hallo
mein system war/ist bis kurzem befallen
dies hat sich dadurch geäußert dass ich (bei google) auf ukrainische server hijacked wurde
die offensichtlichen sachen habe ich mittels HijackThis und anderen tools aus diesem forum entfernt, jedoch wird im scan des programms GMER einige .sys dateien angezeigt die sich bei google nicht finden lassen
im dateisystem werden diese dateien auch nicht angezeigt
wie werd ich die wieder los?

ich habe ein vista 32bit ultimate sp1 nutze den firefox 3 mit ausgeschaltetem uac, antivir läuft und ist aktiviert, eine hardwareseitige firewall gibts auch
die beiden treiber sind auf dem unteren bild gekennzeichnet

falls fragen bezüglich des systems bestehen, bitte das posting nicht löschen -.-

edit: die namen der dateien ändern sich dynamisch, die pfadangabe und die dateigrößen der beiden dateien bleiben immer gleich
die namen beginnen immer mit einem a und es sind auch zahlen drin

Was meint www.virustotal.com zu den Dateien? Steht irgendwas unter Dateieigenschaften zu den Dateien?

Und warum hast du UAC ausgeschaltet, bzw hast du dafuer eine Alternative?

Zitat:

Zitat von raman

Was meint VirusTotal - Free Online Virus and Malware Scan zu den Dateien? Steht irgendwas unter Dateieigenschaften zu den Dateien?

Und warum hast du UAC ausgeschaltet, bzw hast du dafuer eine Alternative?

virustotal kann zu den dateien nichts meinen, da sie im dateisystem nicht sichtbar sind, zudem werden die namen bei jedem neustart neu generiert
uac hat mich schlicht und ergreifend genervt -.-
wie kann ich diese module "unloaden" bzw. löschen?

Du nutzt doch gmer, gehe auf Files gehe in den Ordner, waehle die Dateien einzelnd aus und druecke "Copy", waehle dann einen anderen Ort und Dateinamen, so solltest du die Dateien bei VT pruefen koennen.

die dateien sind selbst mit GMER nicht sichtbar
ich habe auch blacklight drüber laufen lassen aber es findet nichts

Du hast nicht zufällig Alcohol120% oder ähnliches installiert?

lg myrtille

Lade Catchme von hier

http://files.thespykiller.co.uk/catchme.htm

Starte es, gehe auf den Reiter script
Schreibe in das weisse Feld

files:
[Ordner und Dateiname]
[Ordner und Dateiname]

waehle dann run. nun wird auf deinem Desktop ein Zip Archiv erzeugt. Lasse das Zip bei vt testen.

Zitat:

Zitat von myrtille

Du hast nicht zufällig Alcohol120% oder ähnliches installiert?

lg myrtille

120% und daemon tools

@raman
ich krieg ne fehlermeldung:
disk not found [ak9xby8t.sys c:\windows\system32\drivers]
disk not found [axv315fn.sys c:\windows\system32\drivers]

Dann würde ich doch einiges wetten, dass die Dienste zu diesen Programmen gehören und mit den alternierenden Namen versuchen vom Kopierschutz nicht erkannt zu werden.

Die Namen fangen immer mit a an, haben 8 zeichen und bestehen aus Buchstaben und Zahlen.
Die Namen ändern sich bei jedem Neustart.

Eine Auswertung bei Virustotal sollte Gewissheit bringen.

lg myrtille

das mag sein, damit wären die dateien "gutartig" (der rootkit hook analyzer sagt es handle sich um atapi ide miniport driver)
das dumme ist: ich werde immer gehijacked bei google
bei klick auf ein suchergebnis (tritt nur sporadisch auf) werde ich an 67.210.15.11 umgeleitet

Dann waere der komplette GMER Report hilfreich, Gmer bitte mit Administrator Rechten starten! Ebenso ein Mbam Report:
http://www.trojaner-board.de/51187-a...i-malware.html