Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Hab ich gemacht, aber nach dem log-file zu urteilen, hat sich, glaube ich, nichts geändert:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-03-08 08:48:27
-----------------------------
08:48:27.075    OS Version: Windows 5.1.2600 Service Pack 3
08:48:27.075    Number of processors: 2 586 0xE08
08:48:27.075    ComputerName: HAL9000L  UserName: 
08:48:28.106    Initialize success
08:48:34.184    AVAST engine defs: 12030701
08:48:41.403    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
08:48:41.403    Disk 0 Vendor: FUJITSU_ 892C Size: 95396MB BusType: 3
08:48:41.466    Disk 0 MBR read successfully
08:48:41.466    Disk 0 MBR scan
08:48:41.497    Disk 0 unknown MBR code
08:48:41.513    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        87884 MB offset 63
08:48:41.544    Disk 0 Partition 2 00     0C    FAT32 LBA RECOVERY     7508 MB offset 179988543
08:48:41.575    Disk 0 scanning sectors +195365520
08:48:41.778    Disk 0 scanning C:\WINDOWS\system32\drivers
08:49:23.825    Service scanning
08:49:42.903    Modules scanning
08:50:17.731    Module: C:\WINDOWS\System32\DLA\DLADResN.SYS  **SUSPICIOUS**
08:50:22.841    Disk 0 trace - called modules:
08:50:22.888    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys 
08:50:22.903    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x899b1968]
08:50:22.919    3 CLASSPNP.SYS[f74e7fd7] -> nt!IofCallDriver -> \Device\00000089[0x899eff18]
08:50:22.934    5 ACPI.sys[f735d620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x89a36030]
08:50:22.950    Scan finished successfully
08:50:37.075    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Jean-Luc Picard\Desktop\MBR.dat"
08:50:37.075    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Jean-Luc Picard\Desktop\aswMBR.txt"

aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-03-08 08:58:09
-----------------------------
08:58:09.546    OS Version: Windows 5.1.2600 Service Pack 3
08:58:09.546    Number of processors: 2 586 0xE08
08:58:09.546    ComputerName: HAL9000L  UserName: 
08:58:10.796    Initialize success
08:58:25.937    AVAST engine defs: 12030701
08:58:31.343    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
08:58:31.343    Disk 0 Vendor: FUJITSU_ 892C Size: 95396MB BusType: 3
08:58:31.390    Disk 0 MBR read successfully
08:58:31.390    Disk 0 MBR scan
08:58:31.484    Disk 0 Windows XP default MBR code
08:58:31.484    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        87884 MB offset 63
08:58:31.515    Disk 0 Partition 2 00     0C    FAT32 LBA RECOVERY     7508 MB offset 179988543
08:58:31.953    Disk 0 scanning sectors +195365520
08:58:32.062    Disk 0 scanning C:\WINDOWS\system32\drivers
08:59:00.921    Service scanning
08:59:39.390    Modules scanning
08:59:46.296    Module: C:\WINDOWS\System32\DLA\DLADResN.SYS  **SUSPICIOUS**
08:59:47.812    Disk 0 trace - called modules:
08:59:48.328    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys 
08:59:48.328    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89a04ab8]
08:59:48.328    3 CLASSPNP.SYS[f74e7fd7] -> nt!IofCallDriver -> \Device\00000089[0x899c6978]
08:59:48.343    5 ACPI.sys[f735d620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x89a03030]
08:59:48.343    Scan finished successfully
08:59:59.156    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Jean-Luc Picard\Desktop\extern\Trojaner\MBR.dat"
08:59:59.187    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Jean-Luc Picard\Desktop\extern\Trojaner\aswMBR.txt"
         

System läuft weiterhin ohne Auffälligkeiten.

Herzlichen Dank und Grüße
Picard

Zitat:

Module: C:\WINDOWS\System32\DLA\DLADResN.SYS **SUSPICIOUS**

MBR ist ok, das ist wohl ein Fehlalarm.
Stammt von => DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)


Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Cosinuss aka Arne,

habe beide Vollscans ausgeführt. Dauert jedes mal 3-6 h. Daher lasse ich das nachts laufen und es dauert etwas länger bis ich antworte. Aber ich verschwinde nicht einfach. Dies nur damit Du bescheid weißt.
Malwarebytes hat nichts gefunden, SuperAntiSpyware dafür umsomehr. Ich habe die Bedrohungen von SUPERAntiSpyware entfernen lassen. Kann sie ja gerne wieder auf Deine Anweisung hin "restrore"n.
Ich wäre Dir für weitere Hinweise dankbar. Außerdem wüsste ich gerne, sofern es sich tatsächlich um Bedrohungen gehandelt hat und man das so "von außen", ohne den Code zu sehen sagen kann, inwiefern sie Möglichkeit boten, meinen Computer auszuspieonieren, d.h. ob ich jetzt alle Passwörter und PINs ändern muss etc.

