Trojaner-Board - Frage zu GMER Meldung: sector 63 rootkit-like behaviour

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Frage zu GMER Meldung: sector 63 rootkit-like behaviour (https://www.trojaner-board.de/81089-frage-gmer-meldung-sector-63-rootkit-like-behaviour.html)

Frage zu GMER Meldung: sector 63 rootkit-like behaviour

Hallo zusammen,

ich hatte einen Virus der den Prozess svchost stark ausgelastet hat, habe ich aber direkt bemerkt und den Schädling beseitigt mit der CT Notfall CD (aktuelles Signatiren Update).
Anschließend habe ich mit der WinXP CD in der Konsole mit FIXMBR den Bootsektor neu geschrieben.
Danach habe ich das System noch mal mit weiteren Tools getestet:
- Avira Personal (aggresive Einstellung/ check der MBR)
- HijackThis
- Anti-Spy
- GMER
- MBR.EXE (von der Gmer Seite)

jetzt meldet GMER unter Rootkit/Malware
DISK \Device\Harddisk0\DR0 sector 63: rootkit like behaviour, copy of MBR

MBR.EXE gibt aus: user & kernel mbr ok

das ganze ist nicht farblich besonders markiert und ich verstehe das in erster Linie als Hinweis, was sagt ihr dazu

zur Info: die Platte ist partitioniert, die zweite Parttion auf 2 Laufwerke aufgeteilt. Gibt es PC Konfigurationen die diese Meldung verursachen.

vielen Dank schon mal

mit freundlichen Grüssen

Lutz

Hallo und :hallo:

Wenn Du den MBR über fixmbr repariert ist, dürfte der MBR ok sein. Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo Arne,

ich habe die Anleitung befolgt und die log-files hier hochgeladen als zip. h**p://w*w.file-upload.net/download-2125207/log.zip.html

Ich habe dabei noch einen Startup EIntrag der siszyd32.exe gefunden und gelöscht und ein zweites mal laufen lassen, jetzt ist sauber. Die Datei siszyd32.exe hatte der Virensacnner aber gefunden und gelöscht zusammen mit 2 weiteren Dateien.

Gruß

Lutz
:dankeschoen:für deine Hilfe

Code:

Infizierte Dateien:

E:\@ Setups_Downloaded\E-Technik\ProDelphi\Setup.exe (Trojan.FakeAlert) -> No action taken.

E:\Sources\prodel\Setup.exe (Trojan.FakeAlert) -> No action taken.

Wo hast Du diese Setups her? Stammen die aus einer vertrauenswürdigen Quelle?

Code:

2009-12-31 10:27:17 ----D---- C:\INFECTED

2009-12-31 06:34:22 ----D---- C:\knclogs

Was ist in diesen Ordnern?

Lade dir Lop S&D herunter.

Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

[QUOTE=cosinus;491589]

Code:



        Code:


        
Infizierte Dateien:

E:\@ Setups_Downloaded\E-Technik\ProDelphi\Setup.exe (Trojan.FakeAlert) -> No action taken.

E:\Sources\prodel\Setup.exe (Trojan.FakeAlert) -> No action taken.

 
Wo hast Du diese Setups her? Stammen die aus einer vertrauenswürdigen Quelle?

Die Setups sind recht alte Programme aus DOS/Win3.11 bzw Win95 Zeiten, habe sie noch nicht gelöscht sind aber sauber. Es sind Profiler für Turbo Pascal bzw Turbo Pascal für Windows.
Ich habe sie aber trotzdem bei VirusTotal.com gecheckt, sind auch da sauber.

Code:



        Code:


        
2009-12-31 10:27:17 ----D---- C:\INFECTED

2009-12-31 06:34:22 ----D---- C:\knclogs

 
Was ist in diesen Ordnern?

Die Ordner wurden von der CT Rettungs CD angelegt, dort wurden die infizierten Dateien in Quarantäne geschickt und natürlich umbenannt.

Code:

Lade dir Lop S&D  herunter. 

        
 Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Mach ich

viele Grüsse

Lutz

Hallo,

so jetzt hab ich es gesacnnt un hochgeladen
w*w.file-upload.net/download-2127039/lopR.txt.html

dort habe ich ein merkwürdiges verzeichnis gefunden
VZXdxfUqEAF

darin ist die Datei
PCGWIN32.LI5

habe die Datei bei virus-total.com geprüft aber ohne Befund, der Ordner wurde am gleichen Tag zur gleichen Uhrzeit angelegt als ich einen Streckenbaukasten für GTL Rennsimulation installiert habe. Werde diese Setup Datei mal bei VirusTotal checken

Gruß

Lutz

Das ist schon sehr :balla:
Bitte CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

was ist denn der Grund, welche Angabe gibt denn Grund für die Annahme das etwas nicht stimmt? Könntest du mir evtl. dazu noch eine Info geben.

