Nein, der Rechner wird ausschließlich privat genutzt. Ich werde nun einmal versuchen Hitman erneut runterzuladen, bin dazu nur leider die letzten Tage nicht gekommen.

Kann sein, dass dein Rechner an einer Domaene angemeldet is?

Zitat:

Was ist der Unterschied zwischen einer Domäne, einer Arbeitsgruppe und einer Heimnetzgruppe?

Domänen, Arbeitsgruppen und Heimnetzgruppen stellen unterschiedliche Methoden zum Organisieren von Computern in Netzwerken dar. Der Hauptunterschied besteht in der Verwaltung der Computer und Ressourcen in den Netzwerken.

Computer unter Windows in einem Netzwerk müssen Bestandteil einer Arbeitsgruppe oder einer Domäne sein. Computer unter Windows in Heimnetzwerken können auch Bestandteil einer Heimnetzgruppe sein. Dies ist jedoch nicht unbedingt erforderlich.

Die Computer in Heimnetzwerken sind normalerweise Bestandteil einer Arbeitsgruppe und möglicherweise einer Heimnetzgruppe, und die Computer in Arbeitsplatznetzwerken sind normalerweise Bestandteil einer Domäne.

Nicht, dass ich wüsste. Aber ich nutze im Haushalt insgesamt 3 Rechner. Also vielleicht doch möglich?

Das erneute runterladen von Hitman, formatieren des USB-Sticks und erneutes installieren auf dem formatierten Stick mit anschließendem booten auf dem infizierten Rechner zeigt das exakt identische Bild wie vorher, mit einer Ausnahme. Er zeigt nun noch eine 3. verseuchte Datei an.

Erstellen einer UBCD4Win-CD und Scan mit FRST (Windows XP) Die folgenden Schritte sind sehr komplex, daher druckst du dir die Anleitung besser aus. Außerdem brauchst du:

• Einen funktionierenden Computer mit DVD/CD-Brenner
• Einen CD-Rohling.
• Einen USB-Stick.

Falls du bei den folgenden Schritten eine Fehlermeldung bekommst, gib mir bitte Bescheid und gib an, an welcher Stelle das genau passiert ist. A) Lade dir bitte die Ultimate Boot CD für Windows

• Speichere es auf deinen Desktop und doppelklicke die UBCD4Win.EXE.
• Folge den Anweisungen auf dem Bildschirm.
• Wichtig:
  • Installiere es nicht in einen Ordner mit Leerzeichen!
  • Dein Virusscanner könnte anschlagen, wenn die Dateien entpackt werden. Dies sind aber Fehlalarme.

B) Lege deine Windows XP CD mit SP1/SP2/SP3 (Servicepacks) in dein CD-Laufwerk

• Doppelklicke die UBCD4WinBuilder.exe im Ordner c:\ubcd4win, falls du nicht gleich vom Setup dorthin gesprungen bist.
• Unter Windows Vista / 7 / 8 musst du den Builder mit Rechtsklick > Als Administrator starten.
• Klicke Ich stimme zu, bei der nächsten Frage: Nein
• Im folgenden Menü mache folgende Einstellungen:
  • Quelle: Klicke "..." und wähle das Laufwerk aus.
  • Zusätzliches: Lass das hier leer.
  • Zielordner: Hier steht "BartPE", lass das so.
  • Bootmedium: "ISO-Image erstellen" sollte angewählt sein - belasse dies so.
  Hinweis: Falls deine XP-CD das Service Pack 1 enthält (nur dann), mache bitte folgendes:
  • Klicke auf Plugins.
  • Deaktiviere !Critical: DComLaunch Service
  • Aktiviere !Critical: LargeIDE Fix
  • Klicke: Schliessen
  Hinweis: Falls du eine Installations-CD von Dell hast, dann folge bitte diesem Link für weitere Hinweise.

C) Klicke jetzt auf den Start-Button

• Klicke zum Erstellen des Verzeichnisses auf Ja.
• Klicke auf "Ich stimme zu", warte einige Minuten während das Image erstellt wird und dann auf schliessen > Beenden.

D) Brenne das ISO-Image auf den CD-Rohling: Anleitung E) Lade Farbar's Recovery Scan Tool auf den sauberen Rechner und speichere es auf den USB-Stick. F) Schließe den USB-Stick an den infizierten Rechner an, lege die UBCD4Win-CD ein und starte ihn.

• Sorge dafür, dass der Computer von CD startet. (Anleitung)
• Es erscheint ein Fenster in dem du die Ultimate Boot CD für Windows auswählst und Enter drücken sollst. Dies kann eine Weile dauern, sei einfach geduldig.
• Wenn der Desktop erscheint, wird eine Nachricht erscheinen: Do you want to start Network support? Antworte mit Ja, wenn du sofort online gehen willst, um dein Logfile zu posten.
• Es erscheint ein blauer Desktop mit grüner Schrift und einigen Icons auf der linken Seite.

G) Klicke auf das Computersymbol oben links, finde Farbar's Recovery Scan Tool (FRST.exe) auf deinem USB-Stick.

• Starte FRST mit einem Doppelklick.
• Bestätige die Abfrage.
• Klicke auf Scan
• Ein Logfile namens FRST.txt wird erstellt. Poste es hier in deinem Thema, möglichst in CODE-Tags (#-Symbol im Editor).

Leider habe ich kein CD-Laufwerk an meinem Eee-PC. Gibt es vielleicht nicht noch eine andere Alternative, die ohne CD auskommt? Oder muss ich anstelle der CD einfach einen zweiten USB-Stick nehmen?

Ich empfehle dir ein externes CD/DVD Laufwerk zu besorgen. Das kostet nichtmal 30 euro.

Alles andere ist zu aufaendig es ueber die Ferne zu machen.

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 13-03-2013 (ATTENTION: FRST version is 26 days old)
Ran by SYSTEM at 08-04-2013 20:00:21
Running from D:\
Microsoft Windows XP  Service Pack 2 (X86) OS Language: Georgian 
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe [98304 2008-06-03] (ASUSTeK Computer Inc.)
HKLM\...\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe [479232 2008-06-03] (ASUSTeK Computer Inc.)
HKLM\...\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe [94208 2008-05-20] (ASUSTeK Computer Inc.)
HKLM\...\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe [335872 2008-07-23] (ELANTECH Devices Corp.)
HKLM\...\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [x]
HKLM\...\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-08-08] (Avira Operations GmbH & Co. KG)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

