Hallo und Grüß Gott, liebe Leute,

Gleich mal vorweg: Ich bin neu hier, also bitte um "sanfte" Zurechtweisungsinformationen, falls ich in diverse Näpfchen treten sollte ....

Meine Frage:
beim booten meines PCs wird unter anderem folgender Treiber geladen (Auszug aus ntbtlog.txt):
Treiber geladen \??\C:\WINDOWS\system32\6527E.sys

Also erstmal irritieren mich die zwei Fragezeichen im Pfad, und zweitens habe ich auf der ganzen C-Platte kein File mit dieser Bezeichnung gefunden.

Ach ja: mein System ist ein DELL Latitude C640 mit XP-Pro / SP2 auf Letztstand (automatisch aktualisiert).

Ist vielleicht ein bißchen paranoid, daß ich dieser Sache nachlaufe (McAfee-Virenscanner und -Rootkit-Detektor haben nichts Böses entdeckt), aber vielleicht kennt ja jemand von euch diese Sache.

liebe Grüße aus Wien
Hans

Lad dir HijackThis runter , installier es , klick "Do a system scan and save a logfile" und kopier dann den Log ohne Veränderungen hier rein

Hier kannse HijackThis downloaden:

HijackThis 2.0.2 - Freeware - ZDNet.de, Downloads, Internet & Kommunikation, Sonstige

Mache bitte einmal ein scan mit der GMER beta hxxp://www2.gmer.net/beta/gmer.exe

Starten, scan druecken, danach copy druecken und den Report hier einfuegen

Ich denke das HijackThis-Log kannst du dir sparen - würden gleich auch mal mit GMER anfangen da der Verdacht begründet ist, dass ein Rootkit aktiv ist.

Zitat:

Zitat von *Christian*

Ich denke das HijackThis-Log kannst du dir sparen - würden gleich auch mal mit GMER anfangen da der Verdacht begründet ist, dass ein Rootkit aktiv ist.

OK, getan.
Hier ist der - meiner Meinung nach mehr als unauffällige - Report.
Und wie schon gesagt, auch McafeeRootkitDetective10final gibt nichts her.

Kennt jemand von euch dieses doppelte Fragezeichen im Pfad VOR dem Laufwerk?

l.g.
Hans

Okay, wie man sieht, sieht man nichts! Haette gepasst, zur Zeit sind einige dieser Art Rootkits unterwegs. Dann doch bitte HijackThis und Combofix Report.


Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Hallo zusammen,

so, jetzt hab ich HijackThis und Combofix durchlaufen lassen. Ergebnisse siehe attachments.

Was ist eigentlich
2005-08-21 15:58 56 --sh--r C:\WINDOWS\system32\B3F360A68A.sys
? Kennt das jemand ?

Bin schon gespannt auf eure Analysen. Danke auch schon mal.

l.g.
Hans