OK den rootkit haben wir eliminiert, soweit so gut.
da die Viren jetzt ohne Tarnung dastehen musst du noch mal einen MalwareBytes Scan im Quick modus durchführen. Lasse alle Funde löschen

okay... mach ich gleich...

hier das LOG dazu:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1943
Windows 5.1.2600 Service Pack 3

06.04.2009 05:20:58
mbam-log-2009-04-06 (05-20-58).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 79594
Laufzeit: 4 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Edit:
Meldung (Recycle...) leider immer noch vorhanden.

Habe ich erwartet. Wir werden jetzt erst mal noch einen Blacklight Scan machen, um auszuschließen das noch was übrig geblieben ist.

Blacklight findest du hier:

Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Poste es dann hier

ok ,ich warte

Zitat:

Zitat von Redwulf

ok ,ich warte

läuft schon!

edit: fehler beim kopieren...

Das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

04/06/09 05:33:29 [Info]: BlackLight Engine 2.2.1092 initialized
04/06/09 05:33:29 [Info]: OS: 5.1 build 2600 (Service Pack 3)
04/06/09 05:33:29 [Note]: 7019 4
04/06/09 05:33:29 [Note]: 7005 0
04/06/09 05:33:38 [Note]: 7006 0
04/06/09 05:33:38 [Note]: 7011 544
04/06/09 05:33:38 [Note]: 7035 0
04/06/09 05:33:38 [Note]: 7026 0
04/06/09 05:33:38 [Note]: 7026 0
04/06/09 05:33:44 [Note]: FSRAW library version 1.7.1024
04/06/09 05:41:21 [Note]: 7007 0
         

Zitat:

Zitat von Redwulf

edit: fehler beim kopieren...

Wie meinst Du das?

Ich brauche dringend ein Hijack this log, welches AV Programm verwendest du?

@ Redwulf & Angel

Dickes Lob für Euren Einsatz bis tief in die Nacht. Toll, dass es Euch gibt.


Nach einem Scan mit Spybot wurde noch zwei Trojaner gefunden und entfernt, und jetzt läuft das System wieder einwandfrei.


Ehrenamtlicher Wahnsinn gepaart mit Kompentens!


DANKE!

Wir sind aber noch nicht durch.... Ich muss ein Hijack sehen. Du solltest nochmal vorbei schauen und wir checken nochmal alles durch. Anschließend sind dann noch ein paar Hinweise für deinen Sohn fällig....

Danke soweit fürs Feedback.....bis später, aber nicht mehr soviel über PM dann, andere User mit gleichem Problem möchten ggf. unseren Weg nachvollziehen

Ich würd gern noch wissen welche Trojaner Spybot noch gefunden hat...das ist u.U. wichtig...

Edit:
LOG von Spybot:

Code: Alles auswählenAufklappen

ATTFilter

--- Report generated: 2009-04-06 05:43 ---

Win32.Bzub.e: [SBI $D6409090] Programm-Verzeichnis (Registrierungsdatenbank-Wert, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\hky

Win32.TDSS.rtk: [SBI $4888616C]  Installationsprogramm (Datei, fixed)
  E:\autorun.inf
  Properties.size=0
  Properties.md5=D41D8CD98F00B204E9800998ECF8427E


--- Spybot - Search & Destroy version: 1.6.2  (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2009-04-05 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-01-26 advcheck.dll (1.6.2.15)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2009-01-22 Includes\Adware.sbi (*)
2009-03-25 Includes\AdwareC.sbi (*)
2009-01-22 Includes\Cookies.sbi (*)
2009-03-31 Includes\Dialer.sbi (*)
2009-03-25 Includes\DialerC.sbi (*)
2009-01-22 Includes\HeavyDuty.sbi (*)
2009-02-10 Includes\Hijackers.sbi (*)
2009-03-03 Includes\HijackersC.sbi (*)
2009-03-17 Includes\Keyloggers.sbi (*)
2009-03-17 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2009-03-25 Includes\Malware.sbi (*)
2009-03-31 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2009-03-31 Includes\PUPSC.sbi (*)
2009-01-22 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2009-03-23 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2009-01-28 Includes\Spyware.sbi (*)
2009-01-28 Includes\SpywareC.sbi (*)
2009-03-25 Includes\Tracks.uti
2009-03-30 Includes\Trojans.sbi (*)
2009-03-31 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
         

Hi,

da sind noch Reste aktiv (verzeiht, oh Engel und Wolf (interessante Mischung, by the way, the beauty and the beast, nur wer ist wer)...

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

Hi Chris

Danke für den Hinweis, du weisst natürlich nicht, das ich mit dem TO PM´s ausgetauscht habe. Er hat bereits wieder Probleme ( trotz meiner Warnung ) und wird hier in Kürze die erforderlichen Logs posten. Vileicht kannst du ja mal mit drüber schauen....

BTW Ich bin das beast, Angel ist es definitiv nicht