Trojaner-Board - Bundespolizei Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bundespolizei Virus (https://www.trojaner-board.de/102552-bundespolizei-virus.html)

Bundespolizei Virus

Hallo,
ich habe mir den Bundespolizeivirus eingefangen.
Ich habe einen etwas älteren Desktop mit einem AMD Semperon 1,61 GHz Prozessor und 512 MB RAM.
Ich habe schon einiges probiert in den letzten Tagen.
Als erstes habe ich Ratschläge von hxxp://www.chip.de/news/Bundespolizei-Virus-So-werden-Sie-ihn-wieder-los_50761972.html befolgt und verdächtige Einträge aus der Registry gelöscht. Hat aber nichts gebracht.
Dann habe ich mit einer Avira Rescue CD den REchner durchsucht. Der Scan hat auch so circa 16 Funde ergeben, die gefixt worden sind. Außerdem einen Fund im Bootsektor, BOO/TDss.M, der nicht gefixt werden konnte.
Irgendwo habe ich dann den Tip glesen, dass man über die Windows CD mit fixmbr den Bootsektor reparieren kann. Habe ich dann auch gemacht und fixboot und bootcfg gleich hinterher. Damit war das Bundespolizei-Fenster zwar weg, das Windowsstartmenü und alle Programmicons aber auch.
Danach habe ich über die Windows Installation das bestehende Windows repariert. Dann lief alles wieder. Sobald ich ins Internet gegangen bin, hat sich der Virus allerdings wieder geladen.
Jetzt sind keine Einträge mehr in den Verzeichnissen der Registry (siehe Chip) zu finden. Avira Rescue findet nichts mehr im Bootsektor aber der Virus ist noch immer da.
Nach Reparatur über die Windows-CD läuft der Rechner, aber ich traue mich nicht mehr ins Internet.
OTL.txt und Extras.txt hänge ich dran. GMER funktioniert nicht, das lässt den Rechner abstürzen. Blue screen mit der Bezeichnung Machine_check_exception. ich soll sicherstellen das neue Hardware oder Software richtig installiert ist. Technische Information Stop:0x00000004, 0x80545FF0, 0xB2000000, 0x00070F0F.
Für Hilfe wäre ich wirklich sehr dankbar.

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Arne,

danke für die Antwort.

Ich habe die log-Datei von Malwarebytes angehängt.

Inzwischen war ich allerdings nicht untätig. Habe Sophos statt GMER laufen lassen. Da konnte ich allerdings kein Logfile speichern oder habe nicht begriffen wie das geht. Und ich habe Avira und Zonealarm installiert. Der erste Systemcheck von Avira hat auch einiges gefunden. Willst du die Logdatei auch haben?

Grüße

Zitat:

Und ich habe Avira und Zonealarm installiert

ZoneAlarm ist kontraproduktiver Müll! Bitte umgehend deinstallieren und die Windows-Firewall verwenden!
Und während der Bereinigung hier NICHT mehr einfach irgendwas installieren, weil ich sonst viele Dinge nicht nachvollziehen kann!

Nach der ZA-Deinstalltion bitte ESET ausführen und ein neues OTL-CustomLog erstellen:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

ESET

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

alles erledigt.

Logs sind angehängt.

Gruss

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

FF - prefs.js..browser.search.defaultthis.engineName: "NCH Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}"

[2011.06.23 08:27:00 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Dokumente und Einstellungen\Ralph Westermann\Anwendungsdaten\Mozilla\Firefox\Profiles\kvsvyksp.default\extensions\DTToolbar@toolbarnet.com

[2011.06.17 15:24:12 | 000,000,000 | ---D | M] (Yontoo Layers) -- C:\Dokumente und Einstellungen\Ralph Westermann\Anwendungsdaten\Mozilla\Firefox\Profiles\kvsvyksp.default\extensions\plugin@yontoo.com

[2010.06.09 20:26:43 | 000,000,909 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralph Westermann\Anwendungsdaten\Mozilla\Firefox\Profiles\kvsvyksp.default\searchplugins\conduit.xml

O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKCU\..\Toolbar\ShellBrowser: (Dealio) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} -  File not found

O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()

O3 - HKCU\..\Toolbar\WebBrowser: (Dealio) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} -  File not found

O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)

DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Check Point Software Technologies LTD)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2005.09.25 16:17:34 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{02c68f20-d1d5-11de-8a4f-000b6b783a3a}\Shell\AutoRun\command - "" = E:\setup.exe

O33 - MountPoints2\{7b659fe5-73ba-11de-8a0b-000b6b783a3a}\Shell\AutoRun\command - "" = H:\InstallTomTomHOME.exe

O33 - MountPoints2\{d7229b6a-2dd8-11da-994b-806d6172696f}\Shell - "" = AutoRun

O33 - MountPoints2\{d7229b6a-2dd8-11da-994b-806d6172696f}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{d7229b6a-2dd8-11da-994b-806d6172696f}\Shell\AutoRun\command - "" = D:\Setup.EXE

SafeBootNet: vsmon - C:\WINDOWS\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)

[2011.08.15 16:13:10 | 000,000,000 | ---D | C] -- C:\Programme\CheckPoint

[2011.08.15 16:13:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ZoneAlarm

[2011.08.15 16:12:56 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ZoneLabs

[2011.08.15 14:32:41 | 000,000,000 | ---D | C] -- C:\Programme\Zone Labs

[2011.08.15 14:31:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\Internet Logs

[2011.08.15 16:14:06 | 000,420,800 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml

[2011.08.15 16:13:05 | 000,004,212 | -H-- | M] () -- C:\WINDOWS\System32\zllictbl.dat

[2011.08.15 16:13:04 | 000,000,711 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralph Westermann\Desktop\ZoneAlarm Security.lnk

[2011.08.15 11:37:54 | 046,973,440 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralph Westermann\Desktop\zaSetup_92_106_000_en.exe

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arno,

besten Dank für deine Hilfe.

Anbei poste ich die OTL-Log.

Gruss

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hi,

und ich dachte schon wir wären durch.

Anbei das log-file von Kaperski.

Gruss

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

auch das ist erledigt.

Combofix Logfile:

Code:

ComboFix 11-08-23.06 - Ralph Westermann 24.08.2011   0:44.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.202 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Ralph Westermann\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Administrator\WINDOWS

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setup.dll

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\Setup.dat

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\Setup.exe

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\Setup.ico

c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Adobe\plugs

c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Adobe\plugs\mmc116.exe

c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Adobe\plugs\mmc153.exe

c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Adobe\plugs\mmc85774406.txt

c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Adobe\shed

c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Adobe\shed\thr1.chm

c:\dokumente und einstellungen\Ralph Westermann\Cookies\hpothb07.dat

c:\dokumente und einstellungen\Ralph Westermann\Eigene Dateien\000setup.999

c:\dokumente und einstellungen\Ralph Westermann\Eigene Dateien\DPE.DUS

c:\dokumente und einstellungen\Ralph Westermann\g2mdlhlpx.exe

c:\dokumente und einstellungen\Ralph Westermann\Lokale Einstellungen\Temporary Internet Files\7DA691227E.wmv

c:\dokumente und einstellungen\Ralph Westermann\WINDOWS

c:\windows\IsUn0407.exe

c:\windows\unin0407.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-07-23 bis 2011-08-23  ))))))))))))))))))))))))))))))

.

.

2011-08-19 21:47 . 2011-08-21 09:31        --------        d-----w-        c:\windows\Internet Logs

2011-08-19 21:42 . 2011-08-19 21:42        --------        d-----w-        C:\_OTL

2011-08-18 09:28 . 2011-08-18 09:28        --------        d-----w-        c:\programme\ESET

2011-08-16 13:42 . 2011-08-16 13:42        --------        d-----w-        c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Malwarebytes

2011-08-16 13:42 . 2011-07-06 17:52        41272        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-08-16 13:42 . 2011-08-16 13:42        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-08-16 13:42 . 2011-08-17 06:10        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2011-08-16 13:42 . 2011-07-06 17:52        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-08-15 15:00 . 2011-08-15 15:00        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Startmenü

2011-08-15 14:47 . 2005-07-27 19:15        149392        ----a-w-        c:\windows\system32\ar5523.bin

2011-08-15 14:47 . 2005-07-27 19:11        360256        ----a-w-        c:\windows\system32\ar5523.sys

2011-08-15 14:36 . 2011-08-15 14:36        --------        d-----w-        c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Avira

2011-08-15 14:29 . 2011-08-15 14:58        138192        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-08-15 14:29 . 2011-08-15 14:58        66616        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2011-08-15 14:29 . 2009-09-29 16:12        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys

2011-08-15 14:29 . 2009-09-29 16:12        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys

2011-08-15 14:29 . 2011-08-15 14:29        --------        d-----w-        c:\programme\Avira

2011-08-15 14:29 . 2011-08-15 14:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2011-08-15 14:13 . 2011-03-17 23:24        69120        ----a-w-        c:\windows\system32\zlcomm.dll

2011-08-15 14:13 . 2011-03-17 23:24        104448        ----a-w-        c:\windows\system32\zlcommdb.dll

2011-08-15 14:12 . 2011-08-19 21:47        --------        d-----w-        c:\windows\system32\ZoneLabs

2011-08-15 14:12 . 2011-03-17 23:24        1238528        ----a-w-        c:\windows\system32\zpeng25.dll

2011-08-15 13:29 . 2008-04-14 05:52        1306624        -c----w-        c:\windows\system32\dllcache\msxml6.dll

2011-08-15 13:29 . 2008-04-14 05:27        93184        -c----w-        c:\windows\system32\dllcache\msxml6r.dll

2011-08-15 13:24 . 2008-04-14 05:52        294912        ------w-        c:\programme\Windows Media Player\dlimport.exe

2011-08-15 13:23 . 2008-04-14 05:52        294912        -c----w-        c:\windows\system32\dllcache\dlimport.exe

2011-08-15 13:18 . 2006-12-28 22:31        19569        ----a-w-        c:\windows\003180_.tmp

2011-08-15 12:27 . 2009-06-18 10:55        18816        ------w-        c:\windows\system32\SAVRKBootTasks.sys

2011-08-15 10:03 . 2011-08-15 10:03        --------        d-----w-        c:\programme\Sophos

2011-08-14 18:35 . 2004-08-04 12:00        143422        -c--a-w-        c:\windows\system32\dllcache\softkey.dll

2011-08-14 18:34 . 2004-08-04 12:00        70656        -c--a-w-        c:\windows\system32\dllcache\korwbrkr.dll

2011-08-14 18:33 . 2004-08-04 12:00        14848        -c--a-w-        c:\windows\system32\dllcache\flattemp.exe

2011-08-14 18:32 . 2003-03-24 14:52        217088        -c--a-w-        c:\windows\system32\dllcache\fpmmcsat.dll

2011-08-14 18:30 . 2004-08-04 12:00        16384        -c--a-w-        c:\windows\system32\dllcache\isignup.exe

2011-08-14 18:30 . 2004-08-04 12:00        16384        ----a-w-        c:\programme\Internet Explorer\Connection Wizard\isignup.exe

2011-08-14 17:38 . 2004-08-04 12:00        24661        -c--a-w-        c:\windows\system32\dllcache\spxcoins.dll

2011-08-14 17:38 . 2004-08-04 12:00        24661        ----a-w-        c:\windows\system32\spxcoins.dll

2011-08-14 17:38 . 2004-08-04 12:00        13824        -c--a-w-        c:\windows\system32\dllcache\irclass.dll

2011-08-14 17:38 . 2004-08-04 12:00        13824        ----a-w-        c:\windows\system32\irclass.dll

