Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne!

Habe Combofix Ausgeführt. Den Log habe ich auch. Allerdings Kann ich keine Programme mehr öffnen. Es Kommt ein Schild: z.B. "C:\Users\HaukeS\Desktop\log1234.txt Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde". Bin gerade an einem anderen Pc, weil ich auch Firefox usw nicht mehr öffnen kann. ich könnte den Log mit einem stick auf diesen rüberhohlen oder ist das keine gute idee wegen dem virus?

Was soll ich tun Meister :)

Grüße Hauke

Windows neu starten!!

Ok stimmt :)

Hier der Combifix Log

Grüße!

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

HI Arne!

gmer log:

GMER Logfile:
--- --- ---


Osam logfile:

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit
hxxp://forum.online-solutions.ru

aswMBR logfile:

aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-18 11:17:41
-----------------------------
11:17:41.721 OS Version: Windows 6.1.7600
11:17:41.721 Number of processors: 2 586 0x170A
11:17:41.722 ComputerName: HAUKES-THINK UserName: HaukeS
11:17:43.001 Initialize success
11:18:03.859 AVAST engine defs: 11081701
11:18:24.336 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
11:18:24.340 Disk 0 Vendor: WDC_WD25 14.0 Size: 238475MB BusType: 3
11:18:24.370 Disk 0 MBR read successfully
11:18:24.375 Disk 0 MBR scan
11:18:24.401 Disk 0 MBR:Alureon-I [Rtk]
11:18:24.406 Disk 0 TDL4@MBR code has been found
11:18:24.412 Disk 0 MBR hidden
11:18:24.418 Disk 0 MBR [TDL4] **ROOTKIT**
11:18:24.425 Disk 0 trace - called modules:
11:18:24.434 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x86935ed1]<<
11:18:24.442 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86917aa0]
11:18:24.451 3 CLASSPNP.SYS[891c259e] -> nt!IofCallDriver -> [0x85f25700]
11:18:24.458 5 ACPI.sys[836b13b2] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x85af6028]
11:18:24.470 \Driver\iaStor[0x85eebc08] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> 0x86935ed1
11:18:25.963 AVAST engine scan C:\Windows
11:18:28.748 AVAST engine scan C:\Windows\system32
11:20:14.947 AVAST engine scan C:\Windows\system32\drivers
11:20:25.565 AVAST engine scan C:\Users\HaukeS
11:22:59.850 AVAST engine scan C:\ProgramData
11:23:51.896 Scan finished successfully
11:28:13.621 Disk 0 MBR has been saved successfully to "C:\Users\HaukeS\Desktop\MBR.dat"
11:28:13.630 The log file has been saved successfully to "C:\Users\HaukeS\Desktop\aswMBR log.txt"


Grüße und danke für die gute betreuung! :)

Deswegen öffnet sich der TDSS-Killer nicht!

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.
Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

So hab ich gemacht, der pc ist dann abrupt runtergefahren und hat neugestarted. War das jetzt der Mbrfix?

Grüße

Mach dann ein neues Log mit aswmbr

Hier der Log

aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-20 10:24:30
-----------------------------
10:24:30.527 OS Version: Windows 6.1.7600
10:24:30.527 Number of processors: 2 586 0x170A
10:24:30.529 ComputerName: HAUKES-THINK UserName: HaukeS
10:24:31.877 Initialize success
10:25:06.736 AVAST engine defs: 11081901
10:26:57.596 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
10:26:57.598 Disk 0 Vendor: WDC_WD25 14.0 Size: 238475MB BusType: 3
10:26:57.614 Disk 0 MBR read successfully
10:26:57.616 Disk 0 MBR scan
10:26:57.633 Disk 0 MBR:Alureon-I [Rtk]
10:26:57.636 Disk 0 TDL4@MBR code has been found
10:26:57.639 Disk 0 MBR hidden
10:26:57.643 Disk 0 MBR [TDL4] **ROOTKIT**
10:26:57.646 Disk 0 trace - called modules:
10:26:57.651 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x86935ed1]<<
10:26:57.656 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86917030]
10:26:57.661 3 CLASSPNP.SYS[892ae59e] -> nt!IofCallDriver -> [0x85ef3660]
10:26:57.667 5 ACPI.sys[836923b2] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x85af2028]
10:26:57.676 \Driver\iaStor[0x85ee9a78] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> 0x86935ed1
10:26:58.673 AVAST engine scan C:\Windows
10:27:01.252 AVAST engine scan C:\Windows\system32
10:28:40.167 AVAST engine scan C:\Windows\system32\drivers
10:28:50.114 AVAST engine scan C:\Users\HaukeS
10:31:08.113 AVAST engine scan C:\ProgramData
10:32:03.250 Scan finished successfully
11:00:35.379 Disk 0 MBR has been saved successfully to "C:\Users\HaukeS\Desktop\MBR.dat"
11:00:35.388 The log file has been saved successfully to "C:\Users\HaukeS\Desktop\aswMBR.txt"


immer noch der Rootkit drin... soll ich nochmal fixen?

Wir müssen den MBR anders fixen, Daten hast du ja gesichert.

Hast Du noch andere Betriebssysteme außer Win7 (32-Bit) installiert?
Wenn nicht: Schau mal hier => RescueDisc-Win7-32-Bit

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten)

Falls Du eine normale Win7-Installations-DVD (32-Bit) hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Führe im normalen Windowsmodus MBRcheck bzw. aswmbr (je nachdem welches Tool ich dir vorhin aufgab) und wenn es geht GMER nochmals aus und poste die neuen Logs.

Hi arne!

Hier die logs nach dem genannten vorgang:

aswmbr:

aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-26 12:17:28
-----------------------------
12:17:28.690 OS Version: Windows 6.1.7600
12:17:28.690 Number of processors: 2 586 0x170A
12:17:28.690 ComputerName: HAUKES-THINK UserName: HaukeS
12:17:29.719 Initialize success
12:17:32.668 AVAST engine defs: 11082600
12:17:38.689 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
12:17:38.689 Disk 0 Vendor: WDC_WD25 14.0 Size: 238475MB BusType: 3
12:17:38.736 Disk 0 MBR read successfully
12:17:38.752 Disk 0 MBR scan
12:17:38.752 Disk 0 Windows 7 default MBR code
12:17:38.767 Disk 0 scanning sectors +488394752
12:17:38.861 Disk 0 scanning C:\Windows\system32\drivers
12:17:48.268 Service scanning
12:17:50.046 Modules scanning
12:17:58.361 Disk 0 trace - called modules:
12:17:58.376 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll iaStor.sys
12:17:58.376 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8651b030]
12:17:58.392 3 CLASSPNP.SYS[891d359e] -> nt!IofCallDriver -> [0x85af1958]
12:17:58.891 5 ACPI.sys[88a3e3b2] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x856ec028]
12:18:00.264 AVAST engine scan C:\Windows
12:18:03.306 AVAST engine scan C:\Windows\system32
12:19:52.899 AVAST engine scan C:\Windows\system32\drivers
12:20:03.260 AVAST engine scan C:\Users\HaukeS
12:22:48.126 File: C:\Users\HaukeS\AppData\Local\Temp\jar_cache7161096472331229318.tmp **INFECTED** Win32:Banker-IID [Trj]
12:23:01.075 File: C:\Users\HaukeS\AppData\Roaming\appconf32.exe **INFECTED** Win32:Banker-IJD [Drp]
12:24:22.139 AVAST engine scan C:\ProgramData
12:25:18.730 Scan finished successfully
12:25:43.889 Disk 0 MBR has been saved successfully to "C:\Users\HaukeS\Desktop\MBR.dat"
12:25:43.896 The log file has been saved successfully to "C:\Users\HaukeS\Desktop\logaswmbr.txt"


und gmer:
GMER Logfile:
--- --- ---

Ich bekomme zur Zeit oft einen bluescreen mit der Meldung: Page_fault_on_nonpage_area

Grüße Hauke

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi arne!

Hier die logs

Mbam:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7631

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

01.09.2011 21:01:38
mbam-log-2011-09-01 (21-01-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|Q:\|)
Durchsuchte Objekte: 299941
Laufzeit: 38 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\HaukeS\AppData\Local\Temp\jar_cache7161096472331229318.tmp (Malware.Gen) -> No action taken.
c:\Users\HaukeS\AppData\Roaming\appconf32.exe (Malware.Gen) -> No action taken.

eset:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=0473d60f8ff74b42a9ea304314a0ab92
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-12 02:26:10
# local_time=2011-08-12 04:26:10 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16774142 0 1 246162 246162 0 0
# compatibility_mode=5893 16776574 100 94 50262124 64786156 0 0
# compatibility_mode=8192 67108863 100 0 301 301 0 0
# scanned=133042
# found=1
# cleaned=0
# scan_time=4206
C:\Users\HaukeS\AppData\Local\Temp\P1kAlMiG2Kb7Fz.exe a variant of Win32/Kryptik.RJL trojan (unable to clean) 00000000000000000000000000000000 I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=0473d60f8ff74b42a9ea304314a0ab92
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-01 08:33:41
# local_time=2011-09-01 10:33:41 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16774142 0 1 1995850 1995850 0 0
# compatibility_mode=5893 16776574 100 94 52011812 66535844 0 0
# compatibility_mode=8192 67108863 100 0 1749989 1749989 0 0
# scanned=132489
# found=2
# cleaned=0
# scan_time=4569
C:\Users\HaukeS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TRDSR2WS\c3[1].htm HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Users\HaukeS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\151adf2e-332d23c1 a variant of Java/Agent.DH trojan (unable to clean) 00000000000000000000000000000000 I

Der superanti log ist im anhang.

Grüße Hauke

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!