Zitat:

c:\windows\system32\A3DA537E26.sys

Auch diese Datei bitte mal bei Virustotal.com auswerten lassen.

hallo arne,
hier die auswertung von virustotal.

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.10 -
AhnLab-V3 5.0.0.2 2009.12.10 -
AntiVir 7.9.1.108 2009.12.10 -
Antiy-AVL 2.0.3.7 2009.12.10 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.10 -
AVG 8.5.0.426 2009.12.10 -
BitDefender 7.2 2009.12.10 -
CAT-QuickHeal 10.00 2009.12.10 -
ClamAV 0.94.1 2009.12.10 -
Comodo 3103 2009.12.01 -
DrWeb 5.0.0.12182 2009.12.10 -
eSafe 7.0.17.0 2009.12.10 -
eTrust-Vet 35.1.7168 2009.12.10 -
F-Prot 4.5.1.85 2009.12.10 -
F-Secure 9.0.15370.0 2009.12.10 -
Fortinet 4.0.14.0 2009.12.10 -
GData 19 2009.12.10 -
Ikarus T3.1.1.74.0 2009.12.10 -
Jiangmin 13.0.900 2009.12.10 -
K7AntiVirus 7.10.917 2009.12.10 -
Kaspersky 7.0.0.125 2009.12.10 -
McAfee 5828 2009.12.10 -
McAfee+Artemis 5828 2009.12.10 -
McAfee-GW-Edition 6.8.5 2009.12.10 -
Microsoft 1.5302 2009.12.10 -
NOD32 4677 2009.12.10 -
Norman 6.04.03 2009.12.10 -
nProtect 2009.1.8.0 2009.12.10 -
Panda 10.0.2.2 2009.12.10 -
PCTools 7.0.3.5 2009.12.10 -
Prevx 3.0 2009.12.10 -
Rising 22.25.03.09 2009.12.10 -
Sophos 4.48.0 2009.12.10 -
Sunbelt 3.2.1858.2 2009.12.10 -
Symantec 1.4.4.12 2009.12.10 -
TheHacker 6.5.0.2.090 2009.12.10 -
TrendMicro 9.100.0.1001 2009.12.10 -
VBA32 3.12.12.0 2009.12.10 -
ViRobot 2009.12.10.2081 2009.12.10 -
VirusBuster 5.0.21.0 2009.12.10 -
weitere Informationen
File size: 8 bytes
MD5...: ba898b29f0dbf9307f494475a8393f03
SHA1..: 697fd89eba4c1d12a53190666508b9aa503bf7e9
SHA256: 6ffc24fbaa02a3dac892b71b2406b0f4756556bb38bee2b454e03814898e0083
ssdeep: 3:/ln:t

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: MS Flight Simulator Aircraft Performance Info (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


gruss alex

Die Datei ist sauber. Hab mich da auch etwas vergaloppiert, die Datei ist mikrige 8 Byte groß

Wenn keine Fehler mehr da sind bitte unbedingt Updates prüfen:

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. um den IE8, auch wenn Du ihn nicht nutzt.

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Bitte bei der Gelegenheit auch den Flashplayer aktualisieren, falls noch nicht geschehen.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

hallo arne,
habe alle updates installiert. es scheint auch alles wieder in ordnung zu sein.
war´s das?

gruss alex

Sicherheitshalber nochmal bitte GMER ausführen, wegen des gefundenen Rootkits.

hallo arne, hier das logfile von gmer.
zusätzliche bemerkung: nach dem ende von GMER ist der rechner unglaubliche langsam.
das logfile zu speichern dauerte ca. 7 min.
danach konnte man zwar noch - start - ausschalten - anklicken, da kam dann nach ca.
2 min. das abmeldefenster. die taste -herunterfahren- ist nicht erschienen, nur - benutzer wechsel- und -abmelden-. ich habe abmelden gedrückt, es ist aber nichts passiert. (10 min gewartet). ich habe dann den rechner manuell ausgeschaltet und neu gestartet. er läuft soweit ich erkennen kann problemlos.

jetzt das log:

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2009-12-18 06:43:58
Windows 5.1.2600 Service Pack 3
Running: f34vv6b7.exe; Driver: C:\DOKUME~1\alex\LOKALE~1\Temp\kflcrpog.sys


---- System - GMER 1.0.15 ----

SSDT F7B1179C ZwCreateThread
SSDT F7B11788 ZwOpenProcess
SSDT F7B1178D ZwOpenThread
SSDT F7B11797 ZwTerminateProcess
SSDT F7B11792 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6591360, 0x307F47, 0xE8000020]
.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xBA914400, 0x7960C, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBA9B6420] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBA9B6420]
.protectÿÿÿÿhardlockunknown last code section [0xBA9B6200, 0x5049, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xBA9B6200, 0x5049, 0xE0000020]
.text C:\WINDOWS\system32\DRIVERS\litsgt.sys section is writeable [0xBA6C7300, 0x1F510, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\SearchIndexer.exe[2616] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 timntr.sys (TrueImage Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 timntr.sys (TrueImage Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 timntr.sys (TrueImage Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 timntr.sys (TrueImage Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 timntr.sys (TrueImage Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume6 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume6 timntr.sys (TrueImage Backup Archive Explorer/Acronis)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs B85E9400

---- EOF - GMER 1.0.15 ----

gruss alex

Code: Alles auswählenAufklappen

ATTFilter

.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBA9B6420] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBA9B6420]
.protectÿÿÿÿhardlockunknown last code section [0xBA9B6200, 0x5049, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xBA9B6200, 0x5049, 0xE0000020]
         

Bei dem bin ich mir nicht ganz sicher, ob das ein Hinweis auf schadhafte Manipulation sein könnte, jedenfalls seh ich nichts was nach "suspicous modification" (verdächtigte Modifizierung) aussieht.

Lässt Malwarebytes sich denn jetzt benutzen?

hallo arne,
ja malware läuft und findet nichts. hier das log.

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3309
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19.12.2009 21:30:27
mbam-log-2009-12-19 (21-30-27).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 300715
Laufzeit: 2 hour(s), 26 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

vg alex

hallo arne,
denkst du das ich das malware problem los bin?

gruss alex

Hab Dein Strang aus den Augen verloren, sry
Wie verhält sich der Rechner nun?

hallo arne,
der rechner läuft gut. malwarebytes gestern nochmals laufen lassen und keine funde.
laufen von den ganzen überprüfungsprogrammen (rsit, ccleaner, gehweg, gmer, malwarebytes) noch welche im hintergrund ab oder nur wenn ich sie ausführe? ich frag nur weil mir der rechner etwas langsammer vorkommt als vor dem infekt.

gruß
alex

Nein, die laufen nur wenn Du sie selber startest, sollten nicht stören.
Du könntest nochmal mit dem CCleaner bereinigen und die Platte defragmentieren, ich nehm dazu immer den Defraggler - File and Disk Defragmentation - Free Download (ist von Piriform, die machen auch den CCleaner )

hallo arne,
habe CCleaner laufen lassen und gereinigt. defraggler ist auch durch.
wars das. heute morgen hat das booten wieder ewig gedauert. dann läufts aber.
gruss
alex

hallo arne,
ich denke das unser thema soweit abgeschlossen ist.........
vielen dank für die professionelle hilfe!!
der link (unten links) auf deinen antworten wurde aufgerufen und erledigt.

gruß, alex

hallo arne,
kannst du mir sagen ob das thema abgeschlossen ist. oder kann ich noch etwas tun?
vielen dank

gruß alex