Zitat:

Zitat von Koti

Der Link ist tot. Hättest du evtl. eine Alternative?

http://download.bleepingcomputer.com...RootRepeal.exe

ok, hier ist es.

Zitat:

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/07/21 18:13
Program Version: Version 1.3.5.0
Windows Version: Windows XP Media Center Edition SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB2462000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF8B69000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB0C60000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf8d16fc6

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf8d16fbc

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf8d16fcb

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf8d16fd5

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf8d16fda

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf8d16fa8

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf8d16fad

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf8d16fe4

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf8d16fdf

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf8d16fd0

==EOF==

Zitat:

Zitat von Koti

ok, hier ist es.

Bitte bis morgen noch durchführen und alle Logs posten:

> mbr.exe von hier runterladen:
http://www2.gmer.net/mbr/mbr.exe

• Download mbr.exe zum Desktop
• Doppelklick mbr.exe um das Tool zu starten (ganz kurz öffnet sich ein fenster)
• Es wird ein Log erstellt liegt auf deinem Desktop.
• poste dessen Inhalt

> sfc/scannow und chkdsk/f durchführen, anleitung hast du schon.

> Kontrollscans mit ESET und DR.Web

Führe DR.Web (schneller Scan) im abgesicherten Modus aus.
http://www.trojaner-board.de/59299-a...eb-cureit.html
Fünde löschen lassen/Log erstellen und hier posten

ESET Online Scan
ESET Online Scanner - ESET Antivirus Software
Fünde hier melden/entfernen

> Alles an veralterter Software deinstallieren> Adobe Reader/java...
Updates laden: Secunia Personal Software Inspector - Download - COMPUTER BILD

> Windows Update duchführen!

******************************************************

hier ist schon mal das mbr-Log

Zitat:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

was ist mit sfc/scannow bzw. chkdsk/f gemeint? Könntest du mir noch einen Hinweis geben. Hab schon so viel getestet... - danke.

Zitat:

> sfc/scannow und chkdsk/f durchführen, anleitung hast du schon.

War das mit dem Befehl "Ausführen"? Nicht schlimm, dass ich keine Windows CD habe?

Zitat:

Zitat von Koti

hier ist schon mal das mbr-Log

dein mbr ist sauber, das ist zurzeit die Infektion des Tages

Zitat:

was ist mit sfc/scannow bzw. chkdsk/f gemeint? Könntest du mir noch einen Hinweis geben. Hab schon so viel getestet... - danke.

Zitat:

DateiSystem Prüfung: Start/Ausführen schreibe rein: cmd in das schwarze Fenster schreibe rein sfc/scannow klicke enter. Wenn Systemdateien beschädigt sein sollten musst du evtl. deine XP Cd einlegen.
Wenn dieser Prozess durch ist schreibst du in das schwarze Fenster: chkdsk/f
kann sein du wirst aufgefordert zu bestätigen, dass das beim nächsten Systemstart durchgeführt wird.

so wie oben beschrieben durchführen

Zitat:

Zitat von MalwareHero

dein mbr ist sauber, das ist zurzeit die Infektion des Tages

Ist die größte Errungenschaft des Tages - ein Highlight - DANKE

Die CD muss dran, wobei es steht drin, dass Windows XP Service Pack 3 benötigt wird. Ich denke, das Betriebssystem ist damit gemeint, nicht das Servicepack. Muss also gleich suchen, wie ich diese auf CD gebrannt bekomme.

Zitat:

Zitat von Koti

War das mit dem Befehl "Ausführen"? Nicht schlimm, dass ich keine Windows CD habe?

siehe oben

Zitat:

Zitat von Koti

Ist die größte Errungenschaft des Tages - ein Highlite - DANKE

Die CD muss dran, wobei es steht drin, dass Windows XP Service Pack 3 benötigt wird. Ich denke, das Betriebssystem ist damit gemeint, nicht das Servicepack. Muss also gleich suchen, wie ich diese auf CD gebrannt bekomme.

wird gemeldet dass was mit den systemfiles nicht stimmt und du die CD einlegen sollst?

hier ist die Original-Meldung:

"Es wurden Dateien, die zum Ausführen von Windows erforderlich sind, mit unbekannten Versionen ersetzt. Die Originalversionen dieser Dateien müssen wiederhergestellt werden, um die Systemstabilität beizubehalten.

