hi

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:
1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
Master Boot Record überprüfen:

• Lade Dir die MBR.exe von GMER herunter
• Speichere auf deinem Desktop
• Per Doppelklick starten.
• wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

3.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

4.
Führe dann einen Komplett-Systemcheck mit Nod32 - die Scanergebnis als *.txt Dateien speichern)
- (ESET Online Scanner
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
Speichere und Poste bitte das Logfile

4.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

5.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

6.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

Hi und danke für die detailierten Anweisungen. Hier die Ergebnisse:

gmer hat "keine Systemänderungen gefunden", folglich kein logfile.

mbr

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Malwarebytes Anti-Malware

Code: Alles auswählenAufklappen

ATTFilter

Durchsuchte Objekte: 93987
Laufzeit: 2 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Nod32
Hier sind bei der Installation 2 Fehlermeldungen aufgetreten:

Zitat:

Benutzer "SYSTEM" hat die INstallation des Produkts "F-PROT Antivirus for Windows" bereits initialisiert. Dieser Benutzer muss die Installation wiederholen, bevor dieses Produkt verwendet werden kann. Die aktuelle Installation wird jetzt fortgesetzt.

weiter gings mit "OK"

direkt danach:

Zitat:

Eine Installaton von F-PROT Antivirus for Windows ist im Augenblick unterbrochen. SIe müssen die von dieser Installation vorgenommen Änderungen rückgängig machen, bevir sie den Vorgang fortsetzen können. Möchten Sie diese Änderung rückgänig machen?

Optionen: Ja oder Nein ==> Ja

nun der log:

Code: Alles auswählenAufklappen

ATTFilter

Log
Version der Signaturdatenbank: 4518 (20091017)
Datum: 17.10.2009  Uhrzeit: 18:37:13
Geprüfte Laufwerke, Ordner und Dateien: Arbeitsspeicher;A:\Bootsektor;A:\;C:\Bootsektor;C:\;D:\Bootsektor;D:\;E:\Bootsektor;E:\
Bootsektor von Laufwerk A: - Fehler beim Öffnen  [4]
A:\ - Fehler beim Öffnen  [4]
C:\pagefile.sys - Fehler beim Öffnen  [4]
C:\Dokumente und Einstellungen\Me!\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RZBFC88X\mbam-setup[1].exe » INNO » files.info - Datei ist kein Archiv
D:\back up\Desktop\mbam-setup.exe » INNO » files.info - Datei ist kein Archiv
D:\f-prot\F-Prot_win (licensed)\Ver3\commandline.txt » MIME - - OK (eingebettete Archive NICHT geprüft)
D:\f-prot\F-Prot_win (licensed)\Ver3\F-Prot Antivirus Purchase Information.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
D:\f-prot\F-Prot_win (licensed)\Ver3\FPCMD Commandline Options.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
D:\f-prot\F-Prot_win (licensed)\Ver3\Regarding your cusotmer number for F-Prot.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
D:\f-prot\F-Prot_win (licensed)\Ver3\Your F-Prot Antivirus Invoice.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
D:\f-prot\F-Prot_win (licensed)\Ver6\Your F-PROT Antivirus Invoice.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
Geprüfte Objekte: 43193
Erkannte Bedrohungen: 0
Abgeschlossen: 18:39:41  Benötigte Zeit: 148 Sek. (00:02:28)

Hinweise:
[4] Objekt kann nicht geöffnet werden. Möglicherweise in Benutzung durch eine andere Anwendung oder das Betriebssystem.
         

filelist

Code: Alles auswählenAufklappen

ATTFilter

----- Root ----------------------------- 
 Datentr„ger in Laufwerk D: ist Data
 Volumeseriennummer: 58C1-CE93

