Guten Abend,
ich bin durch die Infoseite von Combo-Fix auf dieses Forum gestossen.
Letzte Woche hat jemand, der mehr als ich von PCs versteht meinen Computer überprüft. Durch das Programm ComboFix wurden Rootkit - Aktivitäten festgestellt.
Am Ende war er sich jedoch auch nicht sicher, ob alles entfernt wurde.
Ich habe heute abend nochmal das Programm "Mailwarebytes" durchlaufen lassen, es entdeckte keine Fehler. Auch das auf dieser Seite empfohlene Programm "OTL" habe ich durchlaufen lassen.
Ich habe alles Logs (ComboFix, Mailwarebytes vom 7.7. und Mailwarebytes und zweimal OTL von heute) hier hingeladen:

h**p://w*w.file-upload.net/download-2666523/Logs.zip.html

Während das Programm Mailwarebytes heute abend lief bemerkte mein NORTON Virenschutz folgendes:
Dateil "perfc5932.dat" (Trojan.Gen) wurde isoliert und gelöscht.

Das ebenfalls auf dieser Seite empfohlene Programm "GMER" ließ sich nicht starten. Es endete mit dem Windows Fenster
"Windows hat ein Problem festgestellt . . ."

Vielen Dank für Eure Hilfe
Jochen aus Hamburg

Hallo und

Mach bitte einen Vollscan mit Malwarebytes dann sehen wir weiter.

Danke für Deine Mithilfe bei der Suche !!
1. Scan:
Drei Files gefunden und isoliert:
Files Infected:
C:\Program Files\++\++\Binaries\++.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll.vir (Adware.Shopper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP1\A0002731.dll (Adware.Shopper) -> Quarantined and deleted successfully.
2. Scan:
Malwarebytes findet nichts. Aber zwischendurch geht (versehentlich) NORTON wieder an und findet:
C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\rp5\A0003448.dll (Trojan Horse) - entfernt und
C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\rp5\A0003449.exe (Trojan Horse) - entfernt

Bei einem dritten Scan eben mit Malwarebytes wurde nichts mehr gefunden.
Hier ist das Log vom aktuellen dritten Scan:
h**p://w*w.file-upload.net/download-2669466/mbam-log-2010-07-13--22-41-17-.txt.html

Nochmals Danke !

Zitat:

C:\Qoobox\Quarantine\C\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll.vir (Adware.Shopper)

Poste dann auch das C:\combofix Logfile, wenn Du es schon ausgeführt hast!!

Edith: Mooment, es war ja schon in der vorher verlinkten zip drin
Ich muss mir die Logs nochmal genauer ansehen, melde mich später bzw. morgen nochmal.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Hallo cosinus,
leider bin ich mit GMER nur genauso weit wie am Montag gekommen: Das Programm startet und wird dann durch das Windows - Fenster mit der Fehlermeldung beendet: "Windows hat ein Problem festgestellt . . ."

Hier ist der Scan mit OSAM:

h**p://w*w.file-upload.net/download-2673249/jock.log.html

Danke !

Gruß aus Hamburg

Sieht ok aus. Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Kleines schwarzes Fenster taucht auf - und schließt sofort wieder.
Bei Befehlseingabe direkt im schwarzen Fenster (ehemalige DOS - Ebene) taucht folgende Meldung auf:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

main(): DeviceIoControl() ERROR 1
main(): DeviceIoControl() ERROR 1
main(): DeviceIoControl() ERROR 1
main(): DeviceIoControl() ERROR 1
ERROR: No physical disks found

Hast Du keine Adminrechte??
Wenn Du ein Vista oder Win7 hättest würde ich das an der UAC festmachen, aber bei XP können es nur fehlende Adminrechte sein!

Das würde mich sehr wundern: Es gibt auf diesem Rechner nur einen Benutzer: "Administrator" und als der bin ich angemeldet.
Ich habe eben nochmal versucht das Programm im abgesicherten Modus zu starten:
Dabei kam genau das gleiche Ergebnis.

Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert.

Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein:

c:\mbr.exe -f

Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.log - das bitte öffnen und den Inhalt hier posten.

Folgende Anzeige: (bzw. gleicher Inhalt in der .log - Datei):
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

So, dann doppelklick nochmal die remover.exe und poste die Ausgabe...

Habe jetzt remover.exe auf C: kopiert:
1. Versuch: NORTON stoppte das Programm und löschte es.

2. Versuch: (NORTON deaktiviert): Gleiches Ergebnis wie vorhin

Weiß nicht, ob es eine Rolle spielt, aber mein Rechner ist durch das Programm "Bootstar" in zwei Partitionen unterteilt.
(Eine mit XP, eine mit Windows 98)

Du hast doch Norton Internet Security installiert oder?
Das wollte ich eigentlich später nach der Bereinigung schreiben aber davon solltest Du Dich besser verabschieden, alles was InternetSecurity im namen trägt, sollte man tunlichst meiden.

Warum steht zB hier => Editorial | c't

Deinstallier Norton bitte komplett, starte den Rechner neu und führ die remover.exe neu aus.