Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit

Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit


Log-Analyse und Auswertung: Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 2 von 2 1 2
Alt 01.09.2011, 15:53   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit - Standard

Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit


Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.09.2011, 17:33   #17
ChronoJon
 
Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit - Standard

Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit


GMER:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-09-02 16:09:02
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9160821A rev.3.ALA
Running: up17z5mu.exe; Driver: C:\DOKUME~1\Bernie\LOKALE~1\Temp\pxldqpog.sys


---- System - GMER 1.0.15 ----

SSDT   F7BEE81C                                  ZwClose
SSDT   F7BEE7D6                                  ZwCreateKey
SSDT   F7BEE826                                  ZwCreateSection
SSDT   F7BEE7CC                                  ZwCreateThread
SSDT   F7BEE7DB                                  ZwDeleteKey
SSDT   F7BEE7E5                                  ZwDeleteValueKey
SSDT   F7BEE817                                  ZwDuplicateObject
SSDT   F7BEE7EA                                  ZwLoadKey
SSDT   F7BEE7B8                                  ZwOpenProcess
SSDT   F7BEE7BD                                  ZwOpenThread
SSDT   F7BEE7F4                                  ZwReplaceKey
SSDT   F7BEE7EF                                  ZwRestoreKey
SSDT   F7BEE82B                                  ZwSetContextThread
SSDT   F7BEE7E0                                  ZwSetValueKey
SSDT   F7BEE7C7                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntoskrnl.exe!_abnormal_termination + B0   804E271C 4 Bytes  [1C, E8, BE, F7]
.text  ntoskrnl.exe!_abnormal_termination + 114  804E2780 4 Bytes  [26, E8, BE, F7]
.text  ntoskrnl.exe!_abnormal_termination + 15C  804E27C8 4 Bytes  [17, E8, BE, F7]
.text  ntoskrnl.exe!_abnormal_termination + 1D4  804E2840 4 Bytes  [EA, E7, BE, F7]
.text  ntoskrnl.exe!_abnormal_termination + 3A0  804E2A0C 4 Bytes  [2B, E8, BE, F7]
init   C:\WINDOWS\system32\drivers\tifm21.sys    entry point in "init" section [0xF6AB3DBF]
?      System32\Drivers\hiber_WMILIB.SYS         Das System kann den angegebenen Pfad nicht finden. !

---- EOF - GMER 1.0.15 ----
OSAM:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:58:22 on 02.09.2011

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 6.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Scheduled Update for Ask Toolbar.job" - ? - C:\Programme\Ask.com\UpdateTask.exe  (File found, but it contains no detailed information)

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"prefscpl.cpl" - "RealNetworks, Inc." - C:\WINDOWS\system32\prefscpl.cpl
"QuickTime.cpl" - "Apple Computer, Inc." - C:\WINDOWS\system32\QuickTime.cpl
"SETUPPC.CPL" - "NEC Computers International" - C:\WINDOWS\system32\SETUPPC.CPL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"NokiaConnectionManager" - ? - E:\NOKIAN~1\NOKIAP~1\CONNEC~1.CPL  (File not found)
"SYMLIVE" - "Symantec Corporation" - C:\Programme\Symantec\LiveUpdate\S32LUCP1.CPL

