Und hier das Gmer-Prot über C, E, J:

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-10-03 03:30:24
Windows 5.1.2600 Service Pack 3
Running: 0sphzcpe.exe; Driver: C:\DOKUME~1\nie\LOKALE~1\Temp\uxtdypod.sys


---- System - GMER 1.0.15 ----

SSDT B1751326 ZwCreateKey
SSDT B175131C ZwCreateThread
SSDT B175132B ZwDeleteKey
SSDT B1751335 ZwDeleteValueKey
SSDT B175133A ZwLoadKey
SSDT B1751308 ZwOpenProcess
SSDT B175130D ZwOpenThread
SSDT B1751344 ZwReplaceKey
SSDT B175133F ZwRestoreKey
SSDT B1751330 ZwSetValueKey
SSDT B1751317 ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs tdrpm140.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 tdrpm140.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snman380.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 tdrpm140.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snman380.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 tdrpm140.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snman380.sys (Acronis Snapshot API/Acronis)
AttachedDevice \FileSystem\Fastfat \Fat tdrpm140.sys (Acronis Try&Decide Volume Filter Driver/Acronis)

---- EOF - GMER 1.0.15 ----

Acronis? Warum spielst du nicht einfach ein sauberes Image zurück? Wir sind mittlerweile bei 91 Posts. Was soll das?

ciao, andreas

Weil die Images unvollständig oder kaputt sind, und vor allem weil ich hier immer noch einen Virus habe. Die versteckten Datein sind nach wie vor nicht einzublenden und Panda ist inzwischen bei 6 infizierten Dateien.

Dann poste das Log von Panda. Da bin ich jetzt aber richtig gespannt.

Quelle: Ein totes Pferd reiten

Ein totes Pferd reiten

Eine Weisheit der Dakota-Indianer besagt: „Wenn Du entdeckst, dass Du ein totes Pferd reitest, steig ab!”

Hört sich doch so simpel an, oder? Aber statt vom toten Pferd abzusteigen wurden in unserem beruflichen Leben viele Methoden und Strategien - zum Teil bis zur Perfektion - entwickelt, um dem Unausweichlichen doch ausweichen zu können. Kommt Dir die eine oder andere der folgenden Strategien vielleicht bekannt vor?

• Wir besorgen uns eine stärkere Peitsche.
• Wir sagen: „So haben wir das Pferd schon immer geritten”.
• Wir gründen einen Arbeitskreis, um das Pferd zu analysieren.
• Wir besuchen andere Orte, um zu sehen, wie man dort tote Pferde reitet.
• Wir erhöhen die Qualitätsstandards für den Beritt toter Pferde.
• Wir bilden eine Task-Force, um das Pferd wiederzubeleben.
• Wir kaufen Leute von außerhalb ein, die angeblich tote Pferde reiten können.
• Wir schieben eine Trainingseinheit ein um besser reiten zu können.
• Wir stellen Vergleiche unterschiedlicher toter Pferde an.
• Wir ändern die Kriterien, die besagen, dass ein Pferd tot ist.
• Wir schirren mehrere tote Pferde gemeinsam an, damit wir schneller werden.
• Wir erklären: „Kein Pferd kann so tot sein, das wir es nicht mehr reiten können.”
• Wir machen eine Studie, um zu sehen, ob es bessere oder billigere Pferde gibt.
• Wir erklären, dass unser Pferd besser, schneller und billiger tot ist als andere Pferde.
• Wir bilden einen Qualitätszirkel, um eine Verwendung von toten Pferden zu finden.
• Wir richten eine unabhängige Kostenstelle für tote Pferde ein.
• Wir vergrößern den Verantwortungsbereich für tote Pferde.
• Wir entwickeln ein Motivationsprogramm für tote Pferde.
• Wir erstellen eine Präsentation in der wir aufzeigen, was das Pferd könnte, wenn es noch leben würde.
• Wir strukturieren um damit ein anderer Bereich das tote Pferd bekommt.

ciao, andreas

log ist gerad fertig:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-10-03 15:48:41
PROTECTIONS: 1
MALWARE: 5
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\nie\Cookies\nie@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\nie\Cookies\nie@atdmt[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\nie\Cookies\nie@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\nie\Cookies\nie@bs.serving-sys[2].txt
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{09C5668F-5C6F-4DE4-97FD-9C0F7AFDD333}\RP55\A0012781.sys
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{09C5668F-5C6F-4DE4-97FD-9C0F7AFDD333}\RP46\A0010288.sys
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Oha, gleich 4 Cookies und 2 Funde in der Systemwiederherstellung, da ist nichts mehr zu retten => http://www.trojaner-board.de/51262-a...sicherung.html

Ich weiß jetzt nicht seit wann du rumdoktorst, dein erstes Post hier ist vom 24.9. Wenn du neuaufsetzt dann bist du in einem Tag fertig, selbst wenn du ungeübt bist. Was soll es also noch?

ciao, andreas

Habe vor ca . 2 Wochen bereits neuaufgesetzt. Der Virus ist trotzdem da. Wo sitzt er, wie verhindere ich, dass er wiederkommt?

Du hast durch dein eigenmächtiges Löschen alle Spuren verwischt, so dass ich die Frage gar nicht beantworten kann. Ich habe hier noch einen parallelen Kido/Confickerfall, dort haben wir den Verursacher gefunden, bei dir besteht da keine Chance.

Entgegen meiner Signatur haben wir das per PN geregelt. Es war eine neue Variante, die von kaum einen AVP erkannt wird, deshalb habe ich in dem Fall eine Ausnahme gemacht.

Der TO war einsichtig und wird den Fehler nicht wieder begehen (Stichwort: Cracks/Keygens/Patches). Lies einfach dort mit, wie so etwas erfolgreich bekämpft und verhindert werden kann.

Du bist entlassen.

ciao, andreas