Poste bitte beide Prevx logs (Berichte) so wie in meiner kleinen Anleitung beschrieben..


Danach geht es so weiter:


ESET SysInspector logfile

• Bevor es losgeht lege dir bitte auf dem Desktop einen Ordner an den du ESET SysInspector nennst. Alle Dateien die zu dem Inspector gehören landen bitte ausschließlich in diesem Hauptordner!
  
• Downloade dir den Inspector hier: https://www.eset.de/download/vollversionen#esi und speichere ihn in dem eben angelegten Hauptordner ab.
  
• Doppelklicke die SysInspector.exe und akzeptiere die EULA. Diese werden zum späteren Durchlesen im Hauptordner gespeichert.
  
• Der SysInspector untersucht nun dein System. Das kann je nach Rechnerleistung mehrere Minuten dauern.
  
• Nachdem der Scan beendet ist öffnet sich das Hauptfenster. Spiele dort bitte nicht herum sondern lasse mich die Auswertung übernehmen!
  
• Speichere dafür das log ab indem du oben rechts auf Datei > Log speichern klickst. Speichere das logfile in dem von dir erstelltem Hauptordner.
  
  
  .
  
• Im Hauptordner findest du nun eine "SysInspector-*dein PC Name*-Nummer.zip" Datei. Diese lädst du bitte bei rapidshare hoch und postest mir den Downloadlink per PN.
  
• Auf Basis dieses logfile erstelle ich dir eine DienstSkript Datei die ich hier im Forum an meinen nächsten Post anhängen werde.

Hallo!

Hier also die rapidshare-links:
http://rapidshare.de/files/47320816/Scan_bei_Installation.log.html

und
http://rapidshare.de/files/47320850/Deep_scan.log.html

Ich warte jetzt erstmal, was du dazu sagst, bevor ich mit dem näxten Schritt weitermache!
Tausend Dank!
Guagua

Habe gerade ESET SysInspector downgeloadet und kann es nicht öffnen, weil es keine zulässige Win32-Anwendung ist...
Was soll ich nu machen?

Guagua

...alles klar, geht jetzt, hab einfach die andere Version genommen!
Sorry für die Panik!

Lass' bitte in Zukunft die Finger von EMule und anderen FileSharing Börsen! Da kommt der Mist nämlich her...
Kannst froh sein, dass dir dein Internet Provider noch nicht den Saft abgedreht hat...


Deinstalliere EMule.


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

d:\programme\microsoft activesync\wcescomm.exe
c:\windows\system32\drivers\atjsgt.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop

• Starte das Programm durch einen Doppelklick auf das Avenger Symbol:
  .
  

• Setze den Haken bei "Automatically disable any rootkits found"
• Kopiere nun folgenden Text in das weiße Feld bei -> "Input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\gendel32.exe


Folders to delete:
d:\programme\emule
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Forum.

GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Doppelklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Hier nun die beiden Dateiergebnisse von Virustotal:

Datei wcescomm.exe empfangen 2009.05.30 16:05:54 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.30 -
AhnLab-V3 5.0.0.2 2009.05.29 -
AntiVir 7.9.0.180 2009.05.30 -
Antiy-AVL 2.0.3.1 2009.05.27 -
Authentium 5.1.2.4 2009.05.29 -
Avast 4.8.1335.0 2009.05.29 -
AVG 8.5.0.339 2009.05.30 -
BitDefender 7.2 2009.05.30 -
CAT-QuickHeal 10.00 2009.05.29 -
ClamAV 0.94.1 2009.05.30 -
Comodo 1220 2009.05.30 -
DrWeb 5.0.0.12182 2009.05.29 -
eSafe 7.0.17.0 2009.05.27 -
eTrust-Vet 31.6.6530 2009.05.30 -
F-Prot 4.4.4.56 2009.05.29 -
F-Secure 8.0.14470.0 2009.05.30 -
Fortinet 3.117.0.0 2009.05.30 -
GData 19 2009.05.30 -
Ikarus T3.1.1.57.0 2009.05.30 -
K7AntiVirus 7.10.749 2009.05.29 -
Kaspersky 7.0.0.125 2009.05.30 -
McAfee 5631 2009.05.30 -
McAfee+Artemis 5630 2009.05.29 -
McAfee-GW-Edition 6.7.6 2009.05.29 -
Microsoft 1.4701 2009.05.30 -
NOD32 4116 2009.05.29 -
Norman 6.01.05 2009.05.29 -
nProtect 2009.1.8.0 2009.05.30 -
Panda 10.0.0.14 2009.05.30 -
PCTools 4.4.2.0 2009.05.30 -
Prevx 3.0 2009.05.30 -
Rising 21.31.21.00 2009.05.27 -
Sophos 4.42.0 2009.05.30 -
Sunbelt 3.2.1858.2 2009.05.30 -
Symantec 1.4.4.12 2009.05.30 -
TheHacker 6.3.4.3.334 2009.05.29 -
TrendMicro 8.950.0.1092 2009.05.29 -
VBA32 3.12.10.6 2009.05.27 -
ViRobot 2009.5.29.1761 2009.05.29 -
weitere Informationen
File size: 401491 bytes
MD5...: 9c06094806c8fd4a48eec066bd2e0220
SHA1..: b6b0dbd08782604bb8a6054032f51b576f27c380
SHA256: 0936cca57032f15b22fddcc68a8ecf72411790839733ee8eef4fde30f97950c0
ssdeep: -

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 EXE PECompact compressed (generic) (45.2%)
Win32 Executable MS Visual C++ (generic) (41.0%)
Win32 Executable Generic (9.2%)
Generic Win/DOS Executable (2.1%)
DOS Executable Generic (2.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x258e6
timedatestamp.....: 0x402015dd (Tue Feb 03 21:42:53 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x25fb6 0x26000 6.70 9e89941346838b0f4d8d65a1932df325
.data 0x27000 0x1474 0x1000 0.37 bbd52d4eece07b797b51ae236e108bb7
.rsrc 0x29000 0x3a000 0x3a000 5.40 abbdb8f4c2febb02944d8bf8fc358c38

( 14 imports )
> MSVCRT.dll: _purecall, _except_handler3, wcscmp, free, malloc, _controlfp, _exit, _XcptFilter, exit, _acmdln, __getmainargs, __p__commode, __set_app_type, __p__fmode, _onexit, __dllonexit, __setusermatherr, _initterm, __3@YAXPAX@Z, _wcslwr, _stricmp, __2@YAPAXI@Z, memmove, strstr, wcslen, wcscpy, strchr, fclose, fputs, fflush, fopen, _splitpath, _snprintf, _adjust_fdiv, _vsnprintf
> SHELL32.dll: Shell_NotifyIconA, ShellExecuteA
> WS2_32.dll: -, -, -, WSAAccept, -, -, -, WSAWaitForMultipleEvents, WSAEnumNetworkEvents, WSAEventSelect, WSAEnumProtocolsA, -, -, -, -, -, -, -, -, -, WSACreateEvent, -, -, WSAAddressToStringA, -, -, -, WSACloseEvent, -, WSASetEvent
> ADVAPI32.dll: RegOpenKeyA, RegEnumValueA, RegCreateKeyExA, RegSetValueExA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyA, RegEnumKeyA, RegDeleteValueA
> COMCTL32.dll: PropertySheetA
> KERNEL32.dll: HeapAlloc, HeapFree, GetStartupInfoA, DeviceIoControl, IsBadWritePtr, HeapDestroy, HeapCreate, WaitCommEvent, ClearCommError, PurgeComm, GetOverlappedResult, EscapeCommFunction, GetCommState, SetCommState, GetCommTimeouts, SetCommTimeouts, SetCommMask, GetCommModemStatus, ResetEvent, DebugBreak, GetVersionExA, GetCurrentThread, SetThreadPriority, InterlockedIncrement, ExitThread, VirtualFree, GetSystemInfo, VirtualAlloc, SetLastError, GetLocalTime, GetTempPathA, GetFileSize, SetFilePointer, ReadFile, WriteFile, SetEndOfFile, InterlockedDecrement, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, CreateMutexA, GetLastError, InterlockedExchange, lstrcmpA, GetVersion, GetWindowsDirectoryA, CreateFileMappingA, MapViewOfFile, OpenMutexA, OutputDebugStringA, FlushViewOfFile, UnmapViewOfFile, lstrcpyA, GetCurrentThreadId, lstrcpynA, lstrlenA, lstrcatA, GetModuleFileNameA, SetProcessWorkingSetSize, GetCurrentProcess, LocalFree, lstrcmpiA, LocalAlloc, GetModuleHandleA, CloseHandle, ReleaseMutex, MultiByteToWideChar, GetProcAddress, LoadLibraryA, FreeLibrary, CreateThread, CreateEventA, SetEvent, Sleep, WideCharToMultiByte, GetTickCount, LocalReAlloc, FormatMessageA, CreateFileA, WaitForSingleObject
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> ole32.dll: CoTaskMemFree, CoInitializeEx, CoUninitialize, CoCreateInstance, CLSIDFromString
> CEUTIL.dll: CeSvcOpenEx, CeSvcSetBinary, CeSvcSetString, CeSvcDeleteVal, CeSvcSetDword, CeSvcClose, CeSvcGetDword, CeSvcGetString, CeSvcGetBinary, CeSvcOpen
> RAPI.dll: CeRapiInitEx, CeRegCloseKey, CeRapiUninit, CeRegSetValueEx, CeRegCreateKeyEx
> TCP2UDP.dll: TCP2UDPStartup, TCP2UDPShutdown
> GDI32.dll: GetDeviceCaps, CreateFontIndirectA, DeleteObject, GetTextExtentPoint32A, SelectObject, GetObjectA
> USER32.dll: DispatchMessageA, TranslateMessage, MsgWaitForMultipleObjects, SendMessageTimeoutA, SetWindowPos, IsWindow, SetDlgItemTextA, GetSystemMenu, RegisterClassA, SetWindowLongA, GetCursorPos, CheckDlgButton, EndDialog, ShowWindow, GetWindowRect, IsDlgButtonChecked, GetDlgItemTextA, SendDlgItemMessageA, SetFocus, GetDlgItem, GetSystemMetrics, WinHelpA, CreateDialogParamA, GetParent, GetWindowLongA, SetParent, EnableWindow, MessageBeep, IsWindowVisible, MessageBoxA, DialogBoxParamA, GetMessageA, FindWindowA, CreateWindowExA, GetClientRect, SetForegroundWindow, GetLastActivePopup, SendMessageA, DestroyWindow, DefWindowProcA, PostQuitMessage, GetDoubleClickTime, ReleaseDC, SystemParametersInfoA, GetDC, PostMessageA, KillTimer, SetTimer, DestroyIcon, LoadStringA, LoadImageA, LoadMenuA, PeekMessageA, GetSubMenu, SetMenuDefaultItem, EnableMenuItem, SetCursor, LoadCursorA, wsprintfA, IsWindowEnabled, DestroyMenu, TrackPopupMenu
> WINMM.dll: PlaySoundA