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ASCTRM" (ASCTRM) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\ASCTRM.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"BVRPMPR5 NDIS Protocol Driver" (BVRPMPR5) - "BVRP Software" - C:\WINDOWS\system32\drivers\BVRPMPR5.SYS
"catchme" (catchme) - ? - C:\DOKUME~1\Bernie\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Huawei DataCard USB Modem and USB Serial" (hwdatacard) - ? - C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys  (File not found)
"Huawei DataCard USB PNP Device" (hwusbdev) - ? - C:\WINDOWS\System32\DRIVERS\ewusbdev.sys  (File not found)
"HUAWEI USB-NDIS miniport" (ewusbnet) - ? - C:\WINDOWS\System32\DRIVERS\ewusbnet.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"Lucent USB IAD LAN Modem" (glauiad) - "GlobespanVirata Inc." - C:\WINDOWS\System32\DRIVERS\glauiad.sys
"MBAMProtector" (MBAMProtector) - ? - C:\WINDOWS\system32\drivers\mbam.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"SinoVideo Analog Video" (TridVid) - "Trident Multimedia Technologies Co.,Ltd" - C:\WINDOWS\System32\DRIVERS\TridVid.sys
"SoC PC-Camera" (PAC207) - ? - C:\WINDOWS\System32\DRIVERS\pfc027.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"Symantec Eraser Control driver" (eeCtrl) - "Symantec Corporation" - C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{A8D647C8-65AC-409F-B7B2-3C0FEE1A32F2} "PixiePack Codec Pack 1.1.1200.0" - ? - C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "Yahoo! Toolbar" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{FA81E151-CFE7-4B18-8B9E-8B96E62BAC11} "DownloadManager" - "Vodafone" - C:\Programme\Vodafone\DownloadManager\DownloadManager.ocx / https://de.web.sonynetservices.com/portal/applets/DownloadManager.cab
Garmin Communicator Plug-In "Garmin Communicator Plug-In" - ? -   (File not found | COM-object registry key not found) / https://static.garmincdn.com/gcp/ie/2.9.3.0/GarminAxControl.CAB
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab
{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab
{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab
{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} "Easy-WebPrint" - ? - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"InterVideo WinCinema Manager.lnk" - ? - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Bernie\Startmenü\Programme\Autostart\desktop.ini
"OpenOffice.org 3.3.lnk" - ? - C:\Programme\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"NokiaOviSuite2" - "Nokia" - C:\Programme\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray
"SmpcSys" - "Packard Bell BV" - C:\APPS\SMP\SmpSys.exe
"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Photo Downloader" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"ApnUpdater" - "{StringFileInfo_CompanyName}" - "C:\Programme\Ask.com\Updater\Updater.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"AzMixerSel" - "Realtek Semiconductor Corp." - C:\Programme\Realtek\InstallShield\AzMixerSel.exe
"CXMon" - "Hewlett-Packard Company" - "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
"DetectorApp" - ? - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
"Easy-PrintToolBox" - "CANON INC." - C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
"ISUSPM Startup" - "InstallShield Software Corporation" - C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler" - "InstallShield Software Corporation" - "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"Nokia FastStart" - "Nokia" - "C:\Programme\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
"NokiaMServer" - "Nokia" - C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles startup
"Omnipage" - "ScanSoft, Inc" - C:\Programme\ScanSoft\OmniPageSE\opware32.exe
"PCMService" - "CyberLink Corp." - "c:\APPS\Powercinema\PCMService.exe"
"QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"SVRemote" - ? - c:\Program Files\SVRemote\USB20Remote.exe
"Symantec PIF AlertEng" - "Symantec Corporation" - "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
"WinDVR SchSvr" - "InterVideo Inc." - "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
"WinRemote" - ? - C:\Programme\InterVideo\WinDVR3\WinRemote.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"AOL Connectivity Service" (AOL ACS) - "America Online, Inc." - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Automatisches LiveUpdate - Scheduler" (Automatisches LiveUpdate - Scheduler) - "Symantec Corporation" - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Avira AntiVir WebGuard" (AntiVirWebService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
"CyberLink Background Capture Service (CBCS)" (CLCapSvc) - ? - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
"CyberLink Media Library Service" (CyberLink Media Library Service) - "Cyberlink" - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
"CyberLink Task Scheduler (CTS)" (CLSched) - ? - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"LiveUpdate" (LiveUpdate) - "Symantec Corporation" - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
"LiveUpdate Notice Service" (LiveUpdate Notice Service) - "Symantec Corporation" - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"ServiceLayer" (ServiceLayer) - "Nokia" - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
"STI Simulator" (STI Simulator) - ? - C:\WINDOWS\System32\PAStiSvc.exe  (File found, but it contains no detailed information)
"Ulead Burning Helper" (UleadBurningHelper) - "Ulead Systems, Inc." - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
"USBDeviceService" (USBDeviceService) - ? - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"AVSDA" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avsda.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
aswMBR:
Code:
ATTFilter
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-02 18:00:28
-----------------------------
18:00:28.593    OS Version: Windows 5.1.2600 Service Pack 3
18:00:28.593    Number of processors: 1 586 0xD08
18:00:28.593    ComputerName: BERND  UserName: 
18:00:29.078    Initialize success
18:16:13.046    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
18:16:13.046    Disk 0 Vendor: ST9160821A 3.ALA Size: 152627MB BusType: 3
18:16:15.093    Disk 0 MBR read successfully
18:16:15.093    Disk 0 MBR scan
18:16:15.093    Disk 0 Windows XP default MBR code
18:16:15.093    Disk 0 scanning sectors +312560640
18:16:15.171    Disk 0 scanning C:\WINDOWS\system32\drivers
18:16:26.843    Service scanning
18:16:28.296    Modules scanning
18:16:50.437    Disk 0 trace - called modules:
18:16:50.484    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
18:16:50.484    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86f78ab8]
18:16:50.484    3 CLASSPNP.SYS[f7696fd7] -> nt!IofCallDriver -> \Device\000000a1[0x86fa78a8]
18:16:50.500    5 ACPI.sys[f758c620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x86f33d98]
18:16:50.500    Scan finished successfully
18:20:50.140    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Bernie\Desktop\Logs\2\MBR.dat"
18:20:50.156    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Bernie\Desktop\Logs\2\aswMBR.txt"
__________________
Alt 04.09.2011, 12:45   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit - Standard

Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit


Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
__________________
Alt 05.09.2011, 18:44   #19
ChronoJon
 
Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit - Standard

Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit


MBAM hat nichts gefunden:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7656

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.09.2011 19:04:21
mbam-log-2011-09-05 (19-04-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 276301
Laufzeit: 45 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Dafür aber SuperAntispyware ...
Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/04/2011 at 05:56 PM

Application Version : 5.0.1118

Core Rules Database Version : 7645
Trace Rules Database Version: 5457

Scan type       : Complete Scan
Total Scan Time : 01:45:31

Operating System Information
Windows XP Home Edition 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 678
Memory threats detected   : 0
Registry items scanned    : 37829
Registry threats detected : 0
File items scanned        : 137928
File threats detected     : 56

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Bernie\Cookies\7YC6D57L.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\D6V97T81.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\QURCRWFT.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\8E52T23M.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\VAJZ3ZAH.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\KQ8W7S5P.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\PTPN3Q7F.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\NAFDX57P.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\3A3Q2EKG.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\KAHRNQX4.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\E1URWIEV.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\QDBGKTLP.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\OJUIXMMP.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\9DOGC8VR.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\HUBVT0MH.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\8BPON2HR.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\WZWSF1OA.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\TOSICWU0.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\06P5201F.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\1ZNSMU8C.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\Y761BSHI.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\Y5OE8N0X.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\Q5W3Z6MM.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\2GG17ZUY.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\GSUFGUSQ.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\NOS71HR2.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\302SHJR5.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\SGRA38KV.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\WAZSOPP5.txt
	C:\Dokumente und Einstellungen\Bernie\Cookies\MNDLXZJ5.txt
	.paypal.112.2o7.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.doubleclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.adtech.de [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.atdmt.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.atdmt.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	adx.chip.de [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	adx.chip.de [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.tribalfusion.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.kontera.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	www.etracker.de [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]
	.doubleclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\BERNIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\F50JEM8K.DEFAULT\COOKIES.SQLITE ]

Rootkit.Agent/Gen
	E:\PRIVAT\UTE\ALLGEMEIN\KLINIKEN.DOC
und ESET:
Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=6aba623a80218c438ac436ab037f0700
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-30 04:44:55
# local_time=2011-08-30 06:44:55 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 93 10492 51252295 59569 0
# compatibility_mode=8192 67108863 100 0 448 448 0 0
# scanned=94386
# found=0
# cleaned=0
# scan_time=7259
ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=6aba623a80218c438ac436ab037f0700
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-05 01:46:59
# local_time=2011-09-05 03:46:59 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 93 77856 51759161 77199 0
# compatibility_mode=8192 67108863 100 0 507314 507314 0 0
# scanned=97401
# found=3
# cleaned=0
# scan_time=8116
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP590\A0062127.exe	a variant of Win32/Kryptik.SCP trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP590\A0062146.exe	a variant of Win32/Kryptik.SCP trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP590\A0062147.exe	a variant of Win32/Kryptik.SCP trojan (unable to clean)	00000000000000000000000000000000	I

Alt 05.09.2011, 22:02   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit - Standard

Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit


Nur Cookies und ein paar Überreste. SuperantiSpyware hat sich wohl einen Fehlalarm geleistet.
Rechner soweit wieder im Lot?

