hat sich schon wieder aufgehangen. ich heul gleich, das kann doch nicht sein...

hatte das mit der backdoor auch schon gelesen und mir entsprechende gedanken gemacht...
ich kann das mit dem Neuaufsetzen nicht entscheiden, da es wie gesagt der väterliche rechner ist und meine eltern im urlaub sind.
kann man denn die privaten dateien einfach auf ne externe festplatte ziehen? oder ist die warscheinlichkeit hoch, dass sich darin was versteckt?

ich muss auch gestehen, dass ich das problem lieber beheben würde, als den rechner neu zu machen, sofern das möglich ist, aber wenn nicht mal der malware scan läuft...

lg

Ok
Warum MBAM nicht läuft werde ich abklären

Bitte folgendes

Start >> ausführen >> notepad (hinein schreiben)
kopiere den Text aus der Box und speichere diesen unter file.bat auf dem Desktop.
wähle bei Dateityp Alle Dateien

Code: Alles auswählenAufklappen

ATTFilter

cd \
cd\
dir "C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Bilder\Eigene Bilder\Familie">files.txt
notepad files.txt
         

Doppelklick auf die .bat

poste bitte den Inhalt des Textdokuments

Code: Alles auswählenAufklappen

ATTFilter

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D8A8-F66E

 Verzeichnis von C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Bilder\Eigene Bilder\Familie

12.07.2009  18:35    <DIR>          .
12.07.2009  18:35    <DIR>          ..
12.08.2003  23:27            61.358 chiva klein.bmp
05.10.2003  13:26            55.419 DSC00113.JPG
09.10.2004  17:19           323.523 DSC00406.JPG
09.10.2004  17:19           332.345 DSC00407.JPG
09.10.2004  17:20           326.068 DSC00408.JPG
31.07.2007  00:50         1.460.732 DSC00778.JPG
10.12.2000  01:15           254.692 Familie YYY 2004.jpg
21.11.2000  00:18           457.615 Familie XXX.jpg
08.08.2000  11:59           483.339 family.jpg
21.12.2005  00:33    <DIR>          FH Tourismus & Freizeitwirtschaft-Dateien
16.12.2005  17:35            10.907 FH Tourismus & Freizeitwirtschaft.htm
24.02.2002  16:51         1.579.514 Kinder+Blacky.bmp
08.03.2002  16:41         3.228.422 Kinder01.bmp
23.03.2002  16:44           509.238 lisabeth.bmp
03.12.2000  01:37           738.173 Stephanie Schimmel.JPG
              14 Datei(en)      9.821.345 Bytes
               3 Verzeichnis(se), 22.730.969.088 Bytes frei
         

Lasse bitte Kaspersky nach Anleitung scannen
Bitte alle Hintergrundwächter deaktivieren (AntiVir Programm)

2.
Bitdefender Online Scanner
Bitte akzeptiere den Lizenzvertrag

3.
Eset NOD32 Online Scanner

Poste alle 3 Logfiles (kann dauern )

mh... immer wenn ich bei kaspersky das activex steuerelement installieren will leitet er mich zu der startseite weiter, nur dass diesmal die buttons akzeptieren und ablehnen fehlen. und nichts weiter passiert.
was mach ich falsch?

Sind vielleicht Skriptblocker aktiv ?
auch im Internet Explorer ausschalten.

Sollte Kaspersky dennoch nicht gehen, wähle die beiden anderen

ok, jetzt funktionierts. keine ahnung wieso. hab nichts verändert, einfach nur noch paar mal probiert. komisch. logs folgen.

Tja dann bis übermorgen

ha, nix hier mit übermorgen. das ging alles ganz fix. kaspersky hat 2,5 h gebraucht,bitdefender unter ner stunde und eset 1,5

aber probleme gabs...
1. kaspersky
- ich hab norton ausgeschaltet und trotzdem steht das mit in der log drin...

2. bitdefender
- hat mir in der log den html code reingeschrieben... das is doch html, oder? auf jden fall lässt sichs ganz bescheiden lesen...

3. eset
- hat mir keine log gegeben. hab nen screenshot gemacht.

4. keiner hat was gefunden... das wäre eigentlich gut, aber in diesem fall ist es das nich, oder?

logs und bildchen im anhang.
lg

Ja Bitdefender gibt eine Log im HTML Format aus, frag nicht warum

Was mir Sorgen macht, nichts findet etwas aber MBAM läuft trotzdem nicht :/
Ich möchte mir noch eine Logfile ansehen.