Legen Sie Windows XP Professional Service-Pack 3 CD jetzt ein".

Bringt es jetzt überhaupt was eine CD zu erstellen? Laut Meldung sind ja bestimmte Original-Inhalte ersetzt worden. Wenn ich jetzt also eine CD erstelle, übernehme ich sie ja damit, oder?

Zitat:

Zitat von Koti

hier ist die Original-Meldung:

[COLOR="DarkRed"]"Es wurden Dateien, die zum Ausführen von Windows erforderlich sind, mit unbekannten Versionen ersetzt. Die Originalversionen dieser Dateien müssen wiederhergestellt werden, um die Systemstabilität beizubehalten.

das ist nicht gut. Breche den Prozess ab/beende sfc/scannow
Lasse dann combofix scannen:
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Gehe genau nach der Anleitung vor! Alle Antivirenprogramme müssen deaktiviert sein! Alle Programme geschlossen! Nichts anklicken wenn combofix scannt!
log posten.

so, hab jetzt noch auf die Schnelle paar wichtige Dateien gesichert.

Wenn ich ComboFix morgen durchführe, darf ich dann mit deiner Unterstützung rechnen? Ich sichere heute noch ein paar Sachen.

Vielen Dank für deine Zeit und Tipps heute !!!

Zitat:

Zitat von Koti

so, hab jetzt noch auf die Schnelle paar wichtige Dateien gesichert.

Wenn ich ComboFix morgen durchführe, darf ich dann mit deiner Unterstützung rechnen? Ich sichere heute noch ein paar Sachen.

Vielen Dank für deine Zeit und Tipps heute !!!

Das ist ok

was du auch machen kannst anstatt combofix ist dir eine windows xp cd vom Kumpel auszuleihen und dann sfc/scannow ausführen. Das muss aber gemacht werden da infizierte systemdateien nicht sein dürfen.

grüsse

MH.

Mit dem Windows Original CD habe ich bereits geregelt. Diese bekomme ich voraussichtlich nächstes Wochenende. Um sicher zu sein, komme wahrscheinlich um die Neuinstallation nicht herum. Aber dank deiner Hilfe kann ich zumindest meine Dateien retten. - vielen vielen Dank dafür.

Meinst du, es ist i.O. wenn ich ein Backup von meinem Firefox Browser bzw. Thunderbird erstelle und nach der Neuinstallation wieder aufspiele? Übertrage ich damit keine Viren auf das neue System? Die Inhalte sind sehr wichtig für mich.

Macht es Sinn jetzt alle relevanten Passwörter zu ändern?

Zitat:

Zitat von Koti

Übertrage ich damit keine Viren auf das neue System? Die Inhalte sind sehr wichtig für mich.

http://www.trojaner-board.de/75622-d...ittierung.html
http://www.trojaner-board.de/75619-a...x-live-cd.html
http://www.trojaner-board.de/51262-a...sicherung.html
http://www.trojaner-board.de/74052-s...-internet.html

Zitat:

Macht es Sinn jetzt alle relevanten Passwörter zu ändern?

nein, mach das nach der neuinstallation/oder von nem anderen comp.

verstehe ich es richtig, dass ich FF und Thunderbird übernehmen kann, jedoch die Passwörter ändern muss?

Beim FF werde ich vorsichtshalber nur die Lesezeichen als Ordner kopieren. Add-ons kann ich aufs neue installieren. Thunderbird enthält jedoch zahlreiche e-mails, die ich benötige.