Nun wo fang ich an...

Vor 1 woche bekam ich den hier öfters geposteten veränderten desktophintergrund mit der viruswarnung von virtumonde und privacydingenskirchensremover\W32
das war mir ziemlich egal, weil ich eh nur ca 1 stunde von der neuaufsetzung meines systems entfernt war... gesagt getan, alles neu!

nachdem windoof wieder drauf war hab ich mir avira antivir, spybot und trojan remover draufgemacht udn siehe da viren, würmer und trojaner auf einem 5 minuten alten system... meine hauptsorge galt allerdings eher dem festgestellten bootvirus BOO/sinowal.A im bootsektor meiner fat32 externen festplatte ...
die folge... ab hier ins board und lesen... nach einiger zeit und ner menge threads gelang es mir dann mit DrWebCureIt das ganze zu killen, da war ich dann soweit ganz guter dinge, zur sicherheit nochmal windoof neu und alle platten auf fabrikneu ohne partition formatiert...
wie windows neu drauf war verweigerte es mir den taskmanager und die regedit ("Der Taskmanager wurde durch den Administrator deaktiviert)... behoben mit HJT und spybot schnellscan und da stellte ich doch fest, dass der allgemeine prozess svchost sich ständig startete und die einzelnen prozesse dabei zunehmend mehr speicher und cpu beanspruchten bis garnix mehr ging (die svchost-prozesse waren weder dem system noch einem benutzer zugeordnet)... ergo starteten sich da mehrere gleichartige prozesse von enormen umfang diese lassen sich zwar beenden, jedoch reaktivieren sich sich immer und irgendwann kommt mal einer, der nach seiner beendigung die fehlermeldung ausgibt: "c:\windows\system32\Isass.exe hat nen kritischen fehler und musste beendet werden, windoof wird in 2 min herunter gefahren" Diese Prozesse beenden netterweise auch permanent meinen AV-Virenguard, sodass ich jedesmal wenn ich den rechner neu starten taskmanager und regedit verliere...
Ich hab auch zwischendurch schonmal ~2800 virenstämme vom rechner gelöscht, doch jedesmal nach nem reboot sind neue funde auf meinem pc, als würden sich die viren udn trojaner jedes mal neu beim booten "installieren"

da mir alles lesen und forschen in eurem board bis jetzt nicht zu resultaten verhelfen konnte wende ich mich nun einfach in meiner trostlosen verzweiflung an die comunity... hilfe


Virus Total hat bereits diverse dateien als Virus.Win32.Virut.xxx identifiziert nur wie bekomme ich den weg? selbst nach einer bereinigung mit DrWebCureIt, avira antivir, spybot und trojan remover im abgesicherten modus (in dem das problem mit den multiplen prozessen nicht auftritt) sind hinterher alle störenfriede wieder da als wäre nie entwas gewesen...

aktuelles HJT-log reiche ich nach dem reboot nach, damit auch alles ungeschönt drinne is -.- (deprimierend...)


ich bin für gute tipps und kniffe mehr als dankbar, weil verzweifelt...

Nach dem neustart hatte ich dann auch erstmals den installations-bildschirm von antivirus xp 2008 -.- damit wäre der schuldige wohl identifiziert... bitte um schnelle heilung für meinen kleinen rechner *liebkuck*

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:11:43, on 28.08.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\urdvxc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\12.tmp
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Temp\.tt1E.tmp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {F3F67CEE-C041-4CC0-B079-2A64110F41EE} - C:\WINDOWS\System32\cmpbk3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [inrhctq6j0ejd5] C:\WINDOWS\Temp\.tt1E.tmp.exe /CR=8C9BFA7AB31996185C92DD3B9554D0280AB322BC313DC1F2D99F8A3A867E67D02A8974C0368D19DC00E01226A5990F38FA18B2748392264DFC46919EBB50C13F33DF60A06A3B921C27C 4E6B324812E46D471C0
O4 - HKLM\..\Run: [lphcpq6j0ejd5] C:\WINDOWS\System32\lphcpq6j0ejd5.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe

--
End of file - 2816 bytes

Sorry für den 3. Post in folge, doch von diesem rechner kann ich meine vorherigen post leider nicht editieren.


Nachtrag: 1 stunde nach der log-erstellung von HJT änderte sich mein desktophintergrund wieder zu viruswarnmeldungvon w32\privacyremover.m64 und virtumonde, die installation von antivir xp 2008 hatte ich auch permanent...
Die folge, windows verweigert mir nun sowohl im normalmodus als auch im abgesicherten sämtliche domains, ergo kann ich mich nichmehr bei windoof anmelden und bin nurnoch zaungast beim untergang meines eigenen rechners...


falls ich es nochnicht erwähnt haben sollte... zu hülfäää

und nochmal...

Zitat:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a891c1 size 0x1ac !
copy of MBR has been found in sector 62 !

system neu installiert wohlgemerkt, alter ca 15min!!!