Hallo!
Mein Pc hat vor der Neuinstallation folgendes gemacht:

Kaspersky konnte sich nicht mehr Updaten!
Microsoft Removal Tool konnte nicht neue gedownloadet werden.
MS updates funktionierten auch nicht mehr.
MS Firewall war aus aber die Kaspersky Firewall hat unzähligre Maleware angriffe geblockt!
Der Prozess Csrss.exe war 2 mal in Taskmanager zu sehen aber überhaupt nicht auf c:\System32.

Ich habe folgenedes unternommen:

Ich habe das Microsoft removal Tool vom Feb 09 drüberlaufen lassen der hat mir die 2 o.g Maleware/Viren angezeigt und laut mrt.exe auch gelöscht.

Ich habe Windows neu aufgesetzt und das mrt vom März09 drüberlaufen lassen und siehe da sie wurden wieder erkannt und gelöscht!
Ich gehe stark davon aus das sich die Maleware auf einer oder beide Externe Festplatten kopiert hat.
Höchstwarscheinlich im Autostart denk ich mal.

Wollte jetzt mal das ihr da einen blick drauf werft!

Hier mein System
Betriebsystemname Microsoft® Windows Vista™ Home Premium
Version 6.0.6000 Build 6000
Weitere Betriebsystembeschreibung Nicht verfügbar
Betriebsystemhersteller Microsoft Corporation
Systemname M*******-PC
Systemhersteller Packard Bell BV
Systemmodell iPower X9102
Systemtyp X86-basierter PC
Prozessor Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz, 2400 MHz, 4 Kern(e), 4 logische(r) Prozessor(en)
BIOS-Version/-Datum Phoenix Technologies, LTD 1004.001, 05.07.2007
SMBIOS-Version 2.4
Windows-Verzeichnis C:\Windows
Systemverzeichnis C:\Windows\system32
Startgerät \Device\HarddiskVolume3
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "6.0.6000.16407"
Benutzername M******-PC\*******
Zeitzone Mitteleuropäische Zeit
Gesamter realer Speicher 3.069,94 MB
Verfügbarer realer Speicher 1,93 GB
Gesamter virtueller Speicher 6,18 GB
Verfügbarer virtueller Speicher 4,93 GB
Größe der Auslagerungsdatei 3,29 GB
Auslagerungsdatei C:\pagefile.sys


Und hier mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:27:13, on 16.03.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\avmwlanstick\WLanGUI.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\msinfo32.exe
C:\Users\Manu\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [InstallProcess] c:\oem\process\launchprocess.vbs
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--
End of file - 3330 bytes

Hoffe auf schnelle hilfe:aplaus:

habe noch was gefunden: In der Systeminfo habe ich unter Aktive Tasks viel mehr als im Taskmanager angezeigt wird. U.a auch der csrss wieder 2 mal!
Hier das file:
audiodg.exe Nicht verfügbar 1212 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
csrss.exe Nicht verfügbar 552 13 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
csrss.exe Nicht verfügbar 608 13 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
dwm.exe c:\windows\system32\dwm.exe 1708 8 204800 1413120 16.03.2009 19:22 6.0.6000.16386 81,50 KB (83.456 Bytes) 02.11.2006 09:39
explorer.exe c:\windows\explorer.exe 1976 8 64483328 64532480 16.03.2009 19:22 6.0.6000.16549 2,79 MB (2.923.520 Bytes) 15.03.2009 21:11
firefox.exe c:\program files\mozilla firefox\firefox.exe 2496 8 92151808 94265344 16.03.2009 19:24 1.9.0.3071 300,50 KB (307.712 Bytes) 15.03.2009 13:53
hijackthis.exe c:\users\ma***\downloads\hijackthis.exe 5096 8 204800 1413120 16.03.2009 20:26 2.0.0.2 392,30 KB (401.720 Bytes) 16.03.2009 20:26
icq.exe c:\program files\icq6\icq.exe 1972 8 87367680 106209280 16.03.2009 19:22 6.0.0.6043 168,24 KB (172.280 Bytes) 09.03.2008 15:00
lsass.exe Nicht verfügbar 652 9 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
lsm.exe Nicht verfügbar 664 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
mfpmp.exe Nicht verfügbar 1532 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:35 Nicht verfügbar Nicht verfügbar Nicht verfügbar
msascui.exe c:\program files\windows defender\msascui.exe 592 8 204800 1413120 16.03.2009 19:22 1.1.1505.0 982,68 KB (1.006.264 Bytes) 15.03.2009 20:53
msinfo32.exe c:\windows\system32\msinfo32.exe 4140 8 204800 1413120 16.03.2009 20:13 6.0.6000.16386 398,00 KB (407.552 Bytes) 02.11.2006 09:35
nod32krn.exe Nicht verfügbar 1356 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
nod32kui.exe Nicht verfügbar 2340 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
notepad.exe c:\windows\system32\notepad.exe 4716 8 204800 1413120 16.03.2009 20:27 6.0.6000.16386 147,50 KB (151.040 Bytes) 02.11.2006 09:47
pctsauxs.exe Nicht verfügbar 2128 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
pctssvc.exe Nicht verfügbar 2168 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
pctstray.exe c:\program files\spyware doctor\pctstray.exe 2692 8 1179648 1179648 16.03.2009 19:22 6.1.0.21 1,12 MB (1.173.384 Bytes) 15.03.2009 15:00
rthdvcpl.exe c:\windows\rthdvcpl.exe 1920 8 204800 1413120 16.03.2009 19:22 1.0.0.11 3,99 MB (4.186.112 Bytes) 16.03.2009 19:15
rundll32.exe c:\windows\system32\rundll32.exe 1044 8 204800 1413120 16.03.2009 19:22 6.0.6000.16386 43,50 KB (44.544 Bytes) 02.11.2006 09:48
rundll32.exe c:\windows\system32\rundll32.exe 408 8 204800 1413120 16.03.2009 19:22 6.0.6000.16386 43,50 KB (44.544 Bytes) 02.11.2006 09:48
searchindexer.exe Nicht verfügbar 2788 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
services.exe Nicht verfügbar 640 9 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
slsvc.exe Nicht verfügbar 1260 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
smss.exe Nicht verfügbar 424 11 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
spoolsv.exe Nicht verfügbar 1788 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
svchost.exe Nicht verfügbar 808 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
svchost.exe Nicht verfügbar 900 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
svchost.exe Nicht verfügbar 976 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
svchost.exe Nicht verfügbar 1004 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
svchost.exe Nicht verfügbar 1036 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
svchost.exe Nicht verfügbar 1048 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
svchost.exe Nicht verfügbar 1336 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
svchost.exe Nicht verfügbar 1468 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
svchost.exe Nicht verfügbar 1844 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
svchost.exe Nicht verfügbar 2108 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
svchost.exe Nicht verfügbar 2672 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
svchost.exe Nicht verfügbar 2740 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
system Nicht verfügbar 4 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
system idle process Nicht verfügbar 0 0 Nicht verfügbar Nicht verfügbar Nicht verfügbar Nicht verfügbar Nicht verfügbar Nicht verfügbar
taskeng.exe c:\windows\system32\taskeng.exe 1804 8 204800 1413120 16.03.2009 19:22 6.0.6000.16386 162,50 KB (166.400 Bytes) 02.11.2006 09:41
taskeng.exe Nicht verfügbar 2220 6 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
taskeng.exe Nicht verfügbar 4488 6 Nicht verfügbar Nicht verfügbar 16.03.2009 20:37 Nicht verfügbar Nicht verfügbar Nicht verfügbar
wininit.exe Nicht verfügbar 596 13 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
winlogon.exe Nicht verfügbar 840 13 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
wlangui.exe c:\program files\avmwlanstick\wlangui.exe 1384 8 204800 1413120 16.03.2009 19:22 1.0.4.8 1,67 MB (1.748.992 Bytes) 20.12.2007 01:04
wlannetservice.exe Nicht verfügbar 1416 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar
wmiprvse.exe Nicht verfügbar 4344 8 Nicht verfügbar Nicht verfügbar 16.03.2009 20:39 Nicht verfügbar Nicht verfügbar Nicht verfügbar
wmplayer.exe c:\program files\windows media player\wmplayer.exe 684 8 204800 1413120 16.03.2009 19:35 11.0.6000.6344 165,00 KB (168.960 Bytes) 15.03.2009 21:12
wuauclt.exe c:\windows\system32\wuauclt.exe 4088 8 204800 1413120 16.03.2009 19:26 7.2.6001.788 50,02 KB (51.224 Bytes) 15.03.2009 19:25
wudfhost.exe Nicht verfügbar 3060 8 Nicht verfügbar Nicht verfügbar 16.03.2009 19:22 Nicht verfügbar Nicht verfügbar Nicht verfügbar

kann mir keiner helfen ???

Hallöle.

Da du sowieso grade neuaufgesetzt hast würde ich das Ganze einfach nochmal richtig machen.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Hallo! Habe jetzt die mrb.exe ausgeführt und mein Spyware Doctor hat mir darauf direkt folgendes gebracht:

" Spyware Doctor hat die Bedrohung Rootkit.Agent!sd6 blockiert" Ich habe dann Spyware doctor beauftragt dies zu blockieren!

Zeitgleich sagte mir Windows bei der mrb.exe

"Auf das angegebende Gerät,bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigung, um auf das Element zugreifen zu können"

Log file hat es leider auch nicht erstellt!

Schalt Spyware doctor aus, lad mbr.exe noch einmal neu und start es.

hier nun das erste log der mrb.exe

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: error reading MBR


das andere ist genau identisch

Hast du MBR auch als Administrator gestartet?

Wenn ich als Admin rein will muss ich in Windwos Vista ja im Abgesichertem Modus starten. Mein Perönliches Konto ist als Administrator konto eingerichtet

Falls das Bild wie bei mir nicht angezeigt wird, hier ist der Link:
http://img3.imagebanana.com/view/1ydeaalu/uac.jpg

Das meinte ich.

Mfg
Syne

ACHSO! Ok mein fehler Sorry! Jetzt sieht das ganze schon anderst aus!

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Der MBR ist in Ordnung. Damit kannst du ohne Probleme neuaufsetzen...

muss ich das denn noch? ich hab ja das system erst neu aufegesetzt!!!! Hmm wie kann ich denn schaun ob was auf meinen externen Festplatten ist?

Ja das musst du. Denn scheinbar hast du nicht richtig neuaufgesetzt. In meiner Anleitung ist alles so beschrieben wie du es durchführen musst damit dein Rechner hinterher definitiv sauber ist.

Alles klar! Vielen Dank erstmal an alle die sich mühe gegeben haben!!!! Have a nice Day!