Gehe auf dein Arbeitsplatz im PC -> Oben auf "Extras" -> Ordneroptionen-> "Ansicht" -> "Geschützte Systemdatein ausblenden (empfohlen)" = Haken weg -> "Alle Datein und Ordner anzeigen" Haken rein.

Lade nun folgende untenstehende Datein, die in den Code tags stehen bei VirusTotal - Free Online Virus and Malware Scan hoch, poste das Ergebnis mit Md5 und Sha. Falls nicht alles passen, sollte, dann teile die Ergebnise auf mehrere Beiträge auf.

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\6833245EDD86479A882A8360D62C8194.TMP
C:\WINDOWS\system32\inetsrv
C:\WINDOWS\system32\drivers\mnqxisqxnoixvpop.sys
C:\WINDOWS\system32\drivers\oqmcrevxylbesvmb.sys
C:\WINDOWS\system32\drivers\timiqufniwtixnse.sys
C:\WINDOWS\system32\drivers\tvxyecrnmsrnsiuw.sys
         

Azureus -> Ich würde dir empfehlen es zu deinstallieren, das Programm ist zwar an sich nicht schädlich, aber dadurch kann man sich verseuchte Datein herunterladen.

Hallo Angel,

also erstmal zum ersten Eintrag mit der Endung *.TMP, das ist ein Ordner der die Datei WiseCustomCalla.dll beinhaltet.
Diese habe ich jetzt gesendet und scannen lassen, Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

a-squared 4.5.0.24 2009.09.27 - 
AhnLab-V3 5.0.0.2 2009.09.26 - 
AntiVir 7.9.1.25 2009.09.25 - 
Antiy-AVL 2.0.3.7 2009.09.27 - 
Authentium 5.1.2.4 2009.09.26 - 
Avast 4.8.1351.0 2009.09.26 - 
AVG 8.5.0.412 2009.09.27 - 
BitDefender 7.2 2009.09.27 - 
CAT-QuickHeal 10.00 2009.09.26 - 
ClamAV 0.94.1 2009.09.27 - 
Comodo 2451 2009.09.27 - 
DrWeb 5.0.0.12182 2009.09.27 - 
eSafe 7.0.17.0 2009.09.24 - 
eTrust-Vet 31.6.6763 2009.09.27 - 
F-Prot 4.5.1.85 2009.09.26 - 
F-Secure 8.0.14470.0 2009.09.26 - 
Fortinet 3.120.0.0 2009.09.27 - 
GData 19 2009.09.27 - 
Ikarus T3.1.1.72.0 2009.09.27 - 
Jiangmin 11.0.800 2009.09.27 - 
K7AntiVirus 7.10.855 2009.09.26 - 
Kaspersky 7.0.0.125 2009.09.27 - 
McAfee 5753 2009.09.26 - 
McAfee+Artemis 5753 2009.09.26 - 
McAfee-GW-Edition 6.8.5 2009.09.27 - 
Microsoft 1.5005 2009.09.23 - 
NOD32 4461 2009.09.27 - 
Norman 6.01.09 2009.09.26 - 
nProtect 2009.1.8.0 2009.09.27 - 
Panda 10.0.2.2 2009.09.26 - 
PCTools 4.4.2.0 2009.09.25 - 
Prevx 3.0 2009.09.27 - 
Rising 21.48.62.00 2009.09.27 - 
Sophos 4.45.0 2009.09.27 - 
Sunbelt 3.2.1858.2 2009.09.26 - 
Symantec 1.4.4.12 2009.09.27 - 
TheHacker 6.5.0.2.019 2009.09.26 - 
TrendMicro 8.950.0.1094 2009.09.25 - 
VBA32 3.12.10.11 2009.09.25 - 
ViRobot 2009.9.26.1958 2009.09.26 - 
VirusBuster 4.6.5.0 2009.09.26 - 


File size: 155648 bytes 
MD5...: 4289e98b574fdfd53a04a0ae6d54765e 
SHA1..: 518a7987fe3a465a86e1a05353617e89c5206644 
SHA256: a0f135f8d77e69d34c9b78390e2e02de3280cb30fd00d236fdcc6e5ae2724a91 
ssdeep: 3072:QM8gg/NQnqd/fWOZ0Vx2s8wDMTWlobBSDc4R:egaQnuHWu2c08/bj
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3a09
timedatestamp.....: 0x456ca109 (Tue Nov 28 20:50:17 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14ad4 0x15000 6.57 d1f1b51b250365bbe6966ce849ea5d8b
.rdata 0x16000 0x5510 0x6000 4.66 167ffafd1c143837e13bd975d608827f
.data 0x1c000 0x5014 0x2000 3.45 e39b8c4713185bd4007531b4dfc20be6
.rsrc 0x22000 0x3b48 0x4000 3.29 a0f1ce5193c597e5cd6aa230baa9c853
.reloc 0x26000 0x3b9a 0x4000 3.40 2b4bdec4a1ee679c80aca327d43e171b

