jou, wird gemacht. vielen vielen dank aber schon mal für die tolle hilfe! werde den kram definitiv erstmal genau im auge behalten und ab und zu scans machen und hier vorbeischauen, wegen des mbrchecks.
und falls ich die nächsten tage nichts von dir höre schon mal einen guten rutsch ins neue jahr!

lilly

Hi,

Danke&ebenso... Lilly..

chris

hej, ich wollte mal fragen, ob sich dazu noch was gefunden hat. malwarebytes verhindert ab und zu zugriff auf "potentiell gefährliche seiten". gerade wenn ich meine bankseite öffne. hat das was zu bedeuten?

lilly

ich habe gerade noch mal den antimalbytes drüberlaufen lassen, der rootkits gefunden hat. im anhang das logfile... nicht schon wieder.... hab mich nirgendwo rumgetrieben und den rechner wenig benutzt...

Hi,

don't panic....

Ev. hat MAM die Signaturen um das erweitert...
Löschen lassen...
Leider immer noch kein Feedback zum MBR, ev. ist er doch verseucht...

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dann "Start Scan" (Option "suche nach TDSS-Fielsystem" auswählen, dann bügeln wir ggf. den MBR ohne Feedback).
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

aswMBR
Von http://filepony.de/download-aswmbr/ die aswMBR.exe runterladen und auf dem Desktop speichern.

• Doppelklick auf die aswMBR.exe.

• Scan-Button anklicken

• Bootsectoren (MBR) etc. werden nun untersucht.....

• Log speichern und im Thread posten

chris

hab das log vom tdss-killer von gestern abend angehängt und das andere logfile.... nee panik nicht, ich gewöhne mich langsam an rootkits.

Hi,

hmm, hat wir schon, nicht gefunden...
Hast Du Umleitungen etc.?

chris

nope, keine symptome von damals. nur eben mal nach ein paar tagen wieder den anti malware drüberlaufen lassen, der den zero.access wieder gefunden hat. und er hat mich auch 1-2 mal gewarnt, dass firefox versucht auf eine gefährliche seite zuzugreifen....

lg,

lilly

Hi,

als Du gesurft bist oder von "alleine"?
Poste mal ein neues OTL-Log... schaue ich mir morgen ab.. bin heute seit 04:00 uhr "unterwegs"... müde... gute Nacht ;o)...

chris

ich meine, als ich gesurft bin. oh man, na dann mal süße träume! otl-log schick ich.

nacht nacht,

lilly

so, hier das log vom otl.

Hi,

ein versteckter Treiber...
Dateien Online überprüfen lassen

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\System32\drivers\dvmio.sys
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Was ist das hier?
C:\Users\lilly\Desktop\7z920.exe

Sonst nichts auffälliges...

chris

hej,

virustotal scheint nichts gefunden zu haben. die exe ist von 7zip. ein zip-programm. hab ich aber nur runtergeladen und noch nicht installiert. hab die url, die er vorgestern geblockt hat bei virustotal eingegeben. 2/18 stufen die als malicious site ein. ip war die hier: 85.183.254.9