2011-08-14 17:38 . 2004-08-04 12:00        14043        ----a-r-        c:\windows\SET66.tmp

2011-08-14 17:38 . 2004-08-04 12:00        1086058        ----a-r-        c:\windows\SET5A.tmp

2011-08-14 17:38 . 2004-08-04 12:00        1014663        ----a-r-        c:\windows\SET57.tmp

2011-08-12 18:05 . 2004-08-04 12:00        14043        ----a-r-        c:\windows\SETFE.tmp

2011-08-12 18:04 . 2004-08-04 12:00        1086058        ----a-r-        c:\windows\SETF2.tmp

2011-08-12 18:04 . 2004-08-04 12:00        1014663        ----a-r-        c:\windows\SETEF.tmp

2011-08-10 18:47 . 2011-08-10 18:48        --------        d-----w-        c:\dokumente und einstellungen\Administrator.IMPULS-RW

2011-07-26 20:07 . 2010-01-01 08:00        2106216        ----a-w-        c:\programme\Mozilla Firefox\D3DCompiler_43.dll

2011-07-26 20:07 . 2010-01-01 08:00        1998168        ----a-w-        c:\programme\Mozilla Firefox\d3dx9_43.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2006-03-20 13:37 . 2006-03-20 13:37        5689344        ----a-w-        c:\programme\mplayerc.exe

2010-07-15 15:53 . 2010-07-15 15:53        101768        ----a-w-        c:\programme\mozilla firefox\plugins\ieatgpc.dll

2011-08-22 16:17 . 2011-06-23 06:25        134104        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]

"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]

"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

"WD Drive Manager"="c:\programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-07-24 450560]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"SoundMan"="SOUNDMAN.EXE" [2005-01-20 77824]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]

"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]

.

c:\dokumente und einstellungen\Ralph Westermann\Startmen\Programme\Autostart\

TimeTool.lnk - c:\daten\RW\FaJo\TimeTool\TimeTool.exe [2006-2-8 889344]

.

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2005-9-25 61440]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 2000 Series.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 2000 Series.lnk

backup=c:\windows\pss\hp psc 2000 Series.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]

2009-08-13 14:51        177440        ----a-w-        c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2010-02-15 17:07        141608        ----a-w-        c:\programme\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 09:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SNM]

2009-12-14 01:00        1067472        ----a-w-        c:\programme\SpyNoMore\SNM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-02-18 09:43        248040        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

2010-06-24 14:41        247144        ----a-w-        c:\programme\TomTom HOME 2\TomTomHOMERunner.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector]

2003-11-19 12:03        45056        ----a-w-        c:\programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\XtrCtrlExEmotion]

2009-10-19 15:30        3261736        ----a-w-        c:\programme\Hercules\Dualpix Emotion\XtrCtrlEx.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableNotifications"= 1 (0x1)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\Hercules\\Webcam Station Evolution\\StationEv.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Hercules\\Dualpix Emotion\\XtrCtrlEx.exe"=

"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=

"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3025:TCP"= 3025:TCP:Akamai NetSession Interface

"5000:UDP"= 5000:UDP:Akamai NetSession Interface

.

R1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [15.08.2011 14:27 18816]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.08.2011 16:29 136360]

R2 litsgt;litsgt;c:\windows\system32\drivers\litsgt.sys [29.08.2009 17:33 137344]

R2 tansgt;tansgt;c:\windows\system32\drivers\tansgt.sys [29.08.2009 17:33 12032]

R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [24.06.2010 16:41 92008]

R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [24.07.2008 16:22 102400]

R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [24.11.2004 01:00 53248]

R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [02.10.2005 21:28 37568]

R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [02.10.2005 21:28 444416]

R3 hxctlflt;hxctlflt;c:\windows\system32\drivers\hxctlflt.sys [30.10.2009 20:14 99968]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [16.08.2011 15:42 22712]

S0 MFX;MFX; [x]

S2 gupdate1c99f09e5927eb8;Google Update Service (gupdate1c99f09e5927eb8);c:\programme\Google\Update\GoogleUpdate.exe [07.03.2009 11:48 133104]

S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [16.08.2011 15:42 366640]

S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;\??\c:\progra~1\Belkin\BELKIN~1.11G\DNINDIS5.SYS --> c:\progra~1\Belkin\BELKIN~1.11G\DNINDIS5.SYS [?]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [07.03.2009 11:48 133104]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [16.08.2011 15:42 41272]

S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\12.tmp --> c:\windows\system32\12.tmp [?]

