Möglicher Maleware Befall - Typ unbekannt
 

Hallo,

ich hoffe ihr könnt mir helfen. Ohne lange Vorrede möchte ich gleich auf mein Problem kommen, um euch nicht zu viel eurer wertvollen Zeit zu stehlen.

Grundlegendes:

Ich surfe prinzipiell mit meinem Benutzerkonto, bei dem ich keine Adminrechte habe. Ich lasse als Sicherheitsprogramme „Avira AntiVir Personal – Free Antivirus“, „ZoneAlarm“ und „Ad-Aware“ laufen. Ich surfe mit Firefox.

Unfall bzw. möglicher Schädlingsbefall

Gestern Abend (30.03.2011) suchte ich über Google Bildsuche ein Bild für ein Projekt. (Also kein Schmuddelkram ;) ). Als ich ein Bild öffnen wollte, verkleinerte sich plötzlich mein gesamter Browserbildschirm im unten rechten Eck und lies sich nicht mehr vergrößern. Darüber öffnete sich ein neues Fenster in dem folgendes Stand:

Statusleiste: hxxp://antivirus-4749.co.cc meldet:
Textfenster: Warning!!! Your computer is at risk of maleware attacks. We recommend you to check your system immediately. Press OK to start the process now ...
Dann gab es noch eine OK-Taste

Voller Panik schaltete ich den PC aus, weil sich der Browser nicht mehr, nicht mal über den Task-Manager, schließen lies.

Als ich den PC wieder hochfuhr und den Firefox startete, kam selbe Meldung und das Browserfenster war immer noch verkleinert in der rechten unteren Ecke und lies sich nicht öffnen.

Also drückte ich oben Rechts das kleine rote X um das Fenster mit der Meldung zu schließen.

In diesem Moment vergrößerte sich wieder das Browserfenster und ich sah auf dem Bildschirm etwas, das aussah, als würde es einen Virenscan imitieren. Viel Bewegung, grüne Streifen wie beim Download usw.

Voller Panik schaltete ich wieder den PC aus. Nach dem Hochfahren konnte ich den Browser wieder wie gewohnt öffnen.

Folgen

Bis jetzt keine bemerkbaren. Der PC läuft normal. Doch ich traue der ganzen Geschichte nicht.

Fragen

Könnt ihr aus den anhängenden Dateien erkennen ob ich befallen bin mit irgend eine Seuche? Wenn ja, was soll ich tun? Sofern es am besten ist, das System neu zu machen, reicht es, wenn ich den Benutzer lösche und einen neuen erstelle oder muss auch der Admin-Benutzer neu gemacht werden?

Neben den Protokollen, die ich mit eurem „Load.exe“ erstellt haben, ist noch ein HiJackthis Log dabei, den ich von meinem möglicherweise befallenem Benutzerkonto erstellt habe.


Ich danke euch schon jetzt einmal sehr für euren Aufwand und hoffe doch sehr, dass ihr nichts findet ;) … Falls ihr noch irgendwelche Fragen habt oder ich irgendetwas machen soll, damit ihr mehr Informationen erhaltet, immer her damit. :)

Gruß
Thomas

Das ist zuviel. Ich würde definitiv ZoneAlarm weglassen und Ad-Aware auch.

Alle wichtigen Programme aktuell? Firefox, Java RE, AdobeFlashplayer??

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo. Ersteinmal Danke für deine Antwort.

Warum würdest du ZoneAlarm und Ad-Aware weglassen? *reine Neugier*
Was die Aktuallität der benannten Programme angeht: Also sie müssten aktuell sein. Jedenfalls bin ich ziemlich hinterher, immer alles aktuell zu halten.


So, nun zu dem Logbericht von Malwarebytes:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6229

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.03.2011 22:23:51
mbam-log-2011-03-31 (22-23-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 176021
Laufzeit: 9 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\updater.exe (Spyware.OnLineGames) -> Quarantined and deleted successfully.

Weil die Dinger nichts taugen, kontraproduktiv sind! "Viel hilft viel" ist Quatsch. Man sollte sich um sinnvolle Absicherung kümmern und nicht einfach sinnfreie Software aufs System klatschen, in der Hoffnung man macht es schon "irgendwie" sicherer.

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Sehr interessant. Na, ich lasse mir das mal durch den Kopf gehen. Aber was ich bis jetzt gelesen habe, ist es ganz sinnig.

Im Anhang ist der Scan vom vollen System. Der hat nichts gefunden, wie ich sehe. Aber während des Scans hat Antivir eine Malewareattacke gemeldet die ich gelöscht habe.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Ich kann dir eigentlich nicht genug danken, für deine Hilfe. Auch wenn ich absolut nicht weiß, was du da mit mir bzw. meinem Rechner machst ;) Aber wie gesagt, trotzdem DANKE!

