moin,

seit einiger Zeit wird unter anderem nach dem Antivirus Durchlauf folgende Meldung im Report angezeigt,
muß man sich diesbezüglich Sorgen machen
oder reagiert hier AntiVir evtl. zu empfindlich?

Mir gehts hauptsächlich um diese Meldung beim rootkitscan, was bedeutet das mit den versteckten Objekten?

hier Ausschnitte aus dem Protokol:

Beginn des Suchlaufs: Samstag, 28. Mai 2011 09:13

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oose05.00.00.01pro
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

und dies ist der Abschlußbericht:

Ende des Suchlaufs: Samstag, 28. Mai 2011 12:43
Benötigte Zeit: 3:30:10 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

6172 Verzeichnisse wurden überprüft
712678 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
712678 Dateien ohne Befall
7795 Archive wurden durchsucht
0 Warnungen
1 Hinweise
357527 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

habe in einem anderen thread diese Anweisung gelesen, wurde mir von google vorgeschlagen, als ich die Sucheingabe (oose05.00.00.01pro) machte:

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-g...entfernen.html

könnte dies auch hier zur Identifizierung und Aufklärung beitragen?


Dank schon mal vorweg für sachkundige Hinweise

mfg Uwe

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

moin Arne,

danke für die Bearbeitung

werde mal versuchen, die txt- Dateien zu laden.

Gruß Uwe

Und Malwarebytes hat überhaupt nichts gefunden?
Erstell bitte mal ein Log mit GMER und poste es.

moin Arne,

bei Malwarebytes waren null Einträge!

bei GMER ist der "oose05.00.00.01pro" -Eintrag mit einer ellenlangen Buchstabenziffern-Folge zu sehen
stört dies evtl. den AntiVir?

machen wir morgen weiter, muß früh um 5Uhr wieder raus
und hab noch ein paar andere Sachen zu erledigen!

danke Dir

Gruß Uwe

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

moin Arne,

mamamia, das ist ja ein Spektakel

cf ist durchgelaufen,
wurde ganz schön viel am Rechner umgemodelt

antivir mag die cofi.exe wohl auch nicht so recht!
folgender Spruch kam nach dem Neustart:

In der Datei 'C:\cofi\handle.cfxxe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

hier mal die cf log.txt
und die antivir Meldung über die nun anderen "versteckten Objekte"
und was hat der neue Ordner "Qoobox" in "C" für eine Funktion?

wie wertet man die logs aus?
oder bleibt dies nun euer Geheimnis?

laß mich mal überraschen, was sonst noch kommt

ansonsten "Danke"

Gruß Uwe

Qoobox ist der Quarantäneordner von CF. Weil CF mit harten Bandagen kämpft, wird es von den Scannern als Schädling eingestuft, CF ist aber keine malware.

Zitat:

Drive C: | 14,17 Gb Total Space | 3,64 Gb Free Space | 25,66% Space Free | Partition Type: FAT32

Wer hat dir eigentlich den Rechner installiert? FAT32 für C (Systempartiton) ist sehr suboptimal!

moin Arne,

den hab ich vor zig Jahren selbst installiert!

weshalb sollte ich das Laufwerk c nicht mit fat32 formatieren?
So habe ich zumindest auch noch Zugriff im dos mit Hilfe von Disketten und muß nicht ewig auf linux ausweichen, außerdem ist`s doch nur für klickibunti, dort braucht niemand wirklich größere Dateien als 2G, falls ich große Dateien benötige, also umfangreichere Programme installiere, platziere ich jene auch in ntfs Partitionen!
Bislang hatte ich nie Ärger mit Rechnern, die so aufgebaut waren, dieser hier läuft auch wieder seit ca.6 Jahren oder noch länger mit xp (zuvor win2000, davor win95/98/SE/ME, zwischenzeitlich zusätzlich suse 9-11), ohne ihn je "plattmachen" zu müssen, dies empfinde ich nämlich als absolut "unsportlich".
Ich versuche immer Rechner von Freunden/Bekannten zu retten, bevor ich sie notgedrungen evtl. doch formatieren darf, weil sie zu "belastet" sind, arbeitsintensiv werden
Ab und zu stöpsel ich eben mal ne andere agp/pci Karte oder Festplatte, installiere ein anderes Programm zum Testen oder just for fun.
Wir haben ja oft genug kalte oder verregnete Tage in unserer Region und einen gewissen Lerneffekt, als auch Erfolgserlebnisse bringt dies unweigerlich mit sich. Man gönnt sich ja sonst nix, zumindest was diese Technologie betrifft und möchte stetig dazu lernen

Aber zurück zum Thema, was hat dies mit den wechselnden "versteckten Objekten" während eines antiviren scans auf sich?
Wird bei den antiviren Programmen ein Zufallsprinzip abgearbeitet, nach dem Motto, heute wird mal dieser Eintrag als Objekt entdeckt und morgen jener, der eine scan findet´s, der andere wiederum mal nicht?

nun denn, ich bedanke mich trotzdem bei Dir
und werde so manchen thread mit einem Auge weiter beobachten

Gruß Uwe

Zitat:

weshalb sollte ich das Laufwerk c nicht mit fat32 formatieren?

FAT32 ist für Windows-Systempartitionen eine Sicherheitslücke. Das gesamte Rechteprinzip, welcher Benutzer mit welchen Rechten wo was schreiben oder nur lesen darf als beispiel, beruht auf NTFS-Berechtigungen. Da FAT/FAT32 sowas nicht hat, kannst du dir als Gast oder eingeschränkter User dein Windows zerschießen, weil nicht-Admins Rechte haben, die sie garnicht haben dürften.
Aber da unter Windows anscheinend eh alle als Admin surfen dürfte das im Prinzip auf das gleiche hinauslaufen, so sinnfrei wie es ist. Wenn du in Zukunft ein Prinzip folgen willst um das System zu schützen, musst du eingeschränkte Rechte haben, das ist nur dann in vollem Umfang da, wenn die Systempartition auch auf NTFS ist.

Zitat:

So habe ich zumindest auch noch Zugriff im dos mit Hilfe von Disketten und muß nicht ewig auf linux ausweichen,

Das ist das - man verzeihe mir - das bescheuerteste Argument was ich je gehört habe. DOS ist Steinzeit! Da ist ja jedes halbwegs aktuelle Linux moderner und komfortabler zu bedienen! Obendrein kann Linux auch schon seit Jahren problemlos NTFS lesen und schreiben.