Diesmal wurde was gefunden, hier das Logfile:

aswMBR version 0.9.7.777 Copyright(c) 2011 AVAST Software
Run date: 2011-07-18 08:05:05
-----------------------------
08:05:05.304 OS Version: Windows x64 6.1.7601 Service Pack 1
08:05:05.304 Number of processors: 4 586 0x2505
08:05:05.304 ComputerName: CABLE UserName:
08:05:09.360 Initialize success
08:08:47.928 AVAST engine defs: 11071702
08:09:11.047 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
08:09:11.047 Disk 0 Vendor: WDC_WD64 01.0 Size: 610480MB BusType: 3
08:09:11.062 Disk 0 MBR read successfully
08:09:11.062 Disk 0 MBR scan
08:09:11.094 Disk 0 Windows 7 default MBR code
08:09:11.094 Service scanning
08:09:12.030 Disk 0 trace - called modules:
08:09:12.045 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
08:09:12.045 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800524d060]
08:09:12.045 3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004fcb050]
08:09:14.167 AVAST engine scan C:\Windows
08:09:16.179 AVAST engine scan C:\Windows\system32
08:09:25.602 File: C:\Windows\system32\consrv.dll **INFECTED** Win32:Malware-gen
08:10:39.265 AVAST engine scan C:\Windows\system32\drivers
08:10:48.422 AVAST engine scan C:\Users\Wade Wilson
08:33:41.928 AVAST engine scan C:\ProgramData
08:37:41.180 Scan finished successfully
08:39:48.065 Disk 0 MBR has been saved successfully to "C:\Users\Wade Wilson\Desktop\MBR.dat"
08:39:48.071 The log file has been saved successfully to "C:\Users\Wade Wilson\Desktop\aswMBR.txt"

Gestern nach dem Combofix gingen die Google Weiterleitungen übrigens kurzfristig normal. Nach einem Neustart mußte ich allerdings die Systemwiederherstellung durchführen, da Windows nicht gestartet werden konnte.
Das Problem mit der ausgeschalteten Firewall bestand sowohl davor als auch danach.
Habe eben nochmal n paar mal Google getestet. Jetzt geht er schon wieder über dieses 100ksearches.com

Hast du rein zufällig einen Router? Wenn ja wurde da das Adminpasswort geändert?
Wenn nicht, setz diesen Router auf Werkseinstellungen zurück und konfiguriere ihn neu. Wichtig ist, dass du das unsichere vordefinierte Adminkennwort zum Router änderst!

Das hatte ich doch auf deinen Rat hin schon getan.

Ich bin mittlerweile ziemlich am verzweifeln. Bei jedem Start macht er nun eine Systemwiederherstellung, was ziemlich viel Zeit in Anspruch nimmt.

Um das Problem endgültig zu lösen, würde es reichen die Systempartition zu formatieren und Windows neu aufzuspielen? Oder müsste ich alles platt machen? Was wäre in diesem Fall mit meinen Daten? Sind die auch infiziert?

Gruß
Wade

Formatieren kannst immer noch. Mach erstmal zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

So, hier das SUPERAntiSpyware Log:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/19/2011 at 10:09 AM

Application Version : 4.55.1000

Core Rules Database Version : 7422
Trace Rules Database Version: 5234

Scan type : Complete Scan
Total Scan Time : 01:48:15

Memory items scanned : 659
Memory threats detected : 0
Registry items scanned : 14071
Registry threats detected : 0
File items scanned : 159570
File threats detected : 62

Adware.Tracking Cookie
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ad3.adfarm1.adition[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@smartadserver[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@unitymedia[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@tradedoubler[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@content.yieldmanager[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@content.yieldmanager[3].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ad.yieldmanager[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@doubleclick[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@adx.chip[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@atdmt[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ad.zanox[3].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@imrworldwide[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@mediaplex[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@mediabrandsww[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@traffictrack[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@atwola[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@adform[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ru4[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@adxpose[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@tracking.quisma[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ad2.adfarm1.adition[3].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@www.zanox-affiliate[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@zanox-affiliate[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ads.medienhaus[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@apmebf[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@adfarm1.adition[3].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@serving-sys[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ads.creative-serving[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@webmasterplan[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@track.adform[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ad4.adfarm1.adition[3].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@zbox.zanox[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@zanox[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@eyewonder[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@invitemedia[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@sevenoneintermedia.112.2o7[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@media6degrees[2].txt
advertising.ingame.de [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
beta.naked.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
cdn1.static.pornhub.phncdn.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
counter.cam-content.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
de.pornhub.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
ia.media-imdb.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
media.mtvnservices.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
media.scanscout.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
media1.break.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
multimedia.pierrevogel.co [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
pubhdstats2.msvp.net [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
s0.2mdn.net [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
secure-us.imrworldwide.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
static.discoverymedia.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
userporn.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
vidii.hardsextube.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.adserv3.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.adservercentral.info [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.ardmediathek.de [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.berlinfuckingcity.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.deinsexdate.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.naiadsystems.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.pornhub.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.sex.ch [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.userporn.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]

Leider habe ich einfach weitergeklickt und er hat die Files bereits entfernt.

Hier noch der Malewarebytes-Log:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7192

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

18.07.2011 23:14:18
mbam-log-2011-07-18 (23-14-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (H:\|)
Durchsuchte Objekte: 176712
Laufzeit: 4 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Dieses Online-Tool habe ich jetzt noch nicht durchlaufen lassen, da ich keine Zeit hatte. Vielleicht schaffe ich es heute abend.
Nochmal zur weiteren Info: Malewarebytes blockt ständig einen Seitenzugriff, ausgehend von der csrss.exe. Die Ports varieren, die IP ist anscheinend immer dieselbe. Nachzulesen acuh in der Protection-log (von heute):

00:07:47 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 55304, Process: csrss.exe)
00:23:48 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 55421, Process: csrss.exe)
08:15:21 Wade Wilson MESSAGE Protection started successfully
08:15:25 Wade Wilson MESSAGE IP Protection started successfully
08:17:00 Wade Wilson MESSAGE Scheduled update executed successfully
08:17:35 Wade Wilson MESSAGE IP Protection stopped
08:17:36 Wade Wilson MESSAGE Database updated successfully
08:17:37 Wade Wilson MESSAGE IP Protection started successfully
08:29:35 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49854, Process: csrss.exe)
08:45:35 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49984, Process: csrss.exe)
09:01:35 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50171, Process: csrss.exe)
09:17:36 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50341, Process: csrss.exe)
09:33:38 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50414, Process: csrss.exe)
09:49:39 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50605, Process: csrss.exe)
10:05:42 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50735, Process: csrss.exe)


Aber nochmal zu meiner gestellten Frage: Würde es reichen die Systempartition zu formatieren und Windows neu aufzuspielen? Ich glaube das wäre einfacher und vor allem schneller. Allein der letzte Scan hat 1,5h gedauert. Ich kanns mir im Moment nicht leisten so lang auf das Gerät zu verzichten, da ich mitten in meiner Prüfungsphase stecke und meine Bachelor-Arbeit schreiben muss.

Oh, den hier seh ich gerade. Müsste das tolle 64-Bit-Rootkit ZeroAccess sein :balla:
Hast du eine Ubuntu-CD zur Hand?

Nope, habe ich nicht. Was ist das?

Bin mal deinem Link gefolgt...da steht, auf ein nicht verseuchtes System runterladen. Habe aber leider keinen Alternativrechner. Kann ich das dann direkt vergessen?

Und nochmal die Frage:
Würde es reichen die Systempartition zu formatieren und Windows neu aufzuspielen? Ich glaube das wäre einfacher und vor allem schneller.

Nach Möglichkeit sollte man natürlich einen sauberen Rechner nehmen, aber im Notfall kann man die CD auch unter diesem Windows brennen. Ich glaub kaum, dass Windows-Schädlinge sich in das ISO von Ubuntu einnisten.

Ja, wenn du das hier beenden willst ja.

Wie geht es denn weiter wenn ich die Ubuntu cd hab?

Ich würde vorschlagen, du sicherst damit erstmal alle relevanten noch ungesicherten Daten auf eine externe Platte. Sichern unter Ubuntu, weil Windows infiziert ist und die Schädlinge den Vorgang beeinflussen können.

Danach dachte ich mir, du benennst unter Ubuntu die Datei consrv.dll im Ordner Windows\System32 um in consrv.dll.vir, bootest den Rechner anschließend direkt von der Windows-DVD um den MBR neu zu schreiben - ich weiß aber noch nicht, ob das gegen den ZeroAccess hilft, der ist nämlich hier erst ein oder zweimal vorgekommen.

Hier die Anleitung für das Neuerstellen des MBR:

Hast Du noch andere Betriebssysteme außer Win7 (64-Bit) installiert?
Wenn nicht: Schau mal hier => RescueDisc-Win7-64-Bit

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten)

Falls Du eine normale Win7-Installations-DVD (64-Bit) hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.