Rootkit mit AVZ Antiviral-Toolkit entfernen

AVZ Antiviral Toolkit ist ein russisches Projekt, welches auch in englisch verfügbar ist. Das Programm prüft auf Viren, Adware, Spyware, Dialer, verdächtige Software (Risktools), Hacktools und Rootkits. AVZ ist ein sehr mächtiges Tool, bitte nichts "auf eigene Faust" machen.

Bitte lade AVZ4 herunter und entpacke es auf den Desktop.
Dort sollte sich nun der Ordner avz4 befinden.

• Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
• Aktualisiere die Signaturen:
  Im Menü => File => Database Update => Start-Button drücken => OK
• Im Menü => AVPM
• Dort aud "Install extended monitoring driver" drücken
• AVZ wird nun einen Neustart verlangen, also neustarten.
• Setze Häkchen vor die Laufwerke, die gescannt werden sollen.
• Setze ein Häkchen rechts vor "Perform healing:"
• Setze ein Häkchen vor "Copy suspicious files to Quarantine".
  .
  
  .
• Drücke auf den Button "Start", um den Suchlauf zu starten.
• Geduld, der Suchlauf kann eine Weile dauern.
• Wenn der Suchlauf beendet ist (Scanning finished), drücke rechts auf auf das Diskettensymbol, um das Logfile als Text-Datei zu speichern.
• Poste das Logfile hier in den Thread.

Eine ausführliche und bebilderte Anleitung findest Du bei virus-protect.org.[/QUOTE]
( danke Kaos )

so, auch das ist erledigt...

Code: Alles auswählenAufklappen

ATTFilter

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 19.07.2009 13:46:14
Database loaded: signatures - 232233, NN profile(s) - 2, microprograms of healing - 56, signature database released 18.07.2009 22:28
Heuristic microprograms loaded: 374
SPV microprograms loaded: 9
Digital signatures of system files loaded: 125988
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
 Analysis: kernel32.dll, export table found in section .text
 Analysis: ntdll.dll, export table found in section .text
 Analysis: user32.dll, export table found in section .text
 Analysis: advapi32.dll, export table found in section .text
 Analysis: ws2_32.dll, export table found in section .text
 Analysis: wininet.dll, export table found in section .text
 Analysis: rasapi32.dll, export table found in section .text
 Analysis: urlmon.dll, export table found in section .text
 Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
 Driver loaded successfully
 SDT found (RVA=08B520)
 Kernel ntoskrnl.exe found in memory at address 804D7000
   SDT = 80562520
   KiST = 804E48B0 (284)
Function NtAlertResumeThread (0C) intercepted (806377BA->88C930B0), hook not defined
Function NtAlertThread (0D) intercepted (80585FA3->88C1F0B0), hook not defined
Function NtAllocateVirtualMemory (11) intercepted (80570EDD->88C235E0), hook not defined
Function NtAssignProcessToJobObject (13) intercepted (805E839E->88C1B2C8), hook not defined
Function NtConnectPort (1F) intercepted (80585565->898732B0), hook not defined
Function NtCreateKey (29) intercepted (8057791D->A9BE7040), hook C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, driver recognized as trusted
Function NtCreateMutant (2B) intercepted (8057F3B8->88C9F940), hook not defined
Function NtCreateSymbolicLinkObject (34) intercepted (805E6E56->88C20530), hook not defined
Function NtCreateThread (35) intercepted (80586C45->88C96DB0), hook not defined
Function NtDebugActiveProcess (39) intercepted (80662541->88C293B8), hook not defined
Function NtDeleteKey (3F) intercepted (80593334->A9BE72C0), hook C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, driver recognized as trusted
Function NtDeleteValueKey (41) intercepted (80591F8B->A9BE7820), hook C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, driver recognized as trusted
Function NtDuplicateObject (44) intercepted (80581216->88C23878), hook not defined
Function NtFreeVirtualMemory (53) intercepted (805713D7->88C94A30), hook not defined
Function NtImpersonateAnonymousToken (59) intercepted (80598BDE->88CA7300), hook not defined
Function NtImpersonateThread (5B) intercepted (8058868F->88C2E0B0), hook not defined
Function NtLoadDriver (61) intercepted (805A8F96->899539C0), hook not defined
Function NtMapViewOfSection (6C) intercepted (8057E369->88C94890), hook not defined
Function NtOpenEvent (72) intercepted (80589A51->88C370B8), hook not defined
Function NtOpenProcess (7A) intercepted (80581702->88C23BD8), hook not defined
Function NtOpenProcessToken (7B) intercepted (80577300->89BE3410), hook not defined
Function NtOpenSection (7D) intercepted (8057A8AD->8962F9F8), hook not defined
Function NtOpenThread (80) intercepted (805E1939->88C23A08), hook not defined
Function NtProtectVirtualMemory (89) intercepted (80581889->88C20E40), hook not defined
Function NtResumeThread (CE) intercepted (805872BC->899646E0), hook not defined
Function NtSetContextThread (D5) intercepted (80635967->8995E4D8), hook not defined
Function NtSetInformationProcess (E4) intercepted (8057CFC0->88C94578), hook not defined
Function NtSetSystemInformation (F0) intercepted (805AABC8->88C969F8), hook not defined
Function NtSetValueKey (F7) intercepted (8058228C->A9BE7A70), hook C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, driver recognized as trusted
Function NtSuspendProcess (FD) intercepted (806376FF->88C963E0), hook not defined
Function NtSuspendThread (FE) intercepted (8063761B->899A2268), hook not defined
Function NtTerminateProcess (101) intercepted (8058E695->89BDC7B0), hook not defined
Function NtTerminateThread (102) intercepted (805838E7->899571F0), hook not defined
Function NtUnloadKey (107) intercepted (80654DD6->A712D6D0), hook C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
Function NtUnmapViewOfSection (10B) intercepted (8057DEF1->89BB69F8), hook not defined
Function NtWriteVirtualMemory (115) intercepted (805885C4->88C94E00), hook not defined
Functions checked: 284, intercepted: 36, restored: 0
1.3 Checking IDT and SYSENTER
 Analysis for CPU 1
>>> Danger - possible CPU address substitution[1].IDT[01] = [F6928541] C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
>>> Danger - possible CPU address substitution[1].IDT[03] = [F69285E7] C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
 Analysis for CPU 2
>>> Danger - possible CPU address substitution[2].IDT[01] = [F6928541] C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
>>> Danger - possible CPU address substitution[2].IDT[03] = [F69285E7] C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
 Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
 Searching for masking processes and drivers - complete
 Driver loaded successfully
1.5 Checking of IRP handlers
 Checking - complete
2. Scanning memory
 Number of processes found: 42
 Number of modules loaded: 490
Scanning memory - complete
3. Scanning disks
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF7E06.tmp
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF7E3A.tmp
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF80A5.tmp
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF80C2.tmp
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF810E.tmp
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF8131.tmp
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF8379.tmp
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF839E.tmp
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF83CA.tmp
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF83EE.tmp
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF84CF.tmp
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF857F.tmp
4. Checking  Winsock Layered Service Provider (SPI/LSP)
 LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
 Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
 >>  HDD autorun are allowed
 >>  Autorun from network drives are allowed
 >>  Removable media autorun are allowed
Checking - complete
Files scanned: 111970, extracted from archives: 83774, malicious software found 0, suspicions - 0
Scanning finished at 19.07.2009 14:28:43
Time of scanning: 00:42:30
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
         

... da ist doch aber auch nicht wirklich was, oder?

Ich habe noch einen Tipp bekommen

1.
Wende bitte CCleaner an, wie in der Anleitung beschrieben.

2.
Start >> ausführen >> cleanmgr (hinein schreiben) >> OK

3.
Deaktiviere die Systemwiederherstellung
Starte den Rechner neu
Systemwiederherstellung wieder aktivieren

4.
Versuche Malwarebytes noch einmal
(Stell dir eine Cafe Maschine zum Rechner )
Achte bitte darauf ,falls es sich wieder aufhängt, bei welchen Dateipfad das passiert

mach ich morgen sobald ich wieder nach hause komme. muss aber sagen, dass ich schon mal darauf geachtet habe und es immer sehr unterschiedlich ist. mal hängt sichs nach 2 stunden auf, bei über 100.000 dateien, mal schon nach einer stunde und entsprechend weniger.
ich werd mal auf den pfad schauen.
bis morgen dann.

lg

wuhuuuu, es hat geklappt habe eine wunderschöne log-datei bekommen

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2458
Windows 5.1.2600 Service Pack 3

20.07.2009 21:50:57
mbam-log-2009-07-20 (21-50-48).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 192908
Laufzeit: 1 hour(s), 52 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

als ich allerdings auf "auswahl entfernen" klicken wollte hat sich das gute ding aufgehängt... wie krieg ich die dinger denn jetzt weg?
und jetzt öffnet sich die netzwerkverbindung einmal aller 60 sekunden von selbst!!
ich geh am stock...

Lösche bitte unter C:\RSIT die info.txt und die log.txt
Starte RSIT, poste bitte nochmals beide Logfiles