Guten Abend zusammen,

letzten Freitag wollte ich mein standardmäßig installiertes Programm Avira den Systemcheck durchführen lassen. Jedoch reagierte das Programm nicht auf meine Start-Anweisung.

Daraufhin habe ich XoftSpySE laufen lassen. Nach wenigen Sekunden brach der Scan ohne Ergebnis ab. Das Icon auf dem Desktop veränderte sich, und wenn ich jetzt darauf klicke, kommt die Fehlermeldung: "Auf das angegebene Gerät bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können".

Als nächstes hatte ich mir Malwarebytes' Anti-Malware herunter geladen und installiert. Ergebnis: Dasselbe wie beim XoftSpy. Auch die Deinstallation und anschließende Neuinstallation haben nichts geändert.

Der Versuch, mittels Online-Virenscanner (Bit-Defender) endete ebenfalls mit der Beendigung nach wenigen Sekunden und der Beschädigung von Firefox, worüber ich den Scanner aufgerufen hatte. Zum Glück hatte ich parallel Chrome installiert, so dass ich Firefox de- und wieder neu installieren konnte.

Nach der Anleitung in diesem Forum habe ich Defogger herunter gelanden. Die Log-Datei sieht so aus:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 22:21 on 10/07/2011 (User)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read 1199536707.sys
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)

-=E.O.F=-

Das Scannen mit OTL war nicht möglich -> Abbruch und siehe Xilisoft.

Als nächstes Gmer, hier das Ergebnis:

GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit quick scan 2011-07-10 22:40:21
Windows 5.1.2600 Service Pack 3
Running: u63sdlfo.exe; Driver: H:\DOKUME~1\User\LOKALE~1\Temp\pwacqaoc.sys


---- Devices - GMER 1.0.15 ----

Device atapi.sys (IDE/ATAPI Port Driver/Microsoft Corporation)

AttachedDevice \Driver\Tcpip \Device\Ip fwdrv.sys
AttachedDevice \Driver\Tcpip \Device\Ip ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp fwdrv.sys
AttachedDevice \Driver\Tcpip \Device\Tcp ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp fwdrv.sys
AttachedDevice \Driver\Tcpip \Device\Udp ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp fwdrv.sys
AttachedDevice \Driver\Tcpip \Device\RawIp ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread System [4:112] B9878D20
Thread System [4:116] B9878D20
Thread System [4:120] BA24FCC0
Thread System [4:124] BA24FCC0

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [MANUAL] 1199536707 <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Die angegebene Datei 1199536707.sys finde ich unter Windows/System32/drivers. Ich nehme schwer an, dass diese dafür verantwortlich ist. Aber ich bekomme sie dort nicht weg!

Nachtrag: Jetzt habe ich auch noch einen redirect! Wenn ich in FF bei Google
etwas eingebe, steht links unten im Browser "100ksearches" - und ich lande auf einer XXX-Seite.

Gibt es noch eine Rettung - oder muss ich mein System wirklich neu aufsetzen???

Vielen Dank für eure Hilfe
Rheinland

Ein Strang reicht!! => http://www.trojaner-board.de/101219-...ans-killt.html