T-Online meldet Infektion mit Torpig/Sinowal und Mebroot - 3 PCs, welcher hats?
 

Hallo, vor ca. 2 Wochen kam per T-Online eine Ermahnung und später schließlich die Sperre wegen Infektion mit Torpig und evtl. Mebroot. Jetzt hängen 3 PCs am Router und ich möchte herausfinden, welcher PC infiziert ist. Bei den bereits durchgeführten Scans kamen nach meinem Kenntnisstand noch mehr Sachen ans Licht - nur nicht die, die T-Online gemeldet hat. Kurz und knapp:

PC1: Windows XP Prof. 32bit SP3, Comodo Internet Security
PC2: Windows XP Prof. 32bit SP3, MS Security Essentials
PC3: Windows 7 Prof. 64bit SP1, MS Security Essentials & Spybot S&D

Durchgeführte Scans:
Malware Bytes
mbr.exe von Gmer
mbrcheck.exe
aswMBR von AVAST
OTL zusätzlich auf PC3 (64bit) - hatte ich als Empfehlung hier im Board gelesen - mbr.exe habe ich auf dem 64bit-System trotz Klick auf "als Admin ausführen" nicht zum Laufen gebracht

Der Übersicht halber poste ich die logs PC-weise

---------------PC1---------------

PC1 Malwarebytes Log
PC1 mbr.exe Log
PC1 MBRcheck Log
PC1 aswMBR Log
---------------PC2---------------

PC2 Malwarebytes Log
PC2 mbr.exe Log
PC2 MBRcheck Log
PC2 aswMBR Log
---------------PC3---------------

PC3 Malwarebytes Log
PC3 MBRcheck Log
PC3 aswMBR Log
PC3 OTL Log

Tut mir leid, dass ich hier streng genommen gleich 3 Probleme in einem poste! Ich hoffe, das geht in Ordnung. Für mich sieht es gerade so aus, als müsste ich PC1 sicher behandeln, bei PC2 bin ich mir nicht ganz im Klaren, PC3 wäre eigentlich in Ordnung, oder?

Vielen Dank!
Jörg

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff: Regeln für die Bereinigung Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen: Bitte arbeite alle Schritte der Reihe nach ab. Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben. Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst. Bitte kein Crossposting (posten in mehreren Foren). Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert. Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst. Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten. Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden. Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:

Hinweis:
Du hast drei Rechner, die zu checken sind. Das ist in Ordnung. Wir arbeiten sie der Reihe nach durch. Wir beginnen mit PC1 (DOCBASE). Mache nichts eigenmächtig an den anderen Rechnern und lasse sie möglichst während der Bereinigung aus. Teile mir mit, ob du das hier gelesen hast und einverstanden bist.

Bereinigung von Rechner 1


Schritt 1:
Scan mit Combofix

Zitat:

WARNUNG: Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel:
Link 1

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ok, habe Combofix ausgeführt:

Bitte lies meine Anweisungen genauer und beantworte mir auch immer die Fragen. :)

Schritt 1:
MBR zur Analyse einsenden

Ich benötige die "mbr.dat" zur Analyse. Sie befindet sich an der gleichen Stelle, wie das Logfile von aswMBR. Schicke mir diese (und nur diese) Datei bitte als Anhang in deinem nächsten Post.

Schritt 2:
Reaktiviere alle Dienste, die du mit msconfig deaktiviert hast und starte den Rechner neu.

Schritt 3:
Combofix-Skript

Zitat:

Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm vom folgenden Download-Spiegel neu herunter:

  BleepingComputer.com

• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  
  Code:

  ---

  Driver::
ih0b0m0m.sys

FCopy::
f:\windows\ServicePackFiles\i386\atapi.sys | f:\windows\system32\drivers\atapi.sys

File::
f:\windows\system32\drivers\ih0b0m0m.sys

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
  
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  http://i266.photobucket.com/albums/i.../CFScriptB.gif
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort ein.

Zitat:

Hinweis: Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Schritt 4:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 5:
Customscan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

---

activex
netsvcs
msconfig
drivers32
safebootminimal
safebootnetwork
%SYSTEMDRIVE%\*.
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.exe
%PROGRAMFILES(X86)%\*.exe
%systemroot%\*. /mp /s
%windir%\installer\*. /10
%appdata%\*.
%appdata%\*.*
%appdata%\*.exe /s
%localappdata%\*.
%localappdata%\*.*
%localappdata%\*.exe /s
%allusersprofile%\*.
%allusersprofile%\*.*
%allusersprofile%\*.exe /s
CREATERESTOREPOINT

---

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Tut mir leid, ich habe die Schritte durcheinander gebracht - Schritt 3 vor 2 gemacht (echt erschreckend, wie sehr man am We geistig abbaut...). Ist es ok, wenn ich Combofix+Script ein zweites mal - dann aber mit allen Diensten - laufen lasse? Ich kann die mbr.dat vom ersten Scan nicht mehr auffinden - reicht auch eine von einem aktuellen aswMBR-Scan?

Morgen.
Mach erstmal weiter und mache im Zuge des MBR-Einsendens auch gleich ein neues aswMBR-Log ganz am Ende.

Ok, vielen Dank für deine Geduld!

Combofix Log
AdwCleaner Log
OTL Standard Log
OTL Extras Log

Da du nur die mbr.dat gefordert hast, habe ich die Log-Datei nicht mit gepostet. Die .dat-Datei ist vom Scan NACH Schritt 5 deiner Anleitung. Tut mir leid nochmal für das Durcheinander - ich gelobe Besserung!

OK. Gut :)

Dann jetzt bitte genau nach der Reihenfolge :)

So also gleich eines vorneweg. Wir haben es hier mit was hartnäckigem zu tun und müssen da nochmal ganz anders ran. Mache bitte folgendes:

Schritt 1:
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Falls du die folgenden Programme nicht absichtlich installiert hast, entferne bitte:

• Sophos Virus Removal Tool
• ZoneAlarm LTD Toolbar

Schritt 2:
Überreste von Avira entfernen

Downloade dir den Avira Registry Cleaner und führe ihn aus.
Link

Schritt 3:
Entfernen von unerwünschten Programmen mit AdwCleaner

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 4:
Combofix-Skript

Zitat:

Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm vom folgenden Download-Spiegel neu herunter:

  BleepingComputer.com

• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  
  Code:

  ---

  KillAll::

MBR::

Driver::
xcpip
xpsec

Rootkit::
F:\WINDOWS\system32\drivers\xpsec.sys
F:\WINDOWS\system32\drivers\xcpip.sys

FCopy::
f:\windows\ServicePackFiles\i386\atapi.sys | f:\windows\system32\drivers\atapi.sys

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
  
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  http://i266.photobucket.com/albums/i.../CFScriptB.gif
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort ein.

Zitat:

Hinweis: Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Schritt 5:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke auf Change parameters, setze einen Haken bei Detect TDLFS file system und bestätige mit OK.
• Drücke Start Scan
• Warnung:
  Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Zu Schritt 1) Sophos war im Zuge des Scanner-Hoppings installiert worden. Das hab ich nicht mehr benötigt und entfernt. Die ZA-Toolbar ist wohl noch ein Überbleibsel aus früheren Zeiten als die Firewall dieser Firma installiert gewesen war. Konnte zwar noch etliche Registry-Einträge & Ordner im Verzeichnis "Anwendungsdaten" finden, jedoch keine Möglichkeit zum Deinstallieren. Auch in den Add-ons von Firefox & IE konnte ich nichts dergleichen finden. Bevor ich zuviel in der Registry rumpfusche, habe ich dort nichts verändert & sonst auch nichts gelöscht.