Gruß

Lutz

Hm was möchstest Du jetzt wissen? Das :balla: bezog sich auf den Namen des Ordners :D
Bitte CF ausführen! ;)

Hallo Arne,

danke für die Antwort, der Name des Orners wars also, hatte mich auch stutzig gemacht. Wie gesagt die Datei im Ordener hatte ich daraufhuin gescannt bei virus-total.com. Das Setup welches diese angelegt hatte habe ich auch gescannt. Beides ohne Viren, soweit man das sagen kann.

Hier das Ergebnis von CoFi
w*w.file-upload.net/download-2130224/ComboFix.txt.html

viele Grüsse

Lutz

Hallo Arne,

neuer link

Hier das Ergebnis von CoFi
w*w.file-upload.net/download-2130969/ComboFix.txt.html

viele Grüsse

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

DirLook::

C:\INFECTED

C:\knclogs
 

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"wave1"=-

"mixer1"=-
 

File::

c:\windows\system32\avmwav32.drv

c:\windows\system32\fjhdyfhsn.bat

c:\windows\system32\drivers\CBUL32.sys

c:\windows\wpd99.drv
 

Drivers::

CBUL32

wyvnj

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

der lauf mit dem Script hat mir jetzt den Treiber der FAST AVMaster gelöscht avmwav32.drv und den Treiber der RedLab AD Wandler Box CBUL32.sys

Die fjhdyfhsn.bat war eine Endlosschleife die so lange läuft bis der Iinternet Explorer gelöscht ist, sonst hat die nichts gemacht, hat aber nicht funktioniert da der bei mir iexplore.exe und nicht wie in der Bat iexplorer.exe heißt.

Bei dem WPD99.DRV weiß ich noch nicht was es war.

Wenn das File die Dateien löschen sollte wäre ein Info nicht schlecht gewesen weil ich mich schon ein bißchen auskenne, werde es aber auch wieder hinbekommen.

hier das Logfile:

Code:

ComboFix 10-01-04.01 - lutz0 05.01.2010  18:20:18.2.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.767.442 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\lutz0\Desktop\CoFi.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\lutz0\Desktop\cfscript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
 

FILE ::

"c:\windows\system32\avmwav32.drv"

"c:\windows\system32\drivers\CBUL32.sys"

"c:\windows\system32\fjhdyfhsn.bat"

"c:\windows\wpd99.drv"

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\avmwav32.drv

c:\windows\system32\drivers\CBUL32.sys

c:\windows\system32\fjhdyfhsn.bat

c:\windows\wpd99.drv
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_CBUL32

-------\Service_CBUL32
 
 

(((((((((((((((((((((((   Dateien erstellt von 2009-12-05 bis 2010-01-05  ))))))))))))))))))))))))))))))

.
 

2010-01-04 20:34 . 2010-01-04 20:52        --------        d-----w-        C:\CoFi

2010-01-03 18:27 . 2010-01-03 19:08        --------        d-----w-        C:\Lop SD

2010-01-02 16:39 . 2010-01-03 08:18        --------        d-----w-        C:\rsit

2010-01-02 12:09 . 2010-01-02 12:09        --------        d-----w-        c:\dokumente und einstellungen\lutz0\Anwendungsdaten\Malwarebytes

2010-01-02 12:09 . 2009-12-30 13:55        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-01-02 12:09 . 2010-01-02 12:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-01-02 12:09 . 2009-12-30 13:54        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-12-31 09:27 . 2009-12-31 09:27        --------        d-----w-        C:\INFECTED

2009-12-31 05:34 . 2009-12-31 04:50        --------        d-----w-        C:\knclogs

2009-12-29 22:03 . 2009-12-29 22:03        --------        d-----w-        c:\dokumente und einstellungen\lutz0\Lokale Einstellungen\Anwendungsdaten\FreeFixer

2009-12-29 22:03 . 2009-12-29 22:03        --------        d-----w-        c:\dokumente und einstellungen\lutz0\Anwendungsdaten\FreeFixer

2009-12-23 20:38 . 2003-08-19 18:31        81920        ----a-w-        c:\windows\system32\viscomwave.dll

2009-12-20 17:36 . 2009-12-20 17:36        --------        d-----w-        c:\dokumente und einstellungen\lutz0\Anwendungsdaten\TracerDAQ

2009-12-20 17:36 . 2009-12-20 17:36        --------        d-----w-        c:\dokumente und einstellungen\lutz0\Anwendungsdaten\Meilhaus Electronic

2009-12-20 12:18 . 2009-12-20 12:18        --------        d-----w-        c:\programme\Meilhaus Electronic

2009-12-19 19:43 . 2009-12-19 19:43        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Startmenü

2009-12-19 19:43 . 2009-11-25 10:19        56816        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2009-12-19 19:43 . 2009-03-30 08:33        96104        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2009-12-19 19:43 . 2009-02-13 10:29        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys

2009-12-19 19:43 . 2009-02-13 10:17        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys

2009-12-19 19:43 . 2009-12-19 19:43        --------        d-----w-        c:\programme\Avira

2009-12-19 19:43 . 2009-12-19 19:43        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2009-12-07 18:44 . 2009-12-07 18:44        --------        d-----w-        c:\windows\system32\CatRoot_bak

2009-12-07 05:06 . 2009-12-07 05:08        --------        d-----w-        c:\dokumente und einstellungen\lutz0\Lokale Einstellungen\Anwendungsdaten\Temp
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-05 05:46 . 2009-01-17 19:27        34176        ----a-w-        c:\dokumente und einstellungen\lutz0\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-01-04 19:14 . 2009-05-03 10:41        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater

2010-01-01 18:06 . 2009-01-18 13:17        664        ----a-w-        c:\windows\system32\d3d9caps.dat

2009-12-30 08:24 . 2009-12-30 08:22        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiSpyInfo

2009-12-22 05:35 . 2009-09-03 18:37        --------        d-----w-        c:\programme\Opera

2009-12-20 12:18 . 2009-02-03 20:10        --------        d--h--w-        c:\programme\InstallShield Installation Information

2009-12-20 07:28 . 2009-12-06 08:18        --------        d-----w-        c:\programme\TuneUp Utilities 2009

2009-12-16 16:43 . 2009-09-28 17:52        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\pdf995

2009-12-06 12:22 . 2009-01-17 18:45        84318        ----a-w-        c:\windows\system32\perfc007.dat

2009-12-06 12:22 . 2009-01-17 18:45        458476        ----a-w-        c:\windows\system32\perfh007.dat

2009-12-06 12:16 . 2009-01-17 19:10        86327        ----a-w-        c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat

2009-12-06 08:19 . 2009-12-06 08:19        --------        d-----w-        c:\dokumente und einstellungen\lutz0\Anwendungsdaten\TuneUp Software

2009-12-06 08:18 . 2009-12-06 08:18        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software

2009-12-06 08:18 . 2009-12-06 08:18        --------        d-sh--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}

2009-12-01 19:52 . 2009-10-15 17:15        --------        d-----w-        c:\dokumente und einstellungen\lutz0\Anwendungsdaten\Winamp

2009-11-14 17:48 . 2009-11-14 17:48        --------        d-----w-        c:\programme\Gemeinsame Dateien\DivX Shared

2009-01-17 18:28 . 2009-01-17 18:27        23480        ---ha-w-        c:\programme\folder.htt

2004-03-15 16:51 . 2004-03-15 16:51        114688        ----a-w-        c:\programme\internet explorer\plugins\LV71ActiveXControl.dll

2006-01-23 09:32 . 2006-01-23 09:32        131072        ----a-w-        c:\programme\internet explorer\plugins\LV80ActiveXControl.dll

2007-02-08 09:48 . 2007-02-08 09:48        133920        ----a-w-        c:\programme\internet explorer\plugins\LV82ActiveXControl.dll

2007-07-24 18:03 . 2007-07-24 18:03        118784        ----a-w-        c:\programme\internet explorer\plugins\LV85ActiveXControl.dll

.
 

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Directory of C:\INFECTED ----
 
 

---- Directory of C:\knclogs ----
 

2009-12-31 05:34 . 2009-12-31 05:34        45709        ------w-        c:\knclogs\20091231-0634.zip
 
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]

"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Matrox PowerDesk SE"="c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [2008-08-22 2655488]

"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"niDevMon"="d:\programme\National Instruments\NI-DAQ\HWConfig\nidevmon.exe" [2007-07-14 106064]

"SerExt"="SerExt.exe" [2004-03-25 61440]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPI - Monitor.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\CAPI - Monitor.lnk

backup=c:\windows\pss\CAPI - Monitor.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^talk&surf 6.0 - Monitor.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\talk&surf 6.0 - Monitor.lnk

backup=c:\windows\pss\talk&surf 6.0 - Monitor.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-02-27 16:10        35696        ----a-w-        d:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

2009-05-03 10:41        39408        ----a-w-        c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2009-07-01 16:37        37888        ----a-w-        d:\programme\Winamp\winampa.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wuauserv"=2 (0x2)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\programme\\National Instruments\\Vision\\NIVisSvr.exe"=

"e:\\Sources\\labview 8.5\\builds\\halloween-2\\Meine Applikation\\Application.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\programme\\National Instruments\\LabVIEW 8.5\\LabVIEW.exe"=

"c:\\Programme\\Opera\\opera.exe"=
 

R0 amdagpxp;AMD NB AGP Bus Filter;c:\windows\SYSTEM32\DRIVERS\amdagpxp.sys [18.01.2009 12:26 27776]

R0 nipbcfk;National Instruments Class Upper Filter Driver;c:\windows\SYSTEM32\DRIVERS\nipbcfk.sys [10.07.2007 20:08 15448]

R1 avmdrv32;FAST AV Master;c:\windows\SYSTEM32\DRIVERS\AVMdrv32.sys [18.01.2009 10:10 262656]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.12.2009 20:43 108289]

R2 CAPI;CAPI 2.0 Service;c:\windows\SYSTEM32\DRIVERS\capi.sys [14.02.2009 12:58 27699]

R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [03.02.2009 13:53 1155072]

R2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe [22.08.2008 16:32 591104]

R2 Matrox.Pdesk.ServicesHost;Matrox.Pdesk.ServicesHost;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe [22.08.2008 16:32 193792]

R2 NDISCAPI;NDIS CAPI Service;c:\windows\SYSTEM32\DRIVERS\ndiscapi.sys [14.02.2009 12:58 26684]

R2 ni488enumsvc;NI-488.2 Enumeration Service;c:\windows\SYSTEM32\nipalsm.exe [16.02.2007 11:21 12696]

R2 nicanpk;nicanpk;c:\windows\SYSTEM32\DRIVERS\nicanpkl.sys [17.07.2007 14:46 11336]

R2 nidevldu;NI Device Loader;c:\windows\SYSTEM32\nipalsm.exe [16.02.2007 11:21 12696]

R2 nipxirmk;nipxirmk;c:\windows\SYSTEM32\DRIVERS\nipxirmkl.sys [22.02.2007 12:18 11552]

R2 NiViPxiK;NI-VISA PXI Driver;c:\windows\SYSTEM32\DRIVERS\NiViPxiKl.sys [19.07.2007 11:56 11360]

R3 DectEnum;DectEnum;c:\windows\SYSTEM32\DRIVERS\DectEnum.sys [25.03.2004 16:01 8448]

R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0029);c:\windows\SYSTEM32\DRIVERS\hrcmpa.sys [28.08.2003 07:44 249910]

R3 nidimk;nidimk;c:\windows\SYSTEM32\DRIVERS\nidimkl.sys [12.07.2007 18:18 11360]

R3 nimru2k;nimru2k;c:\windows\SYSTEM32\DRIVERS\nimru2kl.sys [24.07.2007 12:19 11360]

R3 nimstsk;nimstsk;c:\windows\SYSTEM32\DRIVERS\nimstskl.sys [13.07.2007 20:00 11360]

S0 wyvnj;wyvnj; [x]

S2 gupdate1c9cbdbed070780;Google Update Service (gupdate1c9cbdbed070780);c:\programme\Google\Update\GoogleUpdate.exe [03.05.2009 11:42 133104]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 09:10 3276800]

S3 Gigusb;Dect USB Driver;c:\windows\SYSTEM32\DRIVERS\Gigusb.sys [25.03.2004 16:11 53632]

S3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0029);c:\windows\SYSTEM32\DRIVERS\IUAPIWDM.sys [19.08.2003 16:46 53552]

S3 lvalarmk;lvalarmk;c:\windows\SYSTEM32\DRIVERS\lvalarmk.sys [11.01.2007 10:18 20256]

S3 ni1006k;NI PXI-1006 Chassis Pilot;c:\windows\SYSTEM32\DRIVERS\ni1006k.sys [22.02.2007 12:40 25888]

S3 ni1045k;NI PXI-1045 Chassis Pilot;c:\windows\SYSTEM32\DRIVERS\ni1045kl.sys [22.02.2007 12:43 11552]

S3 ni1065k;NI PXIe-1065 Chassis Pilot;c:\windows\SYSTEM32\DRIVERS\ni1065k.sys [25.05.2007 13:26 22360]

S3 ni488lock;NI-488.2 Locking Service;c:\windows\SYSTEM32\DRIVERS\ni488lock.sys [26.02.2007 12:40 16672]

S3 nicdrk;nicdrk;c:\windows\SYSTEM32\DRIVERS\nicdrkl.sys [15.07.2007 17:44 11352]

S3 nidmxfk;nidmxfk;c:\windows\SYSTEM32\DRIVERS\nidmxfkl.sys [13.07.2007 22:38 11336]

S3 nidsark;nidsark;c:\windows\SYSTEM32\DRIVERS\nidsarkl.sys [19.07.2007 03:06 11344]

S3 niemrk;niemrk;c:\windows\SYSTEM32\DRIVERS\niemrkl.sys [24.07.2007 19:37 11336]

S3 niesrk;niesrk;c:\windows\SYSTEM32\DRIVERS\niesrkl.sys [24.07.2007 19:37 11336]

S3 nifslk;nifslk;c:\windows\SYSTEM32\DRIVERS\nifslkl.sys [15.07.2007 18:31 11352]

S3 niimaqk;NI-IMAQ Driver;c:\windows\system32\drivers\niimaqk.sys --> c:\windows\system32\drivers\niimaqk.sys [?]

