Bisher läuft es ganz gut finde ich, also keine allzugroße Sorge Du nervst auch nicht, ich mache das hier gerne. Und das lässt sich alles irgendwie wieder hinbiegen, nur eins nach dem anderen.

Edit: Statt den beiden Scans möchte ich noch einen anderen Scan dazwischen schieben (also kannst du auch erstmal noch warten mit Malwarebytes und Eset):


Rootkitscan mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system?
           

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Hier nun der rootkitscan:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-02 11:12:34
Windows 6.0.6001 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 Hitachi_ rev.FB4O
Running: 680u028j.exe; Driver: C:\Users\dw\AppData\Local\Temp\pxldapoc.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwCreateFile [0x8FDD1974]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwCreateKey [0x8FDDC388]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwCreateProcess [0x8FDDA166]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwCreateProcessEx [0x8FDDA380]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwCreateSection [0x8FDDDB9E]
SSDT            8188B784                                                                                                              ZwCreateThread
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwDeleteFile [0x8FDD1E54]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwDeleteKey [0x8FDDCC84]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwDeleteValueKey [0x8FDDCA00]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwDuplicateObject [0x8FDD9F08]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwLoadKey [0x8FDDCE34]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwOpenFile [0x8FDD1CEC]
SSDT            8188B770                                                                                                              ZwOpenProcess
SSDT            8188B775                                                                                                              ZwOpenThread
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwRenameKey [0x8FDDD810]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwReplaceKey [0x8FDDD246]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwRestoreKey [0x8FDDD650]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwSecureConnectPort [0x8FDD4506]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwSetInformationFile [0x8FDD2042]
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwSetValueKey [0x8FDDC706]
SSDT            8188B77F                                                                                                              ZwTerminateProcess
SSDT            \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)        ZwCreateUserProcess [0x8FDDA59E]

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetTimerEx + 40C                                                                                       81ECAA60 4 Bytes  [74, 19, DD, 8F]
.text           ntkrnlpa.exe!KeSetTimerEx + 41C                                                                                       81ECAA70 4 Bytes  [88, C3, DD, 8F]
.text           ntkrnlpa.exe!KeSetTimerEx + 43C                                                                                       81ECAA90 8 Bytes  [66, A1, DD, 8F, 80, A3, DD, ...]
.text           ntkrnlpa.exe!KeSetTimerEx + 448                                                                                       81ECAA9C 4 Bytes  [9E, DB, DD, 8F]
.text           ntkrnlpa.exe!KeSetTimerEx + 454                                                                                       81ECAAA8 4 Bytes  [84, B7, 88, 81]
.text           ...                                                                                                                   
?               C:\windows\System32\Drivers\SafeBoot.sys                                                                              Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text           C:\windows\system32\DRIVERS\atikmdag.sys                                                                              section is writeable [0x8E603000, 0x1FB95A, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                               Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                                                              fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                   C:\Program Files\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                   0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                0x01 0x45 0xD8 0x84 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                             
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                          0xA0 0x02 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                       0x2C 0x10 0x37 0x2E ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                0x61 0x2E 0xE5 0xF2 ...
Reg             HKLM\SYSTEM\ControlSet007\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet007\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                       C:\Program Files\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\ControlSet007\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                       0
Reg             HKLM\SYSTEM\ControlSet007\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x01 0x45 0xD8 0x84 ...
Reg             HKLM\SYSTEM\ControlSet007\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)         
Reg             HKLM\SYSTEM\ControlSet007\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0xA0 0x02 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet007\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                           0x2C 0x10 0x37 0x2E ...
Reg             HKLM\SYSTEM\ControlSet007\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet007\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0x61 0x2E 0xE5 0xF2 ...

---- EOF - GMER 1.0.15 ----
         

Gmer zeigt keine Rootkits

Dann versuche bitte nochmal, ob ein Malwarebytes-Update nun möglich ist und lasse es dann scannen. Wenn es immer noch nicht geht, mach dann mit Eset weiter

Malwarebyte update hat geklappt, hier das Log:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5442

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

02.01.2011 13:13:39
mbam-log-2011-01-02 (13-13-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 375182
Laufzeit: 1 Stunde(n), 29 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Okay, sieht auch gut aus. Dann fehlt noch Eset.
Hast du, bevor du GMER ausgeführt hast, auch Defogger laufen lassen? Ich meine damit den Teil der Anleitung:

Zitat:

Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.