Zu Schritt 2-5) wurden dieses mal in korrekter Reihenfolge und (!) erst nach Schritt 1 ausgeführt :D

Hier die Logs:

AdwCleaner Log:
ComboFix Log:
TDSS-Killer Log:
Da hab ich mir wirklich was G'scheits eingefangen...

Ja schon ...

Aber das kriegen wir hin.

Schritt 1:
Fix mit TDSS

Führe TDSSKiller nochmal aus wie beschrieben.

Entferne folgende und nur diese Einträge (für den Rest wähle weiterhin Skip):

• MEM:Backdoor.Win32.Sinowal.d
• Rootkit.Boot.Sinowal.b

Starte den Rechner neu und mache einen weiteren Scan mit TDSSKiller. Poste mir diese Logdatei des Scans nach dem Neustart.

Ok, sieht schon mal nicht schlecht aus:

Wie gehts weiter?

Prima! :daumenhoc

Dann prüfen wir das nochmal mit Combofix durch :)

Bitte beachte auch, dass ich Montags dienstlich verhindert bin und vermutlich nicht antworten kann.

Scan mit Combofix

Downloade dir bitte Combofix vom folgenden Downloadspiegel:
Link 1

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ok, das hat sich gut getroffen, da ich Montag auch unterwegs war...

ComboFix Log:

Wie siehts aus? Können wir den nächsten PC angehen?

Nein, wir sind noch nicht fertig so wie das aussieht. Bitte führe die folgenden Schritte durch:

Schritt 1:
Reaktiviere ALLE Dienste, die du mit msconfig deaktiviert hast!

Schritt 2:
Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Bitte schicke mir auch eine neue mbr.dat!


Schritt 3:
Scan mit GMER

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Schritt 4:
Kontrollscan mit OTL

• Starte bitte OTL.exe
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Done! Beitrag ist zu lang, deswegen hier Teil 1:

aswMBR Log (.dat im Anhang)
GMER Log

uuuuuuund Teil 2

OTL Log
Wie siehts aus?

Okay. Wir müssen den MBR fixen. Das geht normalerweise gut, muss es aber nicht. Daher bitte alle wichtigen Daten sicher bevor es los geht.

Schritt 1:
MBR-Fix

• Starte aswMBR
• Klicke auf "Fix MBR"
• Die Ausführung dauert nur einen kleinen Moment.
• Starte den Rechner neu.

Schritt 2:
Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt 3:
Scan mit Combofix

Zitat:

WARNUNG: Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel:
Link 1

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

So, scheint noch nicht von Erfolg gekrönt gewesen zu sein:

aswMBR Log
ComboFix Log
Ich werde erst am Sonntag wieder am Rechner sein, also wunder dich bitte nicht, wenn du ein paar Tage keine Antwort von mir bekommst.

Schönen Abend!

Gut! :daumenhoc

Wir sind hier fast fertig. Bevor wir zu Rechner 2 übergehen müssen wir noch ein paar Kontrollen machen.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2:
ESET Online Scanner

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://larusso.trojaner-board.de/Images/eset.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher, dass bei Remove Found Threads kein Haken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke http://billy-oneal.com/Canned%20Spee...istThreats.png.
• Klicke http://billy-oneal.com/Canned%20Spee...esetExport.png und speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und Finish

Bitte poste die Logfile hier.

Schritt 3:
Java Update

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version (Java 7 Update 9) herunter laden.
• Während der Installation entferne den Haken bei:
  http://www.trojaner-board.de/picture...&pictureid=319
• Wenn die Installation beendet wurde:
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart:

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
• Klicke erneut OK.

Schritt 4:
Update: Firefox, Addons und Plugins

• Klicke auf http://www.trojaner-board.de/picture...&pictureid=324 > Hilfe > Über Firefox
• Warte bis das Update geladen ist, klicke auf Update installieren und lasse Firefox neu starten.
• Prüfe bitte, ob weitere Updates vorliegen oder ob Firefox aktuell ist.
• Klicke nun auf http://www.trojaner-board.de/picture...&pictureid=324 > Add-ons > http://www.trojaner-board.de/picture...&pictureid=326 > Auf Updates überprüfen
• Nach einem weiteren Neustart von Firefox sollte alles aktuell sein.

