Zitat:

könnte sein das es ein eigespeicherter USB-Stick ist?

Ja.

Zitat:

wo finde ich denn die system.exe ?

Auf Laufwerk H:
Versuch es mit suchen: http://www.people.freenet.de/rene-gad/invisible.html

ciao, andreas

habe leider nur die datei SYSTEM.EXE-0907CFB6.pf auf C: gefunden.
Echt komisch alles!
Danke für deinen weiteren einsatz !

So kommen wir nicht weiter. Du musst doch wissen, was du an deinen PC gestöpselt hast, aber es scheint, dass ich mit meiner Annahme doch richtig lag und du dich durch einen externen Datenträger infiziert hast.

ciao, andreas

Ich weiß was ich an meinen rechner gestöpselt habe. 2 verschiedene Usb sticks. aber ich glaube einfach das ich schon vorher infiziert war weil ich nach der Neuinstallation erstmal nichts angeschlossen hatte und dennoch kein update ziehen konnte.
hmm.. ich weiß nicht weiter

Führe dieses MBR-Tool aus und poste die Ausgabe.

Hast du die USB-Sticks in Reichweite?

ciao, andreas

einen davon ja.

hier das was das Tool ausgespuckt hat:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Dann stecke den an und suche dort nach system.exe. Falls du sie findest, dann lasse sie auswerten.

ciao, andreas

Du hattest recht! direkt komm eine Meldung H:\autorun.inf WORM/TRL.A
und die system.exe ist auch da!
sorry das die Log so lang ist wusste nicht was ich davon löschen darf und was nicht:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.14 Worm.Win32.AutoRun!IK
AhnLab-V3 2009.1.15.0 2009.01.14 -
AntiVir 7.9.0.54 2009.01.14 TR/Agent.ALKQ.4
Authentium 5.1.0.4 2009.01.14 -
Avast 4.8.1281.0 2009.01.14 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.14 Worm/Generic.SDA
BitDefender 7.2 2009.01.14 Trojan.Agent.ALKQ
CAT-QuickHeal 10.00 2009.01.14 Worm.AutoRun.usj
ClamAV 0.94.1 2009.01.14 Trojan.Dropper-16646
Comodo 931 2009.01.14 Worm.Win32.Autorun.~RF
eSafe 7.0.17.0 2009.01.14 -
eTrust-Vet 31.6.6307 2009.01.14 Win32/Auraax.DZ
F-Prot 4.4.4.56 2009.01.14 -
F-Secure 8.0.14470.0 2009.01.14 Worm.Win32.AutoRun.usj
Fortinet 3.117.0.0 2009.01.14 PossibleThreat
GData 19 2009.01.14 Trojan.Agent.ALKQ
Ikarus T3.1.1.45.0 2009.01.14 Worm.Win32.AutoRun
K7AntiVirus 7.10.584 2009.01.09 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.01.14 Worm.Win32.AutoRun.usj
McAfee 5495 2009.01.14 Generic Dropper
McAfee+Artemis 5495 2009.01.14 Generic Dropper
Microsoft 1.4205 2009.01.14 TrojanDropper:Win32/Emold.C
NOD32 3766 2009.01.14 probably a variant of Win32/Autorun
Norman 5.93.01 2009.01.13 -
nProtect 2009.1.8.0 2009.01.14 Worm/W32.AutoRun.25600.D
Panda 9.5.1.2 2009.01.14 Generic Trojan
PCTools 4.4.2.0 2009.01.14 -
Prevx1 V2 2009.01.14 Cloaked Malware
Rising 21.12.22.00 2009.01.14 -
SecureWeb-Gateway 6.7.6 2009.01.14 Trojan.Agent.ALKQ.4
Sophos 4.37.0 2009.01.14 -
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.14 W32.SillyFDC
TheHacker 6.3.1.4.219 2009.01.14 W32/AutoRun.usj
TrendMicro 8.700.0.1004 2009.01.14 PAK_Generic.001
VBA32 3.12.8.10 2009.01.13 Worm.Win32.AutoRun.tca
ViRobot 2009.1.14.1559 2009.01.14 -
VirusBuster 4.5.11.0 2009.01.14 Worm.Autorun.Gen!Pac.14
weitere Informationen
File size: 25600 bytes
MD5...: 9e82d65fb44d87c43b25ec02a5d72117
SHA1..: 0a40f653e973066682712ddf4e267e06c5d76e03
SHA256: bc531c06b61b430e4ff129ad651daa17fecf61464e171ffc52214521b3c46e82
SHA512: 6fd41928f32ce2198bb5f5793ddf85649d4ceb22315635ede1016afd0d861862
7e84ff96adb5e50da4358e63c9d199342cfae6c6e3ab240e3f4ca767137cd89d
ssdeep: 384:5gZOrtR6fyFROzqrhidXPVGABDeH4EjDwFgbJF4adLi:5gZOrtHRGJVTM5Nb
jde
PEiD..: UPX v1.03 - v1.04
TrID..: File type identification
Win32 Executable Generic (58.2%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.6%)
DOS Executable Generic (13.6%)
VXD Driver (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40200d
timedatestamp.....: 0x493c1dfb (Sun Dec 07 19:03:23 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.idata 0x1000 0x146 0x200 2.64 7f81c101db0be4c9a30845db40c57b39
.code 0x2000 0x5b78 0x5c00 7.68 868795ec4c8034108816098185040e79
.rsrc 0x8000 0x3c0 0x400 3.21 9dddaeeebcd1b1ddf9ae34c3ef7e6295

( 3 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA
> user32.dll: GetKeyState, SetActiveWindow, GetFocus
> gdi32.dll: EndDoc, LPtoDP, SetViewportExtEx

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9e82d65fb44d87c43b25ec02a5d72117' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9e82d65fb44d87c43b25ec02a5d72117</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=577A1E20009C6E1664B000CC2C6392005BBEDFD6' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=577A1E20009C6E1664B000CC2C6392005BBEDFD6</a>

Desinfizierung/Absicherung externer Medien:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Schau hier vorbei, da habe ich schon alles sehr ausführlich geschrieben: http://www.trojaner-board.de/68318-r...-erhalten.html

ciao, andreas

also soll ich auch meinen rechner neuinstallieren?
ich habe das mit dem usb-Stick gemacht nur kommt die datei wohl durch diese system.exe immer wieder.

Zitat:

also soll ich auch meinen rechner neuinstallieren?

Ja. Es ist allerdings sinnlos, falls du die verseuchten USB-Sticks wieder einsteckst. Der andere hat dreimal installieren müssen und sich immer wieder selbst infiziert. Schalte die Autoplayfunktion ab, sonst passiert dir das auch.

ciao, andreas

ja gut das werde ich tun. aber was mache ich nun mit der datei auf dem stick? einfach löschen? weil durch die system.exe kommt das ja immer wieder ?

Solange dein PC noch verseucht ist, ist jeder Versuch sinnlos. Installiere neu, schalte Autoplay ab, halte [Umschalt] fest während du den Stick einsteckst, formatiere ihn oder lass Flash Disinfector laufen.

ciao, andreas

Alles klar werde das wenn die Zeit da ist alles durchführen. ich bedank mich nochmal für deine gedult und hilfe! DANKE