Kaspersky geht nicht! Trojaner auf der Platte!!

john.doe · 10.09.2009, 20:24

Zitat:

Doch der Trojaner war schon vorher auf meinem XP!

Den wirst du auch nicht so einfach los. Lies nocheinmal mein erstes Post. Gleich der erste Satz.

Dann versuche es mit dem Link von cosinus. Gleich im Anschluss:

Rootkitsuche mit SysProt

Lade dir SysProt auf den Desktop und starte das Tool
Gehe dort auf den Reiter "Log"
Setze nun einen Haken bei:
- Kernel Modules
- Kernel Hooks
- Hidden Files
- Und unten bei "Hidden Objects Only"
Drücke nun auf "Create Log"
Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
Wenn der Scan abgeschlossen ist, beende SysProt.
Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

ciao, andreas

Plüscheule · 10.09.2009, 20:42

..ich bin am verzweifeln

1. der Link von Cosinus funktioniert auch nicht.
2. bei der Sysprot suche erscheint ".. nur mit Administrator Rechten.." und im Logtext steht er hat nix gefunden.

Welche Administrator privilegs? Es gibt nur mich auf dem PC!?!
Sorry aber bin kein Computerprofi...

Gruss
Plüscheule

john.doe · 10.09.2009, 20:44

Du musst alle Programme mit Mausklick rechts => Ausführen als Administrator starten.

ciao, andreas

Plüscheule · 10.09.2009, 20:51

Aaaaaargh! Jetzt kam ich mir aber blöd vor... Rechte Maustaste, das hab ch nicht gewusst

Das gewünschte Ergebniss sehen sie nun:

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_dumpata.sys
Service Name: ---
Module Base: 8FDA3000
Module End: 8FDAE000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: 8FDAE000
Module End: 8FDB7000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_dumpfve.sys
Service Name: ---
Module Base: 8FDB7000
Module End: 8FDC8000
Hidden: Yes

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: C:\Dokumente und Einstellungen\Gruftbuttoneule\Eigene Dateien\Eigene Musik\Musik\Nick Cave and The Bad Seeds - B Sides and Rarities (Disc 1) FLAC (2005)\Nick Cave & the Bad Seeds-B-Sides & Rarities - Disc 1\Nick Cave & the Bad Seeds - B-Sides & Rarities -
Status: Hidden

Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\SPP
Status: Access denied

Object: C:\System Volume Information\Syscache.hve
Status: Access denied

Object: C:\System Volume Information\Syscache.hve.LOG1
Status: Access denied

Object: C:\System Volume Information\Syscache.hve.LOG2
Status: Access denied

Object: C:\System Volume Information\tracking.log
Status: Access denied

Object: C:\System Volume Information\_restore{7D4D4308-C884-4A89-921D-EB30C95855A8}
Status: Access denied

Object: C:\System Volume Information\{07d574ef-9d9f-11de-be2c-001e8c86b11b}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{08bb38e7-9d9c-11de-9172-001e8c86b11b}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{3efc7b93-9d9a-11de-9c5c-001e8c86b11b}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{b3b66e8e-9e05-11de-9032-001e8c86b11b}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{fedc407b-9e13-11de-a120-001e8c86b11b}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\Windows\CSC\v2.0.6\namespace
Status: Access denied

Object: C:\Windows\CSC\v2.0.6\pq
Status: Access denied

Object: C:\Windows\CSC\v2.0.6\sm
Status: Access denied

Object: C:\Windows\CSC\v2.0.6\temp
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession7.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTUBPM.etl
Status: Access denied

Object: C:\Windows.old\Windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5YRKP2J\click,vT1eAKoWCQDwDSIAz6wJAAIAAAAAAP8AAAAECAIABAJi1Q0AcNUNAAAAAAAAAAAAAAAAAAAA[1].com%2Facb%3Fmember%3D27%26width%3D468%26height%3D60,;
Status: Hidden

Object: C:\Windows.old\Windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SPI3S9UZ\click,FEwAAJujCQBOvCQAlfkKAAIAAAAAAP8AAAAECAIACgNeGA8AD2sNAM-mDwAAAAAAAAAAAAAAAAAAAAAAAAAAAO0.L0oAAAAA,,http%3A%2F%2Fmy.globalinteracti
Status: Hidden

Object: C:\Windows.old\Windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SPI3S9UZ\click,ZmdaAPkxBwDktiQAHP0KAAIAAAAAAP8AAAAECAIAAgNXtwoACBICAN6rDwAAAAAAAAAAAAAAAAAAAAAAAAAAAA5AL0oAAAAA,,http%3A%2F%2Fipodto[1].com%2F,;
Status: Hidden

john.doe · 10.09.2009, 21:06

Ich habe noch einmal etwas genauer gelesen, dabei ist mir das aufgefallen:

Zitat:

bin dann auf Windows7 aufgesprungen daß mir ein Freund gegeben hat.. der meinte ich soll es mal draufspielen.

Klicke auf den dritten Link in meiner Signatur. Dort findest du:

Zitat:

Software aus dubiosen Quellen wie Freunde, Edonkey, Warez-Seiten sollte man nicht einmal mit der Kneifzange anfassen.

Bedeutet das, dass es sich gar nicht um dein Eigentum sondern um ein illegal beschafftes Windows handelt?

ciao, andreas

Plüscheule · 10.09.2009, 21:12

..keine Ahnung wo er es her hat ??? Vielleicht hätte ich doch das XP behalten sollen. War wohl ne blöde Idee..

john.doe · 10.09.2009, 21:16

Zitat:

War wohl ne blöde Idee..

Gut, bevor du dich an die Neuinstallation machst, lässt du trotzdem ComboFix laufen. Das sorgt dafür, dass du dich über externe Datenträger nicht sofort wieder infizierst. Auch hier mit Mausklick rechts => Ausführen als Administrator starten.

ciao, andreas

Kaspersky geht nicht! Trojaner auf der Platte!!

Plagegeister aller Art und deren Bekämpfung: Kaspersky geht nicht! Trojaner auf der Platte!!