Virus noch vorhanden? Widersprüchliche GMER und Malwarebyte-Logs
 

Ich bitte dringend um Hilfe, weiß nicht mehr weiter. Ich habe mal alle logfiles angehängt, wenn die für euch unwichtig sind, könnt ihr sie ja überlesen.

Ich habe mir vermutlich durch eine externe Festplatte (Autorun) auf meinem relativ neu aufgesetzten System (2 Monate alt) einen Virus eingefangen.

Kurz nach dem Anschließen ließen sich keine Office-Files mehr öffnen und der Virenscanner von Avast startete nicht, und beim Click auf "Herunterfahren" passierte nichts, sodass ich Not-Aus machen musste.
Nur mit der Planung der Startzeitprüfung von Avast Free konnte ich überhaupt noch einen Virenscan starten und nach dem 2. Notaus lief dann auch der Avast-Scanner. Er fand folgendes:
K:\ ist die externe Platte, die ich angeschlossen hatte.

Danach führte ich noch einen Scan mit AdAware Free durch, er fand ebenfalls Viren auf der externen Platte:
Danach waren die Probleme beseitigt, aber ich entfernte sicherheitshalber die externe Platte wieder.
Vor ca. 1 Woche bekam ich den Tipp, einen Scan mit Malwarebytes auf meinem System zu machen.
Der Scan lief mehrere Stunden, am Ende zeigte mir ein Ergebnis-Fenster 7 Funde an, die ich mir leider nicht genau ansah (Ort und Name), da ich das Log Speichern wollte, doch beim Click auf "Log Speichern" stürzte Malwarebytes ab.
Ich öffnete es erneut, es waren leider keine Logs mehr vorhanden. Also scannte ich erneut (also bei ansonsten identischen Bedingungen), doch der Scanner fand nun nichts mehr. Auch ein dritter Scan zeigte mir ein virenfreies Ergebnis, außerdem öffneten sich diesmal sofort die Logfiles und kein Diagnosefenster.

Danach habe ich die Anleitung vom Trojaner-Forumbefolgt und einige Scans gemacht:
1. Scan mit ESET bei laufendem Internet aber ausgeschalteten Virenscannern/Firewall.
2. Scan mit OTL:

3. Download defogger, DISABLE, Scan mit DDS

4. Neustart, Download GMER, Virenprüfung GMER nach Anleitung (nur C:\, kein IAT/EAT) bei ausgeschaltetem Internet.

Hier sammelten sich während des Scans etliche Pfade im Fenster (Scrollbalken war nur noch 1mm hoch), nach Ende des Scans erhielt ich die Warnung "Rootkit Veränderung gefunden" (oder so) und von den ganzen Pfaden waren ca. 100 rot markiert. Jedoch konnte ich das Logfile nicht speichern, denn egal worauf ich clickte, ich bekam die Meldung "Nicht genügend Quoten verfügbar um den Befehl zu verarbeiten", außerdem wurden u.A. auf dem Desktop und im Startmenü Texte und Grafiken nicht mehr angezeigt.

Ich musste Not-Aus machen, startete einen weiteren Versuch; diesmal brach der GMER-Scan ab, und ich bekam einen Bluescreen "Windows musste wegen eines schwerwiegenden Fehlers beendet werden", danach grad nochmal.

Beim dritten Versuch führte ich den Scan im abgesicherten Modus (aber ohne defogger) durch. Dieses Mal lief der Scan durch, ich bekam jedoch keine Warnung mehr bzgl Rootkit Änderungen, es waren insgesamt weniger Pfade und keine waren rot markiert.

Gestern hab ich noch einmal GMER laufen lassen: Mit defogger und nach Anleitung im normalen Modus. Es lief ab wie beim ersten Versuch, scheinbar listete defogger ALLES, sogar IMGs auf. Nach vielen Stunden war der Scrollbalken wieder nur 1mm hoch, und ich konnte die Logfile nicht speichern weil der PC überlastet war.
Ich konnte nicht einmal mehr Herunterfahren, machte Notaus und startete neu, beendete einige Prozesse im Task-Manager, die ich nicht kannte oder einem nicht benötigten Programm zuordnen konnte und scannte erneut. Diesmal war die Logfile viel kürzer (im Anhang)

Die Logfile davor, die so endlos lang geworden war, sah fast genauso aus (die Punkte System und User code sections), aber zusätzlich fand er etliches unter:
C:\Dokumente und Einstellerungen\Alena\Desktop\AdobeCS4\extensions\AdobeFlash10 bzw Illustrator bzw Photoshop[...]\LanguagePack bzw\Assets\ (ca. 1000 Pfade)
C:\Dokumente und Einstellerungen\Alena\Desktop\AdobeCS4\extensions\AdobeFlash10 bzw Illustrator bzw Photoshop[...]\payloads\AdobeColorJA\ (ca. 1000 Pfade)
C:\Dokumente und Einstellerungen\Alena\EigeneDateien\Downloads\ (ca. 100 Pfade)
C:\Dokumente und Einstellerungen\Alena\EigeneDateien\Dropbox\ (alle Inhalte inkl. IMGs)
C:\Programme\AdAware\... (ca. 100 Pfade)
C:\Programme\Adobe\... (ca. 1000 Pfade)
C:\Programme\Sitecom\300N USB Wireless LAN Adapter\... (ca. 100 Pfade)


