Hallo psymobil

Das was Malwarebytes gefunden hat kannst du erst einmal löschen (mit MBAM natürlich, nix von Hand löschen). Ich gehe mal davon aus daß da noch ein Rootkit im System sitzt. Um das herauszufinden werden wir GMER einsetzen. Führe das Programm nach der Anleitung aus und poste anschließend das log hier.

Gruß

Acid

hallo acid,
danke für deine schnelle antwort!

gmer sagt folgendes:

GMER 1.0.15.15125 - http://www.gmer.net
Rootkit scan 2009-10-15 18:23:08
Windows 6.0.6002 Service Pack 2
Running: j3hy890e.exe; Driver: C:\Users\HEINRI~1\AppData\Local\Temp\uxrcqfow.sys


---- System - GMER 1.0.15 ----

SSDT \??\C:\Program Files\BitDefender\2009\BitDefender 2009\bdselfpr.sys ZwOpenProcess [0x9D2A3C90]
SSDT \??\C:\Program Files\BitDefender\2009\BitDefender 2009\bdselfpr.sys ZwOpenThread [0x9D2A3D7E]
SSDT \??\C:\Program Files\BitDefender\2009\BitDefender 2009\bdselfpr.sys ZwTerminateProcess [0x9D2A3BF4]
SSDT \??\C:\Program Files\BitDefender\2009\BitDefender 2009\bdselfpr.sys ZwTerminateThread [0x9D2A3EC4]

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!KeInsertQueue + 5E1 824ABC18 4 Bytes [90, 3C, 2A, 9D] {NOP ; CMP AL, 0x2a; POPF }
.text ntoskrnl.exe!KeInsertQueue + 5FD 824ABC34 4 Bytes [7E, 3D, 2A, 9D]
.text ntoskrnl.exe!KeInsertQueue + 811 824ABE48 8 Bytes [F4, 3B, 2A, 9D, C4, 3E, 2A, ...]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp bdftdif.sys

Device \Driver\BTHUSB \Device\00000069 bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Udp bdftdif.sys

Device \Driver\BTHUSB \Device\0000006b bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000278749a50
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00197de4a7d4
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000278749a50 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00197de4a7d4 (not active ControlSet)

---- EOF - GMER 1.0.15 ----


sagt mir persönlich leider garnix.
Gruß,
Psy

Hallo psymobil

Zitat:

sagt mir persönlich leider garnix.

Mir aber schon, sieht gut aus.

Verschaffen wir uns erst einmal einen Überblick vom System. Lade dir RSIT herunter und führe auch dieses Tool nach der Anleitung aus. Die beiden logs können unter Umständen sehr groß sein. Poste sie deshalb nicht sondern lade sie bei einem filehoster hoch oder einfach als Anhang auf deine Antwort.

Gruß

Acid

Hi Acid,
nochmals danke für Deine schnelle Antwort.
Das läuft ja super.
Anbei die logs von rsit.
Gruß,
Psy

Hallo psymobil

Noch sind wir nicht fertig. Aber eine gute Nachricht hab ich schon, es ist kein Rootkit im System. Ich schau mir jetzt erst mal die logs an und melde mich dann später.

Gruß

Acid

merci,
ich werd dann auch erstma weiter meine brötchen verdienen, und schaue dann gegen abend nochmal rein.
schönen tag dir!

Hallo psymobil

Die nächsten Tools sind jetzt dran damit wir beide auch was zu tun haben.

Zunächst erstmal dieses hier http://www.trojaner-board.de/51871-a...tispyware.html poste das log bitte hier.

Mache bitte auch noch einen Scan mit Panda Active Scan:

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.

Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Gruß

Acid