==================== Services (Whitelisted) ===================

2 AntiVirSchedulerService; "C:\Programme\Avira\AntiVir Desktop\sched.exe" [86224 2012-05-01] (Avira Operations GmbH & Co. KG)
2 AntiVirService; "C:\Programme\Avira\AntiVir Desktop\avguard.exe" [110032 2012-05-01] (Avira Operations GmbH & Co. KG)
2 Eventlog; C:\Windows\System32\services.exe [111104 2009-02-09] (Microsoft Corporation)
3 FLEXnet Licensing Service; "C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe" [651720 2009-06-04] (Macrovision Europe Ltd.)
2 gupdate1c98aadeae8deb8; "C:\Programme\Google\Update\GoogleUpdate.exe" /svc [133104 2009-02-09] (Google Inc.)
3 gupdatem; "C:\Programme\Google\Update\GoogleUpdate.exe" /medsvc [133104 2009-02-09] (Google Inc.)
4 gusvc; "C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe" [194104 2011-09-26] (Google)
4 InCDsrv; C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe [1554728 2007-11-26] (Nero AG)
4 IviRegMgr; C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe [112152 2007-01-04] (InterVideo)
4 LightScribeService; "C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe" [79136 2007-12-05] (Hewlett-Packard Company)
3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [115760 2013-01-05] (Mozilla Foundation)
3 NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [800040 2007-09-17] (Nero AG)
3 NMIndexingService; "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe" [279848 2007-06-27] (Nero AG)
3 nosGetPlusHelper; C:\Programme\NOS\bin\getPlus_Helper_3004.dll [66112 2010-08-13] (NOS Microsystems Ltd.)
2 ReMService; C:\Programme\Honeywell\HHIDMAgent\ReMService.exe [284032 2011-07-08] (Honeywell International Inc)
2 RichVideo; "C:\Programme\CyberLink\Shared Files\RichVideo.exe" [272024 2007-05-14] ()
3 ServiceLayer; "C:\Programme\PC Connectivity Solution\ServiceLayer.exe" [637952 2009-06-02] (Nokia.)
2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [160944 2012-07-13] (Skype Technologies)
3 usnjsvc; "C:\Programme\Windows Live\Messenger\usnsvc.exe" [98328 2007-10-18] (Microsoft Corporation)
2 VMCService; "C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe" [14336 2008-07-04] (Vodafone)
2 winmgmt; C:\DOKUME~1\j-B\wgsdgsdgdsgsd.exe [161792 2013-01-25] (Microsoft Corporation)
3 WLSetupSvc; "C:\Programme\Windows Live\installer\WLSetupSvc.exe" [266240 2007-10-25] (Microsoft Corporation)
3 AppMgmt; C:\Windows\System32\appmgmts.dll [x]
2 FirebirdGuardianDefaultInstance; C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe -s DefaultInstance [x]
3 FirebirdServerDefaultInstance; C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance [x]
3 FontCache3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [x]
3 idsvc; "c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe" [x]
2 JavaQuickStarterService; "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf" [x]
4 NetTcpPortSharing; "c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe" [x]

