Zitat:

Ich hab mit Ubuntu das Update entfernt und der PC läuft wieder.

Das Update kannst Du wieder einspielen, da es nur Probleme mit aktiven Rootkits gebracht hatte. Das Rootkit haben wir ja entfernt durch das Zurückkopieren der sauberen atapi.sys

Zitat:

ICh habe etwas sehr interessantes gefunden. ICh versuchte grade den residenten SChutz abzuschalten (es geht nicht) und hab in die history gekuckt und folgendes gefunden:

Ist ja auch logisch, dass er ein Rootkit gefunden hat
Aber achte mal aufs Datum, gestern wurde über Linux die schädliche atapi.sys mit einer sauberen überschrieben und der 16. Feb ist der letzte Eintrag, also wie ich sagte: Rootkit weg!

Angenommen das rootkit hat mein avg nicht infiltriert & Avg erkennt ale rootkits. Wieso hab ich die hinweise nciht bemerkt? hab grad meine schwester gefragt, des am freitag muss sie gewesen sein. aber am donnerstag war ich am pc (hab zu dem zeitpunkt nen film gekuckt) und es sollten 3 Meldungen in 10 minuten gekommen sein.

Ist mein System jetzt also sauber? (abgesehen von dem scheiß was Malwarebytes findet es sind immer noch nur zwei infizierte dateien)

[edit]
Das log ist fertig, es sind doch 5 dateien geworden. Ich wüsste nicht, dass bei den firewall einstellungen was verändert hab, ichm uss das mal prüfen.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3752
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.02.2010 21:04:31
mbam-log-2010-02-17 (21-04-25).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 236812
Laufzeit: 1 hour(s), 37 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\wibb32.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\nvvscv.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SYSTEM32.dll (Trojan.Agent) -> No action taken.
         

[edit2] Ich hab nach geschaut. Es ist eingestellt, das ich darauf hingewiesen werde, wenn ein Programm geblockt wird. -> d.h.: disableNotify - disabled. Was ist daran jetzt "bad"?
Der andere Key sagt mir nix.
Ich lösch dann mal das Trojanerzeugs
[edit3] jetzt reboote ich gschwind