Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\drivers\uzm5mjg2.sys
         

Danke Cosinus,

mache ich morgen, wenn ich wieder zuhause bin.
und was ist mit den Malwarebytes-Funden:
1. kann ich den Quarantäne-Ordner von Cofi löschen?
2. den Bösewicht in der System Volume Information eleminieren?

grüße
Major

1.) Ja

2.) Deaktiviere die Systemwiederherstellung, der Ordner System Volume Information ist ein Sammelbecken für die Wiederherstellungspunkte.
Im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Hallo Cosinus,

Die Datei uzm5mjg2.sys scheint laut Virustotal sauber, weiß aber auch nicht was sie bedeutet, ob mna sie löschen sollte? Report hängt dran.

grüße
Major

/quote
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.04 -
AhnLab-V3 5.0.0.2 2009.11.03 -
AntiVir 7.9.1.53 2009.11.03 -
Antiy-AVL 2.0.3.7 2009.11.04 -
Authentium 5.1.2.4 2009.11.04 -
Avast 4.8.1351.0 2009.11.03 -
AVG 8.5.0.423 2009.11.03 -
BitDefender 7.2 2009.11.04 -
CAT-QuickHeal 10.00 2009.11.04 -
ClamAV 0.94.1 2009.11.04 -
Comodo 2832 2009.11.04 -
DrWeb 5.0.0.12182 2009.11.04 -
eSafe 7.0.17.0 2009.11.03 -
eTrust-Vet 35.1.7100 2009.11.03 -
F-Prot 4.5.1.85 2009.11.03 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.03 -
GData 19 2009.11.04 -
Ikarus T3.1.1.72.0 2009.11.04 -
Jiangmin 11.0.800 2009.11.04 -
K7AntiVirus 7.10.887 2009.11.03 -
Kaspersky 7.0.0.125 2009.11.04 -
McAfee 5791 2009.11.03 -
McAfee+Artemis 5791 2009.11.03 -
McAfee-GW-Edition 6.8.5 2009.11.04 -
Microsoft 1.5202 2009.11.04 -
NOD32 4571 2009.11.04 -
Norman 6.03.02 2009.11.03 -
nProtect 2009.1.8.0 2009.11.04 -
Panda 10.0.2.2 2009.11.03 -
PCTools 7.0.3.5 2009.11.04 -
Prevx 3.0 2009.11.04 -
Rising 21.54.21.00 2009.11.04 -
Sophos 4.47.0 2009.11.04 -
Sunbelt 3.2.1858.2 2009.11.04 -
Symantec 1.4.4.12 2009.11.04 -
TheHacker 6.5.0.2.060 2009.11.04 -
TrendMicro 8.950.0.1094 2009.11.03 -
VBA32 3.12.10.11 2009.11.03 -
ViRobot 2009.11.4.2020 2009.11.04 -
VirusBuster 4.6.5.0 2009.11.03 -
weitere Informationen
File size: 11264 bytes
MD5...: d565ad44c6c4d934afad3ca4196b09aa
SHA1..: 2264b818ee2985987e792b493a4a7795d1bc4ab7
SHA256: b8fd1a74277d8cf2cb5a9ab2727e4dacc9d0f1f24f66c62f558c18a343f6ea39
ssdeep: 192:WL2BAOZexyS05ik+91a/8zModdYjGhpZ3/x1/Edm0KA9+pzIErFzrrJQmHyH
:3Q5A9SswFzrrKmHyH
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x24a0
timedatestamp.....: 0x4755c6ea (Tue Dec 04 21:30:18 2007)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x15a8 0x1600 6.06 8ae1dbc2598a47211d7e3ce7b50e541b
.rdata 0x3000 0x2b4 0x400 2.80 67eac57e54e25e1153838ee56d7e4c30
.data 0x4000 0x2198 0x200 0.82 d28a75303afda2efb8f5f0d2ea9bd97c
INIT 0x7000 0x2f8 0x400 4.16 8a0807909358b7306d777c9e04bc8261
.rsrc 0x8000 0x338 0x400 2.72 a0ca49175c5004feabdcf53d367cbc53
.reloc 0x9000 0x2e0 0x400 4.03 51fcf94b694d8b4a32c97811ff5576ae

( 2 imports )
> ntoskrnl.exe: ZwClose, RtlCopyUnicodeString, _local_unwind2, MmIsAddressValid, IoGetCurrentProcess, PsGetCurrentProcessId, IofCompleteRequest, PsTerminateSystemThread, KeDelayExecutionThread, IoDeleteDevice, ExFreePool, ObfDereferenceObject, KeWaitForSingleObject, PsSetCreateProcessNotifyRoutine, IoCreateSymbolicLink, IoCreateDevice, NtBuildNumber, MmGetSystemRoutineAddress, ObReferenceObjectByHandle, PsCreateSystemThread, MmSystemRangeStart, _except_handler3, IoDeleteSymbolicLink, ExAllocatePool
> HAL.dll: KfLowerIrql, KeRaiseIrqlToDpcLevel

( 0 exports )
RDS...: NSRL Reference Data Set
-
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: Zaitsev Oleg, Copyright (C) 2004-2006
product......: AVZ Monitoring Driver
description..: AVZ Monitoring Driver
original name: avzrkm.sys
internal name: avzrkm.sys
file version.: 1, 3, 0, 0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
/unquote

Code: Alles auswählenAufklappen

ATTFilter

copyright....: Zaitsev Oleg, Copyright (C) 2004-2006
product......: AVZ Monitoring Driver
description..: AVZ Monitoring Driver
original name: avzrkm.sys
internal name: avzrkm.sys
         

Hast Du mit AVZ mal gearbeitet? Das ist ein Sezialtool und bei Laien eher unbekannt
Hat Dir wer mal die Anweisung gegeben, das Tool auszuführen?

Hallo Cosinus,

Ja leider, hab damals in meiner ersten Panik die Foren durchforstet und bin auf AVZ gestoßen und habs ausprobiert, das war wohl etwas unüberlegt, ohne Anleitung, es kommt auch nie wieder vor: ich habe viel daraus gelernt, ehrlich!

So geschafft, habe System-Wiederherstellung deaktiviert, dann Scan durchgeführt: nur den Trojaner in der System Volume Information zeigt Malwarebytes nicht mehr an, ist das ok?

Systemherstellung jetzt wieder aktivieren?
herzlichen Dank
Major

Wenn Du sie brauchst kannst Du sie wieder anstellen, ich lass die auf meinen XP-Rechnern immer deaktiviert.

Ein Kontrollscan vorher wäre aber gut. Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

Hallo Cosinus,

PrevXCSI hat nichts gefunden. Bin ich jetzt als geheilt entlassen?
Danke für Deine Mühen und Deine geduldige Zusammenarbeit!

herzliche Grüße
Major

Poste bitte zur Kontrolle nochmal frische RSIT Logfiles.

Danke, mach ich dann morgen früh,
gruß
Major

Hallo Cosinus,

hier die frischen Logfiles, gerade gemacht,

gruß Major

Probleme sind alle weg? Logfiles sind okay.

Wenn alles nun wieder passt bei Dir solltest Du Dich unbedingt um die Updates kümmern!!!




Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. um das SP3 für WinXP und den IE8, auch wenn Du ihn nicht nutzt.



Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.



Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Danke Cosinus,

soweit scheint bis jetzt alles gut zu funktionieren und unverdächtig , ichwerde mich gleich um die Updates kümmern,
herzlichen Dank Dir für Deine Arbeit, hast du echt toll gemacht,

Major