Mahlzeit an alle die Ahnung haben.
Ich habe folgendes Problem:
Mein Rechner ist mit irgendeinem Rootkit oder ähnlichem infiziert.
Der lädt beim booten irgendwelche manipulierten Systemdateien aus einer Ramdisk, die nicht vom AV Scanner erkannt werden.

Selbst das Support Team der Russischen Virenjäger von Kas..... meinen das System sei Clean!!!
Nur seltsam das nach jedem löschversuch, Neuinstallationsversuch, kompletten formatierung der HDD trotzdem Dienste und Treiber wie z.B. Remotezugriff-IPv6-ARP-Treiber ; Null ; PEAUTH ; RDP Encoder Mirror Driver
uvm. wiederhergestellt werden.

Gmer Stürzt mit Bluescreen ab.
Ich konnte per CMD der Systemreparaturoptionen der Win7 DVD vor dem Bluescreen noch mit folgendem Inhalt abspeichern.(Anhang)
Was mir schon seltsam vorkommt, ist das Die Hütte von Laufwer x:\ anstatt d:\ bootet

Wenn jemand Ahnung hatt worum es sich handelt und wie ich den Shit löschen kann, lasst es mich bitte wissen.
Besten Dank und fetten Gruß an alle die mir helfen können


Achso, hier noch die logfile vom GMER scan

Zitat:

Dienste und Treiber wie z.B. Remotezugriff-IPv6-ARP-Treiber ; Null ; PEAUTH ; RDP Encoder Mirror Driver
uvm. wiederhergestellt werden.

Schomal auf die Idee gekommen, dass Windows sowas standardmäßig installieren könnte?

Zitat:

Was mir schon seltsam vorkommt, ist das Die Hütte von Laufwer x:\ anstatt d:\ bootet

Systempartition ist normalerweise C: - bei dir ist es X: und wieso glaubst es sei normal wenn es D: sei?

Und was ist mit dem Logfile? Is also völlig normal das GMER mit Bluescreen abstürzt?

Freilich is des Win Standard aber nicht bei Win 7 Basic oder irre ich mich da?

Hab zwar grad Home Premium drauf, hab das aber mit sämtlichen Versionen getestet.

Und wenn du die Treiber löscht bleiben sie trotzdem auf dem Rechner oder wie? Kommt mir auf jeden n bissl mysteriös vor.

Zitat:

Is also völlig normal das GMER mit Bluescreen abstürzt?

Ja sicher. GMER läuft auf sehr niedriger Ebene, das Teil kann immer mal ein Bluescreen erzeugen.

Zitat:

Und wenn du die Treiber löscht bleiben sie trotzdem auf dem Rechner oder wie?

Wieso willst du was löschen, was standardmäßig erzeugt wird von Windows? Problembeschaffungsmaßnahme?

Wie genau bist du bei einer Neuinstallation vorgegangen? Hast du die Systempartition zunmindest vorher immer formatiert oder alle Partitionen aufgelöst, neu erstellt und dann formatiert?
MBR wurde nach der Neuinstallation überprüft?
Hast du irgendwelcge ausführbaren Dateien (Programme/Spiele/Setups) die auch von einem infizierten System verarbeitet wurden ausgeführt?

Na das weiß ich nich genau wie DBAN das macht aber dachte das Tool macht alles platt, aber der schit taucht nach Neuinstallation wieder auf, kannst du mit den logs vllt was anfangen?

Und hast du plan ob die inf Dateien OK sind? Kommt mir seltsam vor für ne Win7(von chip geloaded)
Die inf s sind aus dem Ordner x:\windows\inf

Weißt du was w3.org und x.org ist? unter linux taucht ein ordner mit X11 auf hab kein Plan was das ist?

Ist echt zum verzweifeln, hab mittlerweile 3Rechner, die mit dem Dreck verseucht sind.

hier die inf Dateien

Achso, mit chkrootkit hab ich auch was gefunden, mach morgen nochmal nen Logfile, und dank dir für die Hilfe, wär der Hammer wenn du mir da weiterhelfen könntest. Gruß

Achso und wegen deiner Frage, ich glaub mir hat mal jemand per USB Stick irgend nen Trojaner rübergeschickt oder eine manipulierte Windows DVD, ich habe keine Ahnung... die Setup.cfg sieht auch mysteriös aus...

Zitat:

oder eine manipulierte Windows DVD, ich habe keine Ahnung... die Setup.cfg sieht auch mysteriös aus...

Selbstgebrannte Windows-DVD? Und du hast damit das jetzige Windows was du nutzt installiert?

Jo, hab mir von Chip die Home Premium geloaded und den alten Key dazu benutzt, aber ich hatte das auch schon mit ner Originalen versucht, der lädt die Dateien vorm Setup und das kopieren der Windows Dateien dauert nichtmal ne sekunde, was auch nich normal ist...
Bei den Systemwiderherstellungsoptionen hab ich das mal mitkopiert.
Da steht was von Longhorn Preinstallation Enviroment??

ich glaub das könnte auch sowas sein:

hxxp://www.trojaner-board.de/83881-rootkit-bios-angehaengt-benutzt-modboot-bat-autoexec-bat-start.html

Mir ist auch aufgefallen, das der nur 4091 MB ram anzeigt und wenn ich Freedos per UBCD boote, tauchen die Laufwerke A: ; B: und Q: auf...

Zitat:

Jo, hab mir von Chip die Home Premium geloaded und den alten Key dazu benutzt,

Das ist doch ne ganz andere Geschichte!
Du hast was von einer manipulierten Windows-DVD zuerst erzählt!

na keine Ahnung, vllt. war es schon drauf als ich das Teil gekauft hab.. aber wie krieg ich den scheiß wieder weg, haste da irgendeinen anhaltspunkt??