Security Suite Virus nicht komplett gelöscht
 

hallo,
ich habe mir neulich (durch ein "games for windows-live update") den "av security suite" virus geholt. Habe ihn dann so gut wie möglich entfernt, wie es schon of in foren beschrieben wurde...seitdem läuft der pc wieder ganz normal, internet geht auch normal.

Nun zu meinem problem: wenn ich ins internet gehe werde ich nach ca. 5-10 min automatisch auf eine unbekannte seite weitergeleitet, bei der sich im hintergrund java öffnet (java symbol erscheint rechts unten in der taskleiste) und ich mir vermutlich wieder den virus holen würde, wenn ich die seite nicht gleich wieder schließe.
Außerdem ist mir aufgefallen, dass wenn ich firefox öffne und dann cmd öffne und "netstat -n" eingebe, manchmal neben 1 oder 2 ip adressen "SYN_GESENDET" oder "ZULETZT_ACK" oder "FIN_WARTEN" steht.
Wenn ich firefox nicht öffne, erscheinen diese IPs auch nicht.

Habe schon mit Hijackthis verschiedene BHOs von java gefixt (weil der virus auch etwas mit java zu tun hat glaube ich, jedenfalls öffnet sich immer java wenn man sich ihn holt). Hat leider bisher nicht wirklich etwas gebracht.

Achja komischerweise lässt sich die FABS.exe nicht per hijackthis fixen. Habe sie dann im abgesicherten modus gelöscht. Wenn ich dann wieder hijackthis durchlaufen lasse, erscheint sie immer noch nur mit der meldung (file not found) oder sowas und wenn ich den eintrag fixen will taucht er beim nächsten scan wieder auf...

Vielleicht könnt ihr mir ja weiterhelfen, hier mal eine Hijackthis log:
HiJackthis Logfile:
--- --- ---

Dann hast Du bestimmt ein paar mehr Logs als nur das gepostete von Hijackthis. Poste bitte alle, auch alle von malwarebytes usw.!!

Nein, habe leider nur noch das logfile von hijackthis...
nachdem ich den virus entfert habe (mit malwarebytes usw) habe ich antivir und malwarebytes nochmals durchlaufen lassen und beide haben nichts gefunden.
Achja manchmal braucht der PC auch etwas länger zum hochfahren, bzw bis er die LAN-Verbindung aktiviert hat...

Was könnte ich denn noch machen? :confused:

hab nicht wirklich lust c: zu formatieren weil ja dann die registry einträge weg wären und ich echt ein ganzen haufen software neu installieren dürfte ^^

Ich hab doch gestern nach mehr Logs gefragt. Warum schreibst Du nun dass Du Malwarebytes und AntiVir durchlaufen lassen hast, lässt die Logs aber weg? Sry aber wenn man Dir helfen soll, musst Du auch mal aufmerksamer lesen und auch ein wenig mitdenken.

Hm ja ok ich dachte du meintest die alten logfiles wo malwarebytes was gefunden hat damals....

hier das neue Malwarebytes logfile:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4424

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.09.2010 15:49:41
mbam-log-2010-09-23 (15-49-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 469939
Laufzeit: 1 Stunde(n), 40 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Antivir logfile kommt noch!

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

ok habs geupadetet... wurden doch noch 2 viren gefunden:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4684

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.09.2010 23:21:46
mbam-log-2010-09-24 (23-21-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 172685
Laufzeit: 46 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Jonny\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P9JEE7Q7\update[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Jonny\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z4P6V11Z\f4ac4[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.

habe jetzt übernacht MBAM und Antivir nochmal richtig durchlaufen lassen, da ich bei dem letzten mbam scan nach ner weile abgebrochen habe....er hat jetzt noch nen infizierten registrierungseintrag gefunden, die pop-ups öffnen sich aber leider nach ein paar minuten immernoch automatisch...ab und zu werde ich auch auf irgendwelche suchmaschinen weitergeleitet...wenn ich z.b. bei google etwas suche und dann auf einen link klicke, kommt irgend eine komische suchseite...dann muss ich erstmal zurück und die seite erneut aufrufen damit ich auf die eigentliche seite komme...

hier mal die logs:



MBAM Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4684

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.09.2010 11:21:59
mbam-log-2010-09-25 (11-21-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 477027
Laufzeit: 5 Stunde(n), 57 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\wnxmal (Rogue.SecuritySuite) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Antivir Ereignisse:


Die Datei 'C:\Dokumente und Einstellungen\Jonny\Lokale Einstellungen\Temp\jar_cache6899557874294814324.tmp'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/OpenStream.A' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '519f349b.qua' verschoben!


Die Datei 'C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\7448ce0-7971c2f3'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.M.1' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d61be9.qua' verschoben!


Die Datei 'C:\Dokumente und Einstellungen\Jonny\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48\55fc09f0-4a67f68d'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.M.1' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03cc6ea7.qua' verschoben!

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

bitteschön:OTL Logfile:
--- --- ---

kann das 2. logfile "extras" irgendwie nicht posten....deswegen lade ich es kurz hoch.

hier der link:

hxxp://www13.speedyshare.com/files/24412460/download/Extras.Txt

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

danke für die schnelle antwort!

hier das logfile:

All processes killed
========== OTL ==========
Process cledx.exe killed successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\H2O deleted successfully.
C:\Programme\Syncrosoft\POS\H2O\cledx.exe moved successfully.
C:\WINDOWS\45235788142C44BE8A4DDDE9A84492E5.TMP folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Dokumente\Server folder moved successfully.
C:\WINDOWS\system32\winupd moved successfully.
C:\WINDOWS\system32\Datei4 moved successfully.
C:\WINDOWS\system32\Datei2 moved successfully.
C:\WINDOWS\system32\Datei3 moved successfully.
C:\WINDOWS\system32\Datei1 moved successfully.
C:\WINDOWS\system32\Datei7 moved successfully.
C:\WINDOWS\system32\Datei5 moved successfully.
C:\WINDOWS\system32\Datei0 moved successfully.
C:\WINDOWS\system32\Datei9 moved successfully.
C:\WINDOWS\system32\Datei8 moved successfully.
C:\WINDOWS\system32\Datei10 moved successfully.
C:\WINDOWS\system32\Datei6 moved successfully.
C:\Dokumente und Einstellungen\Jonny\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini moved successfully.
C:\Dokumente und Einstellungen\Jonny\Anwendungsdaten\.A706B8D24E6B54B1.sys moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Jonny
->Temp folder emptied: 1068732088 bytes
->Temporary Internet Files folder emptied: 260119501 bytes
->Java cache emptied: 14341634 bytes
->FireFox cache emptied: 40457051 bytes
->Flash cache emptied: 3001 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 2109070 bytes
->Java cache emptied: 557 bytes
->Flash cache emptied: 3137 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 6283534 bytes
->Flash cache emptied: 5563 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2318613 bytes
%systemroot%\System32 .tmp files removed: 1621943 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4381553 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.336,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 09262010_132846

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ok fertig.

Logfile:




Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

bitteschön =)


Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

danke für deine schnelle antwort ;)

so also hier mal die logs:



GMER:


GMER Logfile:
--- --- ---





OSAM:




OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru





Zum Bootkit Remover: Wenn ich ihn starte kommt in der console folgende Meldung:


Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Bitteschön:


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000007c

Kernel Drivers (total 122):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF75A7000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7596000 pci.sys
0xF75F7000 isapnp.sys
0xF7A4F000 pciide.sys
0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7607000 MountMgr.sys
0xF74D7000 ftdisk.sys
0xF798B000 dmload.sys
0xF74B1000 dmio.sys
0xF770F000 PartMgr.sys
0xF7617000 VolSnap.sys
0xF7499000 atapi.sys
0xF7627000 disk.sys
0xF7637000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7479000 fltmgr.sys
0xF7467000 sr.sys
0xF7647000 PxHelp20.sys
0xF7450000 KSecDD.sys
0xF7B52000 Ntfs.sys
0xF7423000 NDIS.sys
0xF7409000 Mup.sys
0xF7516000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB7501000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB74ED000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7797000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB74C9000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF779F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB74A1000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB7487000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xB7473000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7506000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF74F6000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xB87A0000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB7450000 \SystemRoot\system32\DRIVERS\ks.sys
0xF77A7000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF7ABB000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB8790000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB87EC000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB7439000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB8780000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB8770000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF77AF000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB7428000 \SystemRoot\system32\DRIVERS\psched.sys
0xB8760000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF77B7000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF77BF000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB73A8000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xB8750000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF77C7000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF77CF000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF79AF000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB734A000 \SystemRoot\system32\DRIVERS\update.sys
0xB87CC000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB8740000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79B1000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB8730000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB3E4F000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB3E2B000 \SystemRoot\system32\drivers\portcls.sys
0xF7677000 \SystemRoot\system32\drivers\drmk.sys
0xF79B5000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB7F14000 \SystemRoot\System32\Drivers\Null.SYS
0xF79B7000 \SystemRoot\System32\Drivers\Beep.SYS
0xF77F7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF77FF000 \SystemRoot\System32\drivers\vga.sys
0xF79B9000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79BB000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7807000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF780F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF794B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB3DA8000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB3D4F000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB3D27000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB3D01000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB3CDF000 \SystemRoot\System32\drivers\afd.sys
0xF7697000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF76A7000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7817000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB3CB4000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB3C44000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7AA2000 \SystemRoot\System32\drivers\KID_LIB.sys
0xF76B7000 \SystemRoot\System32\Drivers\Fips.SYS
0xF781F000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xB709E000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF76C7000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF775F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB7092000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xB3B78000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF79BF000 \SystemRoot\System32\drivers\KID_SYS.sys
0xB708E000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF79C7000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB397F000 \SystemRoot\system32\DRIVERS\VX6000Xp.sys
0xF76E7000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xF7777000 \SystemRoot\system32\DRIVERS\VX6KCamd.sys
0xF76F7000 \SystemRoot\system32\drivers\usbaudio.sys
0xF7556000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB3967000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79D3000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB3DEB000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7787000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB3C21000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB355E000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB367B000 \??\C:\WINDOWS\system32\drivers\mbam.sys
0xB357B000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB3301000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF79DF000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB31C1000 \SystemRoot\system32\DRIVERS\ithsgt.sys
0xB3522000 \SystemRoot\system32\DRIVERS\lilsgt.sys
0xB3142000 \SystemRoot\system32\DRIVERS\srv.sys
0xB303D000 \SystemRoot\system32\drivers\wdmaud.sys
0xB3132000 \SystemRoot\system32\drivers\sysaudio.sys
0xB32B9000 \SystemRoot\system32\DRIVERS\ipfltdrv.sys
0xB19B2000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 36):
0 System Idle Process
4 System
648 C:\WINDOWS\system32\smss.exe
696 csrss.exe
720 C:\WINDOWS\system32\winlogon.exe
764 C:\WINDOWS\system32\services.exe
776 C:\WINDOWS\system32\lsass.exe
980 C:\WINDOWS\system32\nvsvc32.exe
1012 C:\WINDOWS\system32\svchost.exe
1108 svchost.exe
1140 C:\WINDOWS\system32\svchost.exe
1340 svchost.exe
1452 C:\WINDOWS\system32\spoolsv.exe
1500 C:\Programme\Avira\AntiVir Desktop\sched.exe
1564 svchost.exe
1624 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1640 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1656 C:\Programme\Bonjour\mDNSResponder.exe
1696 C:\Programme\ICQ6Toolbar\ICQ Service.exe
1820 C:\Programme\Java\jre6\bin\jqs.exe
2040 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
468 E:\Malwarebytes' Anti-Malware\mbamservice.exe
488 C:\Programme\Microsoft LifeCam\MSCamS32.exe
508 C:\WINDOWS\system32\PnkBstrA.exe
536 C:\WINDOWS\system32\PnkBstrB.exe
1972 C:\WINDOWS\explorer.exe
112 alg.exe
1768 C:\WINDOWS\RTHDCPL.exe
2120 C:\WINDOWS\system32\rundll32.exe
2152 C:\WINDOWS\vVX6000.exe
2232 E:\Malwarebytes' Anti-Malware\mbamgui.exe
2304 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1912 C:\WINDOWS\system32\wuauclt.exe
2756 C:\Programme\Mozilla Firefox\firefox.exe
2712 C:\WINDOWS\system32\svchost.exe
2172 C:\Dokumente und Einstellungen\Jonny\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000005`5854cc00 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000003a`37907c00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP2504C, Rev: VT100-41
PhysicalDrive1 Model Number: SAMSUNGHD501LJ, Rev: CR100-12

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
465 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

noch ne kurze frage zu osam: muss ich da nichts fixen oder so oder löschen mit osam? oder musste ich einfach nur scannen und die log schicken?
weil beim osam tutorial hier von trojaner board steht ja was von löschen sobald es ein admin erlaubt hat oder sowas...^^

Wenn Du was mit OSAM fixen müsstest hätte ich das schon erwähnt, da gibt es aber nix zu fixen.

sorry dass ich mich erst jetzt melde, hatte viel zu tun ^^ also danke schonmal für deine hilfe ;-) :Boogie:

yau also bisher läuft alles wieder normal, bis auf dass manchmal wenn ich in firefox gehe und eine oder zwei seiten gleichzeitig aufrufe, firefox für ein paar sekunden hängt...sonst läuft alles normal...
und achja ist es eigentlich normal dass wenn ich gerade mit firefox surfe und dann cmd öffne und netstat -n eingebe bei manchen IPs "zuletzt ack" steht...?



hier noch die Super Anti Spyware log:


SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/04/2010 at 00:56 AM

Application Version : 4.44.1000

Core Rules Database Version : 5623
Trace Rules Database Version: 3435

Scan type : Complete Scan
Total Scan Time : 00:52:38

Memory items scanned : 623
Memory threats detected : 0
Registry items scanned : 7136
Registry threats detected : 0
File items scanned : 25521
File threats detected : 7

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Jonny\Cookies\jonny@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\Jonny\Cookies\jonny@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Jonny\Cookies\jonny@doubleclick[1].txt
C:\Dokumente und Einstellungen\Jonny\Cookies\jonny@atwola[1].txt
C:\Dokumente und Einstellungen\Jonny\Cookies\jonny@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Jonny\Cookies\jonny@atdmt[1].txt
C:\Dokumente und Einstellungen\Jonny\Cookies\jonny@ad.yieldmanager[2].txt

Sieht ok aus, da wurden nur Cookies gefunden.
Den Kontrollscan mit Malwarebytes will ich noch sehen

hier das logfile:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4684

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.10.2010 15:32:31
mbam-log-2010-10-14 (15-32-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 468326
Laufzeit: 1 Stunde(n), 50 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)





Antivir hat irgendwie auch noch was gefunden:

Die Datei 'C:\Programme\Mozilla Firefox\hs_err_pid3944.log'
enthielt einen Virus oder unerwünschtes Programm 'HTML/Ydergda.B' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f5b598f.qua' verschoben!



kanns du mir noch meine frage von meinem letzten post bitte beantworten, ob das normal ist mit dem ZULETZT_ACK und SYN_GESENDET beim surfen?


danke ;)

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

jo hier die log:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4842

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.10.2010 17:46:06
mbam-log-2010-10-17 (17-46-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 471618
Laufzeit: 1 Stunde(n), 40 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)





könntes du mir jetzt vielleicht noch meine fragen von meinen letzten beiden beiträgen beantworten? ^^ danke ;)

Ja ist normal. Du musst bestimmte Sachen eigentlich wissen, netstat -an bzw. etwas Ähnliches bringt Dir sonst kaum etwas => TCP-Control-Flags => Transmission Control Protocol ? Wikipedia

Ist für den Laien aber eher nichts, aber schau selbst was Du damit anfangen kannst.