Es ist schon komisch, wenn der MBR sauber ist, die Windows-CD original und der Rechner vor Angriffen von außen geschützt ist, sollte einfach so nichts draufkommen.

Was wurde denn genau nach der Neuinstallation gemacht?

Gleich ein AV-Programm oder erst Treiber und andere Programme installiert.

mfg, Kaos

Zitat:

Es ist schon komisch, wenn der MBR sauber ist, die Windows-CD original und der Rechner vor Angriffen von außen geschützt ist, sollte einfach so nichts draufkommen.

Allerdings.

Zitat:

Was wurde denn genau nach der Neuinstallation gemacht?

Als aller erstes Mainboard Treiber instaliert.
Dann Graka Treiber.
Dann Avira.
Dann SP3.
Dann IE8.
Dann Firefox.

Soweit halt...

Sind die Treiber von einer CD oder aus dem Netz geladen?
Wird die Malware denn jetzt immernoch gefunden?

mfg, Kaos

Mainboard - CD
Graka - CD
Avira - Von chip.de und dann gehen die alarme schon los.

Dann lade mal die gemeldeten Dateien bei Virustotal.com hoch.

mfg, Kaos

Da ist das Problem:

Ich kann die Dateien alle finden aber:
Wenn ich die Datei anklicke (also nur markiere) kommt ein Error (der Leer ist ) und kurz darauf ein Bluescreen.

Aber bei den Namen denke ich nicht das es Fehler sind...

Überprüfe mal dein System mit Gmer....

• Lade dir Gmer von Gmer.net und entpacke es auf dem Desktop.
• Beende alle Programme (Auch Antrivirenprogramme, Firewalls etc. Und trenne dich von Internet).
• Starte jetzt Gmer (Dein System wird nun kurz gescannt, falls GMER etwas findet klicke auf Ja, um einen vollständigen Scan zu machen).
• Drücke auf "Scan" (Falls dies nicht bereits gemacht wurde, weil etwas bei dem kurzen Scan gefunden wurde).
• Wenn der Scan fertig ist, drücke auf "Copy"
• Füge den Text hier im Board mit "STRG + V" ein

mfg, Kaos

Nein zu spät ich habs selbst geschafft und zwar so:

1. Abgesicherter Modus
2. Avira Suchlauf
3. Infizierte Dateien Manuel löschen
4. Neustart
5. Mbam
6. Keine funde
7. Avira
8. Keine funde
9. SAS
10. Keine Funde
11. Hjack This Log
12. Ist wieder sauber.

Wenn ihr nochmal drüber schauen wollt, hier ist es:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:05:28, on 21.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

--
End of file - 4088 bytes

Hat jemand von euch ne Ahnung wie der Virus so lange überleben konnte??

Es könnte sein, das eine der Treiber CDs infiziert ist, zwar unwahrscheinlich, aber könntest du ja mal überprüfen.

Diese Einträge fixen:

Code: Alles auswählenAufklappen

ATTFilter

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
         

Alle O8, O9 und O16 Einträge kannst du auch rausschmeissen.
Ebenso die

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
 O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
         

Kann man auch selber starten

mfg, Kaos

Zitat:

Es könnte sein, das eine der Treiber CDs infiziert ist, zwar unwahrscheinlich, aber könntest du ja mal überprüfen.

Wohl kaum wenn es die Original Treiber aus der Verpackung sind

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:00, on 21.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programme\ICQ6.5\ICQ.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\system32\wuauclt.exe

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

--
End of file - 1846 bytes

Zufireden??^^

Das ist doch mal ein feines und schlankes HJT-Log

Es kann unter umständen sein, das Viren auf Original-CDs sind. Wie gesagt, das ist selten, aber nicht ausgeschlossen.

Irgendwie muss die Malware ja auf den PC gekommen sein.

Wenn er über Lan ins Internet geht, geschieht es über einen anderen PC?
Also Gemeinsame Nutzung des Internets?

mfg, Kaos

Ja aber nur über meinen und der ist Clean^^

Und du meinst echt das ATI oder Gigabyte , Viren auf ihre CD`s rauf hauhen würden?? oO

Ich halte es eigentlich für unwahrscheinlich, aber es gab nen Fall, bei dem in einer Zeitschrift-CD ein Virus war. Natürlich machen die es dann nicht mit absicht.

Über deinen PC? Seid ihr nach der -Neuinstallation- ins Netz gegangen, bevor das SP3 draufgespielt wurde?

mfg, Kaos

Auch wenn das System jetzt sauber scheint, würde ich dem Frieden nicht so wirklich trauen.

Ich würde euch empfehlen alles nocheinmal Neu zu machen.

Vielleicht vorab alle CDs, die zur Neuinstallation verwendet werden, gründlich mit Avira mit aggressiven Einstellungen prüfen (Von einem sauberen Rechner aus, auf dem Autostart deaktiviert ist). Oder Treiber von einem saueren Rechner aus dem Internet von den Herstellern laden (Das wäre noch besser).

Danach von dem sauberen Rechner aus das Sevicepack 3 laden, das Updatepack von Winfuture und Avira.

Jetzt LAN-Kabel ziehen und den Rechner Offline lassen. Auch kein anderes Medium anschließen, bis Avira drauf ist.

1. Alle Festplatten, die benutzt werden und wurden, mit mbr.exe prüfen.
2. System Platt machen, ebenso ALLE Partitionen.
3. Windows neuinstallieren.
4. Treiber installieren (die aktuellsten).
5. Servicepack und danach gleich das Updatepack.
6. Avira mit anschließendem Scan mit den aggressiven Einstellungen.

Wenn alles läuft und keine Meldungen kommen, kann das Internet wieder genutzt werden, aber nicht vorher.

mfg, Kaos