S3 nimsdrk;nimsdrk;c:\windows\SYSTEM32\DRIVERS\nimsdrkl.sys [18.07.2007 10:47 11392]

S3 nimslk;nimslk;c:\windows\SYSTEM32\DRIVERS\nimslk.dll [21.06.2007 00:19 14464]

S3 nimsrlk;nimsrlk;c:\windows\SYSTEM32\DRIVERS\nimsrlk.dll [21.06.2007 00:19 151683]

S3 nimxpk;nimxpk;c:\windows\SYSTEM32\DRIVERS\nimxpkl.sys [13.07.2007 20:01 11368]

S3 ninshsdk;ninshsdk;c:\windows\SYSTEM32\DRIVERS\ninshsdkl.sys [19.07.2007 13:49 11360]

S3 nipalfwedl;nipalfwedl;c:\windows\SYSTEM32\DRIVERS\nipalfwedl.sys [18.07.2007 21:11 11904]

S3 nipalusbedl;nipalusbedl;c:\windows\SYSTEM32\DRIVERS\nipalusbedl.sys [18.07.2007 21:12 11896]

S3 nipxigpk;NI PXI Generic Chassis Pilot;c:\windows\SYSTEM32\DRIVERS\nipxigpk.sys [22.02.2007 12:45 20768]

S3 niscdk;niscdk;c:\windows\SYSTEM32\DRIVERS\niscdkl.sys [19.07.2007 02:32 11376]

S3 nisdigk;nisdigk;c:\windows\SYSTEM32\DRIVERS\nisdigkl.sys [17.07.2007 00:27 11352]

S3 nisftk;nisftk;c:\windows\SYSTEM32\DRIVERS\nisftkl.sys [16.07.2007 12:52 11344]

S3 nispdk;nispdk;c:\windows\SYSTEM32\DRIVERS\nispdkl.sys [19.07.2007 02:32 11376]

S3 nissrk;nissrk;c:\windows\SYSTEM32\DRIVERS\nissrkl.sys [24.07.2007 19:37 11336]

S3 nistc2k;nistc2k;c:\windows\SYSTEM32\DRIVERS\nistc2kl.sys [15.07.2007 16:48 11312]

S3 nistcrk;nistcrk;c:\windows\SYSTEM32\DRIVERS\nistcrkl.sys [15.07.2007 17:50 11360]

S3 niswdk;niswdk;c:\windows\SYSTEM32\DRIVERS\niswdkl.sys [17.07.2007 04:18 11336]

S3 nitiork;nitiork;c:\windows\SYSTEM32\DRIVERS\nitiorkl.sys [18.07.2007 22:15 11360]

S3 NiViFWK;NI-VISA FireWire Driver;c:\windows\SYSTEM32\DRIVERS\NiViFWKl.sys [19.07.2007 11:48 11384]

S3 NiViPciK;NI-VISA PCI Driver;c:\windows\SYSTEM32\DRIVERS\NiViPciKl.sys [19.07.2007 11:56 11360]

S3 niwfrk;niwfrk;c:\windows\SYSTEM32\DRIVERS\niwfrkl.sys [24.07.2007 19:37 11336]

S3 nixsrk;nixsrk;c:\windows\SYSTEM32\DRIVERS\nixsrkl.sys [24.07.2007 19:38 11336]

S3 siellif;siellif;c:\windows\SYSTEM32\DRIVERS\siellif.sys [25.03.2004 15:59 113280]

S3 usb6xxxk;usb6xxxk;\??\c:\windows\system32\drivers\usb6xxxkl.sys --> c:\windows\system32\drivers\usb6xxxkl.sys [?]

S3 xControlCOM;xControlCOM;d:\programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [25.03.2004 16:10 327680]
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2007-08-23 16:34        451872        ----a-w-        c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners
 

2010-01-05 c:\windows\Tasks\Google Software Updater.job

- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-03 10:41]
 

2010-01-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-03 10:42]
 

2010-01-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-03 10:42]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://news.google.de/nwshp?hl=de&tab=wn

Trusted Zone: adobe.com\get

Trusted Zone: camps-cres-losinj.com\www

Trusted Zone: ni.com\delta

Trusted Zone: ni.com\www

Trusted Zone: phobs.net\secure

Trusted Zone: snogard.de\www

Trusted Zone: stabo.de\www

Trusted Zone: web.de\freemailng1305

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-05 18:46

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(1724)

c:\windows\system32\ieframe.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

c:\windows\system32\lkcitdl.exe

c:\windows\system32\lkads.exe

c:\windows\system32\lktsrv.exe

c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

c:\windows\system32\mgabg.exe

d:\programme\National Instruments\MAX\nimxs.exe

d:\programme\National Instruments\Shared\Security\nidmsrv.exe

c:\windows\system32\nisvcloc.exe

d:\programme\National Instruments\Shared\Tagger\tagsrv.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\SerExt.exe

c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-01-05  18:49:38 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-01-05 17:49

