Das hat jetzt alles ein bisschen länger gedauert hier SASW:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/20/2010 at 04:15 PM

Application Version : 4.37.1000

Core Rules Database Version : 4960
Trace Rules Database Version: 2772

Scan type : Complete Scan
Total Scan Time : 01:35:35

Memory items scanned : 614
Memory threats detected : 0
Registry items scanned : 6392
Registry threats detected : 0
File items scanned : 85403
File threats detected : 2

Trojan.Smitfraud Variant-Gen/Bensorty
C:\_OTL\MOVEDFILES\05192010_222012\C_WINDOWS\SYSTEM32\Z339VA2.DLL

Trojan.Agent/Gen
C:\_OTL\MOVEDFILES\05192010_222012\C_DOKUMENTE UND EINSTELLUNGEN\CHRISTIAN\LOKALE EINSTELLUNGEN\TEMP\QCS6RSH36.EXE


mbam:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4116

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

19.05.2010 18:10:04
mbam-log-2010-05-19 (18-10-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 214743
Laufzeit: 41 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Auch Antivir hat zwischendurch wieder was gefunden, das deckte sich aber mit den beiden Funden von SASPW.

Grüße
Christian

Das sollte so i.o. gehen. Malwarebytes hat nur noch Überreste gefunden, SASW fand nur die Objekte die wir mit OTL verschoben hatten. Rechner wieder okay?

Hey super,

auch nach dem Neustart konnte zumindest der mbam Quick-scan nix finden. Hätte nicht gedacht, dass jetzt schon alles weg ist. Nachdem gestern abend wieder einige Meldungen aufgetreten waren.
Ich hab im übrigen auch von meinem Provider jetzt ne Mail bekommen, dass ein Programm vorgestern auf eher unkonventionelle Weise ins Netz gehen wollte. Ich hoffe, dass das damit auch erledigt ist.

Also erstmal ein ganz großes

Zwei Fragen hätte ich noch, wo ich doch gerade einen Profi an der Leitung habe: Zum einen ich habe gelesen, dass man auch ohne das System neu aufzusetzen in NTFS umformatieren kann - ist das wirklich vollkommen problemlos? Zum anderen brauch meine Windowsfirewall nach dem Neustart des Rechners immer eine Zeit bis sie aktiv ist, währenddessen kann ich die Firewalloptionen im Sicherheitscenter aufgrund eines "unbekannten Problems" nicht öffnen. Nachdem der Rechner dann vollständig hochgefahren ist, ist sie dann auch aktiv - ich kann mich aber daran erinnern, dass das anfangs anders war. Hat es einfach grundsätzlich damit zu tun, dass der Rechner so langsam hochfährt oder ist es gar ein Sicherheitsrisiko (oder beides). Was kann man ansonsten dagegen unternehmen? Ich hab mich schon mal nach allen möglichen tweak-tools umgeschaut, kann die aber nicht wirklich einschätzen.
Tut mir leid, wenn nach gelöstem Problem ein weiterer Wust an Fragen kommt, aber gerade das zweite Problem wusste ich nicht sinnvoll zu googlen.

Viele Grüße und nochmal herzlichen Dank für den Aufwand. Ich bin echt froh, dass es so selbstlose Helfer gibt.
Christian

Konvertier erstmal nach NTFS, evtl erschlagen sich damit die anderen Probleme ebenfalls. Beende so weit wie möglich alle Programme, auch Virenscanner und was onst noch so alles läuft.

Systempartition nach NTFS konvertieren:

1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!

Das gleiche musst Du mit Volume D auch machen, dann lautet der Befehl logischerweise

Code: Alles auswählenAufklappen

ATTFilter

convert d: /fs:ntfs
         

Ich weiß nicht was bei Dir auf D: drauf ist, aber idR bekommt man nur auf der Systempartition keinen exklusiven Schreibzugriff, auf andere Partitionen idR aber schon, sodass da kein Neustart fällig sein dürfte.

Fertig, hat ja gar nicht weh getan...
Das Konvertieren ging total problemlos. Hat auch gar nicht so lange gedauert, wie ich dafür eingeplant hatte. Leider bleiben die anderen Probleme - langsames hochfahren (hochfahren tut er eigentlich nicht so langsam, nur Windows brauch einige Zeit um ansprechbar zu sein) und/oder die späte Firewall. Vermutlich oute ich mich mal wieder als volltourist, aber kann die Verzögerung am Anfang auch damit zusammenhängen, dass man größere Datenmenge auf dem Desktop bzw. in dem entsprechenden Verzeichnis hat (also nicht nur Verknüpfungen)?

Ansonsten wäre ich über einen Tipp für ein gutes Tweak-Programm sehr dankbar.

Zumindest läuft meine Festplatte nun nicht mehr in einem Vorkriegsformat. Das dürfte sich bei größeren Dateien vermutlich bemerkbar machen. Danke dafür schon mal.

Gruß nach Bremen
Christian

Das sind ehrlich gesagt probleme, die ich über eine "Fernbeziehung" wirklich "liebe"
Evtl siehst Du noch im Ereignisprotokoll warum Windows da nach dem Hochfahren eine Zeit lang nicht ansprechbar ist. U.U. seh ich das auch in einem frischen OTL-Extras Log

Zitat:

dass man größere Datenmenge auf dem Desktop bzw. in dem entsprechenden Verzeichnis hat (also nicht nur Verknüpfungen)?

Wäre zumindest ein Ansatz. Könnte auch sein, dass Dein Benutzerprofil nen Schuss hat. Schonmal testweise einen neuen Benutzer eingerichtet und Dich damit eingeloggt?

Ich habe jetzt erstmal den Desktop entrümpelt. Hat in punkto Problem nichts gebracht, dafür habe ich erstmals wieder das Hintergrundbild erkannt (ich durfte mal wieder feststellen, was für einen ausgesprochen guten Geschmack ich habe. ).
Dann habe ich das neue Benutzerprofil probiert. Das war zwar etwas schneller ansprechbar und ich konnte sogar direkt ins Netz gehen. Allerdings rödelte Windows im Hintergrund noch was länger (insgesamt mehr als 3 min nach Profilwahl) und warnte mich dann erst später, dass die Firewall noch down sei. Im Sicherheitscenter wollte es mir erneut keinen direkten Zugriff auf die Firewall-Einstellungen gewähren (aufgrund eines unbekannten Problems).

Mit dem Ereignisprotokoll konnte ich nicht wirklich etwas anfangen, so ich denn überhaupt das richtige gefunden habe. (Systemsteuerung > Verwaltung > Leistung?)

OTL hänge ich gleich nochmal an, dauert aber noch etwas. Mit Fernbeziehung hast Du gar nicht mal so unrecht (sitze in Kleve...).

Gruß
Christian

Benutzt Du das Tool NTBackup, das Sicherungsprogramm was bei Windows schon dabei sit? Ich seh da einige auffällige Fehler...ob die aber was mit der Windows-Firewall zu tun haben, kann ich so nicht sagen.

Hallo Arne und frohe Pfingsten,

es mag durchaus sein, dass NT-backup im Hintergrund läuft. Allerdings bin ich mir dessen nicht bewusst und ich kann mich nicht entsinnen, selbst Einstellungen vorgenommen zu haben. Außerdem müsste ich dann vermutlich doch irgendwo auf dem Rechner mehr oder weniger große backup-Dateien haben (oder nicht?). Auch die habe ich nicht entdecken können. Als ich die Sicherung über das Startmenü aufrief, öffnete sich auch erst einmal der Assistent (zwar kann man die Sicherung - glaube ich - auch so einstellen, dass sich immer der Assisten öffnet, aber das wirkte alles relativ jungfräulich auf mich). Ich hoffe, meine Aussagen sind nicht zu kryptisch.
Woran könnte ich denn sonst noch erkennen, ob die läuft?

Falls eine weitere Analyse deinerseits aus der Ferne zu schwierig ist, dann sag bescheid. Ich danke Die auf jeden Fall nochmal, dass Du Dich über das eigentliche Problem hinaus mit meinen Mätzchen befasst.

Beste Grüße
Christian