Scheint, als wäre doch noch ein Rootkit im System:

Rootkit-Suche mit Sophos Anti-Rootkit

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

• Gehe zu Sophos und lade deren Rootkitescanner herunter.
  (Bebilderte Anleitung in Englisch) - Kurzanleitung in Deutsch.
• Zum Download ist eine Registrierung nötig.
• Das Programm ist auch für Vista und Windows 7 geeignet.
  Du bekommst eine Installationsdatei sarsfx.exe.
• Starte diese, akzeptiere die Lizenzbestimmungen und lasse das Programm installieren,
  ändere den vorgegebenen Pfad C:\programme\sophos\sophos anti-rootkit nicht.
• Schließe alle anderen Programme und gehe mit dem Explorer in diesen Ordner und starte sargui.exe.

• Lasse unter Area alles angehakt und starte den Scan mit "Start scan".
  Der Scan dauert einige Zeit, wenn er fertig ist, poppt ein Fenster auf mit
  einer Zusammenfassung, klicke dort "Ok".
• Beende den Sophos Rootkitscanner, dieser Scan dient zunächst nur der Analyse.
• Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche),
  dort gibt es eine Datei namens sarscan.log, deren Inhalt bitte posten.

ich hätt mal ne frage gibt es eine andere alternative wo man sich nicht registrieren bzw anmelden muss? mach sowas irwie ungerne bei solchen programmen und an sich die sachen die da stehen zu machen mag ich nicht
ich weiß wieso der andere scanner spinnt
es liegt an avira ...jedoch beenden kann ichs nicht bzw deaktiivierung bringt nix auch wenn ichs deinstalle findet der scanner irgendwie avira dateien

Ja, eine hab ich noch auf Lager ;)


Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  Shadow SSDT
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/05/31 21:27
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB4964000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xB8648000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB3251000 Size: 49152 File Visible: No Signed: -
Status: -

Name: XDva346.sys
Image Path: C:\WINDOWS\system32\XDva346.sys
Address: 0xB2DE0000 Size: 65280 File Visible: No Signed: -
Status: -

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xb872d236

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xb872d22c

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xb872d23b

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xb872d245

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xb872d24a

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xb872d21d

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xb872d254

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xb872d24f

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xb872d240

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xb872d227

==EOF==

Hi,

bitte mal mit Systemlook suchen:

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  ---

  :filefind
XDva346.sys

:regfind
XDva346.sys

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 14:26 on 02/06/2010 by Administrator (Administrator - Elevation successful)

========== filefind ==========

Searching for "XDva346.sys"
No files found.

========== regfind ==========

Searching for "XDva346.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XDva346]
"ImagePath"="\??\C:\WINDOWS\system32\XDva346.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XDva346]
"ImagePath"="\??\C:\WINDOWS\system32\XDva346.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\XDva346]
"ImagePath"="\??\C:\WINDOWS\system32\XDva346.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\XDva346]
"ImagePath"="\??\C:\WINDOWS\system32\XDva346.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva346]
"ImagePath"="\??\C:\WINDOWS\system32\XDva346.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva346]
"ImagePath"="\??\C:\WINDOWS\system32\XDva346.sys"

-=End Of File=-