 Verzeichnis von D:\back up\Desktop

17.10.2009  18:43               278 install.txt
17.10.2009  18:42             1.430 CCleaner.lnk
17.10.2009  18:42         1.066.456 ccsetup224_slim.exe
17.10.2009  18:41               549 filelist.zip
17.10.2009  18:40             1.572 Nod 32 Log.txt
17.10.2009  18:35               505 Fehlermeldung.txt
17.10.2009  18:31        34.859.520 eav_nt32_deu.msi
17.10.2009  18:28             1.113 mbam-log-2009-10-17 (18-28-14).txt
17.10.2009  18:23         4.045.528 mbam-setup.exe
17.10.2009  18:22               195 mbr.log
17.10.2009  18:22            71.680 mbr.exe
17.10.2009  18:20                 0 GMR LOG.txt
17.10.2009  18:15           291.328 9nx23nk7.exe

----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B8B2-C721

 Verzeichnis von C:\WINDOWS

17.10.2009  18:41           794.414 WindowsUpdate.log
17.10.2009  18:36           205.076 setupapi.log
17.10.2009  18:23             6.285 KB952954.log
17.10.2009  18:23             6.189 KB960859.log
17.10.2009  18:23             6.474 KB974455.log
17.10.2009  18:22             5.991 KB969059.log
17.10.2009  18:22             5.973 KB961371-v2.log
17.10.2009  18:22             5.793 KB950974.log
17.10.2009  18:22             5.695 KB971657.log
17.10.2009  18:22             5.592 KB971557.log
17.10.2009  18:22             5.494 KB960225.log
17.10.2009  18:22             5.398 KB974112.log
17.10.2009  18:22             5.299 KB959426.log
17.10.2009  18:22             5.211 KB951978.log
17.10.2009  18:22             3.625 KB968389.log
17.10.2009  18:22             5.103 KB961501.log
17.10.2009  18:22             5.009 KB971633.log
17.10.2009  18:22             4.903 KB975025.log
17.10.2009  18:22             4.814 KB952004.log
17.10.2009  18:22             4.702 KB974571.log
17.10.2009  18:22             4.602 KB973507.log
17.10.2009  18:22             4.516 KB967715.log
17.10.2009  18:22             4.412 KB954459.log
17.10.2009  18:22             4.314 KB951748.log
17.10.2009  18:22             4.210 KB970238.log
17.10.2009  18:22             4.107 KB960803.log
17.10.2009  18:22             4.012 KB973815.log
17.10.2009  18:22             3.919 KB968537.log
17.10.2009  18:22             3.813 KB956802.log
17.10.2009  18:22             3.713 KB975467.log
17.10.2009  18:11                 0 0.log
17.10.2009  18:11             2.048 bootstat.dat
17.10.2009  18:10             1.100 SchedLgU.Txt
17.10.2009  18:10             1.563 tabletoc.log
17.10.2009  18:10            17.660 comsetup.log
17.10.2009  18:10             1.227 ocmsn.log
17.10.2009  18:10            13.631 tsoc.log
17.10.2009  18:10             9.095 ntdtcsetup.log
17.10.2009  18:10             1.393 imsins.log
17.10.2009  18:10            56.097 iis6.log
17.10.2009  18:10             7.002 KB898461.log
17.10.2009  18:10            17.728 ocgen.log
17.10.2009  18:10             1.180 msgsocm.log
17.10.2009  18:10             3.873 netfxocm.log
17.10.2009  18:10             1.912 MedCtrOC.log
17.10.2009  18:10            17.721 FaxSetup.log
17.10.2009  18:10            12.172 msmqinst.log
17.10.2009  17:55                50 wiaservc.log
17.10.2009  17:55               509 wiadebug.log
17.10.2009  17:55                 0 Sti_Trace.log
17.10.2009  17:26               180 atcl01setup.log
17.10.2009  17:24            15.834 Ascd_tmp.ini
17.10.2009  17:16               829 OEWABLog.txt
17.10.2009  17:16               936 wmsetup.log
17.10.2009  17:15           823.853 setuplog.txt
17.10.2009  17:14             8.192 REGLOCS.OLD
17.10.2009  17:10             4.438 imsins.BAK
17.10.2009  17:10           192.547 setupact.log
17.10.2009  17:08                 0 control.ini
17.10.2009  17:08               477 win.ini
17.10.2009  17:08           316.640 WMSysPr9.prx
17.10.2009  17:08             4.161 ODBCINST.INI
17.10.2009  17:07               749 WindowsShell.Manifest
17.10.2009  17:06             1.023 sessmgr.setup.log
17.10.2009  17:06                36 vb.ini
17.10.2009  17:06                37 vbaddin.ini
17.10.2009  17:05               130 DtcInstall.log
17.10.2009  17:03               200 cmsetacl.log
17.10.2009  15:39             1.348 regopt.log
17.10.2009  15:39               231 system.ini
17.10.2009  15:37                 0 setuperr.log