Defogger vor Rootkit scan hab ich gemacht. Die in 'Anleitung' erwähnte Logdatei 'defogger_disable.log' hab ich danach allerdings nicht finden können.

eset kriege ich nicht zum Laufen. Ich lade den esetsmartinstaller herunter, führe ihn aus und komme zum downloadfenster des eset online scanners. Hier gibt es einen 'start'-Button. Wenn ich den anklicke, kommt die Fehlermeldung

Cannot get update. Is proxy configured?

In dem Fenster hab ich die Möglichkeit, ein Häkchen zu setzen bei:

'Use custom proxy settings' - ändert aber nichts. Ich hab auch die Möglichkeit 'configure' zu wählen - aber da fragt mich eset nach rätselhaften Sachen...

Hast du den Browser als Administrator gestartet? (Rechtsklick auf das Browsericon und dann "Als Administrator starten")

Alternative: Anstatt Firefox einmal mit dem Internet Explorer versuchen.

ich bin im admin-benutzerkonto; IE funktioniert schon lange nicht mehr, soll ich ihn neu herunterladen?
Rechtsklick und als admin ausführen ändert nichts

Was heisst, dein IE funktioniert nicht mehr?

Aufgrund Deiner Nachfrage hab ich IE wieder mal ausprobiert; er war nur auf offline-Betrieb gestellt; ich nutze ihn normalerweise nicht.
Mit dem IE hat's geklappt, der scan läuft gerade.

Okay, dann poste das Log sobald der Scan durch ist.

eset scan hat ewig gedauert, lag z.T. daran, dass ich Probleme mit dem wlan hatte. Außerdem hab ich ihn zweimal laufen lassen, weil eset zwar etwas gefunden hatte, im log davon aber nichts stand. In der Annahme, ich habe etwas falsch gemacht, hab ich ihn ein zweites Mal laufen lassen, aber auch beim zweiten Mal sieht das log.txt unergiebig aus:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=53251
esets_scanner_update returned -1 esets_gle=53251
         

Als der scan lief, konnte man aber Meldungen über zwei 'threats' sehen:

C:\Users\d\desktop\Everest Poker.exe - a variant of Win32/Casino application

C:\Windows/winsxs\x86_microsoft-windows-autochk_31bf3856ad364e35_6.0.6001.18000_none_e1f3ed49c1c122ef\autochk.exe - probably a variant of Win32/Agent.HIXVFPI trojan

Ist es eigentlich bei so einem online-scan kein Problem, dass firewall und avira ca. 18 Stunden ausgeschaltet sind?

18 Stunden hat der Scan gedauert? Das mit der Firewall und AVP ist kein Problem, solange du nicht wild auf dubiosen Seiten im Internet herumsurfst. Es ist natürlich am optimalsten, wenn du die Scans einfach laufen lässt und in der Zeit nicht am Rechner arbeitest!


Kannst du bitte einmal Zonealarm sowie AlkoholSoft komplett deinstallieren (kannst du, wenn du möchtest, nach der Bereinigung wieder installieren) und einen weiteren Rootkitscan machen. Lasse vorher den CCleaner nach Anleitung dein System bereinigen CCleaner Anleitung Schritt 1 und 2



Rootkitscan mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system?
           

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Nein, pro Durchlauf hat der scan ca. 6 Stunden gedauert; hab' ihn zweimal gemacht und zwischendurch Probleme mit dem wlan.

Zonealarm hab ich deinstalliert.
Alcoholsoft lässt sich nicht deinstallieren, wenn ich auf deinstallieren klicke, kommt die Fehlermeldung 'setup kann die installation nicht überprüfen'.

Trotzdem weiter mit scans?

Software mit Revo Uninstaller deinstallieren

Downloade Dir bitte den Revo Uninstaller

• Doppelklick auf die revosetup.exe.
• Installiere das Tool in den vorgegebenen Pfad.
• Doppelklick auf das Revo Uninstall Icon.
• Suche Dir nun folgende Software aus der Code-Box.
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Alcoholsoft
           

  Klicke darauf und bestätige mit Ja.
• Belasse die Einstellung der Deinstallationsroutine auf Moderat und klicke auf weiter.
• Das Tool wird nun nach allen Einträgen auf dem Rechner suchen. Klick auf weiter.
• Klick auf den Markiere alle Button und klick auf weiter und bestätige mit Ja.

Starte den Rechner neu auf.


Falls das funktioniert, danach den CCleaner ausführen und dann Gmer.