-B617-B3F8096EE30D}
Dell Getting Started Guide-->MsiExec.exe /I{7DB9F1E5-9ACB-410D-A7DC-7A3D023CE045}
Dell Support Center (Support Software)-->MsiExec.exe /X{E3BFEE55-39E2-4BE0-B966-89FE583822C1}
Dell Touchpad-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Dell Video Chat-->C:\Program Files\Dell Video Chat\uninst.exe
Dell Webcam Central-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BC12448A-0B41-4E11-B242-B1129512F5B7}\setup.exe" -l0x7  /remove
FastAccess-->MsiExec.exe /I{6E26273A-9DB8-4412-85FA-B8EC78ECB46A}
FUSSBALL MANAGER 09-->C:\Program Files\EA SPORTS\FUSSBALL MANAGER 09\eauninstall.exe
GoToAssist 8.0.0.514-->C:\Program Files\Citrix\GoToAssist\514\G2AUninstaller.exe /uninstall
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Integrated Webcam Driver (1.06.03.0309)  -->C:\Windows\CtDrvIns.exe -uninstall -script OA001.uns -plugin OA001Pin.dll -pluginres OA001Pin.crl -nodisconprompt -langid 0x0407
ITECIR-->C:\Program Files\InstallShield Installation Information\{F6BB6248-C507-46FE-8A35-1B16F35E0441}\setup.exe -runfromtemp -l0x0007 -removeonly
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Junk Mail filter update-->MsiExec.exe /I{4AB8B41B-3AF1-46BE-99B0-0ACD3B300C0A}
Live! Cam Avatar Creator-->C:\Program Files\InstallShield Installation Information\{65D0C510-D7B6-4438-9FC8-E6B91115AB0D}\setup.exe -runfromtemp -l0x0007 -removeonly /remove
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office PowerPoint Viewer 2007 (German)-->MsiExec.exe /X{95120000-00AF-0407-0000-0000000FF1CE}
Microsoft Search Enhancement Pack-->MsiExec.exe /I{299CF645-48C7-4FA1-8BCD-5CE200CF180D}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{39D0E034-1042-4905-BECB-5502909FCB7C}
Miranda IM 0.7.19-->C:\Program Files\Miranda IM\Uninstall.exe
Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI
PokerTH-->C:\Program Files\PokerTH\uninstall.exe
PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -l0x7  -cluninstall
QuickSet-->MsiExec.exe /I{C4972073-2BFE-475D-8441-564EA97DA161}
Roxio Creator Audio-->MsiExec.exe /I{73A4F29F-31AC-4EBD-AA1B-0CC5F18C8F83}
Roxio Creator Copy-->MsiExec.exe /I{B6A26DE5-F2B5-4D58-9570-4FC760E00FCD}
Roxio Creator Data-->MsiExec.exe /I{08E81ABD-79F7-49C2-881F-FD6CB0975693}
Roxio Creator DE-->C:\ProgramData\Uninstall\{09760D42-E223-42AD-8C3E-55B47D0DDAC3}\setup.exe /x {09760D42-E223-42AD-8C3E-55B47D0DDAC3}
Roxio Creator DE-->MsiExec.exe /I{ED439A64-F018-4DD4-8BA5-328D85AB09AB}
Roxio Creator Tools-->MsiExec.exe /I{1F54DAFA-9261-4A62-B59D-6C9F26B48FE4}
Roxio Express Labeler 3-->MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}
Roxio Update Manager-->MsiExec.exe /I{30465B6C-B53F-49A1-9EBA-A3F187AD502E}
Total Commander (Remove or Repair)-->c:\totalcmd\tcuninst.exe
WIDCOMM Bluetooth Software 6.1.0.4402-->MsiExec.exe /X{03D1988F-469F-4843-8E6E-E5FE9D17889D}
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{B5BCBD49-202F-4238-8398-D83D423A48B4}
Windows Live Call-->MsiExec.exe /I{835686C5-8650-49EB-8CA0-4528B4035495}
Windows Live Communications Platform-->MsiExec.exe /I{F69E83CF-B440-43F8-89E6-6EA80712109B}
Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{DF5F687F-8018-4542-9F98-7084E9022917}
Windows Live Fotogalerie-->MsiExec.exe /X{6B96DADA-1A27-4A04-8CB2-CC45168D05FA}
Windows Live Mail-->MsiExec.exe /I{5A166C0B-9557-4364-A057-F946D674E6AC}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Live Sync-->MsiExec.exe /X{8C1E2925-14F8-45AA-B999-1E2A74BF5607}
Windows Live Toolbar-->MsiExec.exe /X{566BAEC0-74CB-4ACC-9E18-8779AC974FB0}
Windows Live Writer-->MsiExec.exe /X{81821BF8-DA20-4F8C-AA87-F70A274828D4}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: SimonLaptop-PC
Event Code: 7036
Message: Dienst "Diagnosediensthost" befindet sich jetzt im Status "Ausgeführt".
Record Number: 26317
Source Name: Service Control Manager
Time Written: 20090603175942.000000-000
Event Type: Informationen
User:

Computer Name: SimonLaptop-PC
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Beendet".
Record Number: 26318
Source Name: Service Control Manager
Time Written: 20090603180132.000000-000
Event Type: Informationen
User:

Computer Name: SimonLaptop-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 26319
Source Name: Service Control Manager
Time Written: 20090603181512.000000-000
Event Type: Informationen
User:

Computer Name: SimonLaptop-PC
Event Code: 7036
Message: Dienst "Diagnosediensthost" befindet sich jetzt im Status "Beendet".
Record Number: 26320
Source Name: Service Control Manager
Time Written: 20090603182758.000000-000
Event Type: Informationen
User:

Computer Name: SimonLaptop-PC
Event Code: 7036
Message: Dienst "Geschützter Speicher" befindet sich jetzt im Status "Ausgeführt".
Record Number: 26321
Source Name: Service Control Manager
Time Written: 20090603185009.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: SimonLaptop-PC
Event Code: 221
Message: WinMail (5420) WindowsMail0: Sicherung der Datei C:\Users\Simon Laptop\AppData\Local\Microsoft\Windows Mail\WindowsMail.MSMessageStore wird beendet.
Record Number: 1294
Source Name: ESENT
Time Written: 20090603185009.000000-000
Event Type: Informationen
User:

Computer Name: SimonLaptop-PC
Event Code: 223
Message: WinMail (5420) WindowsMail0: Sicherung von Protokolldateien (Bereich C:\Users\Simon Laptop\AppData\Local\Microsoft\Windows Mail\edb00003.log - C:\Users\Simon Laptop\AppData\Local\Microsoft\Windows Mail\edb00003.log) wird gestartet.
Record Number: 1295
Source Name: ESENT
Time Written: 20090603185009.000000-000
Event Type: Informationen
User:

Computer Name: SimonLaptop-PC
Event Code: 224
Message: WinMail (5420) WindowsMail0: Protokolldateien C:\Users\Simon Laptop\AppData\Local\Microsoft\Windows Mail\edb00002.log bis C:\Users\Simon Laptop\AppData\Local\Microsoft\Windows Mail\edb00002.log werden gelöscht.
Record Number: 1296
Source Name: ESENT
Time Written: 20090603185009.000000-000
Event Type: Informationen
User:

Computer Name: SimonLaptop-PC
Event Code: 213
Message: WinMail (5420) WindowsMail0: Die Sicherung wurde erfolgreich abgeschlossen.
Record Number: 1297
Source Name: ESENT
Time Written: 20090603185009.000000-000
Event Type: Informationen
User:

Computer Name: SimonLaptop-PC
Event Code: 103
Message: WinMail (5420) WindowsMail0: Das Datenbankmodul hat die Instanz (0) beendet.
Record Number: 1298
Source Name: ESENT
Time Written: 20090603185222.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: SimonLaptop-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:        \Device\HarddiskVolume3\Windows\System32\drivers\tcpip.sys       
Record Number: 2360
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090603185628.514761-000
Event Type: Überwachung gescheitert
User:

Computer Name: SimonLaptop-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:        \Device\HarddiskVolume3\Windows\System32\drivers\tcpip.sys       
Record Number: 2361
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090603185628.561561-000
Event Type: Überwachung gescheitert
User:

Computer Name: SimonLaptop-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:        \Device\HarddiskVolume3\Windows\System32\drivers\tcpip.sys       
Record Number: 2362
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090603185628.592761-000
Event Type: Überwachung gescheitert
User:

Computer Name: SimonLaptop-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:        \Device\HarddiskVolume3\Windows\System32\drivers\tcpip.sys       
Record Number: 2363
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090603185628.608361-000
Event Type: Überwachung gescheitert
User:

Computer Name: SimonLaptop-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:        \Device\HarddiskVolume3\Windows\System32\drivers\tcpip.sys       
Record Number: 2364
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090603185628.639561-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\Common Files\Roxio Shared\DLLShared;C:\Program Files\Common Files\Roxio Shared\10.0\DLLShared
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"RoxioCentral"=C:\Program Files\Common Files\Roxio Shared\10.0\Roxio Central36\

-----------------EOF-----------------

---

Klicke auf Editieren und ersetze [ PHP][ /PHP] durch [ CODE][ /CODE], ansonsten ist das nicht lesbar.

ciao, andreas

Im very sorry, falls ich dir mehr Arbeit bereite als nötig, abr ich bin was das angeht ein absolutes Antitalent.

