Hi,

ich glaube die überschrift spricht schon für sich.

Ich habe seit gestern morgen ein Trojaner in System32 drinne.
Seid dem ich dieses drinne habe ist meine Internetgeschwindigkeit verlangsamt wurden, ich habe es mal getestet (Vor den Virus c.a 0,5sec.
Seit dem er drauf ist c.a 4sec.). Der Dateiname der diesen Virus ernthält ist, unter C:/ Windows/System32/drivers/qdadup.sys

Diese Datei qdadup.sys enthält den Trojaner. Die genauen Infos über den Trojaner sind:

Name: TR/Rootkit.Gen
Art: Trojan
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Engine Version: 7.01.01.02

Die Details sind:


Beschreibung:
Eine generische Erkennungsroutine um gemeinsame Familienmerkmale der verschiedenen Varianten zu erkennen.

Diese generische Erkennungsroutine wurde entwickelt um unbekannte Varianten zu erkennen. Sie wird kontinuierlich weiterentwickelt.


Versionsliste:
Um die Erkennung zu verbessern wurde die Engine mit folgenden Versionen aktualisiert:

• 7.01.01.02 ( 02/08/2006 )
• 7.01.01.05 ( 22/08/2006 )
• 7.02.00.34 ( 26/10/2006 )
• 7.02.00.39 ( 07/11/2006 )
• 7.02.00.49 ( 05/12/2006 )
• 7.04.00.23 ( 16/05/2007 )
• 7.04.00.34 ( 19/06/2007 )
• 7.04.00.44 ( 18/07/2007 )
• 7.04.00.60 ( 10/08/2007 )
• 7.06.00.15 ( 19/09/2007 )
• 7.06.00.20 ( 04/10/2007 )
• 7.06.00.27 ( 18/10/2007 )
• 7.06.00.30 ( 26/10/2007 )
• 7.06.00.40 ( 07/12/2007 )
• 7.06.00.45 ( 13/12/2007 )
• 7.06.00.53 ( 24/01/2008 )
• 7.06.00.67 ( 14/02/2008 )
• 7.06.00.73 ( 29/02/2008 )
• 7.06.00.78 ( 28/03/2008 )
• 7.06.00.84 ( 10/04/2008 )
• 7.08.00.10 ( 25/04/2008 )
• 7.08.00.58 ( 19/06/2008 )
• 7.08.00.64 ( 02/07/2008 )
• 7.08.00.68 ( 15/07/2008 )
• 7.08.01.34 ( 18/09/2008 )
• 7.09.00.07 ( 23/10/2008 )
• 7.09.00.29 ( 07/11/2008 )
• 7.09.00.41 ( 04/12/2008 )
• 7.09.00.57 ( 16/01/2009 )
• 7.09.00.79 ( 13/02/2009 )
• 7.09.00.83 ( 17/02/2009 )
• 7.09.00.93 ( 26/02/2009 )
• 7.09.00.105 ( 05/03/2009 )
• 7.09.00.120 ( 18/03/2009 )
• 7.09.00.138 ( 03/04/2009 )
• 7.09.00.156 ( 24/04/2009 )
• 7.09.00.166 ( 08/05/2009 )
• 7.09.00.187 ( 11/06/2009 )
• 7.09.00.199 ( 26/06/2009 )
• 7.09.00.215/8.02.00.215 ( 14/07/2009 )
• 7.09.01.33/8.02.01.33 ( 03/10/2009 )
• 7.09.01.50/8.02.01.50 ( 28/10/2009 )
• 7.09.01.88/8.02.01.88 ( 30/11/2009 )
• 7.09.01.102/8.02.01.102 ( 07/12/2009 )
• 7.09.01.134/8.02.01.134 ( 08/01/2010 )
• 7.09.01.154/8.02.01.154 ( 27/01/2010 )



Habe versucht die schon zu löschen doch er verweigert den zugriff

PS: Habe Windows Vista

Hallo und Herzlich Willkommen!

** Woher kommt die Meldung bzw welches Anti Virus Programm hat den "Virus" gemeldet?
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

6.
Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

7.
Mach bitte einen Rechtsklick auf die im folgenden genannten Dateien (mit der Maus), schau dir an, was unter Eigenschaften steht, kopiere diese Angaben (Datei Version, Beschreibung der Datei, Copyright bei wem? FirmenName) hier in deinen Thread von diesen Anwendungen (bebilderte Anleitung *hier*:

Zitat:

C:/ Windows/System32/drivers/qdadup.sys

8.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:/ Windows/System32/drivers/qdadup.sys
         

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow