Guten Tag,

ich habe die System-Tool-Malware auf dem PC.
Habe bisher Folgendes gemacht:
W XP im abgesicherten Modus mit Netzwerktreibern gestartet.
rkill laufen lassen.
Malwarebytes laufen lassen.
Hosts-Datei ausgetauscht.

Danach im normalen Modus gestartet. System Tool ist wieder aktiv.
Ich würde mich freuen, wenn Sie mir weiterhelfen könnten.

Eine Verständnisfrage: Die Windowspartition C ist auf derselben Platte wie die Datenpartition. Es gibt darüber hinaus noch eine weitere Festplatte im PC. Ist im Falle einer Neuinstallation von Windows sichergestellt, dass die Malware nicht, auf den Datenpartitionen versteckt, auf dem PC verbleibt?

Mit bestem Dank und Gruß.

nein betroffen ist nur die partition mit windows.
im abgesicherten modus otl ausführen log posten.

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Besten Dank für die schnelle Antwort.
Hier sind die Log-Dateien.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
SRV - (TomTomHOMEService) -- File not found
SRV - (SqueezeMySQL) -- File not found
SRV - (InCDsrvR) InCD Helper (read only) -- File not found
SRV - (de_serv) -- File not found
O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found
:files
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hOgHgLe06504
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
start sollte im normalen modus klappen.
öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

Toll, vielen Dank soweit. Windows startet im Normalmodus ohne dass die Malware startet.
Ich kann allerdings fast kein installiertes Programm starten, alle melden Fehler. Z.T. sind die Ordner, in denen die Programme installiert sind, gesperrt. Ist das noch Erbe der Malware oder Folge der OTL-Anwendung?


All processes killed
========== OTL ==========
Service TomTomHOMEService stopped successfully!
Service TomTomHOMEService deleted successfully!
File File not found not found.
Service SqueezeMySQL stopped successfully!
Service SqueezeMySQL deleted successfully!
File File not found not found.
Error: No service named InCDsrvR) InCD Helper (read only was found to stop!
Service\Driver key InCDsrvR) InCD Helper (read only not found.
File File not found not found.
Service de_serv stopped successfully!
Service de_serv deleted successfully!
File File not found not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\ deleted successfully.
========== FILES ==========
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hOgHgLe06504 folder moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator

User: All Users

User: Anette
->Flash cache emptied: 454 bytes

User: Default User

User: Felice
->Flash cache emptied: 348 bytes

User: LocalService

User: MARCO
->Flash cache emptied: 129031 bytes

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Administrator

User: All Users

User: Anette
->Temp folder emptied: 222 bytes
->Temporary Internet Files folder emptied: 8888363 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temporary Internet Files folder emptied: 33170 bytes

User: Felice
->Temp folder emptied: 1407811 bytes
->Temporary Internet Files folder emptied: 14002942 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: MARCO
->Temp folder emptied: 341781137 bytes
->Temporary Internet Files folder emptied: 1017859599 bytes
->Java cache emptied: 109837228 bytes
->FireFox cache emptied: 54896566 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 465188 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1225817 bytes
%systemroot%\System32 .tmp files removed: 5787015 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9181249 bytes
RecycleBin emptied: 453 bytes

Total Files Cleaned = 1.493,00 mb


OTL by OldTimer - Version 3.2.22.1 log created on 02272011_155322

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

wie siehts nach nem erneuten neustart aus?
welche fehler werden gemeldet?
upload hat geklappt thx.

edit......

Nach dem Neustart keine Änderung:
Im Firefox-Ordner ist keine firefox.exe, nur eine 3 KB-Datei namens firefox, Typ:Verknüpfung mit einer MS-DOS-Anwendung.
Im Thunderbird-Ordner ist eine 12 MB-exe, die aber nicht aufgeht: "Sie verfügen evtl. nicht über ausreichende Rechte..".
Viele Programmordner lassen sich nicht öffnen: "Zugriff verweigert."
So z.B. 7zip. Das Programm habe ich daraufhin neu installiert, funktioniert einwandfrei.

Die Programmordner liegen auf der Datenpartition F der Platte, auf der auch C liegt.

das ist aber merkwürdig.
kannst du mal Malwarebytes updaten und nen komplett scan machen?
log posten

Oha, beim Komplettscan hat Malwarebytes 8 infizierte Objekte festgestellt (beim Quickscan 1 Minute vorher nichts erkannt) und ist dann, mitten im Scan mit "Hat ein Problem festgestellt und muss beendet werden" ausgestiegen.

wie siets im abgesicherten modus aus?

8 infizierte Objekte sind wohl in C -> System Volume Information gefunden worden.
Scan läuft im Save-Modus weiter, bricht nicht ab.
Soll ich den Scan weiter laufen lassen? Alle Datenpartitionen zu scannen dürfte noch ziemlich lang dauern.

ja lass ihn laufen. arbeite während dessen, wie beschrieben nicht am pc!

Ich schreibe von einem anderen PC.

Der Scan ist abgeschlossen. Log ist angefügt.
Ist' s was Übles?