----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B8B2-C721

 Verzeichnis von C:\WINDOWS\system32

17.10.2009  18:02                 0 h323log.txt
17.10.2009  17:16            40.128 perfc009.dat
17.10.2009  17:16           311.740 perfh009.dat
17.10.2009  17:16           316.924 perfh007.dat
17.10.2009  17:16            48.354 perfc007.dat
17.10.2009  17:16           723.744 PerfStringBackup.INI
17.10.2009  17:15             2.206 wpa.dbl
17.10.2009  17:14            90.296 FNTCACHE.DAT
17.10.2009  17:10               514 $winnt$.inf
17.10.2009  17:08             2.951 CONFIG.NT
17.10.2009  17:08            16.832 amcompat.tlb
17.10.2009  17:08            23.392 nscompat.tlb
17.10.2009  17:07               488 logonui.exe.manifest
17.10.2009  17:07               488 WindowsLogon.manifest
17.10.2009  17:07               749 sapi.cpl.manifest
17.10.2009  17:07               749 wuaucpl.cpl.manifest
17.10.2009  17:07               749 ncpa.cpl.manifest
17.10.2009  17:07               749 nwc.cpl.manifest
17.10.2009  17:07               749 cdplayer.exe.manifest
17.10.2009  17:06            21.740 emptyregdb.dat
17.10.2009  15:39             4.444 pid.PNF

----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B8B2-C721

 Verzeichnis von C:\WINDOWS\Prefetch

17.10.2009  18:12           801.322 NTOSBOOT-B00DFAAD.pf
               1 Datei(en)        801.322 Bytes
               0 Verzeichnis(se), 74.436.370.432 Bytes frei

----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B8B2-C721

 Verzeichnis von C:\WINDOWS\tasks

17.10.2009  18:11                 6 SA.DAT

----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B8B2-C721

 Verzeichnis von C:\DOKUME~1\Me!\LOKALE~1\Temp

17.10.2009  18:36               650 MSI2f26b.LOG
17.10.2009  17:26               331 _isdelet.ini
         

CCleaner install.txt:

Code: Alles auswählenAufklappen

ATTFilter

Attansic Ethernet Utility
Attansic L1 Gigabit Ethernet Driver
CCleaner (remove only)
ESET NOD32 Antivirus
Malwarebytes' Anti-Malware
         

Noch etwas im Anschluss:

Ich hatte das System erneut geplättet und F-Prot direkt nach dem ersten WIndows Startup installiert, dann neu gebootet. Es kam kein forced reboot, und nach erneutem Neustart war F-Prot nochimmer da. Als ich jedoch upgedated habe kam die Meldung hoch, dass F-Prot nicht aktuell sei (nach dem update wohlgemerkt). Als ich dann F-Prot beendet habe ist es vor meinen augen aus der Systemtray und vom Desktop verschwunden, ohne reboot diesmal. Seltsamer Mist...

*Schieb*

Ich erwarte ja nicht dass jemand dahinter kommt wie ich das Problem löse, aber wäre immerhin toll wenn mir jemand sagen könnte, ob die Logfiles irgendwas ungewöhnliches aussagen!

hi

Punkt 4. -> http://www.trojaner-board.de/78498-v...tml#post474165

ich meinte nicht Nod32 Antivirus zu installieren, sondern der Online-Dienst von Eset nutzen und dein System damit NUR ONLINE scannen!
- "ESET Online Scanner "

wegen F-Prot glaube, Du bist besser aufgehoben auf die Support Seite von F-Prot:-> http://www.fprot.org/fr_impressum.php