( 9 imports ) 
> KERNEL32.dll: SetErrorMode, WritePrivateProfileStringA, InterlockedIncrement, GlobalFlags, RaiseException, lstrcmpW, GlobalFindAtomA, GlobalGetAtomNameA, ReadFile, WriteFile, SetFilePointer, FlushFileBuffers, GetCurrentProcess, GetCPInfo, lstrcatA, ExitProcess, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, RtlUnwind, GetCommandLineA, TerminateProcess, HeapSize, HeapReAlloc, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, HeapDestroy, HeapCreate, VirtualFree, IsBadWritePtr, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, InterlockedDecrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, TlsGetValue, EnterCriticalSection, GlobalHandle, GlobalReAlloc, LeaveCriticalSection, LocalAlloc, SetLastError, GlobalFree, GlobalUnlock, lstrcpynA, GlobalAddAtomA, FindResourceA, LoadResource, LockResource, SizeofResource, GetCurrentThread, GetCurrentThreadId, GlobalLock, GlobalAlloc, FreeLibrary, GlobalDeleteAtom, lstrcmpA, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, ConvertDefaultLocale, EnumResourceLanguagesA, lstrcpyA, LoadLibraryA, lstrlenA, lstrcmpiA, GetVersion, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, CreateProcessA, WaitForSingleObject, Sleep, DeleteFileA, RemoveDirectoryA, CloseHandle, GetLastError, FormatMessageA, GetOEMCP, LocalFree
> USER32.dll: CreateWindowExA, GetCapture, WinHelpA, RegisterWindowMessageA, DestroyMenu, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, LoadIconA, MapWindowPoints, SetForegroundWindow, GetClientRect, GetMenu, AdjustWindowRectEx, GetClassInfoA, RegisterClassA, DefWindowProcA, CallWindowProcA, SystemParametersInfoA, IsIconic, GetWindowPlacement, CopyRect, SetWindowPos, ShowWindow, GetClassLongA, GetDlgItem, LoadCursorA, GetSystemMetrics, GetSysColorBrush, GetSysColor, ReleaseDC, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ClientToScreen, GetWindow, GetDlgCtrlID, GetWindowRect, PtInRect, GetWindowTextA, SetWindowTextA, GetClassNameA, UnregisterClassA, UnhookWindowsHookEx, MessageBoxA, wsprintfA, GetClassInfoExA, GetMenuItemID, GetMenuItemCount, GetSubMenu, SetMenuItemBitmaps, GetFocus, ModifyMenuA, GetMenuState, SetPropA, GetPropA, RemovePropA, GetForegroundWindow, SetWindowLongA, PostQuitMessage, PostMessageA, SetCursor, SendMessageA, EnableWindow, IsWindowEnabled, GetLastActivePopup, GetWindowLongA, GetParent, ValidateRect, GetCursorPos, PeekMessageA, EnableMenuItem, CheckMenuItem, GetMenuCheckMarkDimensions, LoadBitmapA, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, IsWindowVisible, GetKeyState, GetDC
> ADVAPI32.dll: RegCloseKey, RegSetValueExA, RegCreateKeyExA, RegQueryValueA, RegOpenKeyA, RegEnumKeyA, RegDeleteKeyA, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyExA
> COMCTL32.dll: -
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEACC.dll: LresultFromObject, CreateStdAccessibleObject
> GDI32.dll: GetStockObject, OffsetViewportOrgEx, GetDeviceCaps, DeleteObject, SaveDC, RestoreDC, SetBkColor, DeleteDC, SetTextColor, SetMapMode, GetClipBox, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, CreateBitmap, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, SetViewportExtEx
> WINSPOOL.DRV: DocumentPropertiesA, OpenPrinterA, ClosePrinter
> OLEAUT32.dll: -, -, -

( 2 exports ) 
GetExistingPhysXInformation, UnInstallExistingPhysX
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%) 
sigcheck:
publisher....: TODO: _Company name_
copyright....: TODO: (c) _Company name_. All rights reserved.
product......: TODO: _Product name_
description..: TODO: _File description_
original name: readregistry.dll
internal name: readregistry.dll
file version.: 1.0.0.1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         

Und inetsrv ist ebenfalls ein Ordner, meines Erachtens ist das der IIS-Ordner.
Ich hab hier nen Webserver zu laufen wegen der Autodesk Datenmanagament Lösung, die braucht den IIS zum Arbeiten genauso den SQL-Server.