S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS --> c:\windows\system32\DRIVERS\NETFRITZ.SYS [?]

S3 Usblink;Usblink Driver;c:\windows\system32\drivers\ulink.sys [08.09.2006 19:48 40060]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26.07.2010 23:53 691696]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - 37722297

*Deregistered* - 37722297

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc

.

Inhalt des "geplante Tasks" Ordners

.

2008-11-13 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2200 series5E771253C1676EBED677BF361FDFC537825E15B8216330438.job

- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]

.

2011-08-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-07 09:48]

.

2011-08-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-07 09:48]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Mozilla\Firefox\Profiles\kvsvyksp.default\

FF - prefs.js: browser.search.defaulturl - 

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - user.js: general.useragent.extra.zencast - 

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-AdobeBridge - (no file)

HKLM-Run-ZoneAlarm Client - c:\programme\Zone Labs\ZoneAlarm\zlclient.exe

MSConfigStartUp-3480443423 - c:\dokumente und einstellungen\Ralph Westermann\Lokale Einstellungen\Anwendungsdaten\jaj.exe

MSConfigStartUp-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

AddRemove-Adobe SVG Viewer - c:\windows\IsUn0407.exe

AddRemove-LdoceDeinstKey - c:\windows\IsUn0407.exe

AddRemove-Redirection Port Monitor - c:\windows\system32\unredmon.exe

AddRemove-ZoneAlarm - c:\programme\Zone Labs\ZoneAlarm\zauninst.exe

AddRemove-{889DF117-14D1-44EE-9F31-C5FB5D47F68B} - c:\dokume~1\ALLUSE~1\ANWEND~1\TARMAI~1\{889DF~1\Setup.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-08-24 01:00

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

.

c:\windows\system32\drivers\MFX.sys 49420 bytes executable

C:\SYZ_DAT

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 2

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MEMSWEEP2]

"ImagePath"="\??\c:\windows\system32\12.tmp"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-73586283-1972579041-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*]%8*4*]

@Class="Shell"

.

[HKEY_USERS\S-1-5-21-73586283-1972579041-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*]%8*4*\OpenWithList]

@Class="Shell"

.

[HKEY_USERS\S-1-5-21-73586283-1972579041-725345543-1004\Software\SecuROM\License information*]

"datasecu"=hex:c4,da,86,78,a2,0d,43,09,2e,6d,ca,41,1e,ea,70,f0,bc,f5,a9,c5,95,

   fa,88,f8,1e,b5,05,34,a0,de,2b,48,6b,7d,c6,55,cd,81,7f,d0,9e,59,b5,e5,b6,c3,\

"rkeysecu"=hex:cb,bd,f2,61,5a,4e,c6,95,f2,29,8b,82,ba,6b,3d,44

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(736)

c:\windows\system32\Ati2evxx.dll

.

Zeit der Fertigstellung: 2011-08-24  01:06:48

ComboFix-quarantined-files.txt  2011-08-23 23:06

.

