Komplette Festplatte nach Fund von Bootsektorvirus BOO/TDss.C verschwunden

Ake · 20.09.2011, 19:16

So.
Sp3 ist aktualisiert.

KAnnst du mir eventuell weiterhelfen wie es zu dem verschwinden der PArtitionen gekommen ist, dass ich das in Zukunft vermeiden kann oder andersweitig ein zwei Tipps geben um so einer Situatione gar nicht erst gegenüberzustehen?

Das wäre klasse.

Danke schonmal für die ganzen bisherigen Hilfestellungen!

Ake · 20.09.2011, 19:20

IE8 ist im Anmarsch. Hab den Hinweis gerade erst gelesen. Danke!

cosinus · 21.09.2011, 08:31

Gut. Mach nach der erfolgten IE8-Installation ein neues OTL-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

cosinus · 21.09.2011, 20:25

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

cosinus · 26.09.2011, 19:51

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ake · 26.09.2011, 22:01

So. Hier der log.

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-09-26.02 - Ake 26.09.2011  22:43:02.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.598 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ake\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokume~1\Ake\LOKALE~1\Temp\9b93aee4-5d0f-43c6-98ae-ec0b1e7534ab\CliSecureRT.dll
c:\dokumente und einstellungen\Ake\Lokale Einstellungen\Temp\9b93aee4-5d0f-43c6-98ae-ec0b1e7534ab\CliSecureRT.dll
c:\dokumente und einstellungen\Ake\WINDOWS
c:\windows\ehome\medctrro.exe
c:\windows\IsUn0407.exe
c:\windows\system32\kock
c:\windows\system32\muzapp.exe
c:\windows\system32\xmldm
c:\windows\unin0407.exe
E:\Autorun.inf
F:\Autorun.inf
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-08-26 bis 2011-09-26  ))))))))))))))))))))))))))))))
.
.
2011-09-23 17:14 . 2011-09-23 17:14	--------	d-sh--w-	c:\dokumente und einstellungen\Ake\PrivacIE
2011-09-20 18:29 . 2011-09-20 18:29	--------	d-sh--w-	c:\dokumente und einstellungen\Ake\IETldCache
2011-09-20 18:22 . 2011-09-20 18:23	--------	dc-h--w-	c:\windows\ie8
2011-09-20 18:19 . 2010-10-18 11:10	7680	-c----w-	c:\windows\system32\dllcache\iecompat.dll
2011-09-20 18:19 . 2011-06-23 18:31	55296	-c----w-	c:\windows\system32\dllcache\msfeedsbs.dll
2011-09-20 18:19 . 2011-06-23 18:31	602112	-c----w-	c:\windows\system32\dllcache\msfeeds.dll
2011-09-20 18:19 . 2011-06-23 18:31	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2011-09-20 18:19 . 2011-06-23 18:31	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2011-09-20 18:19 . 2011-06-23 18:31	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2011-09-20 18:19 . 2011-06-23 18:31	1991680	-c----w-	c:\windows\system32\dllcache\iertutil.dll
2011-09-20 18:19 . 2011-06-23 18:31	11081728	-c----w-	c:\windows\system32\dllcache\ieframe.dll
2011-09-20 17:48 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2011-09-20 17:47 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2011-09-20 17:47 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2011-09-20 17:23 . 2011-06-24 14:10	139656	-c----w-	c:\windows\system32\dllcache\rdpwd.sys
2011-09-20 17:23 . 2011-04-21 13:37	105472	-c----w-	c:\windows\system32\dllcache\mup.sys
2011-09-20 17:14 . 2011-07-08 14:02	10496	-c----w-	c:\windows\system32\dllcache\ndistapi.sys
2011-09-20 17:14 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2011-09-20 16:17 . 2008-04-14 05:52	294912	------w-	c:\programme\Windows Media Player\dlimport.exe
2011-09-20 16:16 . 2008-04-14 05:52	294912	-c----w-	c:\windows\system32\dllcache\dlimport.exe
2011-09-20 16:08 . 2006-12-28 22:31	19569	----a-w-	c:\windows\002876_.tmp
2011-09-19 20:50 . 2011-09-19 20:50	--------	d-----w-	c:\programme\ESET
2011-09-19 20:08 . 2011-09-19 20:08	--------	d-----w-	c:\dokumente und einstellungen\Ake\Anwendungsdaten\Malwarebytes
2011-09-19 20:07 . 2011-09-19 20:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-09-19 20:07 . 2011-08-31 15:00	22216	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-09-19 20:07 . 2011-09-19 20:07	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-09-19 11:32 . 2003-08-06 08:43	159744	----a-r-	c:\windows\system32\drivers\Fasttx2k.sys
2011-09-19 11:32 . 2003-06-20 13:06	118784	----a-r-	c:\windows\system32\ptipbmf.dll
2011-09-19 11:24 . 2011-09-19 11:24	--------	d-----w-	c:\programme\Lavalys
2011-09-09 09:11 . 2011-09-09 09:11	604160	-c----w-	c:\windows\system32\dllcache\crypt32.dll
2011-09-05 17:04 . 2011-09-05 17:04	183696	----a-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-09-05 17:04 . 2011-09-05 17:04	183696	----a-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
2011-08-30 06:18 . 2011-08-30 06:18	--------	d-----w-	c:\windows\system32\5024
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-09 09:11 . 2002-12-31 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2011-08-14 16:43 . 2011-04-12 18:18	66616	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-08-14 16:43 . 2011-04-12 18:18	138192	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-07-15 13:29 . 2002-12-31 12:00	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-07-08 14:02 . 2002-12-31 12:00	10496	----a-w-	c:\windows\system32\drivers\ndistapi.sys
2011-09-22 23:20 . 2011-04-12 17:48	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-06-19 94208]
"KiesHelper"="c:\programme\Samsung\Kies\KiesHelper.exe" [2011-04-28 934800]
"KiesTrayAgent"="c:\programme\Samsung\Kies\KiesTrayAgent.exe" [2011-04-28 3373968]
"KiesPDLR"="c:\programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2011-04-28 19856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]
"UpdReg"="c:\windows\Updreg.exe" [2000-05-10 90112]
"CTStartup"="c:\programme\Creative\Splash Screen\CTEaxSpl.EXE" [2001-09-15 28672]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Lexmark X74-X75"="c:\programme\Lexmark X74-X75\lxbbbmgr.exe" [2002-10-14 57344]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"Ptipbmf"="ptipbmf.dll" [2003-06-20 118784]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Ake^Startmenü^Programme^Autostart^OpenOffice.org 3.3.lnk]
path=c:\dokumente und einstellungen\Ake\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk
backup=c:\windows\pss\OpenOffice.org 3.3.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-09-05 17:04	35736	----a-w-	c:\programme\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jet Detection]
2001-04-20 12:52	28672	------w-	c:\programme\Creative\SBAudigy\Program\ADGJDet.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 14:40	155648	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskbar]
2001-09-19 23:00	122880	------w-	c:\programme\Creative\SBAudigy\Taskbar\CTLTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TaskTray]
2001-06-28 23:00	163840	------w-	c:\programme\Creative\SBAudigy\Taskbar\CTLTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2011-03-22 18:37	74752	----a-w-	c:\programme\Winamp\winampa.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [15.05.2011 20:53 218688]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.04.2011 20:18 136360]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [19.09.2011 22:07 366152]
R3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);c:\windows\system32\drivers\e10kx2k.sys [12.04.2011 21:12 1758336]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [19.09.2011 22:07 22216]
R3 RTL8187B;Wireless Network USB Adapter 54g WL-168v1.004;c:\windows\system32\drivers\RTL8187B.sys [12.04.2011 19:37 264576]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
S3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\drivers\ssadbus.sys [07.06.2011 22:24 121192]
S3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\drivers\ssadmdfl.sys [07.06.2011 22:24 12776]
S3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\drivers\ssadmdm.sys [07.06.2011 22:24 136680]
.
Inhalt des "geplante Tasks" Ordners
.
2011-09-26 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-04-17 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.hiergehtslos.de
IE: Free YouTube Download - c:\dokumente und einstellungen\Ake\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Ake\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 192.168.1.1 193.189.244.194 193.189.244.202
FF - ProfilePath - c:\dokumente und einstellungen\Ake\Anwendungsdaten\Mozilla\Firefox\Profiles\y7afh0wh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110412194704718&tb_oid=12-04-2011&tb_mrud=12-04-2011&query=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.onlinefussballmanager.de
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&invocationType=tb50-ff-winamp-ab-en-us&tb_uuid=20110412194704718&tb_oid=12-04-2011&tb_mrud=12-04-2011&query=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-NWEReboot - (no file)
MSConfigStartUp-DAEMON Tools Lite - c:\programme\DAEMON Tools Lite\DTLite.exe
MSConfigStartUp-EA Core - c:\programme\Electronic Arts\EA Downloader\Core.exe
AddRemove-AudioHQ - c:\windows\IsUn0407.exe
AddRemove-Creative Installer Setup - c:\windows\IsUn0407.exe
AddRemove-Creative PlayCenter 2.0 - c:\windows\IsUn0407.exe
AddRemove-Creative Recorder - c:\windows\IsUn0407.exe
AddRemove-Creative Restore Defaults - c:\windows\IsUn0407.exe
AddRemove-Creative Surround Mixer 2 - c:\windows\IsUn0407.exe
AddRemove-Creative WaveStudio - c:\windows\IsUn0407.exe
AddRemove-DAEMON Tools Lite - c:\programme\DAEMON Tools Lite\uninst.exe
AddRemove-Diagnostics2 - c:\windows\IsUn0407.exe
AddRemove-Midi Samples - c:\windows\IsUn0407.exe
AddRemove-Sound Blaster Audigy Manual German - c:\windows\IsUn0407.exe
AddRemove-SoundFont Banks - c:\windows\IsUn0407.exe
AddRemove-Taskbar - c:\windows\IsUn0407.exe
AddRemove-{3EE2F527-F306-49E9-0086-662C337ADD3B} - d:\fm 2007\EAUninstall.exe
AddRemove-01_Simmental - c:\programme\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\programme\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\programme\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\programme\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-05_Sloan - c:\programme\Samsung\USB Drivers\05_Sloan\Uninstall.exe
AddRemove-06_Spencer - c:\programme\Samsung\USB Drivers\06_Spencer\Uninstall.exe
AddRemove-07_Schorl - c:\programme\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-08_EMPChipset - c:\programme\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe
AddRemove-09_Hsp - c:\programme\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\programme\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-16_Shrewsbury - c:\programme\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-17_EMP_Chipset2 - c:\programme\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe
AddRemove-18_Zinia_Serial_Driver - c:\programme\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe
AddRemove-19_VIA_driver - c:\programme\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe
AddRemove-20_NXP_Driver - c:\programme\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe
AddRemove-21_Searsburg - c:\programme\Samsung\USB Drivers\21_Searsburg\Uninstall.exe
AddRemove-22_WiBro_WiMAX - c:\programme\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe
AddRemove-24_flashusbdriver - c:\programme\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\programme\Samsung\USB Drivers\25_escape\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-09-26 22:50
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  CTStartup = c:\programme\Creative\Splash Screen\CTEaxSpl.EXE /run??s????h???\????????\?w? ?w???????w???w4???????.??w4???????4????>?s4???l???D:3?????\??? ??? ???\???\???????????5?7~e?7~\???\?????????`??????C@?\???\???$??sl???\??????s\???(:3?5??s(:3??C@?x???`|?w\?????@ 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(152)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\windows\system32\CTsvcCDA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-09-26  22:57:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-09-26 20:57
.
Vor Suchlauf: 9 Verzeichnis(se), 62.436.782.080 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 63.329.841.152 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 0CBBC45A767F6FDF329636438958A4F0

--- --- ---

Ake · 27.09.2011, 19:36

Hier der OSAM log

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:35:05 on 27.09.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 6.0.2

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"WGASetup.job" - "Microsoft Corporation" - C:\WINDOWS\system32\KB905474\wgasetup.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"AudioHQU.cpl" - "Creative Technology Ltd." - C:\WINDOWS\system32\AudioHQU.cpl
"CTDetect.cpl" - "Creative Technology Ltd." - C:\WINDOWS\system32\CTDetect.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\ComboFix\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Creative AC3 Software Decoder" (ctac32k) - "Creative Technology Ltd" - C:\WINDOWS\System32\drivers\ctac32k.sys
"Creative Proxy Driver" (ctprxy2k) - "Creative Technology Ltd" - C:\WINDOWS\System32\drivers\ctprxy2k.sys
"Creative SoundFont Management Device Driver" (ctsfm2k) - "Creative Technology Ltd" - C:\WINDOWS\System32\drivers\ctsfm2k.sys
"DAEMON Tools Virtual Bus Driver" (dtsoftbus01) - "DT Soft Ltd" - C:\WINDOWS\System32\DRIVERS\dtsoftbus01.sys
"E-mu Plug-in Architecture Driver" (emupia) - "Creative Technology Ltd" - C:\WINDOWS\System32\drivers\emupia2k.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"MBAMSwissArmy" (MBAMSwissArmy) - ? - C:\WINDOWS\system32\drivers\mbamswissarmy.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PfModNT" (PfModNT) - "Creative Technology Ltd." - C:\WINDOWS\system32\PfModNT.sys
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Ake\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"KiesHelper" - "Samsung" - C:\Programme\Samsung\Kies\KiesHelper.exe /s
"KiesPDLR" - ? - C:\Programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
"KiesTrayAgent" - "Samsung Electronics Co., Ltd." - C:\Programme\Samsung\Kies\KiesTrayAgent.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"CTStartup" - "Creative Technology Ltd." - C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
"Lexmark X74-X75" - "Lexmark International, Inc." - "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"UpdReg" - "Creative Technology Ltd." - C:\WINDOWS\Updreg.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Creative Service for CDROM Access" (Creative Service for CDROM Access) - "Creative Technology Ltd" - C:\WINDOWS\system32\CTsvcCDA.EXE
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"WMDM PMSP Service" (WMDM PMSP Service) - "Microsoft Corporation" - C:\WINDOWS\system32\MsPMSPSv.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Ake · 27.09.2011, 19:49

Und nun der letzte verlangte Bericht.

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-27 20:37:27
-----------------------------
20:37:27.078 OS Version: Windows 5.1.2600 Service Pack 3
20:37:27.078 Number of processors: 1 586 0x2C02
20:37:27.078 ComputerName: ADMIN-DEE923473 UserName: Ake
20:37:27.437 Initialize success
20:47:50.906 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
20:47:50.906 Disk 0 Vendor: WDC_WD800JB-00JJA0 05.01C05 Size: 76319MB BusType: 3
20:47:50.906 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-c
20:47:50.906 Disk 1 Vendor: SAMSUNG_SP1203N TL100-24 Size: 114498MB BusType: 3
20:47:52.937 Disk 0 MBR read successfully
20:47:52.937 Disk 0 MBR scan
20:47:52.937 Disk 0 Windows XP default MBR code
20:47:52.953 Disk 0 scanning sectors +156280320
20:47:52.984 Disk 0 malicious Win32:MBRoot code @ sector 156280323 !
20:47:52.984 Disk 0 PE file @ sector 156280345 !
20:47:53.015 Disk 0 scanning C:\WINDOWS\system32\drivers
20:47:59.812 Service scanning
20:48:00.765 Modules scanning
20:48:05.109 Disk 0 trace - called modules:
20:48:05.468 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS
20:48:05.468 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86f2bab8]
20:48:05.468 3 CLASSPNP.SYS[f7670fd7] -> nt!IofCallDriver -> \Device\00000064[0x86fd0f18]
20:48:05.468 5 ACPI.sys[f74e6620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x86f69940]
20:48:05.468 Scan finished successfully
20:48:18.453 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Ake\Desktop\MBR.dat"
20:48:18.453 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Ake\Desktop\aswMBR.txt"

Ake · 29.09.2011, 17:31

So.
Hier der Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7820

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.09.2011 18:29:41
mbam-log-2011-09-29 (18-29-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 205539
Laufzeit: 21 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> No action taken.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ake · 29.09.2011, 18:19

Und hier jetzt noch ein komplettscan mit dem anderen Programm:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/29/2011 at 07:17 PM

Application Version : 5.0.1128

Core Rules Database Version : 7737
Trace Rules Database Version: 5549

Scan type : Complete Scan
Total Scan Time : 00:31:54

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned : 506
Memory threats detected : 0
Registry items scanned : 36398
Registry threats detected : 0
File items scanned : 49784
File threats detected : 46

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Ake\Cookies\ake@ad.zanox[1].txt [ /ad.zanox ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@ad1.adfarm1.adition[1].txt [ /ad1.adfarm1.adition ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@ad2.adfarm1.adition[2].txt [ /ad2.adfarm1.adition ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@adfarm1.adition[1].txt [ /adfarm1.adition ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@adsrv1.admediate[1].txt [ /adsrv1.admediate ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@apmebf[1].txt [ /apmebf ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@bs.serving-sys[1].txt [ /bs.serving-sys ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@doubleclick[1].txt [ /doubleclick ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@mediaplex[1].txt [ /mediaplex ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@microsoftwllivemkt.112.2o7[1].txt [ /microsoftwllivemkt.112.2o7 ]
.adtech.de [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@msnportal.112.2o7[1].txt [ /msnportal.112.2o7 ]
.im.banner.t-online.de [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
.tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@questionmarket[1].txt [ /questionmarket ]
.tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@revsci[2].txt [ /revsci ]
.doubleclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@smartadserver[1].txt [ /smartadserver ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@statse.webtrendslive[2].txt [ /statse.webtrendslive ]
.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@tradedoubler[2].txt [ /tradedoubler ]
ad3.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
.adtech.de [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@traffictrack[1].txt [ /traffictrack ]
.specificclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
.specificclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
.specificclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
.specificclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
.adviva.net [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@webmasterplan[2].txt [ /webmasterplan ]
.tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
.tracking.quisma.com [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
.fastclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@zanox-affiliate[2].txt [ /zanox-affiliate ]
.fastclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
C:\Dokumente und Einstellungen\Ake\Cookies\ake@zanox[1].txt [ /zanox ]
.fastclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
.fastclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
adserver2.clipkit.de [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
.adtech.de [ C:\DOKUMENTE UND EINSTELLUNGEN\AKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y7AFH0WH.DEFAULT\COOKIES.SQLITE ]
C:\Dokumente und Einstellungen\Ake\Cookies\9D4L0AWW.txt [ /atdmt.com ]
C:\Dokumente und Einstellungen\Ake\Cookies\L3ZGJV76.txt [ /2o7.net ]
C:\Dokumente und Einstellungen\Ake\Cookies\PFUY0488.txt [ /serving-sys.com ]
C:\Dokumente und Einstellungen\Ake\Cookies\8G449K16.txt [ /atdmt.combing.com ]
statse.webtrendslive.com [ C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\FBSXAJ2X.DEFAULT\COOKIES.SQLITE ]

cosinus · 27.09.2011, 11:11

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Ake · 27.09.2011, 18:16

So.
Hier jetzt der Bericht von GMER.
Ich versuche den Rest heute noch zu schaffen, muss jetzt aber erstmal meine Tochter ins Bett bringen.

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-09-27 19:14:12
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD800JB-00JJA0 rev.05.01C05
Running: vdxslzpc.exe; Driver: C:\DOKUME~1\Ake\LOKALE~1\Temp\kwpcakow.sys


---- System - GMER 1.0.15 ----

SSDT            F7C11244                                                                                          ZwClose
SSDT            F7C111FE                                                                                          ZwCreateKey
SSDT            F7C1124E                                                                                          ZwCreateSection
SSDT            F7C111F4                                                                                          ZwCreateThread
SSDT            F7C11203                                                                                          ZwDeleteKey
SSDT            F7C1120D                                                                                          ZwDeleteValueKey
SSDT            F7C1123F                                                                                          ZwDuplicateObject
SSDT            F7C11212                                                                                          ZwLoadKey
SSDT            F7C111E0                                                                                          ZwOpenProcess
SSDT            F7C111E5                                                                                          ZwOpenThread
SSDT            F7C1121C                                                                                          ZwReplaceKey
SSDT            F7C11217                                                                                          ZwRestoreKey
SSDT            F7C11253                                                                                          ZwSetContextThread
SSDT            F7C11208                                                                                          ZwSetValueKey
SSDT            F7C111EF                                                                                          ZwTerminateProcess

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe[488] ntdll.dll!DbgUiRemoteBreakin  7C9620EC 1 Byte  [C3]
.text           C:\Programme\Mozilla Firefox\firefox.exe[3476] ntdll.dll!LdrLoadDll                               7C92632D 5 Bytes  JMP 00401410 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                          fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                             malicious Win32:MBRoot code @ sector 156280323
Disk            \Device\Harddisk0\DR0                                                                             PE file @ sector 156280345

---- EOF - GMER 1.0.15 ----

--- --- ---

cosinus · 27.09.2011, 19:51

Zitat:

20:47:52.984 Disk 0 malicious Win32:MBRoot code @ sector 156280323 !
20:47:52.984 Disk 0 PE file @ sector 156280345 !

Kann man vernachlässigen weil der MBR nicht direkt betroffen ist.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

cosinus · 29.09.2011, 18:59

Zitat:

-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Ake · 30.09.2011, 12:38

Funde wurden entfernt.
Das gute Ding kommt allerdings wieder.

Der Ordner scheint sich nach jedem Neustart bzw. nach jedem Internetneustart selbst wieder neu zu installieren.

Komplette Festplatte nach Fund von Bootsektorvirus BOO/TDss.C verschwunden

Log-Analyse und Auswertung: Komplette Festplatte nach Fund von Bootsektorvirus BOO/TDss.C verschwunden