Ich lad jetzt nicht alle Dateien aus dem inetsrv Ordner hoch, das wär ein bisschen viel

Bitte MIT den Funden der 40 AVP Scanner, erst senden, wenn der Ladebalken oben zu Ende ist, sonst hats kein Wert

Hab die Scan-Ergebnisse jetzt mit beigefügt, hatte ich vorher nicht so richtig realisiert das er mit den Scan-Engines das File durchsucht
Ich hab die Ergebnisse nachträglich unten reineditiert, sieht aber so aus als wenn das File ok ist.
Warum erscheint der Thread eigentlich von unten nach oben sortiert? Kann man das irgendwo umbiegen, dass von oben nach unten sortiert wird?

Die Treiberdateien sind nicht mehr vorhanden und auch ähnlich bekloppt benannte Dateien lassen sich nicht auffinden in \%windowsroot%\system32\drivers



P.S.: och nö, Azureus ist echt komfortabel für torrents, hatte allerdings schon überlegt ob ich nicht mal nach nem schlankeren Client Ausschau halte.
Und wo wir schon mal dabei sind, der Webserver kann jetzt eigentlich wieder runter, da ich das Autodesk Datenmanagement sowieso nur zu Testzwecken drauf habe. Werde den IIS dann nach der Aktion runterknüppeln.

Zitat:

C:\WINDOWS\system32\55.tmp

diese bitte auch.

Zitat:

Zitat von Angel21

diese bitte auch.

Ist nicht im Verzeichnis zu finden und auch kein Ordner da.

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Na juht, aber was soll ich denn nun noch alles auf den Rechner loslassen?
Da wäre ich ja mit ner Neuinstallation wahrscheinlich schon durch

Aber anyways, ich lass die Sachen noch mal durchlaufen und hoffe das sich Kaspersky nicht mit dem Symantec Antivirus beißt und hoffe auf Besserung.

Grüße

Zitat:

Da wäre ich ja mit ner Neuinstallation wahrscheinlich schon durch

Zum einen Punkt ja
Zum anderen Punkt, falls Du weiterhin bereinigen willst, dann müssen wir halt viele Schritte durchgehen, da der Rootkit natürlich Sachen nachgeladen haben kann. Wie andere Malware, da müssen wir natürlich genauer schauen und evtl. auch viele Online Scans etc durchmachen

Hab noch was für Dich *gggg*

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

drivers to delete: 
mnqxisqxnoixvpop
oqmcrevxylbesvmb
timiqufniwtixnse
tvxyecrnmsrnsiuw

files to delete: 
C:\WINDOWS\system32\55.tmp 
C:\WINDOWS\system32\drivers\mnqxisqxnoixvpop.sys
C:\WINDOWS\system32\drivers\oqmcrevxylbesvmb.sys
C:\WINDOWS\system32\drivers\timiqufniwtixnse.sys
C:\WINDOWS\system32\drivers\tvxyecrnmsrnsiuw.sys
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Pheeew,

das hat ne Weile gedauert die Scans durchlaufen zu lassen. Prevx hat mir keinen positiven Fund gemeldet, sodaß ich das Logfile nicht poste da es ziemlich umfangreich ist. Der Panda Scanner hat mir im Wesentlichen nur Tracking-Cookies gemeldet, die er als niedrige Bedrohung eingestuft hat.
Gefunden hab ich die dann allerdings nicht mehr im entsprechenden Verzeichnis.