Prüfe bitte auch (regelmässig), ob folgende Links fehlende Updates bei deinen Plugins zeigen:

• PluginCheck-Schnelltest
• Mozilla Plugin-Check

Schritt 5:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Ok, alles erledigt:

Malwarybytes Log:
ESET Log:
Security Check Log:
Ich wundere mich nur über den Eintrag 21:53:56.343 Disk 0 malicious Win32:MBRoot code @ sector 488376003 ! des letzten aswMBR-Logs. Ist das als eine Art "Narbe" anzusehen?

Hallo!

Ja du hast recht. Das ist ein Überbleibsel das man mit normalen Mitteln nicht wegbekommt, aber es ist inaktiv und stört da erstmal nicht. Mit Rechner 1 wären wir also soweit fertig und räumen diesen auf. Gleichzeitig fangen wir mit PC2 an.

Schritt 1:
ESET-Funde löschen

• Suche bitte die folgenden Dateien und lösche sie: Rechtsklick > Löschen
  
  Code:

  ---

  F:\Dokumente und Einstellungen\Papa und Mama\Eigene Dateien\Downloads\fsSetup129.exe        Win32/Toolbar.Widgi application
F:\Dokumente und Einstellungen\Papa und Mama\Eigene Dateien\Downloads\SoftonicDownloader_fuer_google-earth.exe        a variant of Win32/SoftonicDownloader.E application

  ---

• Leere den Papierkorb: Rechtsklick > Papierkorb leeren

Zitat:

Lesestoff: Softwaredownloader Es gibt im Internet Downloadportale, die statt die Datei selbst anzubieten, dem User einen Downloader unterjubelt. Startet man diesen, dann wird erst das gewünschte Programm von der Webseite des Anbieters geladen. Üblicherweise installiert dieser Downloader auch Werbeprogramme auf deinem Rechner. Besonders bekannt dafür ist z.B. Softonic. Daber merke dir bitte für die Zukunft: Lade Software in erster Linie von der Webseite des Herstellers. Wenn du den Hersteller nicht kennst, dann nutze statt des ersten Google-Ergebnisses vertrauenswürdige Downloadportale, die für saubere Downloads bekannt sind, beispielsweise: heise Software-Verzeichnis | FilePony.de | FileHippo.com - Kostenfreie Software downloaden | http://www.chip.de/

Schritt 2:
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Die folgende Software ist ein alter Überrest. Deinstalliere daher bitte:

• Alle Java-Installationen ausser 7 Update 9.

Schritt 3:
Combofix deinstallieren

• Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
• Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere den folgenden Text Ausführen-Fenster und klicke OK.
  Combofix /Uninstall
• Aktiviere die zuvor deaktivierten Programme wieder.

Schritt 4:
Toolbereinigung mit OTL

• Starte bitte OTL und klicke auf Bereinigung.
• Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben.
• Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Schritt 5:
AdwCleaner entfernen

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Uninstall.
• Bestätige mit Ja.

Schritt 6:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen. Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.

Code:

---

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

---

Wir beginnen jetzt mit PC2:

Schritt 1:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke auf Change parameters, setze einen Haken bei Detect TDLFS file system und bestätige mit OK.
• Drücke Start Scan
• Warnung:
  Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Schritt 2:
Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Ok, PC1 werd ich weiterhin kontrollieren. Vielen Dank! Werd mir wohl auch noch ne bessere Security-Software zulegen. Jetzt zu PC2:

TDSSKiller Log:
aswMBR Log:
mbr.dat hab ich mit angehängt. Werd erst am Dienstag Abend wieder am PC sein...schönen Wochenanfang!