ComboFix2.txt  2010-01-04 20:52
 

Vor Suchlauf: 684.019.712 Bytes frei

Nach Suchlauf: 570.662.912 Bytes frei
 

- - End Of File - - DEB35B31A2143215DB89E8E3851FBC12

viele Grüsse

Lutz

Zitat:

der lauf mit dem Script hat mir jetzt den Treiber der FAST AVMaster gelöscht avmwav32.drv und den Treiber der RedLab AD Wandler Box CBUL32.sys

Ups, die Dinger sahen stark nach Malware aus :o weil Google keine entsprechenden Infos über Treiber brachte und da frag ich dann auch nicht mehr beim TO nach... :(
Du bekommst die treiber aber wieder lauffähig oder? ;)

Hi Arne,

keine Sorge, wird schon klappen

ist denn sonst aus deiner Sicht alles i.O. jetzt

die FAST AV Master ist ja auch kein alltägliches Produkt und die Messhardware von Meilhaus Electronic erst recht nicht.

viele Grüsse

Lutz

Das Logfile schau ich mir jetzt mal an. Wollte mich nur wegen der versehentlich gelöschten Treiberdateien erstmal melden :D

Edit: Weiter gehts:

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
http://swandog46.geekstogo.com/avenger2/avenger2.html (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

registry values to delete:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile | EnableFirewall
 

drivers to delete:

wyvnj

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Hallo Arne,

neues Logfile

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Registry value "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile|EnableFirewall" deleted successfully.

Driver "wyvnj" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

viele Grüsse

Lutz

Prüf bitte ob die Windows-Firewall aktiviert ist (und auch bleibt) in der Registry wurde die deaktiviert, hab den Eintrag mit dem Avenger löschen lassen.

Mach auch bitte noch einen Kontrollscan mit Malwarebytes und poste das Log falls was gefunden wird. Bereicht wie der Rechner sich nach der Prozedur verhält ;)

Hallo Arne,

läuft gerade im Moment alles gut, das Log File von Malwarebytes schaut so aus

Code:

Malwarebytes' Anti-Malware 1.43

Datenbank Version: 3477

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13
 

05.01.2010 21:55:28

mbam-log-2010-01-05 (21-55-24).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 253051

Laufzeit: 58 minute(s), 24 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe (Trojan.FakeAlert) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

E:\@ Setups_Downloaded\E-Technik\ProDelphi\Setup.exe (Trojan.FakeAlert) -> No action taken.

E:\Sources\prodel\Setup.exe (Trojan.FakeAlert) -> No action taken.

den gefundenen registry Schlüssel habe ich aber auch auf meinem Firmen Laptop und der hängt nicht in meinem privaten Netz.
Die Setups sind sicher.

viele Grüsse

Lutz

Hm okay. Dann schau mal nach ob es in diesem Schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe

ein Wert "debugger" gibt. Die letzten Schädlinge haben gaz gerne in diesem Bereich (Image File Execution Options) rumgewütet. :mad:

Hallo Arne,

dort gibt es den Schlüssel
ApplicationGoo=00 07 00 00 54 00 00 00 02 ...
ein debug steht da nicht drin nur etwas mit ServicePack3

Code:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe]

"ApplicationGoo"=hex:00,07,00,00,54,02,00,00,00,02,00,00,84,07,34,00,00,00,56,\

  00,53,00,5f,00,56,00,45,00,52,00,53,00,49,00,4f,00,4e,00,5f,00,49,00,4e,00,\

  46,00,4f,00,00,00,00,00,bd,04,ef,fe,00,00,01,00,05,00,05,00,07,00,a8,07,05,\

  00,05,00,07,00,a8,07,3f,00,00,00,00,00,00,00,04,00,04,00,01,00,00,00,00,00,\

  00,00,00,00,00,00,00,00,00,00,e4,06,00,00,01,00,53,00,74,00,72,00,69,00,6e,\

  00,67,00,46,00,69,00,6c,00,65,00,49,00,6e,00,66,00,6f,00,00,00,60,03,00,00,\

  01,00,30,00,34,00,30,00,39,00,30,00,34,00,42,00,30,00,00,00,18,00,00,00,01,\

  00,43,00,6f,00,6d,00,6d,00,65,00,6e,00,74,00,73,00,00,00,4c,00,16,00,01,00,\

  43,00,6f,00,6d,00,70,00,61,00,6e,00,79,00,4e,00,61,00,6d,00,65,00,00,00,00,\

  00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,20,00,43,00,6f,00,\

  72,00,70,00,6f,00,72,00,61,00,74,00,69,00,6f,00,6e,00,00,00,68,00,20,00,01,\

  00,46,00,69,00,6c,00,65,00,44,00,65,00,73,00,63,00,72,00,69,00,70,00,74,00,\

  69,00,6f,00,6e,00,00,00,00,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,\

