Systemwiederherstellung nicht möglich... Wie verfahren?

#31 Jo lass nochmals laufen.

#32 Waerend des Checks kriege ich folgende Meldung:
Dieser PC verfuegt nicht ueber die "Microsoft-Wiederherstellungskonsole"
Ohne diese wird Combofix die Reparatur einiger schwerer Infezierungen nicht vornehmen. Klicke auf "Ja", um mit ComboFix die Wiederherstellungskonsole herunterzuladen und zu intsllieren.

NB: Dies benoetigt eine funktionierende Internetverbindung.


Da klicke ich natuerlich auf Ja...

Dann kommt folgender Fehler:
Herunterladen der benoetigten Dateien fehlgeschlagen.


Danach:
Rootkit - TDL3 detected
Be patiant This may take some moments. Klick auf OK.

Danach:
Rootkitaktivitaeten festgestellt, PC muss neugestertet werden. Klick auf OK.

Und nach dem Neustart ist der Bildschirm einfach nur schwarz... Da passiert gar nichts...
Beim ersten Mal war es genauso, nur dass der Bildschirm nicht scharz war. Da lief nach dem Neustart alles weiter...

#33 Ich ahb den PC ausgeschaltet und wieder neugeschaltet...
jetzt lauft er die Stufen durch...
Mal schauen, ob ich eine .txt-Datei finde...
Das erst Mal war es wie gesagt genau so...

#34 Du darfst währen des Scans überhaupt NICHTS am PC machen!!

#35 Er macht den Neustart selber... Und danach kommt einfach einen schwarzen Bildschirm... Und es passiert minutenlang gar nichts...

Jetzt ist ein blauer Bildschirm gekommen mit der Meldung:
BAD_POOL_HEADER...

Und ohne Ausschalten und Neuschalten geht gar nichts... :o(

#36 • Dowloade Dir bitte TDSS Killer.zip und speichere es am Desktop.
• Extrahiere den Inhalt der Datei auf deinem Desktop.
Gehe sicher das die TDSSKiller.exe am Desktop ist. Nicht in einem Ordner.
• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.

• Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
• Sollte die Meldung "Hidden service detected" schreiben keinesfalls irgendetwas hinein..Drücke nur ENTER !!!
• Wenn das Tool fertig ist, poppt ein Fenster mit den Funden auf.
Dieses bitte einfach schließen.
• Nun auf Report klicken.
• Bitte poste mir den Inhalt hier in deinen Thread.
(auch zu finden unter C:\TDSSKiller<time_date>.txt)

#37 Hallo,

anbei den Report.

#38 Schritt 1

MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

Schritt 2

Versuche nochmals Combofix.

#39 Anbei das Ergebnis vom Schritt 1.

#40 ComboFix ist zwar noch nicht fertig, aber es lief wie beim letzten Mal... Gestern gegen 20 hatte ich Dir das beschrieben... Wieder die Meldungen mit den Rootkitaktivitaet... Allerdings kam bisher keinen schwarzen und keinen blauen Bildschirm... Er ist gerade bois STufe 50 und loescht gerade C:Restorpoint...
etzt sagt er, dass er Windows nue straten wird... Ein zweites Mal. Das ist neu... Mal schauen...

#41 Jetzt bereitet er eine Logdatei... Das ist auch neu... Wahrscheinilch werde ich diesmal doch etwas zum Posten haben ;o)

#42 Falls es nicht geht:

Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.

• Entpacke die .rar Datei auf deinem Desktop. ( Rechtsklick --> hier entpacken )
Solltes du keine Zip Software auf deinem Rechner haben downloade dir bitte 7zip und installiere es.
• Öffne den neuen Ordner und starte die RKU3.8.388.590.exe.
• Wähle als Sprache English und installiere RKU im vorgegebenen Pfad.
• Trenne Dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter. Besonders den deiner Anti Virensoftware.
• Start --> Alle Programme und im Ordner Rootkit Unhooker LE die Datei RKU starten.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Klicke auf den Report Tab und danach auf Scan
• Setze ein Häckchen bei

Drivers
• Stealth Code
• Files
• Code HooksEntferne alle anderen Hacken

• Wenn Du gefragt wirst welcher Bereich gescannt werden soll, gehe sicher das deine Systemplatte ( meistens C: ) angehackt ist.
• Klicke OK
• Wenn der Scan beendet wurde

File --> Save Report klicken.

• Speichere die Datei als RKU.txt auf dem Desktop.
• Klicke Close
Hinweis: Solltest Du folgende Warnung bekommen

Zitat

"Rootkit Unhooker has detected a parasite inside itself!
It is recommended to remove parasite, okay?"

Klicke auf OK

#43 Leider habe ich mich zu frueh gefreut...
Momentan ist wieder der blaue Bildschirm vor mir... :o(
Mit der Meldung BAD_POOL_HEADER
Jetzt muss ich wieder neu starten...

#44 Aaalso...
Nach dem Neustart siht es unter C:/ComboFix total anders... Jetzt gibt es mehrere Dateien, darunter auch txt-Dateien...
Anbei ComboFix.txt

ComboFix 11-01-02.04 - Mariya 06.01.2011 17:49:35.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.704 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mariya\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\RestorPoint
C:\RestorPoint\config.bin
C:\WINDOWS\system32\drivers\AtapiDrv.sys

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ATAPIDRV
-------\Service_AtapiDrv


((((((((((((((((((((((( Dateien erstellt von 2010-12-06 bis 2011-01-06 ))))))))))))))))))))))))))))))
.