Hier die beiden Logs:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.08.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Jean-Luc Picard :: HAL9000L [Administrator]

08.03.2012 23:50:20
mbam-log-2012-03-08 (23-50-20).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 456116
Laufzeit: 3 Stunde(n), 45 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/12/2012 at 06:11 AM

Application Version : 5.0.1146

Core Rules Database Version : 8324
Trace Rules Database Version: 6136

Scan type       : Complete Scan
Total Scan Time : 05:26:11

Operating System Information
Windows XP Home Edition 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 526
Memory threats detected   : 0
Registry items scanned    : 34199
Registry threats detected : 0
File items scanned        : 307976
File threats detected     : 44

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Jean-Luc Picard\Cookies\3FE913W6.txt [ /smartadserver.com ]
	stat.easydate.biz [ C:\DOKUMENTE UND EINSTELLUNGEN\JEAN-LUC PICARD\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\RENB5Y6H ]
	7.rotator.wigetmedia.com [ C:\DOKUMENTE UND EINSTELLUNGEN\JEAN-LUC PICARD\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\2J7A7NOM.DEFAULT\COOKIES.SQLITE ]
	7.rotator.wigetmedia.com [ C:\DOKUMENTE UND EINSTELLUNGEN\JEAN-LUC PICARD\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\2J7A7NOM.DEFAULT\COOKIES.SQLITE ]
	7.rotator.wigetmedia.com [ C:\DOKUMENTE UND EINSTELLUNGEN\JEAN-LUC PICARD\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\2J7A7NOM.DEFAULT\COOKIES.SQLITE ]

Trojan.Agent/Gen-FakeAV
	C:\PROGRAMME\WINRAR\DEFAULT.SFX

Trojan.Agent/Gen-Krpytik
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012810.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012812.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012833.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012816.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012817.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012818.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012819.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012820.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012821.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012826.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012827.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012828.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012829.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012834.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012835.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012836.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012837.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012838.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012840.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012841.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012842.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012845.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012847.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012849.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012850.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012869.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012853.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012854.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012858.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012863.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012864.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012865.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012866.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012867.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP31\A0012870.EXE

PUP.CNETInstaller
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP53\A0032215.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP53\A0032213.EXE

Trojan.Agent/Gen-Sirefef
	C:\WINDOWS\$HF_MIG$\KB956803\SP2QFE\AFD.SYS
         

Zitat:

C:\WINDOWS\$HF_MIG$\KB956803\SP2QFE\AFD.SYS

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

Hallo Cosinus aka Arne,

die Datei

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\$HF_MIG$\KB956803\SP2QFE\AFD.SYS
         

wird mir trotz der Einstellungen (die ich im Übrigen immer als Erstes schon kurz nach der Installation vornehme, aber sicherheitshalber nochmal geprüft habe) NICHT angezeigt. Im Quarantäne-Manager von SuperAntiSpyware, zeigt sie mir auch NICHT (mehr) an. Was nun?

Herzliche Grüße
Picard

Hast du die Datei entfernt?

Nicht, dass ich wüsste. Ich habe die Bereinigung mit der SUPERAntiSpyware gemacht, aber extra darauf geachtet, dass ich die Dateien nicht aus der Quarantäne lösche, falls ich sie wiederherstellen soll.
Ich schlage vor, ich scanne heute Nacht nochmal das System, um zu sehen, ob die Datei ein weiteres Mal entdeckt wird. In jedem Fall poste ich dann das Ergebnis.

Hallo Cosinus aka Arne,

also nach nochmaligem Scan erscheint die Datei tatsächlich nicht mehr. Verstehe ich auch nicht, weil ich garantiert so vorgegangen bin, wie ich es beschrieben habe. Im Explorer ist sie auch nachwievor nicht auffindbar.

Die einzige Datei, die jetzt noch vom Scanner gefunden wird ist:

Code: Alles auswählenAufklappen

ATTFilter

Trojan.Agent/Gen-Sirefef
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP60\A0050107.SYS
         

Diese habe ich in Quarantäne versetzt. Sollen wir es dabei bewenden lassen oder wie ist ggf. weiter zu verfahren?

Danke Dir für ene große Hilfe!

Herzliche Grüße
Picard

Dann war es nur ein Überrest
Rechner soweit wieder ok?

Hi Cosinus aka Arne,

genau, vergessen wir diesen Dateischnipsel einfach. Ja, der Rechner läuft seit den ersten Scans stabil und ich arbeite schon wieder viel dran. Komische Vorkommnisse, Abstürtze verschiedener Art gab es auch nicht mehr - zumindst keine, die ich mir nicht auch durch Überbeanspruchung der CPU oder des RAMs erklären könnte. Vielen herzlichen Dank!!

Die ganzen Scans haben mich auch beruhigt, obwohl ja schon Einiges gefunden wurde. War das jetzt was Dramatisches oder eher nicht? Muss ich jetzt alle Passwörter ändern?

Super Board hier! Finde ich klasse, dass es Euch gibt und Ihr so kompetent und schnell Hilfe leistet!

Danke, Danke, Danke!

Herzliche Grüße
Picard

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Ok, Cosinus aka Arne,

Danke für die abschließenden Hinweise, die ich natürlich befolgen werde.

Schön, dass jetzt alles wieder funktioniert.

Klasse Team!

Danke!

Hoffentlich nicht bis allzu bald. Macht aber weiter so!

Herzlichen Gruß
Picard