Das ist nochmal der erste Teil, den ich nicht mehr editieren konnte:

Und hier nun das log von SuperAntiSpyware:

Für das ComboFix-Script brauche ich einige Zeit.

SuperAntiSpyware kann wieder deinstalliert werden.

Lade in der Zwischenzeit die ZIP-Dateien, die sich im Ordner C:\avenger befinden, bei einem Filehoster hoch und schicke mir den/die Links als PN (Private Nachricht).

ciao, andreas

Der Ordner C:\avenger existiert nicht. Zumindest nicht wenn ich auf normalem Wege nachgucke.

Suche nach Avenger.

Hast du irgendwelche P2P-Programme installiert (gehabt)?

1.) Start => Ausführen => cmd [Strg][Umschalt][Enter]
sfc /scannow [Enter] (Vista-DVD bereithalten)
exit [Enter]

Sollte es kein Ausführen geben, dann hier die ersten Schritte abarbeiten =>
http://www.trojaner-board.de/72647-b...ktivieren.html

2.) Start => Ausführen => mrt => OK

ciao, andreas

p.s.: Welches Antivirenprogramm hast du denn eigentlich? Ich sehe da Avira und Mcafee, aber keines scheint zu laufen?

Zitat aus der Eingabeaufforderung. Die Überprüfung des Windows-Tools läuft noch.
McAfee habe ich gestern im Überschwang der Gefühle abgeräumt und Avira draufgespielt, und bis eben war ich in dem sicheren Gefühl, es wäre am laufen.
Dann habe ich heute Nachmittag noch einmal hier ins Forum geschaut, um absolut sicher zu gehen, dass ich den Trojaner los bin. Und siehe da, eine PN eines anderen Users, dass ich noch lange nicht über den Berg bin. :(

Btw: Avenger habe ich nicht gefunden, habe es gestern auch deinstalliert. Sollte ich es trotzdem noch finden?

Dann bedanke dich bei ihr. Das erlebe ich häufig, das schlimmste Problem ist beseitigt, juhu, ich bin geheilt und weg sind sie. Aber nicht für lange. :D

Je genauer ich mir die Logs anschaue, desto mehr neige ich zur Neuinstallation. Das ist ja grauenvoll. :(

Gewöhne dir an, solange du hier bist, nur auf Anweisung zu handeln, sonst sind meine Bemühungen ziemlich sinnlos. Nein, Suche einstellen.

Poste das Log von
Falls es zu groß sein sollte, dann lade es bei einem Filehoster hoch und poste den Link.

ciao, andreas

Eben, das war mein Gedanke.

Ist der Rechner überhaupt noch einmal soweit instand zu setzen, dass ich mir meiner Daten sicher sein kann?

Zu Befehl.


Beim Öffnen sagt er mir "Zugriff verweigert"

Die schnellste und sicherste Lösung ist immer Neuinstallation. Nur für den Fall, das schwerwiegende Gründe dagegen sprechen, würde ich weitermachen wollen.

Viel wichtiger für die Zukunft ist jedoch, wie hast du das bekommen?

Lies dir die letzten beiden Links in meiner Signatur durch. Irgendwo hast du einen grundsätzlichen Fehler begangen.

ciao, andreas

Glücklicherweise habe ich keinerlei schwerwiegenden Datenverlust zu befürchten, d.h. ich werde das System neu aufsetzen. Diese Lösung klingt mir vernünftiger, als ein angeschlagenes Produkt wieder und wieder in die Werkstatt zu schieben. Neu wird es dadurch leider nicht.

Ich habe mir beide Links durchgelesen und verstanden, kann mir jedoch nicht erklären wie ich mir die Malware eingefangen haben könnte. Geben die Logs darüber in irgendeiner Weise Aufschluss?

:aplaus: Dann kann ich dich entlassen. :)
Da ist das Problem, ich sehe zuviele Anzeichen, aber keinen wirklichen Ansatzpunkt. Ich bin auf deine Aussagen angewiesen, du scheinst aber selbst nicht genau zu wissen, was eigentlich war. Ein Ansatzpunkt wäre noch

Erstelle ein Filelisting.

• Lade die Datei listing0.bat auf deinen Desktop
• Doppelklicke auf listing0.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Materialordner.de) hochladen und hier den Link posten.

Lasse dich nicht von den Fehlermeldungen verunsichern, das liegt an Vista.

ciao, andreas