2010-12-31 14:15:55 . 2010-12-31 14:15:55 -------- d-----w- C:\_OTL
2010-12-29 21:27:02 . 2010-12-29 21:27:02 -------- d-----w- C:\Programme\VirusTotalUploader2
2010-12-26 18:48:16 . 2010-12-03 09:05:33 15880 ----a-w- C:\WINDOWS\system32\lsdelete.exe
2010-12-26 17:27:38 . 2010-12-26 17:27:38 98392 ----a-w- C:\WINDOWS\system32\drivers\SBREDrv.sys
2010-12-26 17:24:23 . 2010-12-26 17:24:23 -------- d-----w- C:\Dokumente und Einstellungen\Mariya\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-12-26 17:23:42 . 2010-12-26 17:23:56 -------- dc-h--w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{2162CCC0-3A5F-4887-B51F-CE5F195B3620}
2010-12-26 16:33:55 . 2010-12-03 09:05:34 64288 ----a-w- C:\WINDOWS\system32\drivers\Lbd.sys
2010-12-26 16:32:27 . 2010-12-26 16:33:53 -------- d-----w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-12-26 16:32:27 . 2010-12-26 16:32:27 -------- d-----w- C:\Programme\Lavasoft
2010-12-26 13:52:36 . 2010-12-26 13:52:40 -------- d-----w- C:\Dokumente und Einstellungen\Administrator
2010-12-25 19:43:01 . 2010-12-25 19:44:15 -------- d-----w- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-12-25 14:20:22 . 2010-12-25 14:20:25 -------- d-----w- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-12-25 13:56:10 . 2010-12-25 13:56:10 -------- d-s---w- C:\Dokumente und Einstellungen\LocalService\UserData
2010-12-25 13:31:16 . 2010-12-25 13:31:16 -------- d-s---w- C:\Dokumente und Einstellungen\NetworkService\UserData
2010-12-16 19:01:04 . 2010-11-02 15:17:02 40960 -c----w- C:\WINDOWS\system32\dllcache\ndproxy.sys
2010-12-16 18:59:06 . 2010-10-11 14:59:30 45568 -c----w- C:\WINDOWS\system32\dllcache\wab.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-22 18:05:33 . 2010-08-24 16:24:41 135096 ----a-w- C:\WINDOWS\system32\drivers\avipbb.sys
2010-11-22 17:37:09 . 2010-08-24 16:24:41 61960 ----a-w- C:\WINDOWS\system32\drivers\avgntflt.sys
2010-11-18 18:12:41 . 2009-04-23 20:17:36 86016 ----a-w- C:\WINDOWS\system32\isign32.dll
2010-11-05 05:04:20 . 2006-03-04 03:34:45 672768 ----a-w- C:\WINDOWS\system32\wininet.dll
2010-11-05 05:04:20 . 2004-08-04 10:00:00 61952 ----a-w- C:\WINDOWS\system32\tdc.ocx
2010-11-05 05:04:18 . 2004-08-04 10:00:00 81920 ----a-w- C:\WINDOWS\system32\ieencode.dll
2010-11-05 05:02:06 . 2004-08-04 10:00:00 371200 ----a-w- C:\WINDOWS\system32\html.iec
2010-11-02 15:17:02 . 2004-08-04 10:00:00 40960 ----a-w- C:\WINDOWS\system32\drivers\ndproxy.sys
2010-10-28 13:12:17 . 2004-08-04 10:00:00 290048 ----a-w- C:\WINDOWS\system32\atmfd.dll
2010-10-26 14:05:38 . 2004-08-04 10:00:00 1853440 ----a-w- C:\WINDOWS\system32\win32k.sys
2009-02-24 19:34:32 . 2009-02-24 19:34:32 1044480 ----a-w- C:\Programme\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:34:32 . 2009-02-24 19:34:32 200704 ----a-w- C:\Programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AutoStartNPSAgent"="C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe" [2009-04-02 16:05:22 102400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-02-22 03:46:00 13508608]
"avgnt"="C:\Programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 17:39:03 281768]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 07:07:28 827392]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2010-06-17 20:56:44 370176]
"Ad-Watch"="C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe" [2010-12-03 09:05:32 930032]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 02:22:40 15360]

C:\Dokumente und Einstellungen\Mariya\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"C:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;C:\WINDOWS\system32\drivers\Lbd.sys [26.12.2010 17:33:55 64288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;C:\Programme\Avira\AntiVir Desktop\sched.exe [24.08.2010 17:24:44 135336]
R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [12.09.2010 10:12:03 233472]
R2 npf;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [16.11.2009 17:33:38 50704]
R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [12.09.2010 10:12:03 36608]
S3 jrdusbser;Modem Interface Device for Legacy Serial Communication;C:\WINDOWS\system32\drivers\jrdusbser.sys [14.06.2010 21:23:02 105344]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [03.12.2010 10:05:32 1389400]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;C:\Programme\Lavasoft\Ad-Aware\kernexplorer.sys [03.12.2010 10:05:33 15264]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);C:\WINDOWS\system32\drivers\ss_bbus.sys [12.09.2010 10:12:22 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);C:\WINDOWS\system32\drivers\ss_bmdfl.sys [12.09.2010 10:12:22 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;C:\WINDOWS\system32\drivers\ss_bmdm.sys [12.09.2010 10:12:22 121856]
S3 u9usbser;MYWAVEU9 USB Device for Legacy Serial Communication;C:\WINDOWS\system32\DRIVERS\u9usbser.sys --> C:\WINDOWS\system32\DRIVERS\u9usbser.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - FSUSBEXDISK
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.ask.com/?o=14672&l=dis
IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - C:\Dokumente und Einstellungen\Mariya\Anwendungsdaten\Mozilla\Firefox\Profiles\2l5prl9v.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-NPSStartup - (no file)
HKU-Default-Run-RestorPoint.exe - C:\RestorPoint\RestorPoint.exe

#45 Soll ich das mit RKU... trotzdem machen?