  00,74,00,20,00,45,00,78,00,63,00,68,00,61,00,6e,00,67,00,65,00,20,00,53,00,\

  65,00,72,00,76,00,65,00,72,00,20,00,53,00,65,00,74,00,75,00,70,00,00,00,36,\

  00,0b,00,01,00,46,00,69,00,6c,00,65,00,56,00,65,00,72,00,73,00,69,00,6f,00,\

  6e,00,00,00,00,00,35,00,2e,00,35,00,2e,00,31,00,39,00,36,00,30,00,2e,00,37,\

  00,00,00,00,00,2c,00,06,00,01,00,49,00,6e,00,74,00,65,00,72,00,6e,00,61,00,\

  6c,00,4e,00,61,00,6d,00,65,00,00,00,53,00,65,00,74,00,75,00,70,00,00,00,9e,\

  00,3d,00,01,00,4c,00,65,00,67,00,61,00,6c,00,43,00,6f,00,70,00,79,00,72,00,\

  69,00,67,00,68,00,74,00,00,00,43,00,6f,00,70,00,79,00,72,00,69,00,67,00,68,\

  00,74,00,20,00,02,00,00,00,00,00,00,00,01,00,00,00,4c,00,00,00,3c,fd,06,00,\

  05,00,00,00,00,00,00,00,65,05,00,00,02,00,00,00,00,00,00,00,00,00,00,00,53,\

  00,65,00,72,00,76,00,69,00,63,00,65,00,20,00,50,00,61,00,63,00,6b,00,20,00,\

  33,00,00,00,24,00,54,02,00,00,00,02,00,00,a4,08,34,00,00,00,56,00,53,00,5f,\

  00,56,00,45,00,52,00,53,00,49,00,4f,00,4e,00,5f,00,49,00,4e,00,46,00,4f,00,\

  00,00,00,00,bd,04,ef,fe,00,00,01,00,05,00,05,00,07,00,a8,07,05,00,05,00,07,\

  00,a8,07,3f,00,00,00,00,00,00,00,04,00,04,00,01,00,00,00,00,00,00,00,00,00,\

  00,00,00,00,00,00,04,08,00,00,01,00,53,00,74,00,72,00,69,00,6e,00,67,00,46,\

  00,69,00,6c,00,65,00,49,00,6e,00,66,00,6f,00,00,00,f0,03,00,00,01,00,30,00,\

  34,00,30,00,39,00,30,00,34,00,42,00,30,00,00,00,18,00,00,00,01,00,43,00,6f,\

  00,6d,00,6d,00,65,00,6e,00,74,00,73,00,00,00,4c,00,16,00,01,00,43,00,6f,00,\

  6d,00,70,00,61,00,6e,00,79,00,4e,00,61,00,6d,00,65,00,00,00,00,00,4d,00,69,\

  00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,20,00,43,00,6f,00,72,00,70,00,\

  6f,00,72,00,61,00,74,00,69,00,6f,00,6e,00,00,00,68,00,20,00,01,00,46,00,69,\

  00,6c,00,65,00,44,00,65,00,73,00,63,00,72,00,69,00,70,00,74,00,69,00,6f,00,\

  6e,00,00,00,00,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,20,\

  00,45,00,78,00,63,00,68,00,61,00,6e,00,67,00,65,00,20,00,53,00,65,00,72,00,\

  76,00,65,00,72,00,20,00,53,00,65,00,74,00,75,00,70,00,00,00,36,00,0b,00,01,\

  00,46,00,69,00,6c,00,65,00,56,00,65,00,72,00,73,00,69,00,6f,00,6e,00,00,00,\

  00,00,35,00,2e,00,35,00,2e,00,31,00,39,00,36,00,30,00,2e,00,37,00,00,00,00,\

  00,2c,00,06,00,01,00,49,00,6e,00,74,00,65,00,72,00,6e,00,61,00,6c,00,4e,00,\

  61,00,6d,00,65,00,00,00,53,00,65,00,74,00,75,00,70,00,00,00,a6,00,41,00,01,\

  00,4c,00,65,00,67,00,61,00,6c,00,43,00,6f,00,70,00,79,00,72,00,69,00,67,00,\

  68,00,74,00,00,00,43,00,6f,00,70,00,79,00,72,00,69,00,67,00,68,00,74,00,20,\

  00,02,00,00,00,00,00,00,00,01,00,00,00,4c,00,00,00,3c,fd,06,00,05,00,00,00,\

  00,00,00,00,65,05,00,00,02,00,00,00,00,00,00,00,00,00,00,00,53,00,65,00,72,\

  00,76,00,69,00,63,00,65,00,20,00,50,00,61,00,63,00,6b,00,20,00,33,00,00,00,\

  24,00,54,02,00,00,00,02,00,00,18,04,34,00,00,00,56,00,53,00,5f,00,56,00,45,\

  00,52,00,53,00,49,00,4f,00,4e,00,5f,00,49,00,4e,00,46,00,4f,00,00,00,00,00,\

  bd,04,ef,fe,00,00,01,00,05,00,05,00,07,00,a8,07,05,00,05,00,07,00,a8,07,3f,\

  00,00,00,00,00,00,00,04,00,04,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,\

