Hallo,

nach login auf den Dresdnerbank-Seiten werden TANs abgefragt. Die habe ich natürlich nicht eingegeben und die Bank angerufen. Der Zugang ist erst einmal gesperrt, aber ich finde die Ursache nicht. Nach wie vor kommt diese Seite über den Explorer- egal wie ich mich einlogge. Mozilla zeigt mir sofort an, dass mein Zugang gesperrt ist.

Ich habe AntiVir, Norton, Spybot, Spyware Doctor, Ewido Antispyware und viele Tools online, offline, im abgesichtertern Modus und teilweise von BootCD (auf einem anderen Rechner erstellt) laufen lassen. Diese Programme finden alle nichts. Zusätzlich habe ich manuell alle BHOs im Explorer, auf der Festplatte und in der Registry gelöscht. Ferner habe ich alle nicht zuordbaren Prozesse und Dienste beendet.

Mein HijackThis-Logfile sieht so aus:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]



COMOFIX hat folgendes Log erstellt:

ComboFix 08-07-19.1 - *** 2008-07-20 17:15:27.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\msvcsv60.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}
-------\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}


((((((((((((((((((((((( Dateien erstellt von 2008-06-20 bis 2008-07-20 ))))))))))))))))))))))))))))))
.

2008-07-20 14:59 . 2008-07-20 15:29 <DIR> d-------- C:\Programme\Spyware Doctor
2008-07-20 14:59 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-07-20 14:59 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-07-20 14:59 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-07-20 14:59 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-07-20 14:57 . 2008-07-20 14:59 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-20 14:57 . 2008-07-20 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-20 10:29 . 2008-07-20 10:30 <DIR> d-------- C:\Programme\BHODemon 2
2008-07-19 12:23 . 2001-06-29 19:40 29,696 --a------ C:\WINDOWS\system32\flcss.exe
2008-07-18 16:17 . 2008-07-18 16:17 <DIR> d-------- C:\Programme\Trend Micro
2008-07-17 07:51 . 2008-07-17 07:51 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-16 23:32 . 2008-07-16 23:32 62 --a------ C:\WINDOWS\ViewNX.INI
2008-07-16 15:42 . 2008-07-16 23:31 20 ---h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT
2008-07-16 15:41 . 2008-07-16 15:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\muvee Technologies
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Programme\Nikon
2008-07-16 15:40 . 2008-07-16 15:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ultima_T15
2008-07-16 15:40 . 2008-07-16 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EnterNHelp
2008-07-16 15:40 . 2008-07-16 23:27 20 ---h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT
2008-07-13 18:05 . 2008-07-13 18:04 24,885 --a------ C:\1netgear.cfg
2008-07-13 10:26 . 2008-07-20 17:09 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-13 10:22 . 2008-07-13 10:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2008-07-13 10:08 . 2008-07-13 10:08 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-07-13 10:08 . 2008-07-20 17:08 <DIR> d-------- C:\Programme\Hitman Pro
2008-07-11 16:26 . 2008-04-09 16:48 143,880 --a------ C:\WINDOWS\system32\drivers\mausbms.sys
2008-07-11 16:24 . 2008-07-11 16:24 <DIR> d-------- C:\Programme\M-Audio
2008-07-10 20:33 . 2007-11-14 16:20 20,936 --a------ C:\WINDOWS\system32\drivers\usb22ldr.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 124,800 --a------ C:\WINDOWS\system32\drivers\TCNear.sys
2008-06-29 09:48 . 2008-06-09 09:48 106,496 --a------ C:\WINDOWS\system32\TCNearAsio.dll
2008-06-29 09:48 . 2008-06-09 09:48 20,864 --a------ C:\WINDOWS\system32\drivers\TCNearAudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 20,480 --a------ C:\WINDOWS\system32\drivers\TCNearMidi.sys
2008-06-20 19:46 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 19:46 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 12:56 --------- d-----w C:\Programme\Lavasoft
2008-07-20 12:51 --------- d-----w C:\Programme\GetRight
2008-07-20 08:17 --------- d-----w C:\Programme\Winamp
2008-07-17 19:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-17 19:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-16 13:40 106,496 ----a-w C:\WINDOWS\system32\ATL71.DLL
2008-07-13 16:08 --------- d-----w C:\Programme\Hewlett-Packard
2008-07-11 14:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-29 07:47 --------- d-----w C:\Programme\TC Electronic
2008-06-29 06:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2008-06-18 17:56 --------- d-----w C:\Programme\PACE Anti-Piracy
2008-06-18 17:54 --------- d-----w C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy
2008-06-18 17:53 --------- d-----w C:\Programme\Sonnox
2008-06-18 17:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Sonnox Oxford
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 11:02 163,840 ----a-w C:\WINDOWS\system32\EioPal.dll
2008-06-09 16:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-05 09:00 54,256 ----a-w C:\WINDOWS\system32\drivers\iLokDrvr.sys
2008-05-28 18:47 --------- d-----w C:\Programme\Java
2008-05-28 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-05-28 14:00 --------- d-----w C:\Programme\Sun
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]
"HijackThis startup scan"="C:\Programme\Trend Micro\HijackThis\HijackThis.exe" [2008-07-18 16:17 396288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-16 17:15 221184]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 21:00 1005386]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 21:00 118784]
"Windows Media Connect 2"="C:\Programme\Windows Media Connect 2\wmccfg.exe" [2006-10-18 22:58 8704]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 07:18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-08-11 21:43 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"= 0 (0x0)
"NoDispScrSavPage"= 0 (0x0)
"NoDispSettingsPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)
"NoFind"= 0 (0x0)
"NoRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CLBR"= P1001Dex.ax
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Iomega Drive Icons

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2006-09-14 07:55 61440 D:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-07-18 07:18 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2005-02-16 17:15 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-01-28 19:03 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
--a------ 2002-04-17 11:42 69632 c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
--a------ 2007-10-31 11:19 378784 D:\Programme\TomTom HOME 2\HOMERunner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"GEARSecurity"=2 (0x2)
"iPodService"=3 (0x3)
"FirebirdServerMAGIXInstance"=3 (0x3)
"AdobeActiveFileMonitor5.0"=2 (0x2)
"LexBceS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"D:\\Programme\\Mountain Systems, Inc\\Behringer FCB1010 MIDI PC Editor Utility\\FCB1010.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SSHDRV64;SSHDRV64;C:\WINDOWS\System32\drivers\SSHDRV64.sys [2004-02-16 19:08]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-04-06 22:11]
R3 iLokDrvr;iLok;C:\WINDOWS\system32\DRIVERS\iLokDrvr.sys [2008-06-05 11:00]
R3 MAUSBMS;Service for M-Audio 2x2 & 4x4 Anniversary Edition;C:\WINDOWS\system32\DRIVERS\mausbms.sys [2008-04-09 16:48]
R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
S3 1e62;1e62;C:\WINDOWS\system32\1e62.sys []
S3 2964;2964;C:\WINDOWS\system32\2964.sys []
S3 3163;3163;C:\WINDOWS\system32\3163.sys []
S3 BCORETH5;BCORETH5 NDIS Protocol Driver;C:\WINDOWS\system32\BCORETH5.SYS [2003-12-10 10:40]
S3 dmxfire;DMX6fire WDM Audio;C:\WINDOWS\system32\drivers\dmx6fire.sys []
S3 dmxsens;dmxsens;C:\WINDOWS\system32\drivers\dmxsens.sys []
S3 jfdcd;jfdcd;C:\DOKUME~1\BJRNWA~1\LOKALE~1\Temp\jfdcd.sys []
S3 L6SeaMonkDev;Line 6 Variax USB Service;C:\WINDOWS\system32\Drivers\L6SM.sys [2005-03-21 20:29]
S3 MA_CMIDI;M-Audio USB Driver;C:\WINDOWS\system32\drivers\ma_cmidi.sys []
S3 TCNear;TC Near;C:\WINDOWS\system32\Drivers\TCNear.sys [2008-06-09 09:48]
S3 TCNearAudio;TC Near Audio;C:\WINDOWS\system32\drivers\TCNearAudio.sys [2008-06-09 09:48]
S3 TCNearMidi;TC Near MIDI;C:\WINDOWS\system32\drivers\TCNearMidi.sys [2008-06-09 09:48]
S3 TPP200;USB Storage Adapter V2 (TPP);C:\WINDOWS\system32\DRIVERS\TPP200.SYS [2002-06-24 11:20]
S3 USB22LDR;M-Audio USB MIDISPORT 2x2 Loader;C:\WINDOWS\system32\drivers\usb22ldr.sys [2007-11-14 16:20]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-RunServices-SchedulingAgent - C:\WINDOWS\system32\mstask.exe
MSConfigStartUp-Deskup - C:\Programme\Iomega\DriveIcons\deskup.exe
MSConfigStartUp-iTunesHelper - C:\Programme\iTunes\iTunesHelper.exe
MSConfigStartUp-PinnacleDriverCheck - C:\WINDOWS\system32\\PSDrvCheck.exe
MSConfigStartUp-TkBellExe - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
MSConfigStartUp-zzzHPSETUP - F:\Setup.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-20 17:19:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"="\"\""
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-20 17:23:31 - machine was rebooted [Bj”rn Walde]
ComboFix-quarantined-files.txt 2008-07-20 15:23:27

Pre-Run: 13 Verzeichnis(se), 27,235,381,248 Bytes frei
Post-Run: 15 Verzeichnis(se), 27,162,865,664 Bytes frei

241 --- E O F --- 2008-07-18 14:17:31


Combofix hat folgende Dateien in Quarantäne gestellt:

2003-02-13 15:45 29184 --a--c--- C:\Qoobox\Quarantine\C\WINDOWS\system32\MSINET.oca.vir
2008-07-16 15:08 32 --a--c--- C:\Qoobox\Quarantine\C\WINDOWS\system32\msvcsv60.dll.vir
2008-07-20 17:17 1458 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}.reg.dat
2008-07-20 17:17 2588 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}.reg.dat
2008-07-20 17:17 54 --a------ C:\Qoobox\Quarantine\catchme.log
2008-07-20 17:23 143 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-RunServices-SchedulingAgent.reg.dat
2008-07-20 17:23 526 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-zzzHPSETUP.reg.dat
2008-07-20 17:23 604 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-Deskup.reg.dat
2008-07-20 17:23 604 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-iTunesHelper.reg.dat
2008-07-20 17:23 606 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-PinnacleDriverCheck.reg.dat
2008-07-20 17:23 662 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-TkBellExe.reg.dat






WAS KANN ICH NOCH VERSUCHEN??? Ist eine Neuformatierung und -installation unumgänglich?

Halli hallo.

Die logs und die Problembeschreibung lassen auf nichts Gutes schließen.

Ich würde den Rechner formatieren. Liegt aber in deinem ermessen. Wenn wir eine Bereinigung versuchen sollen dann sag bescheid. Ansonsten poste ich dir mal einen kleinen Leitfaden an die Hand um den rechner wieder frisch zu machen.

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Hallo Undoreal,

vielen Dank für Deine Mühe.

Sehr gerne würde ich eine Bereinigung probieren. Das MBR log poste ich heute Abend.

Hmmm... ich habe noch 2 Wochen alte images meiner Festplatten. Kann ich die vorher überprüfen? Oder macht das gar keinen Sinn?


Gruß
BJörn

Wenn du Images hast dann spiele die doch einfach zurück..

ich habe nur Bedenken, dass die auch verseucht sind...

Hattest du zu dem Zeitpunkt denn schon Probleme?