Guten Abend liebe Leute,

nachdem ich den PC meines Bruder leider nicht mehr retten konnte
(siehe mein anderes Problem http://www.trojaner-board.de/126859-...tml#post955768
habe ich nun die Befürchtung, dass bei dieser Rettungsaktion mein eigener Laptop Schaden davon getragen hat.

Es gibt keine Anzeichen für einen Befall, jedoch wie man aus meinem anderen Thema erkenne kann, ist der PC meines Bruders ein extrem hoffnungsloser Fall.

Mein Laptop ist mit Kasperky Pure 2.0 geschützt und ich habe jedesmal, wenn ich mit dem USB Logfiles von dem befallenen PC (Internetverbindung kann man auf dem PC keine mehr ausführen) auf den Laptop übertragen habe, eine vollständige Untersuchung des Sticks durchgeführt - Es wurden keine Bedrohungen angezeigt.

Dennoch bin ich verunsichert und bitte um eure Hilfe.

Kurzinfos zu meinem Laptop:
System: Microsoft Windows XP Media Center Edition, Version 2002, Service Pack 3
Hersteller: HP
Prozessor: Intel Core 2 CPU T5500, 1,66 Ghz, 1,00 GB RAM

Vielen Danke für eure Hilfe & Support schon mal im Voraus!

Liebe Grüße
Kathi

Hallo und

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Zitat:

(siehe mein anderes Problem

Nochmal zur Info: Ich bin da eingeschritten und hab Screenshots entfernt, die euren Windows-Lizenzschlüssel zeigten. Diesen sollte man niemals öffentlich machen!

Zitat:

Kurzinfos zu meinem Laptop:
System: Microsoft Windows XP Media Center Edition, Version 2002, Service Pack 3

Schon irgendwelche Scans mit anderen Tools gemacht? Log mit Funden da? Siehe => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Hallo cosinus, vielen dank für deine Antwort.

Nein ich habe noch keine Logs bzw. Andere scans als mit kaspersky bei diesem gerät durchgeführt. Soll ich Otl und defogger ausführen?
Lg kathi

Wenn es so noch KEINE Hinweise gibt, würde ich nur Scans mit MBAM und ESET empfehlen:
Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren anschließend führst du das hier aus

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Cosinus,

alles klar - hab jetzt schon mal den Quickscan von Malewarebytes durchlaufen lassen und 4 Objekte wurden gefunden (siehe untenstehende Logdatei)

Da mir schon die Augen zufallen, werde ich das mit dem Eset Online Scanner morgen machen, wenn das ok ist?

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.15.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Katie :: PC308434332191 [limitiert]

Schutz: Deaktiviert

15.11.2012 22:08:42
mbam-log-2012-11-15 (22-08-42).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 286798
Laufzeit: 49 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IBUpdaterService (PUP.InstallBrain) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Lg und Gute Nacht!

Kathi

Das sind nur Reste. Mach bitte mit ESET weiter

Hallo cosinus,

lang hats gedauert (und ich bin dabei eingeschlafen ) aber untenstehend nun auch das ESET logfile:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=1851d399f0c95945bc3d40c4ae41d2d5
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-11-16 05:39:53
# local_time=2012-11-16 06:39:53 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1280 16777191 100 0 1293124 1293124 0 0
# compatibility_mode=8192 67108863 100 0 4645 4645 0 0
# scanned=164881
# found=6
# cleaned=0
# scan_time=10473
C:\Dokumente und Einstellungen\Katie\Eigene Dateien\Downloads\SoftonicDownloader_fuer_datarecovery.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kgo0tkz9.default\Cache\D98DDDA8d01	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie.PC308434332191\Eigene Dateien\Downloads\SoftonicDownloader_fuer_avira-antivir.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie.PC308434332191\Eigene Dateien\Downloads\SoftonicDownloader_fuer_photoscape.exe	a variant of Win32/SoftonicDownloader.E application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie.PC308434332191\Lokale Einstellungen\Temp\C6F92E71-BAB0-7891-AD94-68C98A4A2843\Latest\MyBabylonTB.exe	Win32/Toolbar.Funmoods application (unable to clean)	00000000000000000000000000000000	I
F:\Katie\Kingston stick\Downloads\SoftonicDownloader_fuer_avira-antivir.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
         

lg
Kathi

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Katie\Eigene Dateien\Downloads\SoftonicDownloader_fuer_datarecovery.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie.PC308434332191\Eigene Dateien\Downloads\SoftonicDownloader_fuer_avira-antivir.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie.PC308434332191\Eigene Dateien\Downloads\SoftonicDownloader_fuer_photoscape.exe	a variant of Win32/SoftonicDownloader.E application (unable to clean)	00000000000000000000000000000000	I
F:\Katie\Kingston stick\Downloads\SoftonicDownloader_fuer_avira-antivir.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
         

Vermüllte Software von Softonic scheint gerade stark in Mode zu sein!

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller oder von Filepony aber nicht von solchen Toolbarklitschen wie Softonic!

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Katie\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kgo0tkz9.default\Cache\D98DDDA8d01	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Katie.PC308434332191\Lokale Einstellungen\Temp\C6F92E71-BAB0-7891-AD94-68C98A4A2843\Latest\MyBabylonTB.exe	Win32/Toolbar.Funmoods application (unable to clean)	00000000000000000000000000000000	I
         

Browsercache und Temp leeren (Datenträgerbereinigung)

Grüß dich!

Zitat:

Vermüllte Software von Softonic scheint gerade stark in Mode zu sein!

Beim Durchstöbern und Lesen sämtlicher Beiträge auf eurem Board, ist mir schon aufgefallen, dass Softonic nicht so wirklich der Burner ist. Im Hinterkopf hab ich schon gewusst, dass ich irgendwann irgendwas von dort heruntergeladen hab, nur wusste ich nicht, dass ich davon noch was oben hab

Zitat:

Browsercache und Temp leeren (Datenträgerbereinigung)

Sonst muss ich nix machen? Danach ist alles gut und im grünen Bereich?
Die gefundenen Sachen verschwinden dann auch?

lg Kathi

Naja wir können tiefer graben

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Guten Abend,

untenstehend das GMER Log (hat ganz ohne Probleme und gleich von Anfang an funktioniert)

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-11-17 22:24:22
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0  rev.
Running: 2dt0qi8k.exe; Driver: C:\DOKUME~1\KATIE~1.PC3\LOKALE~1\Temp\pfliikob.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwAdjustPrivilegesToken [0xEFC8CF2A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwClose [0xEFC8D824]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwConnectPort [0xEFCA77BC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateEvent [0xEFC8DD96]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateMutant [0xEFC8DC84]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreatePort [0xEFCA7AD4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateProcess [0xEFC8DFC6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateProcessEx [0xEFC8E18E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateSection [0xEFC8CCE6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateSemaphore [0xEFC8DEAE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateThread [0xEFC8D556]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateWaitablePort [0xEFCA7B9C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDebugActiveProcess [0xEFC8E4AC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeleteKey [0xEFCA1D6E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeleteValueKey [0xEFCA3578]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeviceIoControlFile [0xEFC8D866]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDuplicateObject [0xEFC8F4AC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwEnumerateKey [0xEFCA2D72]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwEnumerateValueKey [0xEFCA3722]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadDriver [0xEFC8E59E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadKey [0xEFCA28AA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadKey2 [0xEFCA2B06]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwMapViewOfSection [0xEFC8EB0A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwNotifyChangeKey [0xEFCA5FD8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenEvent [0xEFC8DE28]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenMutant [0xEFC8DD10]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenProcess [0xEFC8D164]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenSection [0xEFC8E8EE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenSemaphore [0xEFC8DF40]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenThread [0xEFC8D058]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryKey [0xEFCA1BA2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryMultipleValueKey [0xEFCA3382]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryObject [0xEFCA61CE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQuerySection [0xEFC8EE30]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryValueKey [0xEFCA3172]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueueApcThread [0xEFC8E73E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRenameKey [0xEFCA1E82]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplaceKey [0xEFCA24F6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplyPort [0xEFCA7D16]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplyWaitReceivePort [0xEFCA7C64]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRequestWaitReplyPort [0xEFCA7D82]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRestoreKey [0xEFCA26FE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwResumeThread [0xEFC8F34E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSaveKey [0xEFCA2028]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSaveKeyEx [0xEFCA21BE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSaveMergedKeys [0xEFCA235A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSecureConnectPort [0xEFCA7944]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetContextThread [0xEFC8D6C6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetInformationToken [0xEFC8E358]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetSystemInformation [0xEFC8EF80]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetValueKey [0xEFCA2F32]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSuspendProcess [0xEFC8F074]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSuspendThread [0xEFC8F1AE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSystemDebugControl [0xEFC8E3CE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwTerminateProcess [0xEFC8D302]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwTerminateThread [0xEFC8D25A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwUnmapViewOfSection [0xEFC8ECE8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwWriteVirtualMemory [0xEFC8D3EC]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!FsRtlCheckLockForReadAccess                                               804EAFC4 5 Bytes  JMP EFC7EE5A \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text           ntkrnlpa.exe!IoIsOperationSynchronous                                                  804EF96C 5 Bytes  JMP EFC7F236 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text           ntkrnlpa.exe!ZwCallbackReturn + 2C94                                                   8050458C 12 Bytes  [D4, 7A, CA, EF, C6, DF, C8, ...]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2D60                                                   80504658 12 Bytes  [9E, E5, C8, EF, AA, 28, CA, ...] {SAHF ; IN EAX, 0xc8; OUT DX, EAX; STOSB ; SUB DL, CL; OUT DX, EAX; PUSH ES; SUB ECX, EDX; OUT DX, EAX}
.text           ntkrnlpa.exe!ZwCallbackReturn + 2DD0                                                   805046C8 8 Bytes  [EE, E8, C8, EF, 40, DF, C8, ...]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2EDC                                                   805047D4 16 Bytes  [82, 1E, CA, EF, F6, 24, CA, ...]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2F14                                                   8050480C 20 Bytes  [4E, F3, C8, EF, 28, 20, CA, ...]
.text           ...                                                                                    
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                               section is writeable [0xF53E7360, 0x2255BD, 0xE8000020]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                [F6F06E60] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                [F6F06E60] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                               kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \FileSystem\Fastfat \Fat                                                               fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                  sector 00: rootkit-like behavior

---- EOF - GMER 1.0.15 ----
         

aswmbr folgt dann morgen.
lg und Gute Nacht,
Kathi

Bitte poste nach Möglichkeit alle Logs in einem Rutsch

anbei der aswmbr log:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-18 10:45:59
-----------------------------
10:45:59.359    OS Version: Windows 5.1.2600 Service Pack 3
10:45:59.359    Number of processors: 2 586 0xF06
10:45:59.359    ComputerName: PC308434332191  UserName: Katie
10:46:27.390    Initialize success
11:03:48.171    AVAST engine defs: 12111800
11:04:02.515    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
11:04:02.515    Disk 0 Vendor:   Size: 0MB BusType: 0
11:04:02.546    Disk 0 MBR read successfully
11:04:02.546    Disk 0 MBR scan
11:04:02.671    Disk 0 unknown MBR code
11:04:02.671    Disk 0 MBR hidden
11:04:02.687    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        85878 MB offset 63
11:04:02.734    Disk 0 Partition 2 00     0C    FAT32 LBA RECOVERY     8479 MB offset 175895685
11:04:02.750    Disk 0 Partition 3 00     D7              NTFS         1027 MB offset 193261950
11:04:02.828    Disk 0 scanning C:\WINDOWS\system32\drivers
11:04:25.484    Service scanning
11:04:37.000    Service KL1 C:\WINDOWS\system32\DRIVERS\kl1.sys **LOCKED** 5
11:04:37.140    Service kl2 C:\WINDOWS\system32\DRIVERS\kl2.sys **LOCKED** 5
11:04:37.343    Service klim5 C:\WINDOWS\system32\DRIVERS\klim5.sys **LOCKED** 5
11:04:37.421    Service klmouflt C:\WINDOWS\system32\DRIVERS\klmouflt.sys **LOCKED** 5
11:04:56.765    Modules scanning
11:05:13.046    Disk 0 trace - called modules:
11:05:13.093    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys 
11:05:13.093    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86f41030]
11:05:13.109    3 CLASSPNP.SYS[f7564fd7] -> nt!IofCallDriver -> \Device\00000086[0x86f298d0]
11:05:13.109    5 ACPI.sys[f73da620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x86fca030]
11:05:15.046    AVAST engine scan C:\WINDOWS
11:05:52.000    AVAST engine scan C:\WINDOWS\system32
11:11:12.000    AVAST engine scan C:\WINDOWS\system32\drivers
11:11:40.000    AVAST engine scan C:\Dokumente und Einstellungen\Katie.PC308434332191
11:26:11.812    AVAST engine scan C:\Dokumente und Einstellungen\All Users
11:32:04.281    Scan finished successfully
11:56:26.734    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Katie.PC308434332191\Desktop\MBR.dat"
11:56:26.765    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Katie.PC308434332191\Desktop\aswMBR.txt"
         

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

oje - was hat er denn?
wenn ich auf den fixmbr button drücke kommt die meldung von aswmbr, dass ich dadurch meine partitionen schädigen kann und ob ich das wirklich will - ist diese meldung normal? hab meine wichtigsten dateien auf meine externe fp gespeichert - reicht das?

lg