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

Und die zweite Datei:
Datei atjsgt.sys empfangen 2009.05.30 16:10:36 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.30 -
AhnLab-V3 5.0.0.2 2009.05.29 -
AntiVir 7.9.0.180 2009.05.30 -
Antiy-AVL 2.0.3.1 2009.05.27 -
Authentium 5.1.2.4 2009.05.29 -
Avast 4.8.1335.0 2009.05.29 -
AVG 8.5.0.339 2009.05.30 -
BitDefender 7.2 2009.05.30 -
CAT-QuickHeal 10.00 2009.05.29 -
ClamAV 0.94.1 2009.05.30 -
Comodo 1220 2009.05.30 -
DrWeb 5.0.0.12182 2009.05.29 -
eSafe 7.0.17.0 2009.05.27 -
eTrust-Vet 31.6.6530 2009.05.30 -
F-Prot 4.4.4.56 2009.05.29 -
F-Secure 8.0.14470.0 2009.05.30 -
Fortinet 3.117.0.0 2009.05.30 -
GData 19 2009.05.30 -
Ikarus T3.1.1.57.0 2009.05.30 -
K7AntiVirus 7.10.749 2009.05.29 -
Kaspersky 7.0.0.125 2009.05.30 -
McAfee 5631 2009.05.30 -
McAfee+Artemis 5630 2009.05.29 -
McAfee-GW-Edition 6.7.6 2009.05.29 -
Microsoft 1.4701 2009.05.30 -
NOD32 4116 2009.05.29 -
Norman 6.01.05 2009.05.29 -
nProtect 2009.1.8.0 2009.05.30 -
Panda 10.0.0.14 2009.05.30 -
PCTools 4.4.2.0 2009.05.30 -
Prevx 3.0 2009.05.30 -
Rising 21.31.21.00 2009.05.27 -
Sophos 4.42.0 2009.05.30 -
Sunbelt 3.2.1858.2 2009.05.30 -
Symantec 1.4.4.12 2009.05.30 -
TheHacker 6.3.4.3.334 2009.05.29 -
TrendMicro 8.950.0.1092 2009.05.29 -
VBA32 3.12.10.6 2009.05.27 -
ViRobot 2009.5.29.1761 2009.05.29 -
VirusBuster 4.6.5.0 2009.05.29 -
weitere Informationen
File size: 165504 bytes
MD5...: cacf27cd29a64b8556869ce5c14f5ea9
SHA1..: 381c37b05b8961244ca51f9a85d05793a6c9128e
SHA256: 2eb11a18b65ea7271504736bea64bd912433f5947f9ebca0d595024a1e3520bb
ssdeep: -

PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x26ec6
timedatestamp.....: 0x436a82ec (Thu Nov 03 21:36:44 2005)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x220a0 0x22100 6.01 f2cc6ed481699f8ade134710571b0909
.rdata 0x22400 0x38a0 0x3900 7.56 13561e8efc0710dafad6cd5181155ace
.data 0x25d00 0x88c 0x900 2.64 54509d4db83b86b7f58634b2ff83a494
PAGE 0x26600 0x83d 0x880 5.90 91a7c53a3e5c3671e26e3d497a9daa7b
INIT 0x26e80 0x37a 0x380 5.61 2876e9f9bb9676bb2a5d25cb0defa950
.reloc 0x27200 0x140e 0x1480 4.11 09809c6cf87a94910a0dade2117b841d

( 2 imports )
> ntoskrnl.exe: IoAllocateMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, IofCompleteRequest, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, IoDeleteDevice, IoDeleteSymbolicLink, MmProbeAndLockPages, _alldiv, _allmul, IoCreateSymbolicLink, IoCreateDevice, ExFreePool, ExAllocatePool, RtlUnwind, IoFreeMdl
> HAL.dll: KeQueryPerformanceCounter

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

Bis hierhin!
Schöne Pfingsttage!
Guagua