BKA-Trojaner und Folgeprobleme
 

Hallo zusammen,

und ich habe gedacht mir könne nichts passieren wenn ich immer brav den Virenscanner (Avira) und mein BS (WinXPProf) aktuell halte.
Weit gefehlt! Da war ich wohl zu naiv und blöd.

Was ist passiert?
Am 04.09. bekam ich die berühmte Bundeskriminalamt-Vorschaltseite mit der Aufforderung 100 Euronen zu bezahlen. Statt dem nach zu kommen habe ich sofort die Netzverbindung gekappt und den Rechner hart ausgeschaltet.
Ich bin dann mit einem anderen Rechner ins WWW und habe ein wenig gegoogelt und mir die Desinfec't2011 CD, die sich bei mir im Haushalt befand, angesehen und mir überlegt wie ich vorgehen könnte.
Ich habe dann im abgesicherten Modus mein Laptop neu gestartet und nach einer Datei jashla.exe (die wurde im Netz - wo erinnere ich leider nicht - als Verursacher genannt) gesucht, diese auch gefunden und gelöscht, ebenso wie den passenden Eintrag in der Registry.
Danach habe ich rebootet und einen kompletten Avira-Suchlauf (ein Update war ca. 1 Stunde vor dem "Unfall" erfolgt) durch geführt. Als Ergebnis bekam ich folgendes:

1.)
Die Datei 'C:\Downloads\Software\SWF\FlashConv\flashconv.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.djau' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5708b0.qua' verschoben!
und
2.)
Die Datei 'C:\Downloads\Software\SWF\FlashConv\flashconv.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.djau' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei existiert nicht!

Danach musste ich das Problem aus Zeitgründen ruhen lassen.

Mit Hilfe der Desinfec't2011 CD habe ich dann einige Helferlein installiert:
mit Secunia PSI fand ich erschreckend viel Software die sich nicht auf einem aktuellen und damit in einem angreifbaren Zustand befand. (Macromedia!)

Komisch fand ich aber, dass sich Word nicht mehr öffnen lies, sondern mit Hilfe der InstallationsSource repariert werden musste.
Ein erneuter Virenscan zeigte mir dann folgendes:

1.)
In der Datei 'C:\Dokumente und Einstellungen\root\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9QIE95YF\readme[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Ransom.DU.42' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
2.)
Die Datei 'C:\Dokumente und Einstellungen\root\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9QIE95YF\readme[1].exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.DU.42' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c7770d9.qua' verschoben!
3.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
4.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
5.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
6.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
7.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
8.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
9.)
Die Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c25f869.qua' verschoben!
10.)
Die Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c61ffe1.qua' verschoben!
11.)
Die Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei existiert nicht!

Außerdem fallen mir einige Unregelmäßigkeiten auf:
das Hintergrundbild ist weg, hier und da gibt es farbige Veränderungen in Oberflächenelementen (z.B.: bei der cmd-Box sind die Elemente -, Kästchen und X blau) außerdem fehlen Ordner oder Files (z.B.: fehlt unter C: der Ordner RECYCLED - stattdessen existiert jetzt ein mit einem File gefüllter Ordner namens Recycle.Bi - einen neuen Ordner mit dem Namen RECYCLED darf ich allerdings nicht erstellen, angeblich existiert der ja schon)

Nachdem ich gestern Abend einen Scan mit "Malwarebytes Anti-Malware" durchgeführt habe war ich deutlich verunsichert: mir wurden folgende Ergebnisse geliefert:
1.)
Trojan.Agent Folder c:/programme/premieropinion No action taken
2.)
Trojan.Agent File c:/programme/premieropinion/pmls.dll No action taken
3.)
PUM.Hijack.StartMenu RegistryData HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs Bad: (0)Good:(1) No action taken

Beim erneuten Recherchieren bin ich hier beim Trojaner-Board gelandet.
Ich habe mir srep.exe geladen und erhalte folgende shell.txt-Datei:


Was kann/sollte ich tun um mein System wieder sauber zu bekommen?
Ich weiß neu Aufsetzen wäre prima, möchte ich aber aus diversen Gründen vermeiden.

Ich sage jetzt schon mal "Vielen Dank" für Eure Hilfe
Rolf

Updates für Windows sind natürlich sehr wichtig, aber eben nicht alles. Wie du ja über Secunia PSI gesehen hast, muss man für JEDE installierte Software Updates einspielen. Besonders kritisch sind die Programme von Adobe! Also Flashplayer und PDF-Reader. Ebenfalls besonders wichtig sind die Updates bei Java.