Kaspersky Log-File:

Code: Alles auswählenAufklappen

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Sonntag, 27. September 2009 21:58:19
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 27/09/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2671897
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\
	F:\
	G:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 152981
	Viren gefunden: 2
	Infizierte Objekte gefunden: 6
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 01:30:20

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\IM\sldIMSchedulerLog_20090-40000-1100_00412.txt	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\IETldCache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db	Das Objekt ist gesperrt	

übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db.shadow	Das Objekt ist gesperrt	

übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale 

Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Vorgeschlagene Sites~.feed-ms	Das Objekt ist gesperrt	

übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Web 

Slice-Katalog~.feed-ms	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat	Das Objekt ist gesperrt	

übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\DOMStore\index.dat	Das Objekt ist 

gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet 

Explorer\Recovery\Active\RecoveryStore.{C3154202-AB92-11DE-88A4-002215966226}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet 

Explorer\Recovery\Active\{C3154203-AB92-11DE-88A4-002215966226}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet 

Explorer\Recovery\Active\{E4978EEA-AB92-11DE-88A4-002215966226}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet 

Explorer\Recovery\Active\{F21179A1-AB92-11DE-88A4-002215966226}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet 

Explorer\Recovery\Active\{F21179A2-AB92-11DE-88A4-002215966226}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	

übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	

übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\IMG1.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\SolidWorksLicTemp.0001.dir.0000\~efe2.tmp	Das Objekt ist gesperrt	

übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF1297.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF1603.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF1B11.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF4473.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF4566.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF4A60.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF4A65.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF4A9C.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF4AA1.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF8031.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFDA1F.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat	

Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	

übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009092720090928\index.dat	Das Objekt ist gesperrt	

übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\PrivacIE\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\03E00000.VBN	Infizierte 

Objekte: Trojan.Win32.Agent.bkow	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate 

Edition\7.5\Quarantine\05700002.VBN/gasfkymfdynxmk.dll/data0000.cab/codec.exe	Infizierte Objekte: Packed.Win32.TDSS.z	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate 

Edition\7.5\Quarantine\05700002.VBN/gasfkymfdynxmk.dll/data0000.cab	Infizierte Objekte: Packed.Win32.TDSS.z	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05700002.VBN/gasfkymfdynxmk.dll	

Infizierte Objekte: Packed.Win32.TDSS.z	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05700002.VBN	RAR: infiziert - 

3	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05700002.VBN	CryptZ: infiziert 

- 3	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	

übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	

übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	

übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EPERSIST.DAT	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBConfig.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBDebug.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBDetect.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBNotify.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBRefr.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetCfg.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetCfg2.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetDev.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetLoc.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetUsr.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSMNot.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSMReg.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSMRSt.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBStHash.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBStMSI.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBValid.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPPolicy.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPStart.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPStop.log	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\DEFAULT.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\GnabServ.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SOFTWARE.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SYSTEM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\sptd.sys	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\FwProxyError.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_200.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_240.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\{00000009-00000000-00000006-00001102-00000008-10211102}.CDF	Das Objekt ist gesperrt	übersprungen
D:\Symantec AntiVirus\SAVRT\0273NAV~.TMP	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
         

Und das Avenger-Logfile noch anbei:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "mnqxisqxnoixvpop" deleted successfully.
Driver "oqmcrevxylbesvmb" deleted successfully.
Driver "timiqufniwtixnse" deleted successfully.
Driver "tvxyecrnmsrnsiuw" deleted successfully.

Error:  file "C:\WINDOWS\system32\55.tmp" not found!
Deletion of file "C:\WINDOWS\system32\55.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\drivers\mnqxisqxnoixvpop.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\mnqxisqxnoixvpop.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\drivers\oqmcrevxylbesvmb.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\oqmcrevxylbesvmb.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\drivers\timiqufniwtixnse.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\timiqufniwtixnse.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\drivers\tvxyecrnmsrnsiuw.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\tvxyecrnmsrnsiuw.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Also waren von den kryptischen Treiberdateien doch noch welche in meinem System, obwohl ich den Prozess schon gelösch hatte mit gmer. Die versteckten Registry-Einträge sind auch weg.

Sieht ja nun doch gar nicht schlecht aus. Allerdings werde ich demnächst dann doch neu installieren um auf Nummer sicher zu gehen und Windows 7 steht ja schon vor der Haustür

Bitte noch PrevX und Panda Active Scan ausführen.

Habe ich doch beide ausgeführt und die Resultate beschrieben.
Die Logs passen nicht in den Post rein, deswegen als Anhang:

Ich glaub ich hab das Logfile nicht exportiert von Panda-Scan, kanns zumindest nicht finden auf dem Rechner.

die Prevxrar.txt umbenennen in Prevx.rar, hätte ich sonst auch nicht uploaden können, weil selbst die Textdatei zu groß war.

Grüße

Poste bitte ein Screenshot des PREVX Resultates, in dem Log sind lauter verwirrende Buchstaben und nixx gescheites zu erkennen.

Ich bin ab morgen wieder zu erreichen.