Zitat:

Warum suchst du in der Datei nach *crack*, *patch*, *key* usw?

a.) Hast du dir die Frage selbst beantwortet:

Zitat:

Auch wenn sich dort des öfteren Viren verstecken xP

b.) Kann ich noch genauer werden, wenn du mir folgende Frage beantwortest: Wie hast du den Rootkit bekommen?

Die Quelle für tdssserv.sys (war übrigens ein Keygen, wie überraschend ) habe ich gefunden, bei gxvxcserv.sys bin ich noch auf der Suche.

1.) Poste den Inhalte der Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\mic.bat
c:\windows\msi.bat
         

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
34662
azhhffmx
Timerstop
cxvafakj
EagleNT

NetSvc::
UxTuneUp

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{1E96648E-4132-4F2E-982F-554E01BF15E4}"=-
"{CDDBD403-D3BE-41F3-81C0-26DA516FD4A3}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=""
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef9529ff-dff1-11dd-bf3a-001617c88cdc}]

Folder::
C:\rsit

DirLook::
c:\users\Viper\temp
c:\windows\Crack

File::
c:\windows\Tasks\1-Klick-Wartung.job
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat
c:\windows\system32\135623551.dat
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Mein FTP is iwie gerade off, deswegen hier: File-Upload.net - combofix_neu.txt

Zitat:

Mein FTP is iwie gerade off

Das wird nicht das letzte sein.

Es fehlt noch Punkt 1 dieser Liste.

Du hast kein Antivirenprogramm?

1.) Deinstalliere LopSD.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade ihn beim Filehoster hoch und schicke mir den Link als PN.

3.) GMER - Rootkit Detection

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Hmmmm O.o hier einmal Qoobox: Deposit Files

Aber irgendwie is mein pc jetzt ZIEMLICH langsam (explorer stürzt ab, usw...) GMER stürzt leider auch bei unstersuchung von Device\Harddiskshadowcopy oder so ähnlich ab >.< Was nun?

Achja, von mir verdächtigter Prozess: csrss.exe (kann nicht mit Taskmanager bearbeiten werden, auch nicht mit Admin rechten)

So, dann haben wir den Punkt erreicht, der ein Neuaufsetzen zwingend erforderlich macht. Bevor du startest würde ich dir allerdings empfehlen, das hier zu lesen (Absatz 2 und 3) => http://www.trojaner-board.de/441392-post20.html

Bei dir findet sich die Adobe Master Collection gleich zweimal.

Bevor du neuinstallierst, lasse noch folgende Programme bei VT auswerten (mittlerweile ist mir auch klar, warum du kein AVP benutzt ) und überlege dir dreimal, ob du den neuinstallierten Rechner gleich wieder versauen möchtest.

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\Crack
c:\programme\WWWhack
c:\programme\WebCracker
         

Vor diesem Programm wird sogar ausdrücklich gewarnt:

Code: Alles auswählenAufklappen

ATTFilter

c:\programme\Trainer Maker Kit
c:\programme\Trainer Creation Kit
         

Mal ganz abgesehen davon, dass Cheater für mich etwa gleichbedeutend wie Maden sind.

Es gibt Anzeichen dafür, dass dein Vista nicht so ganz legal ist. Den Beweis bleibe ich dir schuldig.

Du bist entlassen und ich bin raus,
andreas

Mein Problem ist, das ich seit Anfang des Jahres Vista schon 3 mal neu aufgesetzt habe... und jetzt im Moment läuft es eigentlich wieder ganz gut, kann es vielleicht sein, dass meine Freunde, die auf der gestrigen LAN-Party z.B. Warsow oder FEAR Combat von meinem PC gezogen haben, damit es sich nicht jeder wieder neu von der Website downloaden muss, diesen Leistungseinbruch zu tragen haben? (Mein vorheriger Beitrag wurde nämlich zu der Zeit eingetragen)

Ist csrss.exe denn wirklich bösartig? Denn ich meine, normalerweise findet man die Datei doch auch in system32 an, oder?

Außerdem gefällt mir meine Systemkonfiguration grad so gut :aplaus: