sysrest.sys (Rootkit.Agent) von MBAM gefunden

Hal · 20.08.2009, 07:31

1) ist erledigt.

2) DrWeb CureIt-Log:

Code:

ATTFilter

opr000EV\data002;C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\opr000EV;Trojan.Fakealert.origin;;
opr000EV;C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4;Archiv enthält infizierte Objekte;Verschoben.;

Für mich sehen die letzten Logs verdächtig unspektakulär aus. Das kann was Gutes, aber auch was Schlechtes bedeuten...

Auf jeden Fall aber schon mal Danke an dich für den Support bis hierhin, Coverflow. Ich sehe dich hier echt unermüdlich im Board ackern.

Was steht als nächstes an?

- Hal.

kira · 20.08.2009, 13:20

hi

1.
Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

2.
- eventuell kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen:
- Einstellungen Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- nach jedem Scanvorgang starte dein system neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern

Code:

ATTFilter

bitdefender
emsisoft
f-secure

Hal · 21.08.2009, 07:47

F-Secure hat fertig:

Code:

ATTFilter

Scanning Report
Friday, August 21, 2009 14:58:01 - 08:43:31

Computer name: WHS-002
Scanning type: Scan system for malware, spyware and rootkits
Target: C:\
1 malware found
TrackingCookie.2o7 (spyware)

* System (Disinfected)

Statistics
Scanned:

* Files: 100909
* System: 9598
* Not scanned: 6

Actions:

* Disinfected: 1
* Renamed: 0
* Deleted: 0
* Not cleaned: 0
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

Options
Scanning engines:

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use advanced heuristics

Copyright © 1998-2009 Product support | Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name. This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

Hal · 21.08.2009, 09:26

Bitdefender auch:

Code:

ATTFilter

BitDefender Online Scanner
  
  
 
Bericht erstellt am: Fri, Aug 21, 2009 - 10:22:36
 
 
  
  
 
Zu prüfender Pfad: A:\;C:\;D:\;E:\;
  
  
 
 
  
  
 
Statistik
 
Zeit
 01:22:51
 
Dateien
 65272
 
Ordner
 9111
 
Boot-Sektoren
 0
 
Archive
 794
 
Komprimierte Dateien
 5657
 
  
  
 
Ergebnisse
 
Erkannte Viren
 1
 
Infizierte Dateien
 2
 
verdächtige Dateien 
 0
 
Warnungen
 0
 
Desinfiziert
 0
 
Gelöscht
 2
 
  
  
 
Engine-Info
 
Virensignaturen
 3911387
 
Engine info
 AVCORE v2.1 Windows/i386 11.0.0.26 (Jul 24 2009)
 
Prüf-Plugins
 17
 
Archiv-Plugins
 45
 
Extraktions-Plugins
 7
 
E-Mail-Plugins
 6
 
System-Plugins
 4
 
  
  
 
Prüfeinstellungen
 
Primäre Aktion
 Desinfizieren
 
Sekundäre Aktion
 Lschen
 
Heuristik
 Ja
 
Warnungen aktivieren
 Ja
 
Zu prüfende Erweiterungen
 exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
 
Auszuschließende Erweiterungen
  
 
E-Mails prüfen
 Ja
 
Archive prüfen
 Ja
 
Komprimierte Dateien prüfen
 Ja
 
Dateien prüfen
 Ja
 
Boot-Sektoren prüfen
 Ja
 
  
  
 
  Geprüfte Dateien
  Status
 
C:\Programme\WindowsSA\libcurl.dll
 Erkannt: Application.Search.Assistant.A
 
C:\Programme\WindowsSA\libcurl.dll
 Desinfektion fehlgeschlagen
 
C:\Programme\WindowsSA\libcurl.dll
 Gelscht
 
C:\System Volume Information\_restore{6939943F-09DE-41F4-AD9A-95C41F48F5E2}\RP1\A0000019.dll
 Erkannt: Application.Search.Assistant.A
 
C:\System Volume Information\_restore{6939943F-09DE-41F4-AD9A-95C41F48F5E2}\RP1\A0000019.dll
 Desinfektion fehlgeschlagen
 
C:\System Volume Information\_restore{6939943F-09DE-41F4-AD9A-95C41F48F5E2}\RP1\A0000019.dll
 Gelscht

Hal · 21.08.2009, 11:25

Und last but not least a-squared:

Hier das Log:

Code:

ATTFilter

a-squared Web Malware Scanner v. 4.0

Scan Einstellungen:

Objekte: Speicher, Traces, Cookies, C:\
Archiv Scan: Ein
Heuristik: Aus
ADS Scan: Ein

Scan Start:	21.08.2009 10:28:39


Gescannt

Dateien: 	108282
Traces: 	429257
Cookies: 	47
Prozesse: 	21

Gefunden

Dateien: 	0
Traces: 	9
Cookies: 	0
Prozesse: 	0

Scan Ende:	21.08.2009 12:21:58
Scan Zeit:	01:53:19

Und der Quarantäne-Bericht:

Code:

ATTFilter

a-squared Web Malware Scanner v. 4.0
(C) 2003-2009 Emsi Software GmbH - www.emsisoft.com

ID   Object
0    c:\windows\bi.ini erkannt: Trace.File.ABetterInternet!A2
1    Key: HKEY_CLASSES_ROOT\clsid\{2a3986ed-10f0-f704-adfe-27c0e5f32369} erkannt: Trace.Registry.Agent!A2
2    c:\windows\cmuninstall.bat erkannt: Trace.File.MemoryMeter!A2
3    c:\windows\kyf.dat erkannt: Trace.File.Whazit!A2
4    Value: HKEY_CURRENT_USER\software\comsoft --> clientid erkannt: Trace.Registry.UKVideo2Dialer!A2
5    c:\programme\windowssa erkannt: Trace.Directory.SearchAssistant!A2
6    Key: HKEY_CLASSES_ROOT\clsid\{8827b4b3-3b54-9bfa-ee4b-a0c38be10b19} erkannt: Trace.Registry.Agent!A2
7    Key: HKEY_CLASSES_ROOT\clsid\{e0ae89e6-0065-8993-dabf-a0de398d6009} erkannt: Trace.Registry.Agent!A2
8    c:\windows\inf\bi.inf erkannt: Trace.File.ABetterInternet!A2

- Hal.

kira · 21.08.2009, 16:12

hi

damit erkläre ich unsere Mission für beendet

Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:

Code:

ATTFilter

HijackThis/Trend Micro
hjtscanlist
CCleaner

Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus

Zitat:

Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner - Anleitungen

Lesestoff:

ich wünsche Dir alles Gute

Hal · 22.08.2009, 09:48

Dann bedanke ich mich mal recht herzlich für deinen unermüdlichen Kampfgeist.

Ich hatte auch schon im Sinn gehabt, ab und zu mal mit einem Online-Scanner drüber zu schauen, ob sich da noch was tut. Vielleicht auch mal mit einem Filelisting, ob wieder Dateien wie ksdnfksfkaf.dll auftauchen. Sollte in zwei Wochen wieder so ein Salat sein, dann gebe ich aber definitiv auf. Ich hoffe, das ist es jetzt gewesen.

- Hal.

kira · 23.08.2009, 17:40

hi

1. Erstelle einen neuen Wiederherstellungspunkt:
2. Öffne den Arbeitsplatz und klicke deine Systemplatte ( C: ) rechts an.
3. Gehe im Kontext auf "Eigenschaften"
4. Klicke auf "Bereinigen"
5. Klicke im Register "Weitere Optionen" bei "Systemwiederherstellung" auf
"Bereinigen"
6. Bestätige 2x mit "OK"

also dann...bye

23.08.2009, 17:40	#23
kira /// Helfer-Team	sysrest.sys (Rootkit.Agent) von MBAM gefunden hi 1. Erstelle einen neuen Wiederherstellungspunkt: 2. Öffne den Arbeitsplatz und klicke deine Systemplatte ( C: ) rechts an. 3. Gehe im Kontext auf "Eigenschaften" 4. Klicke auf "Bereinigen" 5. Klicke im Register "Weitere Optionen" bei "Systemwiederherstellung" auf "Bereinigen" 6. Bestätige 2x mit "OK" also dann...bye

sysrest.sys (Rootkit.Agent) von MBAM gefunden

Plagegeister aller Art und deren Bekämpfung: sysrest.sys (Rootkit.Agent) von MBAM gefunden