Hallo,

Zitat:

Bei der Formatierung habe ich alles formatiert bis auf meine externe Festplatte, kann es sein, dass der/das Rootkit noch auf der Festplatte existiert und mich von da aus verseucht?

Ja. Lösung:

Desinfizierung/Absicherung externer Medien:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Zitat:

Gibt es Lösungen zur Reinigung, die an einer Formatierung vorbeigehen?

Ja, aber sehr zeitaufwendig. Wenn du gerade erst installiert hast, s.

Zitat:

Die Formatierung war erst gestern Abend (08.01.)

dann mache das gleich noch einmal. Halte dich an diese http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

Ist eine erneute Formatierung unbedingt notwendig? Da ich ein wenig vom PC und Sicherheit verstehe, kann ich von mir behaupten, dass ich die Anleitung zur Formatierung zu 98% befolgt habe, denke daher nicht, dass eine neue Formatierung Abhilfe schaffen wird...

Kann ich nicht meine Externe Scannen und den Google"Bug" irgendwie beheben?

Du hast dich durch die externe HD selbst wieder infiziert. Mit dem Flashdisinfector sorgst du dafür, dass es nicht noch einmal passieren kann.

Wichtig: Alle externen Datenträger, wie MP3-Player, Handy, USB-Sticks, SD-Karten, ..., während der Desinfektion anstecken.

Zitat:

denke daher nicht, dass eine neue Formatierung Abhilfe schaffen wird...

Ich schon.

Zitat:

Kann ich nicht meine Externe Scannen und den Google"Bug" irgendwie beheben?

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hmm... Okay, bevor ich mir da was mit Combofix zerhaue, denke ich, dass ich erst einmal wieder neu aufsetzen werde. Also kann ich davon ausgehen, dass wenn ich diesen Desinfizierer richtig eingesetzt habe und mit dem PC erst wieder ans Internet gehe, wenn alles draufgespielt ist und und und, dass DANN kein Plagegeist mehr da ist?

Kleine Frage hierzu noch, ich darf doch momentan dann die Grafiktreiber etc. die ich extra herunterladen musste auf meine externe ziehen um das Neuaufsetzen zu erleichern, richtig?

Bedanke mich schonmal für die kompetente Hilfe, werde sehen was das Ergebnis bringt und "hoffentlich" einen "Solved"-Abschlussbeitrag schreiben

Zitat:

Also kann ich davon ausgehen, dass wenn ich diesen Desinfizierer richtig eingesetzt habe und mit dem PC erst wieder ans Internet gehe, wenn alles draufgespielt ist und und und, dass DANN kein Plagegeist mehr da ist?

Rechner vom Internet trennen, Installieren, aktuelles SP draufspielen und erst dann wieder mit dem Internet verbinden.

Zitat:

Kleine Frage hierzu noch, ich darf doch momentan dann die Grafiktreiber etc. die ich extra herunterladen musste auf meine externe ziehen um das Neuaufsetzen zu erleichern, richtig?

Ein Restrisiko besteht schon, denn der kann auch befallen sein. Das kannst du nur sicherstellen, wenn du die externe HD von einem nicht infizierten Rechner aus scannst.

ciao, andreas

Sooo... Komplett ohne Internet reinstalliert, nichts von der HD genommen bis jetzt etc.

Hab jetzt mit Internet verbunden und die Externe wieder angeschlossen, wird eine erneute Rootkit-Suche dann zeigen, ob ich "clean" bin?

Bis gerade eben keine Probleme... Habe meine Kamera angeschlossen. Sofort eine Trojanerwarnung ala temp34.tmp Trojaner.

Außerdem habe ich erneute Probleme meine C-Platte zu öffnen... "boot.com"... Werde den Fehler jetzt wieder wie vorher auch beheben, jedoch bin ich mir 100% sicher, dass das Rootkit nicht auf meine Kamera gelingen konnte...

Zitat:

Wichtig: Alle externen Datenträger, wie MP3-Player, Handy, USB-Sticks, SD-Karten, ..., während der Desinfektion anstecken.

Habe ich gelesen, aber ich habe die Kamera doch schon mehrere Monate nicht mehr dran gehabt?!


Edit:
x.x

Code: Alles auswählenAufklappen

ATTFilter

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, H:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Montag, 12. Januar 2009  22:35

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\msqpdxtlubtvrd.dll
    [INFO]      Die Datei ist nicht sichtbar.
    [FUND]      Ist das Trojanische Pferd TR/TDss.AT.881
    [INFO]      Es konnte kein SpecVir-Eintrag gefunden werden!
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49dcb82c.qua erstellt ( QUARANTÄNE )
c:\windows\system32\drivers\msqpdxkdexdbse.sys
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b351a6d.qua erstellt ( QUARANTÄNE )
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '37046' Objekte überprüft, '12' versteckte Objekte wurden gefunden.
         

Nochmal formatieren oder was? Also so richtig mit ALLEN Usb Geräten? Und wie siehts aus mit Sticks von Freunden etc?

----------