  00,00,78,03,00,00,01,00,53,00,74,00,72,00,69,00,6e,00,67,00,46,00,69,00,6c,\

  00,65,00,49,00,6e,00,66,00,6f,00,00,00,54,03,00,00,01,00,30,00,34,00,30,00,\

  39,00,30,00,34,00,42,00,30,00,00,00,18,00,00,00,01,00,43,00,6f,00,6d,00,6d,\

  00,65,00,6e,00,74,00,73,00,00,00,4c,00,16,00,01,00,43,00,6f,00,6d,00,70,00,\

  61,00,6e,00,79,00,4e,00,61,00,6d,00,65,00,00,00,00,00,4d,00,69,00,63,00,72,\

  00,6f,00,73,00,6f,00,66,00,74,00,20,00,43,00,6f,00,72,00,70,00,6f,00,72,00,\

  61,00,74,00,69,00,6f,00,6e,00,00,00,68,00,20,00,01,00,46,00,69,00,6c,00,65,\

  00,44,00,65,00,73,00,63,00,72,00,69,00,70,00,74,00,69,00,6f,00,6e,00,00,00,\

  00,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,20,00,45,00,78,\

  00,63,00,68,00,61,00,6e,00,67,00,65,00,20,00,53,00,65,00,72,00,76,00,65,00,\

  72,00,20,00,53,00,65,00,74,00,75,00,70,00,00,00,36,00,0b,00,01,00,46,00,69,\

  00,6c,00,65,00,56,00,65,00,72,00,73,00,69,00,6f,00,6e,00,00,00,00,00,35,00,\

  2e,00,35,00,2e,00,31,00,39,00,36,00,30,00,2e,00,37,00,00,00,00,00,2c,00,06,\

  00,01,00,49,00,6e,00,74,00,65,00,72,00,6e,00,61,00,6c,00,4e,00,61,00,6d,00,\

  65,00,00,00,53,00,65,00,74,00,75,00,70,00,00,00,9a,00,3b,00,01,00,4c,00,65,\

  00,67,00,61,00,6c,00,43,00,6f,00,70,00,79,00,72,00,69,00,67,00,68,00,74,00,\

  00,00,43,00,6f,00,70,00,79,00,72,00,69,00,67,00,68,00,74,00,20,00,02,00,00,\

  00,00,00,00,00,01,00,00,00,4c,00,00,00,3c,fd,06,00,05,00,00,00,00,00,00,00,\

  65,05,00,00,02,00,00,00,00,00,00,00,00,00,00,00,53,00,65,00,72,00,76,00,69,\

  00,63,00,65,00,20,00,50,00,61,00,63,00,6b,00,20,00,33,00,00,00,24,00

Gruß

Lutz

Weiß ich ehrlich gesagt nicht was ich davon halten soll. :dummguck:
Wäre aber gut möglich, dass das von Deiner Spezialsoftware stammt ;)
Wie verhält sich Dein System jetzt?

Hallo Arne,

das System läuft soweit normal, die Meldung von GMER exisiert aber immer noch.
Den registry Eintrag finde ich auch bei der Arbeit auf den Rechnern, der sollte ok sein.

Gruß

Lutz

Meinst Du diese:

Zitat:

jetzt meldet GMER unter Rootkit/Malware
DISK \Device\Harddisk0\DR0 sector 63: rootkit like behaviour, copy of MBR

Da hattest Du wohl mal nen befallenen MBR und der "echte" MBR wurde nach Sektor 63 kopiert. Der eigentlich MBR scheint aber i.O. zu sein, um das sicherzustellen in der Wiederherstellungskonsole (Von der Windows-CD booten) den Befehl fixmbr ausführen.

Hallo Arne,

aus der Konsole heraus den fixmbr hatte ich ja nach dem scannen und löschen gemacht, allerdings gabs die Meldung dann immer noch. Das war der allererste Grund meiner Anfrage.
Aber nichts destotrotz habe ich mit deiner Hilfe noch Spuren von Viren beseitigen können, vielen Dank dafür.

Als nächstes werde ich mich hier mal schlau machen wie ich meine PC noch etwas sicherer bekomme.

viele Grüße

Lutz

Zitat:

Zitat von lutz.lk (Beitrag 493548)

Als nächstes werde ich mich hier mal schlau machen wie ich meine PC noch etwas sicherer bekomme.

Bitte sehr :)

Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?