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.09.2011, 10:11   #21
ChronoJon
 
Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit - Standard

Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit


Läuft alles wieder rund. Ich bin wirklich sehr, sehr dankbar für die Hilfe.
Gilt natürlich auch für meinen Stiefvater!
Auf mich allein gestellt, hätte ich wahrscheinlich nur TDSS-Killer laufen lassen, Daten gesichert und Windows neu drauf gemacht, wäre mir aber unsicher gewesen, ob dabei etwas über geblieben wäre.
Also nochmal vielen Dank.

Alt 07.09.2011, 10:40   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit - Standard

Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit


Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort
Seite 2 von 2 1 2

Themen zu Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit
anschluss, avira, dateien, desktop, download, englisch, entfernen, explorer, festplatte, folge, formatieren, forum, gen, gmer, hdd repair, internet, kaputt, malware, min, nicht öffnen, programme, prozesse, rechner, spybot, task-manager, win xp, zip-datei, öffnen


« Windows 7 Notebook total lansgam | Das System hat ein Problem mit einem oder mehreren installierten IDE / SATA - Festplatten erkannt. »


Ähnliche Themen: Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit


  1. AVG findet nach Entfernung erneut Luhe.Fiha.A
    Plagegeister aller Art und deren Bekämpfung - 22.05.2014 (9)
  2. Windows Vista: MBAM-Scan findet Schädlinge nach Identitätsdiebstahl
    Log-Analyse und Auswertung - 03.02.2014 (17)
  3. MBAM findet PUP.Optional.SweetM.A. nach Öffnen von Phishing Mail
    Plagegeister aller Art und deren Bekämpfung - 01.11.2013 (3)
  4. BKA Trojaner (Mbam findet Trojan.Ransom.ED), bitte um Hilfe bei der Entfernung
    Plagegeister aller Art und deren Bekämpfung - 09.04.2013 (13)
  5. BKA Trojaner nach Systemwiederherstellung immer noch da? OTL, EXTRAS, Gmer
    Log-Analyse und Auswertung - 24.09.2012 (22)
  6. Nach Entfernung von S.M.A.R.T. HDD Virus mit unhide.exe noch Problem mit Desktop
    Log-Analyse und Auswertung - 12.04.2012 (3)
  7. Security Sphere 2012 - Immer noch Fehler nach Entfernung!
    Log-Analyse und Auswertung - 12.11.2011 (25)
  8. Nach Entfernung von Windows Recovery Virus noch Reste in der Registry
    Plagegeister aller Art und deren Bekämpfung - 09.07.2011 (9)
  9. Hijacking nach Windows XP Repair Entfernung
    Plagegeister aller Art und deren Bekämpfung - 07.07.2011 (13)
  10. Antimalware Doctor Angriff nach Rkill, Mbam Scan, CCleaber immer noch vorhanden!
    Plagegeister aller Art und deren Bekämpfung - 18.05.2010 (26)
  11. Antimalware Doctor nach Mbam Scan immer noch vorhanden!
    Log-Analyse und Auswertung - 09.05.2010 (1)
  12. Immer noch infiziert nach Entfernung von DesktopSecurity2010-Virus?
    Plagegeister aller Art und deren Bekämpfung - 08.05.2010 (2)
  13. Computer nach Malware-Entfernung immer noch langsam
    Log-Analyse und Auswertung - 21.03.2010 (1)
  14. Nach Entfernung von :"Malware Defense" -> Probleme mit gmer
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (9)
  15. mBam findet verdächtige Dateien kehren nach löschen aber immer wieder
    Plagegeister aller Art und deren Bekämpfung - 28.08.2009 (8)
  16. nach Entfernung von ZLOB noch kleine Symptome
    Log-Analyse und Auswertung - 27.08.2007 (20)
  17. Nach Entfernung von Trojaner immer noch Trojanermeldungen von McAfee
    Log-Analyse und Auswertung - 21.01.2007 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit - Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ - Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit...
Archiv
Du betrachtest: Nach Entfernung von HDD Repair mit MBAM findet GMER noch Root-Kit auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55