So eine Zusammenfassung hilft nicht. Du musst alle Logs schon komplett posten.

Hallo Arne,

hier das Malwarebytes-Log:
Was brauchst Du noch?

Danke und Grüße
Rolf

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo Arne,
vielen Dank für Deine Geduld!
Hier die Logs (habe eben noch nach Update von Malwarebytes ein frisches gezogen)

Grüße
Rolf

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Hallo Arne,

ist erledigt.

Ein erneuter Scan mit frischem Malwarebytes brachte 0 Meldungen.
Ein kompletter Scan mit ebenso frischem Avira brachte auch keinen Anschlag mehr.
Und trotzdem traue ich der Sache noch nicht.
Was kann ich noch tun?

Besten Dank und schöne Grüße
Rolf

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

hat etwas gedauert weil ich jobtechnisch keine Zeit hatte und dann musste ich einen Scan nach knapp 5 Stunden abbrechen, da ich ins Bett musste...

jetzt, nach gut 10 Stunden, ist der Scan aber komplett durch gelaufen.

Vielen Dank für Deine Hilfe!
Schöne Grüße und schönes WE
Rolf

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne,

ich habe mir die OTL.exe geladen und bin nach Deiner Vorschrift vor gegangen.
(Es ist weder ein Virenscanner noch eine Firewall aktiv. Einkopieren der Parameter, Programme schließen, QuickScan, ... )
Aber irgendwas scheine ich noch falsch zu machen.

Nach dem Start des OTL-Scans geht es erst ganz fluffig los:
getting drive info
scanning process
scanning modules
scanning service
scanning driver
Pattern Search ...
Scanning Firefox settings

das ist der Status nach ca 2 Minuten
aber auch noch nach 2 Stunden.
Dabei geht die CPU-Auslastung über 90%!

Ist das ok?
Was kann ich tun?

Schöne Grüße
Rolf

Brich das mal ab, starte Windows neu und versuch es nochmal.

Hallo Arne,

gemacht, aber leider mit dem gleichen Ergebnis:
beim Firefox bleibt der Scan hängen.
Kann das evtl. an irgendwelchen FF-Plugins liegen die installiert sind?

Danke für Deine Unterstützung!
Schöne Grüße
Rolf

Dann mach das Log erstmal nur so:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Arne,

ich würde Dir hier ja gerne was anderes schreiben,
aber es bleibt dabei:
beim Firefox bleibt der Scan hängen
:-(

Was rätst Du mir?

Schöne Grüße
Rolf

PS:
ich schaue mir in der Zwischenzeit mal die FF-AddOns an

Hast du wichtige Sachen im FF-Profil? Sowas wie Lesezeichen, gespeicherte Kennwörter, die du "sonst nicht mehr" hast?

ja, habe ich

Hm ok. Dann besorg dir mal MozBackup und sichere selektiv alles wichtige aus deinem Profil. Ich denke das wichtigste dürften die Lesezeichen sein.
Wenn er gesichert ist, löscht du das Profil einfach mal und stellst im neuen Profil die Lesezeichen wieder her. Sollte eigentlich ganz einfach mit Mozbackup gehen.

nach dem letzten FF-Update sind einige meiner FF-Erweiterungen nicht mehr kompatibel.
könnte das der Grund für das Weghängen sein?

Hallo Arne,

mein BS brauchte gerade einen Reboot wegen frischem MS-Update.
Ich schaue zu dass ich Deine Vorschläge umsetze.
Wird aber wohl morgen werden.

Bis hierhin ganz herzlichen Dank!!
Schöne Grüße
Rolf

Hallo Arne,

ich habe den OTL-Scan jetzt mit einem anderen (gleichberechtigtem) Account ohne Probleme durch geführt.
M.E. lagen die Probleme hier in nicht mehr updatefähigen (wegen neuer FF-Version) AddOns im FireFox.

Ich hoffe die Logs helfen:

Schöne Grüße
Rolf

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

ich habe versucht das Fix genau wie beschrieben durch zu führen.
Nach dem Start tat sich auch das eine oder andere (z.B.: wurde unter
C: ein Ordner namens _OTL und darin ein Ordner namens MovedFiles und darunter ein Ordner namens 09202011_120354 (Zeitstempel) angelegt. Letzterer blieb aber auch nach mehr als 2 Stunden noch leer.
Beim Versuch einen Browser (FF) zu öffnen fror das System dann ein
:-(
so'n Shieet!

nochmal versuchen?
wie lange?