Vor Suchlauf: 19 Verzeichnis(se), 19.826.401.280 Bytes frei

Nach Suchlauf: 21 Verzeichnis(se), 20.492.767.232 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

Current=3 Default=3 Failed=0 LastKnownGood=6 Sets=1,2,3,4,5,6

- - End Of File - - 83EE51F475EE1ECC34EE3B79A8E6BF4F

--- --- ---

Mit Gruß

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Killall::
 

File::

c:\windows\system32\drivers\MFX.sys

C:\SYZ_DAT

c:\windows\003180_.tmp

c:\windows\SET66.tmp

c:\windows\SET5A.tmp

c:\windows\SET57.tmp

c:\windows\SETFE.tmp

c:\windows\SETF2.tmp

c:\windows\SETEF.tmp

c:\windows\system32\12.tmp
 

Folder::

C:\SYZ_DAT

c:\windows\system32\ZoneLabs
 

Rootkit::

c:\windows\system32\drivers\MFX.sys

C:\SYZ_DAT
 

Driver::

MFX
 

Reglockdel::

[HKEY_USERS\S-1-5-21-73586283-1972579041-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*]%8*4*]
 

Regnull::

[HKEY_USERS\S-1-5-21-73586283-1972579041-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*]%8*4*]
 

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MEMSWEEP2]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3025:TCP"=-

"5000:UDP"=-

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo,

anbei die combofix.txt.

Danke und Gruß

Ralph

Zitat:

FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

Wieso? Ich dachte das hast du deinstalliert!

Ne, habe während der Virenbehandlung gar nichts installiert oder deinstalliert, sondern nur deaktiviert.
Jetzt habe ich angefangen zu deinstallieren. Aber ich habe festgestellt, dass die Windows-Firewall mein WLAN blockt. Jedenfalls war das auch ein Tip aus dem Internet, "deaktiviere die Windows-Firewall" und dann lief es auch. Sieht so aus, als würde ich eine andere Firewall brauchen. Hast du einen Tip?
Gruss

Die Windows-Firewall blockiert nichts, nur wenn sie völlig falsch eingestellt ist, kann es zu Problemen kommen. Es kommt auch leider manchmal vor, dass Müll wie ZoneAlarm auf manchen Rechner Probleme nach der Deinstallation hinterlässt :balla:
Wenn du über WLAN ins Netz gehst, solltest du hinter einem Router sein, wenn ja, benötigst du nichtmal die Windows-Firewall, da dein Rechner bereits durch den Router geschützt ist. Man kann aus dem Internet nicht durch den Router direkt auf deinen Rechner zugreifen.

Mach bitte mal ein neues OTL-Custom-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne,
das keine Firewall notwendig ist bei einem WLAN-Rounter hatte ich so auch verstanden. Deshalb hatte ich die ganze Zeit auch keine. Habe sie jetzt erst nach dem Angriff des Bundespolizei-Virus installiert. Dachte hilft vielleicht. Aber dann kann ich ja wieder drauf verzichten.
Aber wie schütze ich mich gegen eine Neuinfektion. Ich tendiere zu Avira, das ist Freeware. Malware ist nur eine Trialversion.
Ich vermute, dass die Infektion mit dem Besuch von Streamingportalen zusammenhängt. Aber meine Ex hat ihn jetzt auch und die macht so etwas nicht.
Ich wäre dankbar für einen Tipp.
OTL.txt ist angehängt.
Danke und Gruß

Zitat:

Aber wie schütze ich mich gegen eine Neuinfektion. Ich tendiere zu Avira, das ist Freeware. Malware ist nur eine Trialversion.

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
Führe regelmäßig Backups auf externe Medien durch
Arbeite mit eingeschränkten Rechten
Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hallo Arne,

das hat jetzt etwas gedauert, aber die log-Dateien von OSAM und MBR sind angehängt. GMER stürzt bei mir immer ab.

Übrigens hattest du mit Zonealarm recht. Bie der Deinstallation verlangt das Programm Administratorrechte, obwohl ich als Administrator angemeldet bin.

Gruss
Ralph

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi Arne,

Malware bytes schicke ich später, finde das logfile nicht mehr :(.

Gruss
Ralph

Sorry, das hat jetzt etwas gedauert. Anbei das Malwarebytes log.
Gruss

Nur Überreste und Cookies.
Rechner wie im Lot?

Rechner läuft ohne Probleme.

Danke für deine Hilfe!!!

Gruss
Ralph

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.