Gehe auf dein Arbeitsplatz im PC -> Oben auf "Extras" -> Ordneroptionen-> "Ansicht" -> "Geschützte Systemdatein ausblenden (empfohlen)" = Haken weg -> "Alle Datein und Ordner anzeigen" Haken rein.

Lade nun folgende untenstehende Datein, die in den Code tags stehen bei VirusTotal - Free Online Virus and Malware Scan hoch, poste das Ergebnis mit Md5 und Sha. Falls nicht alles passen, sollte, dann teile die Ergebnise auf mehrere Beiträge auf.


Azureus -> Ich würde dir empfehlen es zu deinstallieren, das Programm ist zwar an sich nicht schädlich, aber dadurch kann man sich verseuchte Datein herunterladen.

Hallo Angel,

also erstmal zum ersten Eintrag mit der Endung *.TMP, das ist ein Ordner der die Datei WiseCustomCalla.dll beinhaltet.
Diese habe ich jetzt gesendet und scannen lassen, Ergebnis:

Und inetsrv ist ebenfalls ein Ordner, meines Erachtens ist das der IIS-Ordner.
Ich hab hier nen Webserver zu laufen wegen der Autodesk Datenmanagament Lösung, die braucht den IIS zum Arbeiten genauso den SQL-Server.

Ich lad jetzt nicht alle Dateien aus dem inetsrv Ordner hoch, das wär ein bisschen viel :)

Bitte MIT den Funden der 40 AVP Scanner, erst senden, wenn der Ladebalken oben zu Ende ist, sonst hats kein Wert ;)

Hab die Scan-Ergebnisse jetzt mit beigefügt, hatte ich vorher nicht so richtig realisiert das er mit den Scan-Engines das File durchsucht :uglyhammer:
Ich hab die Ergebnisse nachträglich unten reineditiert, sieht aber so aus als wenn das File ok ist.
Warum erscheint der Thread eigentlich von unten nach oben sortiert? Kann man das irgendwo umbiegen, dass von oben nach unten sortiert wird?

Die Treiberdateien sind nicht mehr vorhanden und auch ähnlich bekloppt benannte Dateien lassen sich nicht auffinden in \%windowsroot%\system32\drivers

:daumenhoc

P.S.: och nö, Azureus ist echt komfortabel für torrents, hatte allerdings schon überlegt ob ich nicht mal nach nem schlankeren Client Ausschau halte.
Und wo wir schon mal dabei sind, der Webserver kann jetzt eigentlich wieder runter, da ich das Autodesk Datenmanagement sowieso nur zu Testzwecken drauf habe. Werde den IIS dann nach der Aktion runterknüppeln.

diese bitte auch.

Ist nicht im Verzeichnis zu finden und auch kein Ordner da.

:kaffee:

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Na juht, aber was soll ich denn nun noch alles auf den Rechner loslassen?
Da wäre ich ja mit ner Neuinstallation wahrscheinlich schon durch :)

Aber anyways, ich lass die Sachen noch mal durchlaufen und hoffe das sich Kaspersky nicht mit dem Symantec Antivirus beißt und hoffe auf Besserung.

Grüße

Zum einen Punkt ja ;)
Zum anderen Punkt, falls Du weiterhin bereinigen willst, dann müssen wir halt viele Schritte durchgehen, da der Rootkit natürlich Sachen nachgeladen haben kann. Wie andere Malware, da müssen wir natürlich genauer schauen und evtl. auch viele Online Scans etc durchmachen :)

Hab noch was für Dich *gggg*

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Pheeew,

das hat ne Weile gedauert die Scans durchlaufen zu lassen. Prevx hat mir keinen positiven Fund gemeldet, sodaß ich das Logfile nicht poste da es ziemlich umfangreich ist. Der Panda Scanner hat mir im Wesentlichen nur Tracking-Cookies gemeldet, die er als niedrige Bedrohung eingestuft hat.
Gefunden hab ich die dann allerdings nicht mehr im entsprechenden Verzeichnis.


Kaspersky Log-File:

Und das Avenger-Logfile noch anbei:

Also waren von den kryptischen Treiberdateien doch noch welche in meinem System, obwohl ich den Prozess schon gelösch hatte mit gmer. Die versteckten Registry-Einträge sind auch weg.

Sieht ja nun doch gar nicht schlecht aus. Allerdings werde ich demnächst dann doch neu installieren um auf Nummer sicher zu gehen und Windows 7 steht ja schon vor der Haustür :)

Bitte noch PrevX und Panda Active Scan ausführen.

Habe ich doch beide ausgeführt und die Resultate beschrieben.
Die Logs passen nicht in den Post rein, deswegen als Anhang:

Ich glaub ich hab das Logfile nicht exportiert von Panda-Scan, kanns zumindest nicht finden auf dem Rechner.

die Prevxrar.txt umbenennen in Prevx.rar, hätte ich sonst auch nicht uploaden können, weil selbst die Textdatei zu groß war.

Grüße

Poste bitte ein Screenshot des PREVX Resultates, in dem Log sind lauter verwirrende Buchstaben und nixx gescheites zu erkennen.

Ich bin ab morgen wieder zu erreichen.