Es sind auch total viele svchost.exe gestartet...wenn ich diese beenden moechte dann faehrt sich der computer automatisch runter...

Das mag daran liegen, dass svchost.exe ein wichtiger Systemprozess ist, der mehrfach ausgeführt werden kann. Wenn man da den falschen ausführt, dann geht Windows nicht mehr.

Das mit GMER ist seltsam. Versuche stattdessen bitte
RootkitRevealer scannen zu lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

lg myrtille

HKLM\SECURITY\Policy\Secrets\SAC* 5/26/2005 6:13 AM
0 bytes
Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 5/26/2005 6:13 AM
0 bytes
Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 8/31/2008 12:39 PM
4 bytes
Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 8/31/2008 12:39 PM
4 bytes
Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata 8/30/2008 6:49 PM
0 bytes
Hidden from Windows API.
HKLM\SOFTWARE\TDSS 8/31/2008 12:36 PM
0 bytes
Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\TDSSserv.sys 8/30/2008 6:49 PM
0 bytes
Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\TDSSserv.sys 8/30/2008 6:49 PM
0 bytes
Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Eventlog\Application\SamplApp\EventMessageFile 5/26/2006 9:33 AM
35 bytes
Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\TDSSserv 8/31/2008 12:35 PM
0 bytes
Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\TDSSserv.sys 8/30/2008 6:49 PM
0 bytes
Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\TDSSserv.sys 8/30/2008 6:49 PM
0 bytes
Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Eventlog\Application\SamplApp\EventMessageFile 5/26/2006 9:33 AM
35 bytes
Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet003\Services\TDSSserv 8/31/2008 12:35 PM
0 bytes
Hidden from Windows API.
C: 0 bytes Error mounting volume
D: 0 bytes Error mounting volume

Hi,

das hatte ich befürchtet. Wir sind noch nicht fertig.

Arbeite bitte folgendes ab:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

Hab versucht Combofix herunterzuladen aber die meisten Seiten kann ich nicht einmal oeffnen, bei anderen wiederum geht das downloaden nicht...das Internet funktioniert noch nicht so richtig...

gibt es eine alternative zu combofix oder waere es moeglich, dass du sie mir per email schickst??

lg

Hi,

wenn du Combofix nicht herunterladen kannst, kannst du dann blacklight herunterladen?

Wenn ja, lasse das Tool bitte mal scannen, evtl können wir dem Rootkit mit dem Programm beikommen.

lg myrtille

Hab blacklight drueberlaufen lasse, hat funktioniert danke...es zeigt jedoch keinen Fund an...

Waere ComboFix genauer gewesen??

LG

Hi,

Ja, Blacklight sieht das Rootkit offenbar nicht.

Kannst du dir Combofix an einem anderen Rechner herunterladen?

lg myrtille

Ja, koennte ich schon nur etwas spaeter, bei dir ist es dann schon um 4, 5 in der frueh...bist du sonst morgen auch wieder da um mir zu helfen??

Ja, eigentlich bin ich jeden Tag hier.

Wenn nicht geb cih wem Bescheid, dass er dich "übernehmen" soll.

lg myrtille

des hoert sich ja fast so an als wuerdes mich gern abgeben gleich wirst du dir das noch mehr denken:

also, hab es doch jetzt schon bekommen wenn ich es aber ausfuehren moechte steht da, dass combofix ein rootkit erkannt hat und des system neu gestartet wird...

dann haett ich es nochmal versucht, wieder das selbe...was koennte ich hier machen??

Also zu combofix kann ich jetzt nichts sagen!
Aber myrtrille ich hab ne idee! Threatfire soll ja Unbekannte viren und rootkits erkennen und auch blockieren! Wäre das vllt eine möglichkeit? Also ich denke schaden kann es nicht! Ob der download funktioniert weiß ich nicht! Aber im zweifelsfall könnte ihm jemand das programm geben oder jemand von uns schickt es ihm per icq oder anderem programm das er bereits hat ich weiß nicht ob es funktioniert aber es ist doch ein versuch wert oder nicht myrtrille?

Hi,

hat Combofix einen Bericht erstellt? (C:\Combofix.txt) Kannst du den posten?
Wie häufig hast du Combofix jetzt durchlaufen lassen?

Nee, abgeben will ich dich nicht. Hatte nur den Eindruck, dass du möglichst schnell fertigwerden willst. Dann hätt ich jemanden gebeten, sich da morgen früh drum zu kümmern, morgen abend bin ich sicher da.

lg myrtille

EDIT: Threatfire bitte nicht installieren.

Combofix hat beim oeffnen die warnmeldung schon angezeigt, hab ihn noch gar nicht durchlaufen lassen koennen, da ich nicht mal ins programm hineinkomm...

naja, waer natuerlich schon toll wenn es heute geklappt haette, aber so dringend ist es auch wieder nicht...nur ist es halt nicht mein computer und die brauchen ihn...

der computer haengt sich auch ziemlich oft auf...
ist es normal, dass die svchost.exe sooo oft existiert??

was denkst du, ist es fuer mich ueberhaupt moeglich das noch hinzubekommen??

lg

ps. Tayk: nicht IHM --> IHR

Hi,

ich bräuchte die genaue Meldung von Combofix. (Also Wort für Wort)

lg myrtille