Jetzt also meine Fragen:
1. Warum war der 2. GMER log mit einigen beendeten Prozessen so viel kürzer, oder war das "Zufall"?
2. Hab ich nun noch einen Virus oder ist das System clean?
3. Wenn ich das System neu aufsetze, wie kann ich sicherstellen dass der Virus dabei wirklich gelöscht wird (System hat C:\ als System und eine Partition D:\ als "RECOVER", auf der sich Treiber etc befinden)
4. Meine eigene externe Platte war während der Infektion leider ebenfalls angeschlossen (enthält nur Daten, kein Betriebsprogramm). Wie kann ich sie auf Viren scannen, ohne dabei den dazu genutzten PC zu gefährden? Reicht es, Autorun zu deaktivieren?

Ich wäre um jeden Hinweis sehr, sehr dankbar!

Die Logs werden normalerweise automatisch alle von Malwarebytes gespeichert. Das Log ist im Grunde schon als Textdatei auf der Platte da, wenn es geöffnet und in einem Texteditor geöffnet wurde, nachdem du einen Durchlauf mit Malwarebytes gemacht hast

Schau mal nach ob das noch hier zu sehen sind in Form von einer Textdatei. Vllt wird es nur nicht im Reiter Logdateien aufgelistet!Damit du dir Ordner auch siehst das hier VORHER umsetzen!! => http://www.trojaner-board.de/59624-a...-sichtbar.html

Hauptlogs nach Scans (Quick, Full oder Flash):

• XP:
  C:\Dokumente und Einstellungen\(USER)\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-yyyy-mm-dd.txt
  
  
• Vista, Windows 7, 2008:
  C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-yyyy-mm-dd.txt

Hallo! Vielen Dank erstmal!
Danke für den Tipp mit dem Einblenden der versteckten/Systemdateien, ich hatte schon im Ordner Malwarebytes gesucht und nichts gefunden.

Jetzt habe ich die Logs gefunden, leider waren nur die Logs von den Prüfungen vorhanden, die ich danach gemacht habe.
Die sind alle ohne Befund (siehe Anhang).

Beim ersten Scan (mit den 7 Funden) öffnete sich auch nicht die Logdatei sondern ein Diagnosefenster, auf dem sich eine Schaltfläche "Log speichern" befand, aber bis dahin kam ich ja leider nicht mehr :daumenrunter:

Was nun?

Wo ist das andere Log von OTL? Du hast nur die Extras gepostet oder seh ich OTL.txt nicht :wtf:

Ups! Sorry! Hier ist das OTL-Log.
Teil 1:

Teil 2:

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Vielen Dank! Er ist fündig geworden:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Manuell neu starten? Meinst du einen ganz normalen Neustart?
Sorry wegen der blöden Frage

Ja, einfach Windows neu starten
manuell neu starten => Starten, Windows beenden => neu starten
automatisch neu starten (bzgl. CF) => da macht CF das für dich - aber eben nicht immer und wenn solche Fehlermeldungen bzgl. mancher Registryschlüssel auftreten muss man nunmal manuell neu starten

Sorry, hat etwas gedauert, hatte keine Zeit mehr gestern.

Hab Combofix installiert und angewendet. Danach tauchten wie prophezeit Fehlermeldungen auf egal worauf ich klickte (zB Startmenü), hab dann neu gestartet und jetzt gehts wieder.

Hier das Protokoll:

Combofix Logfile:
--- --- ---

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hier schonmal OSAM:
Danach wollte ich GMER ausführen.
Beim ersten Versuch (erst defogger Disable, dann GMER ohne IAT/EAT) fing er wieder an, Unmengen an Dateien zu listen (also wieder diese ganzen Photoshop Dateien und andere, wie in dem Log, den ich im Eingangsposting beschrieben habe). Danach waren wieder "zu wenige Quoten verfügbar" um das Log zu speichern, auch zum Öffnen eines Texteditors, um das Log dort hinein zu kopieren, kam ich nicht, und Herunterfahren ließ sich der PC auch nicht mehr (bei Task-Manager und Word Öffnungsversuchen bekam ich eine Fehlermeldung)
Nach dem Not-Aus probierte ich es erneut mit gleichen Einstellungen, aber 10sec nach Beginn des Scans kam ein Bluescreen und die Meldung, dass Windows beendet wurde, um zu vermeiden dass es Schaden nimmt. :-(

Das ist kein OSAM Log!