Also wir haben folgendes problem:

Seid ungefähr einer woche spinnt unsere svchost.exe herrum das heist, sie wird stätig größer bis unser ganzer arbeitsspeicher aufgebraucht ist. und geht bis zu einem neustart nicht mehr runter. Ab einem gewissen zeitpunkt funktioniert unsere startleiste auch nicht mehr also man kann nix mehr anklicken und sie aktualisiert nicht mehr. Unser firefox macht seitdem nur noch maleware und werbungs seiten auf wenn wir auf google links anklicken. Oder er geht einfach aus bzw. macht von sich aus was neues auf. oder das system ist vollausgelastet cpu 100%.

Wir hoffen uns kann jemand sagen woran das liegt und wie man das entfernen kann D;

MFG Akasha&EisKeks Danke ^^

hallo
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

Wir haben folgendes problem:

Die svchost.exe wächst permanent an und macht somit unseren kompletten arbeitsspeicher mit 5gb voll X_X. Und das geht sehr schnell. Dies beschleunigt sich wenn wir mit programmen arbeiten wie firefox vlc mediaplayer gimp ect. (das schließen dieser programme verringert den arbeistspeicher dann auch nicht mehr). Seit dem dieses problem besteht spinnt auch unser firefox rum indem er wild tabs öffnet und auch andere sachen öffnet als wir anklicken. In der host datei von windows habe ich geschätzt 10000 webseiten adressen gefunden welche ich schon gelöscht habe und auch nicht weis warum diese dort waren. es sah aus wie porno seiten und werbeseiten und so. Unser pc startet auch ab und zu mal einfach aus heiterem himmel neu. Und unser firefox schliest ab und zu wenn er mal lust hat bzw. stürtzt ab. Die taskleiste funktioniert nach einer gewissen zeit auch nicht mehr sie ist dann nur noch auf stillstand (nicht einmal mehr die uhr geht weiter). Weitere fehler haben wir noch nicht gefunden. Wir haben das ungute gefühl das dort etwas ganz grässliches auf unserem pc ist ò.O ich hoffe ihr könnt uns da helfen

(logfiles im anhang)

sorry hab ich auch grad gesehen.
1. deinstaliere spybot es stört die reinigung, neustart.
2.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Spybot ist deinstalliert und hier einmal die log file: ( wir haben laut CF das Rootkit.ZeroAccess drauf ich dachte das das noch erwähnenswert ist. das hat es uns nähmlich ganz am anfang in einer msgbox angezeigt )

