So, hab wieder das problem, dass ich nur noch durch den Taskmanager agieren kann! Ich gehe mal davon aus, dass meine "gesaved" datein ebenfalls befallen sind! Ich muss wohl oder übel die gesamte Festplatte räumen...ich hoffe das Dauert nich allzulang

danach meld ich mich nochmal...super Sonntag abend

bis nachher

EDIT: hab jezze nach wiederholtem Neustart ne Taskleiste...ich lad mir mal eben dein Proggi da runter und poste sofort! vielleicht kann ich einer nochmaligen neuinstall. umgehen!

geht der Abgesicherte Modus?
darin kannste auch Scannen.Lade dir auch mal das Avira Anti Root kit runter
und auch Malware Antibytes kannste mal Probieren.
Wenn du damit scannst auch bitte die Log-Datei hier Posten.


MfG

Ghost1975

Sorry für Doppelpost! aber das stand nur in der Textdatei (kenn das proggi ja nicht)


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


EDIT: hi Ghost, habe ehrlich gesagt bammel davor, nochma neuzustarten! dann geht wieder nix! gestern hab ich bestimmt 50 mal neui gebootet und es bleib dabei, dass ich nur den Taskmanager hatte! jezze ist es wohl zufall! aber ich lad mir auch ma die o.g proggis von dir

Der abgesicherte Modus war nur für den Fall das du beim normalboot nicht reinkommst

ah ok, hätte ich auch selber drauf kommen können

naja bin zz etwas durchn wind...ist besch*** wenn der rechner net läuft, brauch den zum arbeiten!

also der erste Scan mit dem AntiRootKit ist durch

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Sonntag, 15. März 2009 - 19:39:05
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 179.96 GB
- Working disk free size : 167.91 GB (93 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/48685
Registry items: 0/133297
Processes: 0/39
Scan time: 00:06:19
--------------------------------------------------------------------------------------------------------
Active processes:
- ggbginys.exe (PID 49480) (Avira AntiRootkit Tool - Beta)
- IEXPLORE.EXE (PID 105256)
- System (PID 4)
- smss.exe (PID 952)
- csrss.exe (PID 1004)
- winlogon.exe (PID 1036)
- services.exe (PID 1080)
- lsass.exe (PID 1096)
- ati2evxx.exe (PID 1264)
- svchost.exe (PID 1284)
- svchost.exe (PID 1352)
- svchost.exe (PID 1520)
- svchost.exe (PID 1672)
- svchost.exe (PID 1708)
- ati2evxx.exe (PID 1860)
- spoolsv.exe (PID 1928)
- ndetect.exe (PID 1420)
- explorer.exe (PID 1444)
- RTHDCPL.EXE (PID 2032)
- reader_s.exe (PID 144)
- ctfmon.exe (PID 148)
- a2service.exe (PID 2000)
- PnkBstrA.exe (PID 380)
- firefox.exe (PID 1172)
- svchost.exe (PID 360)
- svchost.exe (PID 368)
- svchost.exe (PID 324)
- svchost.exe (PID 468)
- svchost.exe (PID 1144)
- svchost.exe (PID 3616)
- cmd.exe (PID 21196)
- services.exe (PID 21724)
- wuauclt.exe (PID 32208)
- infium.exe (PID 4448)
- Xfire.exe (PID 4616)
- reader_s.exe (PID 7260)
- msnmsgr.exe (PID 25000)
- mbam.exe (PID 54220)
- avirarkd.exe (PID 55328)
========================================================================================================
- Scan finished Sonntag, 15. März 2009 - 19:45:24
========================================================================================================

so...ich muss sagen...WTF!

hab soviele stücke auf A-Squared gehalten und dann sehe ich das hier...unfassbar!


Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1852
Windows 5.1.2600 Service Pack 2

15.03.2009 19:54:09
mbam-log-2009-03-15 (19-54-04).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 101292
Laufzeit: 15 minute(s), 53 second(s)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
C:\WINDOWS\services.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ndetect.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Tino\reader_s.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\restore (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ndetect.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ndetect.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ndetect.exe,C:\WINDOWS\system32\regwiz.exe,) Good: (userinit.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Hijack.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Tino\reader_s.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\services.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\reader_s.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\drivers\protect.sys (Trojan.NtRootkit.Agent) -> No action taken.
C:\WINDOWS\system32\ndetect.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\7.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\8.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN1.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN8.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\services.ex_ (Heuristics.Reserved.Word.Exploit) -> No action taken.


so, wie soll ich vorgehen? alles löschen?!

Hi White_Rebel

das ging ja alles sehr schnell mit deinen Log Dateien.
Ja lasse das was Malwarebytes gefunden hat Löschen.


Sorry muß jetzt weg zur Arbeit,schaue mir das Morgen noch mal an.


MfG

Ghost1975

wollt nur noch kurz auf die HijackThis Version hinweisen:

Zitat:

Logfile of HijackThis v1.99.1