Doch, das Tool WinDLG sollte auch die anderen Platten testen können...hab ich selber erst vor einigen Tagen gemacht.

WinDLG kann zumindest den SMART-Status auswerfen - und der ist ok. Man muss es nur als Administrator ausführen - Sch...Vista. Die Einzeltests klappen nicht.

Also immer noch der komische GMER-Eintrag - ist das jetzt was oder nicht?

GMER war IMHO ok. Was macht die Auswertung der smserial?

0/41. s.u. smserial war also scheinbar OK.

Was ist das dann für ein Zeug, das in GMER drinsteht? Bei Ausrufezeichen werde ich immer so aufmerksam ... Und was ist dieser komische acehlp Driver, der ausführbar sein soll?

Langsam wirds doch Weihnachten ;)

Ich glaub das alles im Detail zu erläutern geht zu weit :D
ntkrnlpa.exe ist jedenfalls ein essentieller Bestandteil von Windows. Beim Scannen hat GMER Dir aber nicht soeine Meldung gezeigt oder?

Entschuldigt bitte, wenn ich mal einklinke - vielleicht hilfts ja.
Vor ein paar Tagen - XP-prof.-Client. Gleiches Problem in der Firma (100% Prozzi-Last). Die Kiste hat sich als Spam-Schleuder herausgestellt. Sendet Massenmails zu Viagra, bis zu 1000 St/Stunde (Routerprotokoll). Kiste sofort vom Netz genommen, Prozzi-Last geht runter (schwankend von 0 bis 50%). Installierter Kaspersky merkt absolut nichts.
3 weitere Win-Virenscanner (Avira, AVG, Comodo) finden nichts. Avira rescue-Cd (Linux) findet nichts. PartPE-CD mit Kaspersky findet nichts. Malwarebyte, A-squared und Spybot finden nichts.
Wieder installierten Kasperky auf extrem empfindlich eingestellt, wieder an's Netz genommen. Jetzt merkt der was und meldet Massenmailer - kann den aber nicht dauerhaft blocken, da dieses Mistvieh von Massenmailer die Services.exe benutzt. Wieder vom Netz genommen. Services.exe und svchost.exe per BartPE-CD erst geprüft (Originalzustand) und vorsichtshalber durch Originale ersetzt.
Prozess-Explorer zeigt nichts verdächtiges an, daher:

Gmer angeworfen. Im Reiter "Services" einen Service gefunden "ohne Namen" mit Option "BOOT". Service erst deaktiviert und danach gelöscht. Kiste probeweise wieder an's Netz - sendet nicht mehr, keine unkontrollierte Netzwerkaktivität und Prozessorlast im Leerlauf 0-2%.

Kiste wird geplättet - sicher ist sicher. Trotzdem suche ich "rein aus Neugier" über die Feiertage noch weiter. Ich will den Sauhund erwischen :snyper:

gruß +schöne Feiertage

@ Arne/cosinus:

Nochmal alles vom Netz getrennt etc. und GMER laufen lassen (hing beim ersten Mal nach 20 Min.). Resultat (Deswegen die Auszeit):

Scheint also nicht so zu sein, dass da was ist, oder? Aber warum die Ausrufezeichen, warum section is executable?

@ Bullabeiser: Bitte halte mich auf dem Laufenden, klingt ziemlich abgefahren ...

Mein nächster Schritt: Das da

Aber erst nach den Feiertagen - hab gerade "die Schnauze voll"

PS.: ich hab die Datei c:\windows\system32\ndis.sys in konkretem verdacht.

ndis.sys - glaub ich nicht wirklich, dass die dran schuld soll.
@monogram, Du kannst sie ja trotzdem mal bei Virustotal.com auswerten lassen.
Was Bullabeiser da ansprach, hast Du auch "unkontrollierten" Traffic? Blinkt die Traffic-LED des Modems permanent?

@ Arne/cosinus
Vielen Dank. Traffic kann ich so nicht kontrollieren - war der erste in meiner damaligen Siedlung, bei dem DSL lief, und jetzt hab ich nicht mal mehr einen Anzeiger dafür:singsing:

Was mich eigentlich nur interessieren würde: Zeigt das Gequake in GMER jetzt was an oder nicht? Die von Dir zitierten Warnungen hab ich jedenfalls nicht gesehen. http://www2.gmer.net/gmer.jpg

Und Combofix wäre jetzt die sechste ungeprüfte Software, die ich zum Ausbügeln eines mutmaßlichen Rootkits installieren müsste ...:confused:

Du kannst am Modem oder Router direkt schaun.

Ich hab schonmal erwähnt, dass das GMER Logfile ok ist.

CF kann einem aber die Arbeit ungemein erleichtern. Halte Dich aber unbedingt an folgende Anleitung!!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lieber Arne,

der Router wird über einen Win98 SP2 Uralt Aldi Laptop gesteuert, den ich nur alle Jubeljahre mal anschmeisse. Bis jetzt lief das ohne Probleme (letztes Hardware-Update so vor 1 a). Das mag ich heute nicht mehr aufmachen, bin schon am Kofferpacken. Gibts irgendein Tool zum anzeigen Traffic am PC? Seitdem ich wireless console habe, bewegt sich da nix mehr.

Wenn Du sagst, in GMER ist nichts, dann ist da nichts. OK, Vielen herzlichen Dank.

Vielleicht ist der Rechner nach 23 Monaten einfach schon zu alt :heilig:

Fröhliche Weihnachten wünscht Dir monogram :dankeschoen:

Was ist denn das für eine Konfig? :D
Am Router ist normalerweise JEDER PC dran, dann kannst Du den auch von Deinem jetzigen Rechner aus erreichen.
Ich wollte aber eigentlich, dass Du Dir den Router bzw. das Modem direkt anschaust und auf die LEDs achtest.