Nochmal: in meiner ersten AW wurde ausgiebigst erklärt was CODE-Tags sind und wie du das umsetzt, aber bitte hier nochmal:




Mal ein Tipp: Anleitung von MBAR, die ich gepostet habe, genauer lesen :)

Ich kann den GMER Editor Text hier nicht posten, weil er viel zu lang ist. Was soll ich tun?

Wenn die Logs zu groß sind (und auch nur dann!) diese zippen und hier anhängen siehe http://www.trojaner-board.de/69886-a...tml#post566999

Anbei die GMER Daten als Zip Datei. Ich hoffe, ich habe es halbwegs richtig gemacht.

Hier die hoffentlich richtigen Log File Daten vom Anti Root Kit Programm:

Malwarebytes Anti-Rootkit BETA 1.01.0.1022
Malwarebytes : Free anti-malware download

Database version: v2013.04.02.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Jan93 :: JAN [administrator]

02.04.2013 17:30:58
mbar-log-2013-04-02 (17-30-58).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 26335
Time elapsed: 17 minute(s), 32 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Dann hat Avira seit heute noch ein Trash/gen auf einmal gemeldet (mehrmals), was jetzt in Quarantäne ist. Das troyanische Pferd trash/gen wurde hier gefunden:

C:\System Volume Information\_restore{A6456473-4060-49E8-B415-268695466CF1}\RP217\A0039927.dll'

Zudem wird bei einer vollständigen Systemprüfung von Avira schon seit einem Jahr immer angezeigt, dass er folgende Datei nicht öffnen kann als Warnung. Ich weiß nicht, wie ich zu der Datei kommen kann und wie ich sie löschen kann:

C:\RECYCLER\S-1-5-21-839522115-1960408961-1417001333-1004\Dc23\g_0003\opr1Q604.tmp

Die positive Nachricht: Dieses geschilderte zusätzliche neue Problem, dass ich nicht mehr auf Laufwerk C komme mit der Explorer.EXE Anzeige ist gelöst. Ich habe Opera Dateien in den Papierkorb getan, die ich für nicht relevant hielt. Auf einmal ging es wieder.

Nochmal bitte, die Logs in CODE-Tags posten

Außerdem solltest du MBAR nachdem es Funde enfernt hat, dieses auch nochmal neu scannen lassen

Anti Rootkit habe ich jetzt zweimal noch durchlaufen lassen. Es gab keinen Fund mehr.

Mit GMER. Ich kam mit den Steuerungstasten nicht weiter. Ich habe jetzt die GMER Dateil in den Editor gepackt und der hat die gewünschten Code Tags am Anfang und am Ende des Textes. Falls das nicht richtig ist, weiß ich nicht, wie das mit den Code Tags funktoniert. Sorry.

aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Also ich habe Antivir auf meinem Rechner. Soweit ich weiß, verstehen sich zwei Antivirusprogramme nicht so gut oder liege ich da falsch?

TDSS Killer habe ich schon vorher laufen lassen. Kein Fund.

Gab es sonst noch keine Spur via GMER etc.?

Was hat das mit einem zweiten AVP zu tun? aswMBR ist ein SPezialtool und kein echter Scanner
Bitte die beiden Logs posten wie in meinem vorherigen Post beschrieben

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-04-04 20:21:13
-----------------------------
20:21:13.203 OS Version: Windows 5.1.2600 Service Pack 3
20:21:13.203 Number of processors: 2 586 0x6B02
20:21:13.203 ComputerName: JAN UserName:
20:21:23.687 Initialize success
20:21:49.187 AVAST engine defs: 13040400
20:22:07.937 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path0Target0Lun0
20:22:07.937 Disk 0 Vendor: ST350041 CC34 Size: 476940MB BusType: 1
20:22:08.125 Disk 0 MBR read successfully
20:22:08.140 Disk 0 MBR scan
20:22:09.734 Disk 0 Windows XP default MBR code
20:22:09.765 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 49999 MB offset 63
20:22:10.046 Disk 0 Partition - 00 0F Extended LBA 426930 MB offset 102398310
20:22:10.062 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 426930 MB offset 102398373
20:22:10.171 Disk 0 scanning sectors +976752000
20:22:10.437 Disk 0 malicious Win32:MBRoot code @ sector 976752003 !
20:22:11.000 Disk 0 scanning C:\windows\system32\drivers
20:22:24.437 Service scanning
20:22:28.328 Service GMSIPCI E:\INSTALL\GMSIPCI.SYS **LOCKED** 21
20:22:30.781 Service MSICPL E:\install4\MSICPL.sys **LOCKED** 21
20:22:32.015 Service NTACCESS E:\NTACCESS.sys **LOCKED** 21
20:22:34.921 Service SetupNTGLM7X E:\NTGLM7X.sys **LOCKED** 21
20:22:39.234 Modules scanning
20:22:42.953 Disk 0 trace - called modules:
20:22:42.968 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll SCSIPORT.SYS nvgts.sys
20:22:42.968 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a3c2848]
20:22:42.968 3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000066[0x8a3e2920]
20:22:42.968 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Scsi\nvgts1Port2Path0Target0Lun0[0x8a3e6030]
20:22:44.656 AVAST engine scan C:\windows
20:22:53.531 AVAST engine scan C:\windows\system32
20:26:17.843 AVAST engine scan C:\windows\system32\drivers
20:26:31.265 AVAST engine scan C:\Dokumente und Einstellungen\Jan93
20:38:13.656 AVAST engine scan C:\Dokumente und Einstellungen\All Users
20:39:31.875 Scan finished successfully
20:44:42.609 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Jan93\Desktop\MBR.dat"
20:44:42.609 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Jan93\Desktop\aswMBR.txt"

Dann zum TSS Killer. Ich habe ihn wie beschrieben hier neu konfiguriert. Er hat fünf Funde gemacht. Soll ich diese löschen?
Ich kann die Daten nicht posten, weil ich mit copy and paste den Report nirgendwo sichern kann. Wie geht das?

Du hast das Log schon wieder nicht in CODE-Tags gepostet, wie oft soll ich denn noch darauf hinweisen? :balla:

Zu große Logs bitte zippen und anhängen siehe http://www.trojaner-board.de/69886-a...tml#post566999

So jetzt in Log File. Aber was ist denn jetzt mit diesem TDSS Killer. Wie kann ich den Report hier posten. Ich finde nirgendwo im Programm eine Anleitung.

Hier der Report vom TDSS Killer. Ich habe ihn gefunden:

Diesen Eintrag bitte mit dem TDSS-Killer fixen. Aber bitte nur diesen Eintrag!

Um das zu tun musst du den TDSS-Killer neu starten und einen neuen Scan machen. Wenn du danach die Ergebnisse siehst, stellst du bitte diesen Eintrag auf CURE bzw. DELETE (je nachdem was dir angeboten wird, alle anderen bitte auf SKIP lassen! ) und klickst dann unten rechts auf continue

Starte Windows danach neu und mach wieder ein komplett neues Log mit dem TDSS-Killer. Wie immer wieder in CODE-Tags posten.

Antivir verweigerte mit Angabe einen Trash Gens die Löschung. Soll ich Antivir ausmachen oder erstmal "copy in Quarantine" angeben beim TDSS Killer?

Dann noch die Frage: Aufgrund eines Updates habe ich Opera neu drauf oder doppelt (?). Auf jeden Fall ist die eine Datei jetzt 6522 MB groß bei der Software. Das ist doch nicht normal oder? Löschen? Die andere Software von Opera ist 334 MB.


Danke für deine bisherige Mühe. Ich weiß, ich bin nicht so der Computerfreak. Deshalbe manchmal die unlogischen Fragen.

Opera habe ich jetzt gerade gelöscht. Ich versuche mich an Firefox zu gewöhnen.