Ok. Dann MBRCheck nochmal ausführen wie vorhin und das neue Log posten.

Hallo Arne,

hier nochmal der MBR Check

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 127):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7ABE000 \WINDOWS\system32\KDCOM.DLL
0xF79CE000 \WINDOWS\system32\BOOTVID.dll
0xF748E000 ACPI.sys
0xF7AC0000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF747D000 pci.sys
0xF75BE000 isapnp.sys
0xF75CE000 ohci1394.sys
0xF75DE000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF79D2000 compbatt.sys
0xF79D6000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7B86000 pciide.sys
0xF783E000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7AC2000 intelide.sys
0xF7AC4000 viaide.sys
0xF7AC6000 aliide.sys
0xF745F000 pcmcia.sys
0xF75EE000 MountMgr.sys
0xF7440000 ftdisk.sys
0xF79DA000 ACPIEC.sys
0xF7B87000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7846000 PartMgr.sys
0xF75FE000 VolSnap.sys
0xF7428000 atapi.sys
0xF7352000 iaStor.sys
0xF760E000 disk.sys
0xF761E000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7332000 fltmgr.sys
0xF7320000 sr.sys
0xF784E000 PxHelp20.sys
0xF7309000 KSecDD.sys
0xF727C000 Ntfs.sys
0xF724F000 NDIS.sys
0xF762E000 serial.sys
0xF7235000 Mup.sys
0xF778E000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF71F4000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB9DCB000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xB9DB7000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9D8F000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB9C32000 \SystemRoot\system32\DRIVERS\w39n51.sys
0xF78C6000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9C0E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF78CE000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB9BE6000 \SystemRoot\system32\drivers\tifm21.sys
0xB9BD2000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xB9BAB000 \SystemRoot\system32\DRIVERS\e100b325.sys
0xF71F0000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF779E000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF78D6000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB9B7C000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AF2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF78DE000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF77BE000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF77CE000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF77DE000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9B59000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7C41000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF77EE000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF71DC000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB8F56000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB9F56000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB9F46000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7926000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB8F45000 \SystemRoot\system32\DRIVERS\psched.sys
0xB9F36000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB0645000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB0416000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB021D000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7ADA000 \SystemRoot\system32\DRIVERS\swenum.sys
0xAF8ED000 \SystemRoot\system32\DRIVERS\update.sys
0xB17C7000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xA9ED4000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x98FEA000 \SystemRoot\system32\drivers\CHDAud.sys
0x98FC6000 \SystemRoot\system32\drivers\portcls.sys
0xA9B65000 \SystemRoot\system32\drivers\drmk.sys
0x98F94000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0x98E97000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0x98DE7000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xA9C19000 \SystemRoot\System32\Drivers\Modem.SYS
0xA95B1000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xA94C1000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xAA083000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xAFBBC000 \SystemRoot\System32\Drivers\Null.SYS
0xAA081000 \SystemRoot\System32\Drivers\Beep.SYS
0xA9BD9000 \SystemRoot\System32\drivers\vga.sys
0xAA07F000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xAA07D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xA9BD1000 \SystemRoot\System32\Drivers\Msfs.SYS
0xA9647000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA94BD000 \SystemRoot\system32\DRIVERS\rasacd.sys
0x98DB4000 \SystemRoot\system32\DRIVERS\ipsec.sys
0x98D5B000 \SystemRoot\system32\DRIVERS\tcpip.sys
0x98D33000 \SystemRoot\system32\DRIVERS\netbt.sys
0x98D11000 \SystemRoot\System32\drivers\afd.sys
0xA9591000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA963F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x98CE6000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x98C76000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA9581000 \SystemRoot\System32\Drivers\Fips.SYS
0x98C50000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA9571000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAA07B000 \??\C:\WINDOWS\system32\drivers\EABFiltr.sys
0x98C34000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xAA077000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0x98C10000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x98B3A000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB042E000 \SystemRoot\System32\drivers\Dxapi.sys
0xA9617000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xAFC19000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF020000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF042000 \SystemRoot\System32\ialmdev5.DLL
0xBF077000 \SystemRoot\System32\ialmdd5.DLL
0x98B26000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xAD031000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x98A81000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x98A1C000 \SystemRoot\system32\drivers\wdmaud.sys
0xF780E000 \SystemRoot\system32\drivers\sysaudio.sys
0x988D7000 \SystemRoot\system32\DRIVERS\srv.sys
0x98B16000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0x9874F000 \SystemRoot\System32\Drivers\Cdfs.SYS
0x98393000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 41):
0 System Idle Process
4 System
728 C:\WINDOWS\system32\smss.exe
800 csrss.exe
824 C:\WINDOWS\system32\winlogon.exe
868 C:\WINDOWS\system32\services.exe
880 C:\WINDOWS\system32\lsass.exe
1036 C:\WINDOWS\system32\svchost.exe
1116 svchost.exe
1156 C:\WINDOWS\system32\svchost.exe
1248 svchost.exe
1392 svchost.exe
1532 C:\WINDOWS\explorer.exe
1792 C:\WINDOWS\system32\spoolsv.exe
1840 C:\Programme\Avira\AntiVir Desktop\sched.exe
1884 svchost.exe
2004 C:\WINDOWS\system32\igfxtray.exe
2024 C:\WINDOWS\system32\hkcmd.exe
2040 C:\WINDOWS\system32\igfxpers.exe
248 C:\Programme\Avira\AntiVir Desktop\avguard.exe
272 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
304 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
312 C:\Programme\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
124 C:\Programme\HP\QuickPlay\QPService.exe
368 C:\Programme\HPQ\Quick Launch Buttons\eabservr.exe
472 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
516 C:\Programme\Java\jre6\bin\jqs.exe
524 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
532 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
592 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
988 C:\WINDOWS\system32\svchost.exe
1204 C:\Programme\OpenOffice.org 2.0\program\soffice.exe
1376 C:\Programme\OpenOffice.org 2.0\program\soffice.bin
1420 wdfmgr.exe
640 C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
200 C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
2548 wmiprvse.exe
2864 alg.exe
3360 C:\Programme\HPQ\Shared\HpqToaster.exe
2304 C:\Programme\Opera\opera.exe
3036 C:\Dokumente und Einstellungen\sunshine\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000015`9d212c00 (FAT32)

PhysicalDrive0 Model Number: HTS541010G9SA00, Rev: MBZOC60P

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

Gruß Stefan

Zitat:

93 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hier das Logfile von SAS

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/05/2010 at 10:41 PM

Application Version : 4.42.1000

Core Rules Database Version : 5458
Trace Rules Database Version: 3270

Scan type : Complete Scan
Total Scan Time : 01:10:26

Memory items scanned : 566
Memory threats detected : 0
Registry items scanned : 5962
Registry threats detected : 0
File items scanned : 77391
File threats detected : 3

Trojan.Agent/Gen-Nullo[Short]
C:\QOOBOX\QUARANTINE\C\DOKUMENTE UND EINSTELLUNGEN\SUNSHINE\STARTMENü\PROGRAMME\AUTOSTART\UPDQNC32.EXE.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP2\A0000110.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP3\A0000482.EXE

----------------
Hier das Logfile von Malware


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4551

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

05.09.2010 21:22:09
mbam-log-2010-09-05 (21-22-09).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 128040
Laufzeit: 6 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gruß Stefan

Sieht ok aus, da wurden nur Überreste gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo Arne,

sorry hatte nur einen Malware Quickscan gemacht, hier jetzt das Ergebniss des Vollscan. Während des Scan meldete Guard von Avira mehrere Funde, sind auch gepostet, sonst alles in Ordnung.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4552

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

06.09.2010 21:26:27
mbam-log-2010-09-06 (21-26-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 201363
Laufzeit: 7 Stunde(n), 17 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\axunuav.sys.vir (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP3\A0000483.sys (Rootkit.Bubnix) -> Quarantined and deleted successfully.

---------------------------

Avira

Exportierte Ereignisse:

06.09.2010 06:19 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP3\A0000483.sys'
wurde ein Virus oder unerwünschtes Programm 'RKIT/Agent.biiu' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 06:18 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 06:18 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 06:18 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000005.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 06:14 [Guard] Malware gefunden
In der Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\axunuav.sys.vir'
wurde ein Virus oder unerwünschtes Programm 'RKIT/Agent.biiu' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 05:27 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 04:27 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 03:27 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 02:27 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 01:27 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 00:27 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Gruß Stefan

Sieht soweit ok aus, nur Überreste aus dem Combofixordner Qoobox und in der Systemwiederherstellung.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Systemwiederherstellung ist deaktiviert.

Ok. Noch Probleme? Eigentlich wären wir dann soweit durch wenn Du nichts mehr hast!

Nein, keine Probleme mehr. Vielen Dank für deine Geduld.
Bin echt froh das es geschafft ist
Nochmal Danke.

Gruß Stefan

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.