Hi.

Hijackthis erfasst keine Rootkit_Dateien.

Durch die Neuaufsetzung bist du den Wurm schon mal los.

Jedoch ist er auf allen Partitionen. Du musst ihn manuell entfernen.

Den Explorer öffnen, dann in den Ordneroptionen auf Versteckte und Geschützte Systemdateien ausblenden(empfohlen) den Haken rausmachen und alle Dateien der boot.com und autorun.inf löschen.

Danach musst du die Dateien im Treiber-Ordner löschen, das machst du mit Antivir, der in der Rootkitsuche die Dateien isoliert.

Meld dich, wenn fertig.

Danke mal für die rasche Antwort

Zitat:

Zitat von itadmin0876

Hi.

Hijackthis erfasst keine Rootkit_Dateien.

Durch die Neuaufsetzung bist du den Wurm schon mal los.

Jedoch ist er auf allen Partitionen. Du musst ihn manuell entfernen.

Den Explorer öffnen, dann in den Ordneroptionen auf Versteckte und Geschützte Systemdateien ausblenden(empfohlen) den Haken rausmachen und alle Dateien der boot.com und autorun.inf löschen.

Das hab ich schon gemacht. Versteh aber den nächsten Schritt nicht ganz, einfach mit Antivir scannen oder wie? Und wenn Antivir was findet einfach auf löschen klicken? Und welcher Treiber Ordner, oder meinst Temp Ordner? Die hab ich schon gelöscht.

Zitat:

Zitat von itadmin0876

Danach musst du die Dateien im Treiber-Ordner löschen, das machst du mit Antivir, der in der Rootkitsuche die Dateien isoliert.

Meld dich, wenn fertig.

sorry.

fachmanngeplänkel. ;-)

Klicke auf Antivir in der Systemtray, rechts unten und starte das Programm.

Dann wählst du auf Prüfen und unten steht in der Maske, "suche nach root-kits", dort alle Laufwerke anklicken mit einem Haken und den Suchlauf starten.

Dann sucht Antivir zuverlässig Dateien, die versteckt auf dem System und der Partitionen liegen.

Denn der Wurm schreibt sich in die Tiefen des Systems und der Disk!

Danke, Suche läuft.
Also wenn er nichts findet dann bin ich wohl virenfrei, und wenn er was findet brauch ichs einfach mit Antivir löschen und bin anschließend virenfrei?

geh mal auf www.port-scan.de und teste ob dein system anfällig ist.

Sonst müsste nach dem Neuaufsetzen alles in Ordnung sein.

So, mit Antivir nach Rootkits gescannt und er hat auch was gefunden, und zwar auf meiner externen Platte gibts ein Ordner, der ließ sich von mir nie löschen, jetzt weiß ich warum
Auf jeden Fall hat er die Elemente auch nicht löschen können, hab jetzt mal in Quarantäne kopiert. Auszug aus dem Logfile:

Code: Alles auswählenAufklappen

ATTFilter

  ccd-nhl8.r00
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r01
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r02
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r03
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r04
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r05
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r06
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r07
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r08
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r09
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r10
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r11
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
  ccd-nhl8.r12
    [0] Archivtyp: RAR
    [INFO]      Die Datei ist nicht sichtbar.
    --> unknown0
      [HINWEIS]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
    --> unknown0
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doubleabstractfilteringstrategydecorator.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49d5f38b.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doubleabstractfilteringstrategydecorator.newiter.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a9750ac.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doubleabstractiterator.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a913954.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doubleabstractstrategy.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a93011c.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doublearrayiterator.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a9ce9c4.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doublebigstrategy.doublebigstrategy$1.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a9eb18c.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doublebigstrategy.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a989a34.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doublecompositeiterator.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a9a62fc.qua erstellt ( QUARANTÄNE )
h:\altes backup\scherrpc\e\notebook\installdateien\jml.5.4\jml\javadocs\org\jmlspecs\jmlunit\strategies\doublecompositeiterator_jml_testdata.doublecompositeiterator_jml_testdata$1.html
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a844aa4.qua erstellt ( QUARANTÄNE )
h:\images\löschen\!!!kostenlos.testen.fullspeed.mit.bis.zu.35mbit.downloaden.anonym.und.legal.url
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4981f33d.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.nfo
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f37f.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r00
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 41d8b8b0.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r01
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f382.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r02
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f387.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r03
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f389.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r04
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f38b.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r05
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f38d.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r06
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f38e.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r07
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f390.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r08
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f392.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r09
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f393.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r10
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f395.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r11
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f396.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8.r12
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f398.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8\ccd-nhl8.mdf
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f39a.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8\ccd-nhl8.mds
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49c4f3e7.qua erstellt ( QUARANTÄNE )
h:\images\löschen\ccd-nhl8
    [INFO]      Das Verzeichnis ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 41f86d10.qua erstellt ( QUARANTÄNE )
HKEY_USERS\S-1-5-21-1409082233-602609370-1801674531-1003\Software\SecuROM\License information\datasecu
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1409082233-602609370-1801674531-1003\Software\SecuROM\License information\rkeysecu
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '800416' Objekte überprüft, '39' versteckte Objekte wurden gefunden.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
         

Danach kam die Empfehlung, die Systempartition zu durchsuchen, hab ich gemacht, hab einige Warnungen bekommen, aber keinen Fund. Hab im Logfile mal drübergescrollt weils einfach ewig lang ist, hier paar Dinge die mir komisch vorkommen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\
  WinAgentsd.zip
    [0] Archivtyp: ZIP
    --> resycled/boot.com
      [WARNUNG]   Das gesamte Archiv ist passwortgeschützt
  WinAgentsd1.zip
    [0] Archivtyp: ZIP
    --> autorun.inf
      [WARNUNG]   Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots2\
  RegDRegT-Global.reg
         

Code: Alles auswählenAufklappen

ATTFilter

Ende des Suchlaufs: Sonntag, 04. Jänner 2009  18:40
Benötigte Zeit: 26:57 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   1910 Verzeichnisse wurden überprüft
  53708 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     27 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
     27 Dateien konnten nicht durchsucht werden
  53681 Dateien ohne Befall
    617 Archive wurden durchsucht
     30 Warnungen
     40 Hinweise
 800416 Objekte wurden beim Rootkitscan durchsucht
     39 Versteckte Objekte wurden gefunden
         

Was ist nun zu tun?
Achja, port-scan.de sagt kein Port ist offen. Bin jetzt nur unsicher, ob der Trojaner nicht noch irgendwo versteckt liegt und sich nicht wieder installiert.

das is nicht untypisch, das virenschreiber bekannte antispyprogramme infizieren. lösche die dateien in diesen ordnern und deinstalliere spybot.

deaktiviere noch die systemwiederherstellung,
Klicken Sie zum Öffnen der Systemeigenschaften auf Start, klicken Sie auf Systemsteuerung, und doppelklicken Sie dann auf System. Klicken Sie im Dialogfeld Systemeigenschaften auf die Registerkarte Systemwiederherstellung, und lösche die dateien im abgesicherten modus.

wenn es eine Fehlermeldung von AntiVir ist, eine Mitteilung an AntiVir schreiben, aber das siehst du dann.