lg,

lilly

Code: Alles auswählenAufklappen

ATTFilter

SHA256: 	7cd039871fa4902d130a455855c550eb3d9ae1afdeea0425f1785b4784f89a23
Detection ratio: 	0 / 43
Analysis date: 	2012-01-17 12:22:16 UTC ( 0 minutes ago )
0
0
Antivirus 	Result 	Update
AhnLab-V3 	- 	20120116
AntiVir 	- 	20120117
Antiy-AVL 	- 	20120117
Avast 	- 	20120117
AVG 	- 	20120116
BitDefender 	- 	20120117
ByteHero 	- 	20120111
CAT-QuickHeal 	- 	20120117
ClamAV 	- 	20120117
Commtouch 	- 	20120117
Comodo 	- 	20120117
DrWeb 	- 	20120117
Emsisoft 	- 	20120117
eSafe 	- 	20120115
eTrust-Vet 	- 	20120117
F-Prot 	- 	20120116
F-Secure 	- 	20120117
Fortinet 	- 	20120117
GData 	- 	20120117
Ikarus 	- 	20120117
Jiangmin 	- 	20120116
K7AntiVirus 	- 	20120113
Kaspersky 	- 	20120117
McAfee 	- 	20120117
McAfee-GW-Edition 	- 	20120117
Microsoft 	- 	20120117
NOD32 	- 	20120117
Norman 	- 	20120117
nProtect 	- 	20120117
Panda 	- 	20120116
PCTools 	- 	20120117
Prevx 	- 	20120117
Rising 	- 	20120116
Sophos 	- 	20120117
SUPERAntiSpyware 	- 	20120114
Symantec 	- 	20120117
TheHacker 	- 	20120116
TrendMicro 	- 	20120117
TrendMicro-HouseCall 	- 	20120117
VBA32 	- 	20120117
VIPRE 	- 	20120117
ViRobot 	- 	20120117
VirusBuster



ssdeep file piecewise hash
384:ccm0nAm0TaT1TwUD59Gf26P7wNcdUb+F2:xj0Ty19wci
TrID file type information
Win16/32 Executable Delphi generic (25.4%)
Clipper DOS Executable (24.8%)
Generic Win/DOS Executable (24.6%)
DOS Executable Generic (24.6%)
VXD Driver (0.3%)
ExifTool file metadata

UninitializedDataSize....: 0
InitializedDataSize......: 1920
ImageVersion.............: 6.0
ProductName..............: DVMIO
FileVersionNumber........: 2.0.0.0
LanguageCode.............: English (U.S.)
FileFlagsMask............: 0x003f
FileDescription..........: DVMIO virtual device driver
CharacterSet.............: Unicode
LinkerVersion............: 8.0
FileOS...................: Windows NT 32-bit
MIMEType.................: application/octet-stream
Subsystem................: Native
FileVersion..............: 2.0.0.0
TimeStamp................: 2009:11:11 06:04:51+01:00
FileType.................: Win32 EXE
PEType...................: PE32
InternalName.............: dvmio.sys
ProductVersion...........: 2.0
SubsystemVersion.........: 5.1
OSVersion................: 6.0
OriginalFilename.........: dvmio.sys
LegalCopyright...........: Copyright (c) DeviceVM, Inc. All Rights Reserved.
MachineType..............: Intel 386 or later, and compatibles
CompanyName..............: DeviceVM, Inc.
CodeSize.................: 6784
FileSubtype..............: 7
ProductVersionNumber.....: 6.0.6001.16549
EntryPoint...............: 0x1e85
ObjectFileType...........: Executable application

Sigcheck digital signature information

publisher................: DeviceVM, Inc.
product..................: DVMIO
internal name............: dvmio.sys
copyright................: Copyright (c) DeviceVM, Inc. All Rights Reserved.
original name............: dvmio.sys
signing date.............: 6:11 AM 11/11/2009
signers..................: DeviceVM Inc.
               GlobalSign ObjectSign CA
               GlobalSign Primary Object Publishing CA
               GlobalSign Root CA
file version.............: 2.0.0.0
description..............: DVMIO virtual device driver
         

Hi,

Rechner weiter beobachten, falls noch mal was vorkommt plätten wir den MBR...

Lust auf ein Experiment ;o)...

Schauen wir mal, ob es eine versteckte Partitin gibt...
Lade Dir GParted von http://sourceforge.net/projects/gpar...?source=files/ oder ISO-Image von PartedMagic runter, ggf. das ZIP-File auspacken und das ISO-Images per Nero oder ImageBurn auf CD brennen.

• Im BIOS die Startreihenfolge auf CD umstellen

• CD einlegen und booten

• PartitionEditor (links unten auf dem Bild) starten

• Erstelle durch die Taste DRUCK bzw. PRINT einen Screenshot und poste ihn. Falls kein INET-Zugang, auf Stick kopieren und dann hier hochladen.

chris

ok, das kann ich erst morgen irgendwann machen... oder donnerstag sogar...