==================== Drivers (Whitelisted) ====================

3 AsusACPI; C:\Windows\System32\DRIVERS\ASUSACPI.sys [11264 2007-07-26] (ASUSTeK Computer Inc.)
2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-04-24] (Avira GmbH)
1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-04-27] (Avira GmbH)
1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36000 2012-04-16] (Avira GmbH)
3 CCDECODE; C:\Windows\System32\DRIVERS\CCDECODE.sys [17024 2008-04-13] (Microsoft Corporation)
3 dciiodrv; \??\C:\WINDOWS\system32\drivers\dciiodrv.sys [2944 2008-10-17] ()
3 HDAudBus; C:\Windows\System32\DRIVERS\HDAudBus.sys [144384 2008-04-14] (Windows (R) Server 2003 DDK provider)
3 hitmanpro37; \??\C:\WINDOWS\system32\drivers\hitmanpro37.sys [30616 2013-02-05] ()
4 InCDfs; C:\Windows\System32\drivers\InCDFs.sys [118952 2007-11-26] (Nero AG)
1 InCDPass; C:\Windows\System32\drivers\InCDPass.sys [36776 2007-11-26] (Nero AG)
1 InCDrec; C:\Windows\System32\Drivers\InCDrec.sys [16040 2007-11-26] (Nero AG)
1 incdrm; C:\Windows\System32\drivers\InCDRm.sys [38440 2007-11-26] (Nero AG)
3 Ktp; C:\Windows\System32\DRIVERS\ETD.sys [25088 2008-07-14] (ELANTECH Devices Corp.)
3 L1e; C:\Windows\System32\DRIVERS\l1e51x86.sys [36864 2008-03-11] (Atheros Communications, Inc.)
2 MarxDev1; C:\Windows\System32\Drivers\MarxDev1.sys [14848 2005-08-31] (MARX Data Security GmbH)
2 MarxDev2; C:\Windows\System32\Drivers\MarxDev2.sys [14848 2005-08-31] (MARX Data Security GmbH)
2 MarxDev3; C:\Windows\System32\Drivers\MarxDev3.sys [14848 2005-08-31] (MARX Data Security GmbH)
3 MPE; C:\Windows\System32\DRIVERS\MPE.sys [15232 2008-04-13] (Microsoft Corporation)
3 NABTSFEC; C:\Windows\System32\DRIVERS\NABTSFEC.sys [85248 2008-04-13] (Microsoft Corporation)
3 NdisIP; C:\Windows\System32\DRIVERS\NdisIP.sys [10880 2008-04-13] (Microsoft Corporation)
3 RT80x86; C:\Windows\System32\DRIVERS\RT2860.sys [625024 2008-03-28] (Ralink Technology, Corp.)
3 SLIP; C:\Windows\System32\DRIVERS\SLIP.sys [11136 2008-04-13] (Microsoft Corporation)
0 sptd; C:\Windows\System32\Drivers\sptd.sys [717296 2009-02-09] (Duplex Secure Ltd.)
1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)
3 streamip; C:\Windows\System32\DRIVERS\StreamIP.sys [15232 2008-04-13] (Microsoft Corporation)
3 UDTT2BDA; C:\Windows\System32\Drivers\UDTT2BDA.sys [108928 2006-03-09] (DTV-DVB)
3 UDTT2HID; C:\Windows\System32\drivers\UDTT2HID.sys [15872 2006-03-03] (DTV-DVB)
3 WSTCODEC; C:\Windows\System32\DRIVERS\WSTCODEC.SYS [19200 2008-04-13] (Microsoft Corporation)
4 Abiosdsk;  [x]
4 abp480n5;  [x]
4 adpu160m;  [x]
4 Aha154x;  [x]
4 aic78u2;  [x]
4 aic78xx;  [x]
4 AliIde;  [x]
4 amsint;  [x]
4 asc;  [x]
4 asc3350p;  [x]
4 asc3550;  [x]
4 Atdisk;  [x]
3 btaudio; C:\Windows\System32\drivers\btaudio.sys [x]
3 BTDriver; C:\Windows\System32\DRIVERS\btport.sys [x]
3 BTWDNDIS; C:\Windows\System32\DRIVERS\btwdndis.sys [x]
3 btwhid; C:\Windows\System32\DRIVERS\btwhid.sys [x]
3 btwmodem; C:\Windows\System32\DRIVERS\btwmodem.sys [x]
3 BTWUSB; C:\Windows\System32\Drivers\btwusb.sys [x]
4 cd20xrnt;  [x]
1 Changer;  [x]
4 CmdIde;  [x]
4 Cpqarray;  [x]
4 dac2w2k;  [x]
4 dac960nt;  [x]
4 dpti2o;  [x]
4 hpn;  [x]
1 i2omgmt;  [x]
4 i2omp;  [x]
4 ini910u;  [x]
4 IntelIde;  [x]
1 lbrtfdc;  [x]
4 mraid35x;  [x]
1 PCIDump;  [x]
3 PDCOMP;  [x]
3 PDFRAME;  [x]
3 PDRELI;  [x]
3 PDRFRAME;  [x]
4 perc2;  [x]
4 perc2hib;  [x]
4 ql1080;  [x]
4 Ql10wnt;  [x]
4 ql12160;  [x]
4 ql1240;  [x]
4 ql1280;  [x]
4 Simbad;  [x]
4 Sparrow;  [x]
4 symc810;  [x]
4 symc8xx;  [x]
4 sym_hi;  [x]
4 sym_u3;  [x]
4 TosIde;  [x]
4 ultra;  [x]
4 ViaIde;  [x]
3 WDICA;  [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========



==================== One Month Modified Files and Folders ========

2013-04-08 20:00 - 2013-04-08 20:00 - 00000000 ____D C:\FRST

==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2008-07-08 13:58] - [2008-04-14 12:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e 

C:\Windows\System32\winlogon.exe
[2008-07-08 13:59] - [2008-04-14 12:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a 

C:\Windows\System32\svchost.exe
[2008-07-08 13:59] - [2008-04-14 12:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 

C:\Windows\System32\services.exe
[2008-07-08 13:59] - [2009-02-09 11:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc 

C:\Windows\System32\User32.dll
[2008-07-08 13:59] - [2008-04-14 12:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd 

C:\Windows\System32\userinit.exe
[2008-07-08 13:59] - [2008-04-14 12:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 

C:\Windows\System32\Drivers\volsnap.sys
[2008-07-08 13:59] - [2008-04-14 12:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d 


==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points (XP) =====================

RP: -> 2013-01-18 16:30 - 024576 _restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP235 

RP: -> 2013-01-09 15:05 - 024576 _restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP234 

RP: -> 2013-01-09 13:19 - 024576 _restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP233 

RP: -> 2012-12-20 16:16 - 024576 _restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP232 

RP: -> 2012-12-20 15:02 - 024576 _restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP231 

RP: -> 2012-12-14 17:03 - 024576 _restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP230 


==================== Memory info =========================== 

Percentage of memory in use: 35%
Total physical RAM: 2039.17 MB
Available physical RAM: 1322.38 MB
Total Pagefile: 1869.83 MB
Available Pagefile: 1344.43 MB
Total Virtual: 2047.88 MB
Available Virtual: 2001.25 MB

==================== Partitions =============================

1 Drive b: (RAMDisk) (Fixed) (Total:0.5 GB) (Free:0.49 GB) FAT
2 Drive c: (System) (Fixed) (Total:80.01 GB) (Free:13.6 GB) NTFS ==>[Drive with boot components (Windows XP)]
3 Drive d: () (Removable) (Total:7.38 GB) (Free:7.38 GB) FAT32
4 Drive e: (Daten) (Fixed) (Total:69 GB) (Free:2.09 GB) NTFS
5 Drive x: (UBCD4Windows) (CDROM) (Total:0.63 GB) (Free:0 GB) CDFS

Auf Computer: MININT-JVC
  Datentr.  Status      GrӇe    Frei     Dyn  GPT
  --------  ----------  -------  -------  ---  ---
       0    Online       149 GB      0 B         

============================== MBR Partition Table ==================

==================== End Of Log ============================
         

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

2 winmgmt; C:\DOKUME~1\j-B\wgsdgsdgdsgsd.exe [161792 2013-01-25] (Microsoft Corporation)
C:\DOKUME~1\j-B\wgsdgsdgdsgsd.exe
         

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 13-03-2013
Ran by SYSTEM at 2013-04-08 20:46:41 Run:1
Running from D:\

==============================================

winmgmt service deleted successfully.
C:\DOKUME~1\j-B\wgsdgsdgdsgsd.exe moved successfully.

==== End of Fixlog ====
         

Gut!

Normal booten:

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

dann:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.04.09.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
j-B :: JBLAPTOP [Administrator]

Schutz: Aktiviert

09.04.2013 19:30:35
mbam-log-2013-04-09 (19-30-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 310219
Laufzeit: 2 Stunde(n), 20 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\61975cab-174b5605 (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\j-B\Lokale Einstellungen\Temp\install.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\FRST\Quarantine\wgsdgsdgdsgsd.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\j-B\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.200 - Datei am 09/04/2013 um 22:51:44 erstellt
# Aktualisiert am 02/04/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : j-B - JBLAPTOP
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\j-B\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\dvdvideosoftiehelpers

***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v18.0 (de)

Datei : C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\Mozilla\Firefox\Profiles\sss8qz9g.default\prefs.js

C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\Mozilla\Firefox\Profiles\sss8qz9g.default\user.js ... Gelöscht !

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [970 octets] - [09/04/2013 22:51:44]

########## EOF - C:\AdwCleaner[S1].txt - [1029 octets] ##########
         

OK, da sintzt noch einer:

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.04.13.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
j-B :: JBLAPTOP [administrator]

13.04.2013 19:34:18
mbar-log-2013-04-13 (19-34-18).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 26723
Time elapsed: 53 minute(s), 38 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-04-17 16:05:59
-----------------------------
16:05:59.156    OS Version: Windows 5.1.2600 Service Pack 3
16:05:59.156    Number of processors: 2 586 0x1C02
16:05:59.171    ComputerName: JBLAPTOP  UserName: j-B
16:06:00.234    Initialize success
16:06:00.828    AVAST engine defs: 13041301
16:06:07.765    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
16:06:07.781    Disk 0 Vendor: ST9160827AS 3.AAA Size: 152627MB BusType: 3
16:06:08.000    Disk 0 MBR read successfully
16:06:08.015    Disk 0 MBR scan
16:06:08.046    Disk 0 Windows XP default MBR code
16:06:08.078    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        81933 MB offset 63
16:06:08.125    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        70653 MB offset 167798925
16:06:08.171    Disk 0 Partition 3 00     EF      EFI FAT       B       39 MB offset 312496380
16:06:08.312    Disk 0 scanning sectors +312576705
16:06:08.578    Disk 0 scanning C:\WINDOWS\system32\drivers
16:06:29.828    Service scanning
16:07:02.625    Service sptd C:\WINDOWS\System32\Drivers\sptd.sys **LOCKED** 32
16:07:11.187    Modules scanning
16:07:27.906    Disk 0 trace - called modules:
16:07:27.968    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spyn.sys >>UNKNOWN [0x8a636938]<<
16:07:28.000    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a5a3ab8]
16:07:28.031    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\0000006c[0x8a5e03b8]
16:07:28.046    5 ACPI.sys[b9e66620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8a5d4940]
16:07:30.562    AVAST engine scan C:\WINDOWS
16:08:16.453    AVAST engine scan C:\WINDOWS\system32
16:12:48.140    AVAST engine scan C:\WINDOWS\system32\drivers
16:13:10.796    AVAST engine scan C:\Dokumente und Einstellungen\j-B
16:32:38.687    AVAST engine scan C:\Dokumente und Einstellungen\All Users
16:34:21.078    Scan finished successfully
16:45:26.500    Disk 0 MBR has been saved successfully to "F:\MBR.dat"
16:45:26.578    The log file has been saved successfully to "F:\aswMBR.txt"
         

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internet# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=18fd798d125e9e46828267bf79bbb5df
# engine=13639
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-17 05:52:00
# local_time=2013-04-17 07:52:00 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=774 16777213 85 91 291187 142934592 0 0
# scanned=112571
# found=6
# cleaned=0
# scan_time=10414
sh=0AA2660C8C35DFCABF2C2DC5219D2110A049753F ft=0 fh=0000000000000000 vn="Win32/Reveton.N trojan" ac=I fn="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js"
sh=86831BF8E409A7020730B24B443698BF12DC6165 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\5032e2-57c7963c"
sh=2E1671E7E9A6F95B1EC1A481736FF33D8B3DCD98 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\6fe77b2b-3616e366"
sh=2E1671E7E9A6F95B1EC1A481736FF33D8B3DCD98 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\6fe77b2b-3c8efc49"
sh=D9C85109DCF36A26A7C3E3EC04FE12E011840BA0 ft=0 fh=0000000000000000 vn="JS/Exploit.Pdfka.QCP trojan" ac=I fn="C:\Dokumente und Einstellungen\j-B\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QESDMUNV\Convert-Banner1[1].pdf"
sh=5CBB97EA60BFA2CF33A1AEC776E0C2AA444BC4E9 ft=0 fh=0000000000000000 vn="JS/Exploit.Agent.NEJ trojan" ac=I fn="C:\Dokumente und Einstellungen\j-B\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VRJALE0P\fact[1].htm"
         

Nach Starten des Security Check und Anzeige von "Preparing" im DOS-Fenster kommt folgender Fehler:


Autolt Error

Line -1;

Error: Variable must be of type "Object".