Hallo ,
ich habe mir auch eine System tool 2011 Infektion eingefangen. Bin über Chip.de auf die Anleitung mit der .exe Datei gekommen. Die .exe Datei konnte ich finden und löschen. System Tool startet jetzt nicht mehr aber ich kann trotzdem den abgesicherten Modus nicht nutzen. Ich habe dann OTL wie im Board beschrieben laufen lassen und anbei findet Ihr die beiden Log files.
Wäre toll wenn Ihr mir helfen könntet.

DANKE

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
:files
C:\Dokumente und Einstellungen\Rasselbande\Anwendungsdaten\Dvdmod
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jIjEgAn06504
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jFhChJi06504
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

All processes killed
========== OTL ==========
========== FILES ==========
C:\Dokumente und Einstellungen\Rasselbande\Anwendungsdaten\Dvdmod folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jIjEgAn06504 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jFhChJi06504 folder moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default User

User: LocalService

User: NetworkService

User: Rasselbande
->Flash cache emptied: 624 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 1064472 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 2124888 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Rasselbande
->Temp folder emptied: 1363515 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 15982358 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 6527 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1124509 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 21,00 mb


OTL by OldTimer - Version 3.2.21.0 log created on 02252011_085357

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
upload hat geklappt, thx

Hallo, es gibt Probleme mit Combofix.
Der Start funktioniert einwandfrei und die Systemwiederherstellungsroutine lief auch.
Ca. bei Step 50 wurde der Rechner runter gefahren und endete dann im Bluescreen mit dem Hinweis auf
Bad_Pool_Header
Speicherabild wurde erstellt
Danach ging es nicht weiter.
Neustart und neuer Versuch, wieder mit dem Bluescreen. Beim nächsten Start lief der Rechner hoch und Combofix versucht nun seit Stunden das LOG file zu erstellen.
Was tun??

kommst du jetzt wieder in den abgesicherten modus? falls ja versuchs dort

Hallo Markus,
leider nein. Rechner startet nur im normalen Modus.

Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer installiert. Da diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach bösartigen Rootkits verfälschen und erschweren. Aus diesem Grund bitte entweder das folgende Tool zum Deaktivieren
laufen lassen oder die Software über Systemsteuerung => Software/Programme deinstallieren.
Berichte mir, für welche Variante Du Dich entschieden hast. Die Deaktivierung können wir nach der
Bereinigung rückgängig machen.

Lade
http://filepony.de/download-defogger/
herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird.

OK, habe mich für das Tool entschieden.
Reboot wurde nicht erfragt aber das folgende logfile erstellt.


defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:41 on 25/02/2011 (Rasselbande)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

versuch mal gmer
http://www.trojaner-board.de/74908-a...t-scanner.html
log posten

Hallo, das führt nach Ausführung sofort zum bluescreen und wieder der Meldung Bad_Pool_Header

ok erst mal folgendes.
lade den CCleaner slim:
Piriform - Builds
falls der CCleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Ist es normal das bei der Installation der Punkt Prüfe System und Updates über 30 M
Minuten dauert?

Hallo, der Download macht schon Probleme und das Programm bleibt immer bei der Position Prüfe System und Updates stehen.
In den Details sieht man dann folgendes
"Bitte warten, installiere CCleaner...
Zielverzeichnis: C:\Programme\CCleaner"

irgendwas stimmt mit deinem system nicht...
Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
ausführen ergebniss posten