Im Anhang der Log.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

auch das ist jetzt erledigt. :) Den Log füge ich gleich ein. Aber noch eine Frage hätte ich kurz: Es ist doch richtig, dass ich nur unter dem Benutzer, der Adminrechte hat, all die Schritte abhandele. Oder müsste ich das gleiche auch noch unter dem Benutzer machen, der eingeschränkte Rechte hat und bei dem der mögliche Befall geschehen ist?

So nun aber der Log:

Combofix Logfile:
--- --- ---

Solltest du doch deinstallieren :pfeiff:

Nein das funktioniert auch nicht. Die Tools benötigen Adminrechte.

OK, *schäm* *rotwerd* Bin ja schon dabei ;) Zonealarm ist gleich weg.

Muss ich deswegen nochmal was durchlaufen lassen?

Wenn ZA deinstalliert ist, dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

2011/04/04 13:25:25.0140 3764 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/04/04 13:25:25.0484 3764 ================================================================================
2011/04/04 13:25:25.0484 3764 SystemInfo:
2011/04/04 13:25:25.0484 3764
2011/04/04 13:25:25.0484 3764 OS Version: 5.1.2600 ServicePack: 3.0
2011/04/04 13:25:25.0484 3764 Product type: Workstation
2011/04/04 13:25:25.0484 3764 ComputerName: TOMSAX
2011/04/04 13:25:25.0484 3764 UserName: Thomas
2011/04/04 13:25:25.0484 3764 Windows directory: C:\WINDOWS
2011/04/04 13:25:25.0484 3764 System windows directory: C:\WINDOWS
2011/04/04 13:25:25.0484 3764 Processor architecture: Intel x86
2011/04/04 13:25:25.0484 3764 Number of processors: 1
2011/04/04 13:25:25.0484 3764 Page size: 0x1000
2011/04/04 13:25:25.0484 3764 Boot type: Normal boot
2011/04/04 13:25:25.0484 3764 ================================================================================
2011/04/04 13:25:25.0968 3764 Initialize success
2011/04/04 13:25:30.0234 3744 ================================================================================
2011/04/04 13:25:30.0234 3744 Scan started
2011/04/04 13:25:30.0234 3744 Mode: Manual;
2011/04/04 13:25:30.0234 3744 ================================================================================
2011/04/04 13:25:31.0984 3744 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/04/04 13:25:32.0109 3744 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/04/04 13:25:32.0343 3744 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/04/04 13:25:32.0484 3744 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/04/04 13:25:33.0031 3744 AmdK7 (3a0dafac778236559c14c7203fb550eb) C:\WINDOWS\system32\DRIVERS\amdk7.sys
2011/04/04 13:25:33.0265 3744 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/04/04 13:25:33.0718 3744 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/04/04 13:25:33.0859 3744 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/04/04 13:25:34.0093 3744 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/04/04 13:25:34.0234 3744 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/04/04 13:25:34.0328 3744 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avgio.sys
2011/04/04 13:25:34.0468 3744 avgntflt (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/04/04 13:25:34.0609 3744 avipbb (5fedef54757b34fb611b9ec8fb399364) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/04/04 13:25:34.0750 3744 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/04/04 13:25:34.0875 3744 BTCFilterService (4813df77ede536a52e3737971f910baa) C:\WINDOWS\system32\DRIVERS\motfilt.sys
2011/04/04 13:25:35.0015 3744 Cap7134 (bef8a07a00b492d592a9e38dbc89081d) C:\WINDOWS\system32\DRIVERS\Cap7134.sys
2011/04/04 13:25:35.0250 3744 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/04/04 13:25:35.0375 3744 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/04/04 13:25:35.0578 3744 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/04/04 13:25:35.0703 3744 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/04/04 13:25:35.0875 3744 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/04/04 13:25:36.0578 3744 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/04/04 13:25:36.0796 3744 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/04/04 13:25:37.0015 3744 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/04/04 13:25:37.0171 3744 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/04/04 13:25:37.0312 3744 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/04/04 13:25:37.0578 3744 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/04/04 13:25:37.0750 3744 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/04/04 13:25:37.0890 3744 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/04/04 13:25:38.0046 3744 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/04/04 13:25:38.0171 3744 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/04/04 13:25:38.0312 3744 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/04/04 13:25:38.0437 3744 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/04/04 13:25:38.0578 3744 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/04/04 13:25:38.0703 3744 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/04/04 13:25:38.0984 3744 HSFHWBS2 (2bdac562041d599726f437e0ec50ad51) C:\WINDOWS\system32\DRIVERS\HSFHWBS2.sys
2011/04/04 13:25:39.0140 3744 HSF_DP (a09c357e2f1412c8f01bc132d07cf644) C:\WINDOWS\system32\DRIVERS\HSF_DP.sys
2011/04/04 13:25:39.0328 3744 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/04/04 13:25:39.0671 3744 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/04/04 13:25:39.0812 3744 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/04/04 13:25:40.0140 3744 ip6fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/04/04 13:25:40.0281 3744 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/04/04 13:25:40.0421 3744 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/04/04 13:25:40.0562 3744 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/04/04 13:25:40.0703 3744 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/04/04 13:25:40.0843 3744 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/04/04 13:25:40.0984 3744 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/04/04 13:25:41.0109 3744 itchfltr (936123d83e80c1cb3ea042d7fb98da25) C:\WINDOWS\system32\DRIVERS\itchfltr.sys
2011/04/04 13:25:41.0250 3744 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/04/04 13:25:41.0375 3744 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/04/04 13:25:41.0500 3744 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/04/04 13:25:41.0828 3744 mdmxsdk (b72d7ea394d5f1c5053368783ad7f7ed) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
2011/04/04 13:25:41.0968 3744 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/04/04 13:25:42.0109 3744 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/04/04 13:25:42.0234 3744 MODEMCSA (1992e0d143b09653ab0f9c5e04b0fd65) C:\WINDOWS\system32\drivers\MODEMCSA.sys
2011/04/04 13:25:42.0375 3744 motandroidusb (0a43169e115b5e9346a4ba1effcb04cb) C:\WINDOWS\system32\Drivers\motoandroid.sys
2011/04/04 13:25:42.0515 3744 motccgp (7b8d7bb9ae3ae9cd133bbc5aa91dd3cc) C:\WINDOWS\system32\DRIVERS\motccgp.sys
2011/04/04 13:25:42.0656 3744 motccgpfl (b812da6605caf02641312f1f65c75419) C:\WINDOWS\system32\DRIVERS\motccgpfl.sys
2011/04/04 13:25:42.0781 3744 motmodem (c3b0fd4f463e90b3917ff6ccea853bb6) C:\WINDOWS\system32\DRIVERS\motmodem.sys
2011/04/04 13:25:42.0906 3744 MotoSwitchService (fd8c2cef7ad8b23c6714103d621fac1f) C:\WINDOWS\system32\DRIVERS\motswch.sys
2011/04/04 13:25:43.0031 3744 Motousbnet (ddc489d40b49f443787e7ffa75373522) C:\WINDOWS\system32\DRIVERS\Motousbnet.sys
2011/04/04 13:25:43.0171 3744 motusbdevice (2136cca3d1bf7c0248e5366b1a6c24e3) C:\WINDOWS\system32\DRIVERS\motusbdevice.sys
2011/04/04 13:25:43.0296 3744 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/04/04 13:25:43.0453 3744 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/04/04 13:25:43.0718 3744 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/04/04 13:25:43.0875 3744 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/04/04 13:25:44.0062 3744 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/04/04 13:25:44.0187 3744 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/04/04 13:25:44.0328 3744 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/04/04 13:25:44.0468 3744 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/04/04 13:25:44.0593 3744 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/04/04 13:25:44.0734 3744 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/04/04 13:25:44.0859 3744 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/04/04 13:25:45.0000 3744 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/04/04 13:25:45.0171 3744 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/04/04 13:25:45.0312 3744 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/04/04 13:25:45.0437 3744 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/04/04 13:25:45.0562 3744 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/04/04 13:25:45.0687 3744 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/04/04 13:25:45.0843 3744 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/04/04 13:25:46.0000 3744 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/04/04 13:25:46.0140 3744 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/04/04 13:25:46.0312 3744 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/04/04 13:25:46.0453 3744 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/04/04 13:25:46.0609 3744 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/04/04 13:25:46.0781 3744 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/04/04 13:25:46.0953 3744 nv (5d701fca6f7db7a8a7d21f80a84d291a) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/04/04 13:25:47.0125 3744 nvax (53613d03039d7554c6cd728c61f9fd94) C:\WINDOWS\system32\drivers\nvax.sys
2011/04/04 13:25:47.0250 3744 NVENET (fbe448efa5484a256528e1d02b959bbc) C:\WINDOWS\system32\DRIVERS\NVENET.sys
2011/04/04 13:25:47.0390 3744 nvnforce (c47a3d4850298f60bfdd7bb1f86e2821) C:\WINDOWS\system32\drivers\nvapu.sys
2011/04/04 13:25:47.0546 3744 nv_agp (db36442c20793c53b4128eb85f9a3d32) C:\WINDOWS\system32\DRIVERS\nv_agp.sys
2011/04/04 13:25:47.0671 3744 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/04/04 13:25:47.0796 3744 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/04/04 13:25:47.0937 3744 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/04/04 13:25:48.0109 3744 OVT511Plus (c5739be3a8eecdf951955a38e1741f45) C:\WINDOWS\system32\Drivers\omcamvid.sys
2011/04/04 13:25:48.0296 3744 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/04/04 13:25:48.0406 3744 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/04/04 13:25:48.0531 3744 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/04/04 13:25:48.0656 3744 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/04/04 13:25:48.0890 3744 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/04/04 13:25:49.0046 3744 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/04/04 13:25:49.0828 3744 PhTVTune (a238ccada8631ff1759b0bff2bb5d49b) C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
2011/04/04 13:25:49.0984 3744 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/04/04 13:25:50.0125 3744 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/04/04 13:25:50.0250 3744 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/04/04 13:25:50.0390 3744 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/04/04 13:25:51.0093 3744 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/04/04 13:25:51.0265 3744 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/04/04 13:25:51.0437 3744 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/04/04 13:25:51.0562 3744 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/04/04 13:25:51.0703 3744 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/04/04 13:25:51.0859 3744 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/04/04 13:25:52.0015 3744 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/04/04 13:25:52.0140 3744 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/04/04 13:25:52.0328 3744 s1018bus (27ccf532a08f437ffc795158b8b7a7f6) C:\WINDOWS\system32\DRIVERS\s1018bus.sys
2011/04/04 13:25:52.0437 3744 s1018mdfl (2443aca3551cfb160ecaa642f6718b99) C:\WINDOWS\system32\DRIVERS\s1018mdfl.sys
2011/04/04 13:25:52.0578 3744 s1018mdm (9d273a6cf8f984097e61ecd68827d8c0) C:\WINDOWS\system32\DRIVERS\s1018mdm.sys
2011/04/04 13:25:52.0718 3744 s1018mgmt (57d4d2efd2f3dc4bb8a351702ae01ba5) C:\WINDOWS\system32\DRIVERS\s1018mgmt.sys
2011/04/04 13:25:52.0843 3744 s1018nd5 (2102d69ed2ed4b89a607c4e09504fb59) C:\WINDOWS\system32\DRIVERS\s1018nd5.sys
2011/04/04 13:25:52.0953 3744 s1018obex (382921439a5fb855cc6e000ac24d0c95) C:\WINDOWS\system32\DRIVERS\s1018obex.sys
2011/04/04 13:25:53.0093 3744 s1018unic (4e2c788d013e567bd68ae4ad36485239) C:\WINDOWS\system32\DRIVERS\s1018unic.sys
2011/04/04 13:25:53.0250 3744 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/04/04 13:25:53.0390 3744 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/04/04 13:25:53.0515 3744 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/04/04 13:25:53.0671 3744 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/04/04 13:25:53.0906 3744 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/04/04 13:25:54.0140 3744 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/04/04 13:25:54.0265 3744 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/04/04 13:25:54.0421 3744 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/04/04 13:25:54.0578 3744 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/04/04 13:25:54.0718 3744 StarOpen (f92254b0bcfcd10caac7bccc7cb7f467) C:\WINDOWS\system32\drivers\StarOpen.sys
2011/04/04 13:25:54.0859 3744 StreamDispatcher (20cbedf1964b87bec9f819ab6a4800cc) C:\WINDOWS\system32\DRIVERS\strmdisp.sys
2011/04/04 13:25:54.0968 3744 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/04/04 13:25:55.0109 3744 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/04/04 13:25:55.0250 3744 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/04/04 13:25:55.0781 3744 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/04/04 13:25:55.0968 3744 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/04/04 13:25:56.0140 3744 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/04/04 13:25:56.0281 3744 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/04/04 13:25:56.0437 3744 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/04/04 13:25:56.0687 3744 truecrypt (075b938565a580e0a880eb0e403a356b) C:\WINDOWS\system32\drivers\truecrypt.sys
2011/04/04 13:25:56.0859 3744 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/04/04 13:25:57.0109 3744 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/04/04 13:25:57.0265 3744 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/04/04 13:25:57.0375 3744 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/04/04 13:25:57.0515 3744 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/04/04 13:25:57.0656 3744 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/04/04 13:25:57.0828 3744 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/04/04 13:25:57.0953 3744 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/04/04 13:25:58.0171 3744 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/04/04 13:25:58.0328 3744 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/04/04 13:25:58.0500 3744 Wdf01000 (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/04/04 13:25:58.0781 3744 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/04/04 13:25:58.0937 3744 winachsf (fce68b254a8e04cf269c5255575b7e3c) C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys
2011/04/04 13:25:59.0234 3744 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\Drivers\wpdusb.sys
2011/04/04 13:25:59.0390 3744 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/04/04 13:25:59.0531 3744 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/04/04 13:25:59.0687 3744 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/04/04 13:25:59.0921 3744 ================================================================================
2011/04/04 13:25:59.0921 3744 Scan finished
2011/04/04 13:25:59.0921 3744 ================================================================================

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER Logfile:
--- --- ---

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000000fc

Kernel Drivers (total 130):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7A2F000 \WINDOWS\system32\KDCOM.DLL
0xF793F000 \WINDOWS\system32\BOOTVID.dll
0xF74DF000 ACPI.sys
0xF7A31000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF74CE000 pci.sys
0xF752F000 isapnp.sys
0xF753F000 ohci1394.sys
0xF754F000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF7AF7000 pciide.sys
0xF77AF000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF755F000 MountMgr.sys
0xF74AF000 ftdisk.sys
0xF77B7000 PartMgr.sys
0xF756F000 VolSnap.sys
0xF7497000 atapi.sys
0xF757F000 disk.sys
0xF758F000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF7477000 fltmgr.sys
0xF7465000 sr.sys
0xF759F000 PxHelp20.sys
0xF744E000 KSecDD.sys
0xF743B000 WudfPf.sys
0xF73AE000 Ntfs.sys
0xF7381000 NDIS.sys
0xF7943000 nv_agp.sys
0xF7367000 Mup.sys
0xF75CF000 \SystemRoot\System32\DRIVERS\nic1394.sys
0xF778F000 \SystemRoot\System32\DRIVERS\amdk7.sys
0xF7847000 \SystemRoot\System32\DRIVERS\usbohci.sys
0xF72DA000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF784F000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF72C6000 \SystemRoot\System32\DRIVERS\NVENET.sys
0xF79E7000 \SystemRoot\system32\drivers\nvax.sys
0xF7271000 \SystemRoot\System32\DRIVERS\Cap7134.sys
0xF779F000 \SystemRoot\System32\DRIVERS\STREAM.SYS
0xF724E000 \SystemRoot\System32\DRIVERS\ks.sys
0xF7222000 \SystemRoot\System32\DRIVERS\HSFHWBS2.sys
0xF7113000 \SystemRoot\System32\DRIVERS\HSF_DP.sys
0xF707B000 \SystemRoot\System32\DRIVERS\HSF_CNXT.sys
0xF7857000 \SystemRoot\System32\Drivers\Modem.SYS
0xF75DF000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF75EF000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF75FF000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF6F49000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
0xF6F35000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF760F000 \SystemRoot\System32\DRIVERS\serial.sys
0xF79F3000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF6F21000 \SystemRoot\System32\DRIVERS\parport.sys
0xF761F000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF785F000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF79F7000 \SystemRoot\System32\DRIVERS\itchfltr.sys
0xF7867000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF7B82000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF762F000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF79FB000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF6EAE000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF763F000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF764F000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF786F000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF6DFD000 \SystemRoot\System32\DRIVERS\psched.sys
0xF765F000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF7877000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF787F000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF766F000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF7A51000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF65EF000 \SystemRoot\System32\DRIVERS\update.sys
0xF7A0B000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF767F000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF768F000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF7A53000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF58CD000 \SystemRoot\system32\drivers\nvapu.sys
0xF58A9000 \SystemRoot\system32\drivers\portcls.sys
0xF769F000 \SystemRoot\system32\drivers\drmk.sys
0xF57E8000 \SystemRoot\system32\drivers\nvmcp.sys
0xF76AF000 \SystemRoot\system32\drivers\nvarm.sys
0xF788F000 \SystemRoot\System32\DRIVERS\PhTVTune.sys
0xF7A2B000 \SystemRoot\system32\drivers\MODEMCSA.sys
0xF7A5B000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7C78000 \SystemRoot\System32\Drivers\Null.SYS
0xF7A5D000 \SystemRoot\System32\Drivers\Beep.SYS
0xF78AF000 \SystemRoot\System32\drivers\vga.sys
0xF7A5F000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7A61000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF78B7000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF78BF000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF731E000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xEC625000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xEC5CC000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xEC5A4000 \SystemRoot\System32\DRIVERS\netbt.sys
0xEC582000 \SystemRoot\System32\drivers\afd.sys
0xF76DF000 \SystemRoot\System32\DRIVERS\netbios.sys
0xEC54B000 \SystemRoot\System32\drivers\truecrypt.sys
0xF78C7000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xEC520000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xEC488000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF76EF000 \SystemRoot\System32\Drivers\Fips.SYS
0xEC3C2000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xEC39B000 \SystemRoot\System32\Drivers\omcamvid.sys
0xF78CF000 \SystemRoot\System32\Drivers\OVTCAMD.SYS
0xF78D7000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
0xEC375000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF76FF000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF770F000 \SystemRoot\System32\DRIVERS\arp1394.sys
0xF7A65000 \??\C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avgio.sys
0xEC351000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xEC339000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7A6D000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF79DB000 \SystemRoot\System32\drivers\Dxapi.sys
0xF78F7000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BC5000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBF31B000 \SystemRoot\System32\ATMFD.DLL
0xEBF63000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xEBF23000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xEBCDE000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF7A9F000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xEBC4D000 \SystemRoot\System32\Drivers\HTTP.sys
0xEBD0F000 \SystemRoot\System32\DRIVERS\mdmxsdk.sys
0xEBB05000 \SystemRoot\System32\DRIVERS\srv.sys
0xF77EF000 \SystemRoot\System32\DRIVERS\strmdisp.sys
0xEB7F8000 \SystemRoot\system32\drivers\wdmaud.sys
0xEBD63000 \SystemRoot\system32\drivers\sysaudio.sys
0xEB915000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEB0F6000 \??\C:\DOKUME~1\Thomas\LOKALE~1\Temp\uxtdipoc.sys
0xEB0CB000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 37):
0 System Idle Process
4 System
544 C:\WINDOWS\system32\smss.exe
616 csrss.exe
640 C:\WINDOWS\system32\winlogon.exe
684 C:\WINDOWS\system32\services.exe
696 C:\WINDOWS\system32\lsass.exe
856 C:\WINDOWS\system32\svchost.exe
1004 svchost.exe
1044 C:\WINDOWS\system32\svchost.exe
1112 C:\WINDOWS\system32\svchost.exe
1168 svchost.exe
1224 svchost.exe
1308 C:\WINDOWS\system32\spoolsv.exe
1356 C:\Programme\Eigene Programme\Avira\AntiVir Desktop\sched.exe
1400 svchost.exe
1456 C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avguard.exe
1528 C:\Programme\Eigene Programme\Java\bin\jqs.exe
1576 C:\Programme\Motorola\MotoHelper\MotoHelperService.exe
1644 C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avshadow.exe
1664 C:\Programme\Eigene Programme\CDBurnerXP\NMSAccessU.exe
1724 C:\WINDOWS\system32\nvsvc32.exe
1852 C:\WINDOWS\system32\svchost.exe
1908 C:\Programme\Eigene Programme\TomTom HOME 2\TomTomHOMEService.exe
488 C:\WINDOWS\explorer.exe
808 C:\Programme\Motorola\MotoHelper\MotoHelperAgent.exe
1620 C:\WINDOWS\system32\carpserv.exe
1604 C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avgnt.exe
1776 C:\Programme\Eigene Programme\ScanSoft\OmniPageSE4.0\OpWareSE4.exe
1636 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
1848 C:\Programme\Eigene Programme\Sony\Content Transfer\ContentTransferWMDetector.exe
2096 C:\Programme\DivX\DivX Update\DivXUpdate.exe
2300 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2396 alg.exe
2516 C:\WINDOWS\system32\ctfmon.exe
2264 C:\Programme\Eigene Programme\Mozilla Firefox\firefox.exe
2448 C:\Dokumente und Einstellungen\Thomas\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001a`9cb90e00 (FAT32)

PhysicalDrive0 Model Number: WDCWD1200BB-00CAA1, Rev: 17.07W17

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

So erledigt. Aber eine Frage zwischendrin hätte ich mal. Hast du eigentlich schon irgendetwas gefunden oder suchen wir noch?

Viele Grüße und noch einen schönen Abend.
Thomas

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Vor dem ersten Log mal wieder eine Frage an dich. Wenn ich meinen PC starte oder einen Neustart durchführe, sehe ich jetzt immer für ca. eine Sekunde das Auswahlfenster, bei dem man u.a. "abgesicherten Modus" wählen könnte. Nach der Sekunde fährt der PC weiter normal hoch, bis zum Windows-Startbildschirm, der dann relativ lange (ca. 2 bis 4 Minuten) zu sehen ist, ehe es weiter geht und ich den Benutzer auswählen kann. Dieses Problem habe ich erst seid heute. Kann das mit den Scans und Tools zusammenhängen?

So nun aber der erste Log. Der zweite folgt nach dem nächsten Scan:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6276

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.04.2011 16:58:10
mbam-log-2011-04-05 (16-58-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 234116
Laufzeit: 2 Stunde(n), 23 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Dasist nur eine Bootoption, CF hat die Wiederherstellungskonsole für WinXP mit installiert und damit man diese auswählen kann ist für wenige Sekunden ein Menü zu sehen. Warum das jetzt aber bis zu 4 Minuten dauert bis Windows bereit kann ich dir nicht sagen - wie lange war's denn vorher?

Vielleicht ein viertel oder halb so lange. ... Na, wenn das normal ist, bin ich beruhigt. Mit der Wartezeit kann ich leben, wenn sonst wieder alles OK ist ;)



SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/05/2011 at 08:45 PM

Application Version : 4.50.1002

Core Rules Database Version : 6755
Trace Rules Database Version: 4567

Scan type : Complete Scan
Total Scan Time : 03:24:55

Memory items scanned : 449
Memory threats detected : 0
Registry items scanned : 6431
Registry threats detected : 0
File items scanned : 61267
File threats detected : 1

Trojan.Agent/Gen-ReLoader
D:\DRIVER\DRIVERINFODE.EXE

Nochmal ich. Also ich habe etwas übertrieben. Ich habe jetzt mal die Zeit gestoppt. Der Windows-Startbildschirm ist genau 94 Sekunden zu sehen bevor ich die Benutzer auswählen kann. Aber es ist trotzdem in jedem Fall mehr als doppelt so lang wie vorher. Aber wie schon gesagt, wenn es hilft, dann soll es mir Recht sein und ich warte gerne ;)

Kennst du diese Datei?


Probier mal das => http://www.trojaner-board.de/71631-p...samer-tun.html

Nein, die Datei sagt mir gar nichts. Sollte ich die kennen? Ich denke mal, das wird auch irgendwas schädliches sein. Aber ich habe ja keine Ahnung. Ich verlasse mich da auf dein Diagnoseprogramm. :)
Mich wundert nur, dass der Befall auf Laufwerk D: ist. Damit mache ich eigentlich nichts. Ich arbeite immer nur mit C: . Aber was sein kann, da ich schon früher mal auf dem Rechner ein Schädlingsproblem hatte und dann den Rechner formatiert habe, das ich das eben nur für Laufwerk C: getan habe und D: insoweit unberührt gelassen habe.

Übrigens, wenn dann habe ich eh schon einen Fehler gemacht. Denn das Programm hat mich gefragt, ob ich die Datei isolieren und löschen möchte oder so ähnlich. Da habe ich natürlich auf OK gedrückt, da ich dachte, das wäre normal. Ich hatte keine Ahnung, dass das Programm sich täuschen könnte.

Und danke für den Link. Den werde ich durcharbeiten, wenn du mir das OK gibst, dass mein Rechner wieder schädlingsfrei ist ;)

Nur weil es "mein" Diagnoseprogramm ist, heißt das noch lange nicht, dass ich deine Ordnerstruktur auf D: kennen muss und ob du den Ordner D:\Driver selbst/gewollt angelegt hast oder nicht. Aber nungut, du kannst es nicht, also lösch es :pfeiff:

Na du weißt doch sicher wie ich das meine ;) :P ... Ich würde schon nachfragen, wenn er was löschen wollen würde, dass ich kenne. Aber wenn mir was unbekannt ist, dann vertraue ich eben mal. Zumal ich eh nicht weiß, was du hier alles machst. Auch das ist insoweit ja blindes Vertrauen :)

Zu der gelöschten Datei. Wie schon vorhin geschrieben, aber vielleicht hast du es überlesen, da ich es editiert hatte, hat das Programm kurz nach Entdeckung die Sache gleich isoliert und gefragt, ob ich es löschen möchte, was ich auch tat. Mithin, ist es eh verschwunden gewesen ;)

Aber ich habe in dem Ordner nochmal geschaut. Da findet sich dann noch driverinfoNL.exe, driverinfoUK.exe und driverinfoFR.exe. Soll ich die einfach mal öffnen?

Lösch diesen ganzen Ordner mal, die sieht mir nicht ganz geheuer aus. Und brauchen tust du in ja auch nicht.

Gut, ich habe die Dateien mit Eraser gerlöscht. Ich bin für den nächsten Schritt bereit ;)

Wir wären eigentlich durch wenn du keine weiteren neuen Funde oder Probleme noch offen hast.,

Sehr schön, das freut mich.

Noch ein paar letzte abschließende Fragen hätte ich, bevor das Thema geschlossen werden kann:

1. Hatte ich überhaupt einen richtigen Befall, da ich mir ja gar nicht sicher war, ob da was war?
2. Kann bzw. soll ich die ganzen Diagnoseprogramme wieder löschen? Oder empfiehlst du, dass sie auf dem Rechner bleiben bzw. regelmäßig aktiviert werden?
3. Sollten sich widererwartend neue Probleme zeigen, soll ich dann wieder in diesem Strang hier schreiben oder lieber ein neues Thema aufmachen?

Zu guter Letzt aber nicht minder wichtig, vielen Dank für deine tagelange Hilfe. Ich kann nicht so oft danke schreiben, wie ich dir letztlich dankbar bin. :dankeschoen:
Bitte nicht folgendes falsch verstehen; dann hoffe ich mal, wir schreiben uns nicht so schnell wieder und es zeigen sich bei mir keine neuen Probleme. :)

Und nur noch zur Information: Ich habe deinen Ratschlag beherzigt und sämtliche Scanner außer AntiVir gelöscht und hoffe nun wieder sicher durchs Netz zu surfen ;)

Abschließend nochmals danke und viele liebe Grüße
Thomas

1) War eher mehr Müll drauf als echter Befall. Die grenzen sind fließend :pfeiff:
2) Ja die Tools können wieder runter.
3) Schreib wieder in diesen Strang.


Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Auch das habe ich noch erledigt.

Zu guter Letzt :dankeschoen::abklatsch: und dir eine gute Zeit und ein erholsames Wochenende.

Nur noch zur Information (aber nicht weiter schlimm): Irgendwie haben wir den Treiber meiner Soundkarte zerschossen. Der Ton kam nur noch blechernd aus der Boxe. Aber ich habe den Treiber wiedergefunden bzw. was ähnliches. Und jetzt geht der Ton wieder. :)

Also dann. Tschüssi :)

*schäm* *kotz*

Entschuldigung, jetzt bin ich schon wieder hier.

Also das sieht so aus, als wäre ich total unfähig im Internet zu surfen. Aber eigentlich passiert mir sowas nicht am laufenden Band.

Aber gerade ist wieder was passiert.

Kurz erklärt: Mein E-Mail Programm meldete mir, dass ein Freund bei Facebook mich verlinkt habe. Ich natürlich, doof wie ich bin, den Link angeklickt. Es öffnete sich eine Facebook Seite und es stand sinngemäß sowas da, wie: "Die Seite kann nicht angezeigt werden. Ich hätte keine Rechte die Seite anzuschauen bzw. es ginge nicht": Naja, ich wieder geschlossen. Keine viertel Stunde später schreibt mir die Freundin, die mich angeblich verlinkt hat, ich solle ja nicht den Link öffnen. Dieser sei ein Virus. Toll, zu spät.

Allerdings beschrieb sie mir ihren eigenen Befall anders.Also ihr war wie mir auch so ein Link geschickt worden. Sie schrieb mir folgendes:

"also bei mir hat sich eine anwendung geöffnet, wo es stand ich lade gerade ein video runter und dann kam diese blaue leiste mit dem download. dann habe ich es schnell abgebrochen, aber wie gessagt es hat schon ein bisschen was runtergeladen. thats all.
ne frage - habe ich dich auf irgendeinem foto getaggt? "

Also, bei mir wurde nichts angezeigt, dass irgendetwas runtergeladen würde. Auch öffnete sich sonst kein Fenster bei dem ich etwas hätte anklicken können oder so.

Also glaubst du, ich habe mir schon wieder etwas eingefangen? Bitte sag nein, bitte sag, das ist unmöglich und ich muss nicht nochmal die ganze Prozedur durchmachen. ...

Es tut mir so Leid, dich bzw euch schon wieder zu belästigen.

Dann hat Facebook schnell reagiert und den Mist gelöscht. Deine Freundin wird weniger Glück gehabt haben :zunge:

OKi, dann muss ich nichts machen *puh* Glück gehabt. :dankeschoen: Ich habe ja schon innerlich etwas abgekotzt ;) Und da denkt man, wenn man nur noch auf "vertrauenswürdige" Links von Freunden drückt, dann passiert nichts mehr. Blindes Vertrauen nenne ich das. ;) Argh. Ich hasse Facebook immer mehr. Und dabei habe ich es von Anfang an nicht richtig gemocht ;)

Halte Dich ab sofort am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Jap, an die versuche ich mich ja auch zu halten. Aber Grundregel 1 hat hier leider komplett versagt. Sowohl Facebook, als auch Freunde bei Facebook die man real kennt, werden im Normalfall nicht kritisch beäugt. Ist sicher falsch. Aber eben unbekannt war weder Inhalt nur Absender. :-( Ich öffne sonst so gut wie nie ein Link in E-Mails. Aber wenn sie von Freunden kommen, bin ich wohl immer etwas unvorsichtig.

Aber ich werde in Zukunft verstärkt versuchen noch mehr auf die Regeln zu achten und Facebook nur noch direkt vor Ort anschauen und nicht mehr über Links.