Schönen guten Tag zusammen!
Erst mal möchte ich sagen, dass es schön ist das es solch ein Forum gibt und ich als Neuling hierauf gestoßen bin!
ich hab mein System relativ neu aufgesetzt (ca. 3 Wochen) und habe zeitgleich viele Anti-Rootkits, Anti-Malwareprogramme installiert.
Und gestern habe ich mal wieder alle durchlaufen lassen und Malwarebytes' Anti-Malware hat ein paar Trojaner gefunden und entfernt (leider muss ich zugeben, dass ich deren Namen mir nicht merkte ). Aber darunter war etwas wie "aware" und "hiderun.exe"...

Nun mein eigentliches Problem:
1. Nach der Entfernung der Trojaner/Maleware macht Ad-Aware keinen vollständigen Scan mehr, bricht nach einiger Zeit ab, mit der Fehlermeldung das es unerwartet beendet wurde.
2. Wenn ich GMER benutze wird das System unglaublich langsam und auch nach Beendigung von GMER hilft nur noch ein Reset.

Konnte mit viel Geduld das Logfile sichern von Gmer:

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-21 13:36:23
Windows 5.1.2600 Service Pack 3
Running: sy0nkbvp.exe; Driver: C:\DOKUME~1\****\LOKALE~1\Temp\kgrcypow.sys


---- System - GMER 1.0.15 ----

SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                         ZwClose [0xB9F8E818]
SSDT            BA756846                                                                                                   ZwCreateKey
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                         ZwCreatePagingFile [0xB9F82A20]
SSDT            BA75683C                                                                                                   ZwCreateThread
SSDT            BA75684B                                                                                                   ZwDeleteKey
SSDT            BA756855                                                                                                   ZwDeleteValueKey
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                         ZwEnumerateKey [0xB9F832A8]
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                         ZwEnumerateValueKey [0xB9F8E910]
SSDT            BA75685A                                                                                                   ZwLoadKey
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                         ZwOpenKey [0xB9F8E794]
SSDT            BA756828                                                                                                   ZwOpenProcess
SSDT            BA75682D                                                                                                   ZwOpenThread
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                         ZwQueryKey [0xB9F832C8]
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                         ZwQueryValueKey [0xB9F8E866]
SSDT            BA756864                                                                                                   ZwReplaceKey
SSDT            BA75685F                                                                                                   ZwRestoreKey
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                         ZwSetSystemPowerState [0xB9F8E0B0]
SSDT            BA756850                                                                                                   ZwSetValueKey
SSDT            \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xACD8A620]

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2C28                                                                       805044C4 4 Bytes  CALL C8D4FEC1 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2CE8                                                                       80504584 4 Bytes  JMP BD1AFF81 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2E88                                                                       80504724 4 Bytes  CALL 0CB30121 
.text           C:\WINXP\system32\DRIVERS\ati2mtag.sys                                                                     section is writeable [0xB97D5000, 0x253E67, 0xE8000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress]                          [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                 [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]                 [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress]                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]                 [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                     8A681FB0

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                  Lbd.sys (Boot Driver/Lavasoft AB)

Device          \Driver\Cdrom \Device\CdRom0                                                                               8A50BF00
Device          \FileSystem\Rdbss \Device\FsWrap                                                                           89986270
Device          \Driver\Cdrom \Device\CdRom1                                                                               8A50BF00
Device          \FileSystem\uiwbrdr \Device\WEBDEMiniRdr                                                                   8A5F8DE0
Device          \FileSystem\Srv \Device\LanmanServer                                                                       8979F520
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                          8A839EA8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                8A839EA8
Device          \FileSystem\Npfs \Device\NamedPipe                                                                         8997F848
Device          \FileSystem\Msfs \Device\Mailslot                                                                          8999FF30
Device          \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0                                                 8A4AE1E8
Device          \Driver\JRAID \Device\Scsi\JRAID1Port5Path0Target0Lun0                                                     8A585F00
Device          \Driver\JRAID \Device\Scsi\JRAID1                                                                          8A585F00
Device          \Driver\d347prt \Device\Scsi\d347prt1                                                                      8A4AE1E8
Device          \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer                                                         8999FA90
Device          \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer                                                          8999FA90
Device          \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer                                                              8999FA90
Device          \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer                                                           8999FA90
Device          \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer                                                          8999FA90
Device          \FileSystem\Cdfs \Cdfs                                                                                     89797030

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40                                                   
Reg             HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@khjeh                                             0x20 0x02 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z0                                            0x10 0x1E 0xA9 0xFC ...

---- EOF - GMER 1.0.15 ----
         

--- --- ---


Ich bin für jegliche Hilfe/Anweisung dankbar! Und bedanke mich schonmal im voraus und bitte um Nachsicht für das etwas chaotische Beschreiben meiner Probleme...wusste nicht wo ich anfangen soll...

freundliche Grüße von bleibsauber

öffne malwarebytes, logdateien und poste die scan logs.
wir könnten auch folgendes machen, du setzt den pc noch mal neu auf, und ich geb dir tipps, wie du ihn vernünftig absicherst, dazu brauchst du keine arme von scannern.

Erst einmal vielen Dank für die schnelle Antwort
habe Malwarebystes benutzt und er scheint nichts gefunden zu haben...

Würde aber auch gerne die Tipps hören welche ein neuaufgesetztes System besser schützen ( werde vielleicht dann deinem Ratschlag folgen und es neu aufsetzen...)

Hier die Logdatei:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4453

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

22.08.2010 17:02:43
mbam-log-2010-08-22 (17-02-43).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 174450
Laufzeit: 3 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

die uac sollte auf maximum stehen.
klicke auf start, ausführen (suchen) tippe
uac
enter
nachfrage bestätigen, regler auf höchste stufe.
so ist es schwiriger heimlich etwas auf dem pc zu instalieren.
Die folgenden konfigurationen als admin ausführen:
2. dep aktivieren:
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

3. sehop aktivieren:
SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen

4. als browser den firefox nutzen:
Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe
5. als adon noscript, es werden dadurch alle scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Adblock Plus: Bekannte Filterlisten für Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.

unter sonstiges die malware blocklist.
7.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
drop.io
(als pdf)
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 25 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
ab sofort also nur noch in der sanbox surfen bitte.
8. autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
9. um deine software aktuell zu halten, instaliere secunia.
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
10.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2010 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
außerdem solltest du sicherheitshalber alle passwörter endern.

Vielen Dank für deine Mühe und die ausführliche Antwort!!!
Wird mich zwar ein wenig Zeit kosten mich da reinzuarbeiten, aber das wird sich auf jeden Fall lohnen und zu einem hoffentlich sicheren System führen!

Nochmals vielen Dank und beste Grüße,
steve



P.S.: hab da noch eine allgemeine Frage: angenommen ich lade eine Datei runter, worin sich ein Trojaner versteckt hat. Führt das dann automatisch dazu, dass mein Rechner infiziert ist? Oder muss man die Datei erst ausführen und den Trojaner aktivieren?