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-06-06.07 - Spirits Of Shamaya 07.06.2011  18:59:25.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1471.1029 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Spirits Of Shamaya\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\AVSredirect.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-07 bis 2011-06-07  ))))))))))))))))))))))))))))))
.
.
2011-06-02 05:13 . 2011-06-02 05:13	--------	d-----w-	C:\Program Files
2011-05-31 22:47 . 2011-05-31 22:49	--------	d-----w-	C:\Hotspot Shield
2011-05-28 15:40 . 2011-06-07 14:33	--------	d-----w-	C:\Downloads
2011-05-10 14:31 . 2011-05-10 14:31	--------	d-----w-	C:\NVIDIA
2011-05-09 19:10 . 2011-05-09 19:10	--------	d-----w-	C:\466a7fd46321764e14a2502a5a06b8
2011-05-09 19:02 . 2011-05-09 19:02	--------	d-----w-	C:\apps
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-07 20:16 . 2011-04-07 20:16	81920	----a-w-	c:\windows\system32\nvwddi.dll
2011-04-07 20:16 . 2011-04-07 20:16	580200	----a-w-	c:\windows\system32\easyUpdatusAPIU.dll
2011-04-07 20:16 . 2011-04-07 20:16	282624	----a-w-	c:\windows\system32\nvrsel.dll
2011-04-07 20:16 . 2011-04-07 20:16	253952	----a-w-	c:\windows\system32\nvrsth.dll
2011-04-07 20:16 . 2011-04-07 20:16	249856	----a-w-	c:\windows\system32\nvrseng.dll
2011-04-07 20:16 . 2011-04-07 20:16	126976	----a-w-	c:\windows\system32\nvrszht.dll
2011-04-07 20:16 . 2011-04-07 20:16	331776	----a-w-	c:\windows\system32\nvrshe.dll
2011-04-07 20:16 . 2011-04-07 20:16	286720	----a-w-	c:\windows\system32\nvrsfr.dll
2011-04-07 20:16 . 2011-04-07 20:16	274432	----a-w-	c:\windows\system32\nvrsnl.dll
2011-04-07 20:16 . 2011-04-07 20:16	274432	----a-w-	c:\windows\system32\nvrsesm.dll
2011-04-07 20:16 . 2011-04-07 20:16	270336	----a-w-	c:\windows\system32\nvrsru.dll
2011-04-07 20:16 . 2011-04-07 20:16	262144	----a-w-	c:\windows\system32\nvrshu.dll
2011-04-07 20:16 . 2011-04-07 20:16	258048	----a-w-	c:\windows\system32\nvrstr.dll
2011-04-07 20:16 . 2011-04-07 20:16	258048	----a-w-	c:\windows\system32\nvrssl.dll
2011-04-07 20:16 . 2011-04-07 20:16	253952	----a-w-	c:\windows\system32\nvrsda.dll
2011-04-07 20:16 . 2011-04-07 20:16	249856	----a-w-	c:\windows\system32\nvrsfi.dll
2011-04-07 20:16 . 2011-04-07 20:16	229376	----a-w-	c:\windows\system32\nvrszhc.dll
2011-04-07 20:16 . 2011-04-07 20:16	335872	----a-w-	c:\windows\system32\nvrsar.dll
2011-04-07 20:16 . 2011-04-07 20:16	282624	----a-w-	c:\windows\system32\nvrsit.dll
2011-04-07 20:16 . 2011-04-07 20:16	282624	----a-w-	c:\windows\system32\nvrses.dll
2011-04-07 20:16 . 2011-04-07 20:16	278528	----a-w-	c:\windows\system32\nvrsde.dll
2011-04-07 20:16 . 2011-04-07 20:16	277608	----a-w-	c:\windows\system32\nvmccs.dll
2011-04-07 20:16 . 2011-04-07 20:16	274432	----a-w-	c:\windows\system32\nvrspt.dll
2011-04-07 20:16 . 2011-04-07 20:16	270336	----a-w-	c:\windows\system32\nvrsptb.dll
2011-04-07 20:16 . 2011-04-07 20:16	270336	----a-w-	c:\windows\system32\nvrsja.dll
2011-04-07 20:16 . 2011-04-07 20:16	266240	----a-w-	c:\windows\system32\nvrsko.dll
2011-04-07 20:16 . 2011-04-07 20:16	258048	----a-w-	c:\windows\system32\nvrssk.dll
2011-04-07 20:16 . 2011-04-07 20:16	258048	----a-w-	c:\windows\system32\nvrspl.dll
2011-04-07 20:16 . 2011-04-07 20:16	253952	----a-w-	c:\windows\system32\nvrssv.dll
2011-04-07 20:16 . 2011-04-07 20:16	253952	----a-w-	c:\windows\system32\nvrsno.dll
2011-04-07 20:16 . 2011-04-07 20:16	249856	----a-w-	c:\windows\system32\nvrscs.dll
2011-04-07 20:16 . 2011-04-07 20:16	13891176	----a-w-	c:\windows\system32\nvcpl.dll
2011-04-07 20:16 . 2011-04-07 20:16	111208	----a-w-	c:\windows\system32\nvmctray.dll
2011-04-07 20:16 . 2011-04-07 20:16	155752	----a-w-	c:\windows\system32\nvsvc32.exe
2011-04-07 20:16 . 2011-04-07 20:16	145000	----a-w-	c:\windows\system32\nvcolor.exe
2011-04-14 16:40 . 2011-05-09 21:07	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06	163328	--sha-r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47	31232	--sha-r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30	216064	--sha-r-	c:\windows\system32\nbDX.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 06:55	87304	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 06:55	87304	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 06:55	87304	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 06:55	87304	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 06:55	87304	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 06:55	87304	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 06:55	87304	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 06:55	87304	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 06:55	87304	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"SpywareTerminatorUpdate"="c:\programme\Spyware Terminator\SpywareTerminatorUpdate.exe" [2011-06-07 3318784]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
"NvMediaCenter"="NvMCTray.dll" [2011-04-07 111208]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-04-07 13891176]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2011-02-24 1753192]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-03-28 281768]
"SpywareTerminator"="c:\programme\Spyware Terminator\SpywareTerminatorShield.exe" [2011-06-07 2216960]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"com updater"="c:\apps\com_update_pack\com_update_pack.exe" [2011-02-24 644361216]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-04-18 15:30	15146376	----a-r-	c:\programme\Skype\Phone\Skype.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" -autorun
"Steam"="c:\programme\Steam\Steam.exe" -silent
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"MobileConnect"=%programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Programme\\NVIDIA Corporation\\NVIDIA Updatus\\daemonu.exe"=
"c:\\Programme\\BitTorrent\\BitTorrent.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Steam\\SteamApps\\flip2211\\garrysmod\\hl2.exe"=
"c:\\Programme\\Warsow\\warsow_x86.exe"=
"c:\\Programme\\World of Warcraft\\Launcher.exe"=
"c:\\Programme\\World of Warcraft\\WoW-x.x.x.x-4.0.0.12911-EU-Downloader.exe"=
"c:\\Programme\\Spyware Terminator\\SpywareTerminatorUpdate.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.05.2011 00:52 691696]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [07.06.2011 09:29 142592]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.05.2011 13:43 136360]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 17:09 1253376]
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [10.05.2011 16:36 2218600]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [20.05.2011 13:46 1523008]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [11.09.2009 12:33 9216]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [26.04.2011 15:30 10064]
S2 HssWd;Hotspot Shield Monitoring Service;c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS --> c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS [?]
S3 cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s;c:\windows\system32\DRIVERS\cmnsusbser.sys --> c:\windows\system32\DRIVERS\cmnsusbser.sys [?]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [11.05.2011 18:14 112640]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]
S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\drivers\ewusbfake.sys [11.05.2011 18:21 102656]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - BMLoad
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Spirits Of Shamaya\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
LSP: bmnet.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Spirits Of Shamaya\Anwendungsdaten\Mozilla\Firefox\Profiles\sk7tpu9h.default\
FF - prefs.js: browser.search.selectedEngine - 
FF - prefs.js: browser.startup.homepage - hxxp://www.crawler.com/homepage.aspx?tbid=60076
FF - prefs.js: keyword.URL - hxxp://www.crawler.com/search/dispatcher.aspx?tp=aus&tbid=60076&qkw=
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-07 19:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: ST3160212A rev.3.AAD -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 
.
device: opened successfully
user: MBR read successfully
error: Read  Ein an das System angeschlossenes Gerät funktioniert nicht.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x896F831B
user & kernel MBR OK 
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(1284)
c:\windows\system32\bmnet.dll
.
Zeit der Fertigstellung: 2011-06-07  19:21:34
ComboFix-quarantined-files.txt  2011-06-07 17:21
.
Vor Suchlauf: 10 Verzeichnis(se), 23.991.382.016 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 24.599.654.400 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 3C79C52D9E42DB62BC42110C09F1A848
         

hi, machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc

Wir haben mal paypal aufgeladen und bei amazon was gekauft aber das bei amazon war bevor wir das letzte mal windows neu installiert haben. ansonsten eigentlich nix weiter. Also und wichtige sachen naja wir bauen ein online mmorpg das ist schon sehr wichtig

also, du hast einen rootkit auf dem pc, um genau zu sein das tdss rootkit.
da dieses dem angreifer volle kontrolle gibt, würde ich, nach datenrettung, das system neu aufsetzen, alle passwörter endern.
ich zeige dir, falls erwünscht, wie man richtig absichert.

X_X na klasse das ist wieder typisch wir ahben erst vor 1 monat windows neu gemacht ... und vor 1 woche unsere dsl anschluss bekommen xD. Naja also es würde mich freuen wenn du das zeigen könntest wie ich das richtig absichere und es würde uns auch sehr helfen wenn du einen tipp hast wie der nicht wieder hier drauf gelangen kann. PS: wir haben eine externe festplatte die immer an ist muss die auch neu gemacht werden? ò.O und wenn ja wie kann ich dann meine daten retten? ò.O

nö die externe festplatte muss nicht neu gemacht werden, und wenn deine daten gesichert sind, erkläre ich dir natürlich sehr gerne, wie du dich möglichst nie wieder infizierst, dafür sind wir ja auch hier :-)

das ist perfeckt also ich kann jetzt ohne bedenken die daten von meiner lokalen auf die externe ziehen ja? oder muss ich noch was durchaufen lassen oder so ? ^^

kannst los legen :-)

Ok wir sind fertig ^^ wie geht es nun weiter?

da unser system eh schon zum scheitern verurteilt war haben wir mal aus spass den TDSSKiller von kasparsky runtergeladen und durchlaufen lassen. Welcher das Rootkit.win32.tdss(tdl4) gefunden hat. Wir waren ehrlich gesagt nicht großer hoffnung weil es bei keinem weg ging nach dem entfernen. Lustigerweise war es bei uns dann nach dem entfernen nach einem neustart und einem neuen scann nicht mehr da xD. Firefox funtzt wieder. komische sache oO aber wir vertrauen dem ganzen noch nicht deswegen machen wir weiter wie du uns nun anweisungen gibst. also die sachen sind nun alle gesichert auf der externen platte. (welche aber immer an war) Muss auf dieser platte dann noch irgend was gemacht werden? bzw. kann eventuell da auch der verursacher des rootkits noch liegen? Und letzte fragen was gibt es alles für möglichkeiten sich ein rootkit einzufangen?

Danke ^^

ja, das system muss trotzdem formatiert werden.
wenn ich das aus deinen aussagen richtig gelesen habe, weist du ja, wie man formatiert. falls dem nicht so ist, schreih ganz laut.
wenn du formatiert hast, gehts hiermit weiter:

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter xp/ allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
http://www.trojaner-board.de/127580-...igurieren.html
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.