Schöne Grüße
Rolf

Ja bitte nochmal versuchen

Hallo Arne,

im 4ten Anlauf (bei identischen Bedingungen) hat es geklappt.
nach dem OTL-FixLauf wurde ich zum Neustart aufgefordert:
-> klick "ok"

nach dem Reboot erhielt ich folgende Meldung in einer Box:

Name der Box: RTL
"unable to start driver for HPHimp09.exe (HPHimp09.exe)"

Der Drucker funktionierte aber nach neuer Zuweisung (Probedruck).

Das Log macht beim Hochladen Probleme:
"Fehler beim Hochladen
09202011_181157.log:
Ungültige Datei "
deswegen setze ich den Output hier rein:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ deleted successfully.
C:\Programme\ConduitEngine\prxConduitEngine.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\ deleted successfully.
C:\Programme\Vuze_Remote\prxtbVuz2.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\ deleted successfully.
C:\Programme\Free Download Manager\iefdm2.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
File C:\Programme\ConduitEngine\prxConduitEngine.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{ba14329e-9550-4989-b3f2-9732e92d17cc} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\ not found.
File C:\Programme\Vuze_Remote\prxtbVuz2.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BA14329E-9550-4989-B3F2-9732E92D17CC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BA14329E-9550-4989-B3F2-9732E92D17CC}\ not found.
File C:\Programme\Vuze_Remote\prxtbVuz2.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Zone Labs Client deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
H:\autorun.inf moved successfully.
File not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:76C85903 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C265C458 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:408F95E5 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:98781370 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: admin
->Temp folder emptied: 236618322 bytes
->Temporary Internet Files folder emptied: 12158408 bytes
->FireFox cache emptied: 22061295 bytes
->Flash cache emptied: 602 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 36404302 bytes
->FireFox cache emptied: 44224498 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 848005 bytes

User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: red
->Temp folder emptied: 490870 bytes
->Temporary Internet Files folder emptied: 590582614 bytes
->Java cache emptied: 583288 bytes
->FireFox cache emptied: 74604611 bytes
->Flash cache emptied: 5887 bytes

User: Rolf
->Temp folder emptied: 3351919 bytes
->Temporary Internet Files folder emptied: 2309566 bytes
->FireFox cache emptied: 27003037 bytes
->Flash cache emptied: 1264 bytes

User: root
->Temp folder emptied: 230838509 bytes
->Temporary Internet Files folder emptied: 362807195 bytes
->Java cache emptied: 4409015 bytes
->FireFox cache emptied: 53242300 bytes
->Flash cache emptied: 106960 bytes

User: surfer
->Temp folder emptied: 926874 bytes
->Temporary Internet Files folder emptied: 134 bytes
->FireFox cache emptied: 110949207 bytes
->Flash cache emptied: 1218 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3986823 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8149051 bytes
RecycleBin emptied: 179689 bytes

Total Files Cleaned = 1.742,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.29.1 log created on 09202011_181157

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Wie geht es weiter?
Danke und Grüße
Rolf

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallo Arne,

ist erledigt.
nach unhide.exe kanm ich diverse Ordner wieder "sehen".
*freu*
der Scan mit dem Tool von Kaspersky ergab das anhängende Log.

Ich schalte jetzt den Rechner für heute aus,
allerdings nicht ohne Dir herzlichen Dank zu sagen!

Schöne Grüße
Rolf

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

vielen Dank!
Allerdings werde ich aus Zeitgründen den ComboFix
frühestens am Sonntag durch führen können.

Hab' bis dahin eine gute Zeit.
Schöne Grüße
Rolf

Hallo Arne,

hier ist das ComboFix-Log:

Danke und
Schöne Grüße
Rolf

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hallo Arne,

here we go,
im Anhang die Logfiles zu GMER, OSAM und aswMBR.

Besten Dank und beste Grüße
Rolf

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.
Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Hallo Arne,

vielen Dank!
Werde gleich mal Daten sichern.
Bei mir geht es dann erst morgen weiter...

Hab' einen angenehmen Abend.
Rolf

Hallo Arne,

ist erledigt.
das Log nach dem Fix heißt aswMBR_28092011.txt
Und das ScanLog ....

Danke und Grüße
Rolf

12:29:12.140 Disk 0 Windows XP default MBR code

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset