RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha
 

Hallo zusammen,

ich bräuchte bitte eure Hilfe. Habe mir gestern die drei Viren RKIT/agent.biiu, TR/agent.ruo und TR/Crypt.Gen eingefangen.
In meiner ersten Panik habe ich mein Antimaleware (nicht aktualisiert :pfui:) und den CC-Cleaner drüberlaufen lassen.

Hier der Paniklogfile von Maleware

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3950

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

26.08.2010 10:45:02
mbam-log-2010-08-26 (10-45-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 100338
Laufzeit: 5 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\sunshine\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

------------------------------

Da waren es nur noch zwei. TR/agent.ruo war dann verschwunden nur die beiden anderen Kandidaten sind noch hartnäckig.
Also Antimaleware aktualisiert und OTL runtergelanden, wie man ja überall lesen kann.

Hier die drei neuen Logfiles

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

27.08.2010 16:18:43
mbam-log-2010-08-27 (16-18-43).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 111771
Laufzeit: 39 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------------------------OTL Logfile:
--- --- ---

-----------------------------------------OTL Logfile:
--- --- ---

-------------------------------------------

Heute hatte ich noch keine Meldung von Avira, kann mir bitte jemand sagen ob ich clean bin, oder ob meine Kiste noch verseucht ist.

Gruß

Eichmeister

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Hallo Arne,

update gemacht und vollscan durchgeführt. Habe noch nichts entfernt, warte auf deine nächsten Anweisungen. Schon mal danke für deine schnelle Antwort.

Hier der Logfile

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4493

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28.08.2010 21:26:48
mbam-log-2010-08-28 (21-26-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 198771
Laufzeit: 7 Stunde(n), 8 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000006.sys (Rootkit.Bubnix) -> No action taken.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000011.sys (Rootkit.Bubnix) -> No action taken.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000019.sys (Rootkit.Bubnix) -> No action taken.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000025.sys (Rootkit.Bubnix) -> No action taken.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000037.sys (Rootkit.Bubnix) -> No action taken.
C:\WINDOWS\system32\drivers\axunuav.sys (Rootkit.Bubnix) -> No action taken.
C:\Dokumente und Einstellungen\sunshine\Startmenü\Programme\Autostart\syscron.exe (Trojan.Agent) -> No action taken.

Gruß Eichmeister

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

habe kopiert, eingefügt und gefixt. Rechner wollte Neustart, mit OK bestätigt. Nach Neustart kam das untenstehende Logfile. (Ebenso tauchte sofort von Avira eine neue Meldung auf mit einem neuen Backdoor Kandidat, poste Dir den Bericht von Avira unter dem OTL Logfile

Gruß Stefan


All processes killed
========== OTL ==========
D:\Autorun.inf moved successfully.
File C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\syscron.exe not found.
File move failed. C:\WINDOWS\system32\drivers\axunuav.sys scheduled to be moved on reboot.
File C:\Dokumente und Einstellungen\sunshine\Startmenü\Programme\Autostart\syscron.exe not found.
C:\WINDOWS\system32\fjhdyfhsn.bat moved successfully.
File C:\Dokumente und Einstellungen\***\Anwendungsdaten\jglzyr.dat not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 14471998 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: sunshine
->Temp folder emptied: 555569 bytes
->Temporary Internet Files folder emptied: 261362 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 2802597 bytes
->Flash cache emptied: 1829 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 426797 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 18,00 mb


OTL by OldTimer - Version 3.2.10.0 log created on 08302010_221039

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\axunuav.sys scheduled to be moved on reboot.

Registry entries deleted on Reboot...

-------------------------------------
Avira:

In der Datei 'C:\Dokumente und Einstellungen\sunshine\Startmenü\Programme\Autostart\updqnc32.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bredolab.hkb' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

hier der Logfile von ComboFix

Combofix Logfile:
--- --- ---

Gruß Stefan

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

hier der Logfile

Gruß Stefan

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hallo Arne,

GMER hat mich, wie schon erwähnt geärgert, habs dreimal versucht, schaltet sich immer wieder aus.

Hier der Logfile von OSAM, und anschließend das Ergebnis von Bootkit Remover

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

------------------------------------------------

Bootkit Remover

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: d3c3d1a705af3d0bec0fc46073d431f4

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

Danke für Deine Geduld !

Gruß Stefan

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Inhalt MBR Check

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 127):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7ABE000 \WINDOWS\system32\KDCOM.DLL
0xF79CE000 \WINDOWS\system32\BOOTVID.dll
0xF748E000 ACPI.sys
0xF7AC0000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF747D000 pci.sys
0xF75BE000 isapnp.sys
0xF75CE000 ohci1394.sys
0xF75DE000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF79D2000 compbatt.sys
0xF79D6000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7B86000 pciide.sys
0xF783E000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7AC2000 intelide.sys
0xF7AC4000 viaide.sys
0xF7AC6000 aliide.sys
0xF745F000 pcmcia.sys
0xF75EE000 MountMgr.sys
0xF7440000 ftdisk.sys
0xF79DA000 ACPIEC.sys
0xF7B87000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7846000 PartMgr.sys
0xF75FE000 VolSnap.sys
0xF7428000 atapi.sys
0xF7352000 iaStor.sys
0xF760E000 disk.sys
0xF761E000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7332000 fltmgr.sys
0xF7320000 sr.sys
0xF784E000 PxHelp20.sys
0xF7309000 KSecDD.sys
0xF727C000 Ntfs.sys
0xF724F000 NDIS.sys
0xF762E000 serial.sys
0xF7235000 Mup.sys
0xF77BE000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF71EC000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB9ADE000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xB9ACA000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9AA2000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB9945000 \SystemRoot\system32\DRIVERS\w39n51.sys
0xF78D6000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9921000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF78DE000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB98F9000 \SystemRoot\system32\drivers\tifm21.sys
0xB98E5000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xB98BE000 \SystemRoot\system32\DRIVERS\e100b325.sys
0xF71E8000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF77DE000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF78E6000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB988F000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AF2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF78EE000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF77EE000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF77FE000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF780E000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB986C000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7C33000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF781E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF71E0000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB9855000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF782E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF764E000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF78FE000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB9844000 \SystemRoot\system32\DRIVERS\psched.sys
0xF765E000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7906000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF790E000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB9CB9000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7AFA000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB97E6000 \SystemRoot\system32\DRIVERS\update.sys
0xBA1C3000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF766E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x9F6A1000 \SystemRoot\system32\drivers\CHDAud.sys
0x9F67D000 \SystemRoot\system32\drivers\portcls.sys
0x9FBC4000 \SystemRoot\system32\drivers\drmk.sys
0x9F64B000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0x9F54E000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0x9F49E000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xA00CC000 \SystemRoot\System32\Drivers\Modem.SYS
0x9FB74000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xA05CB000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7AEC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xA0602000 \SystemRoot\System32\Drivers\Null.SYS
0xF7AEE000 \SystemRoot\System32\Drivers\Beep.SYS
0xA00AC000 \SystemRoot\System32\drivers\vga.sys
0xF7AF0000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7AF4000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xA00A4000 \SystemRoot\System32\Drivers\Msfs.SYS
0xA009C000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA05C7000 \SystemRoot\system32\DRIVERS\rasacd.sys
0x9F41B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0x9F3C2000 \SystemRoot\system32\DRIVERS\tcpip.sys
0x9F39A000 \SystemRoot\system32\DRIVERS\netbt.sys
0x9F378000 \SystemRoot\System32\drivers\afd.sys
0x9F97E000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA0094000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x9F34D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x9F2DD000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9F96E000 \SystemRoot\System32\Drivers\Fips.SYS
0x9F2B7000 \SystemRoot\system32\DRIVERS\ipnat.sys
0x9F95E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF7AF6000 \??\C:\WINDOWS\system32\drivers\EABFiltr.sys
0x9F29B000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x9AFEA000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0x98C69000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x98B93000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0x98CFE000 \SystemRoot\System32\drivers\Dxapi.sys
0x994E9000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BDD000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF020000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF042000 \SystemRoot\System32\ialmdev5.DLL
0xBF077000 \SystemRoot\System32\ialmdd5.DLL
0x98B7F000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA2FD5000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x98B02000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x98A4D000 \SystemRoot\system32\drivers\wdmaud.sys
0xB9C59000 \SystemRoot\system32\drivers\sysaudio.sys
0x989F6000 \SystemRoot\system32\DRIVERS\srv.sys
0xA2FC9000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0x9F91E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0x98507000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 43):
0 System Idle Process
4 System
724 C:\WINDOWS\system32\smss.exe
800 csrss.exe
1004 C:\WINDOWS\system32\winlogon.exe
1048 C:\WINDOWS\system32\services.exe
1060 C:\WINDOWS\system32\lsass.exe
1228 C:\WINDOWS\system32\svchost.exe
1296 svchost.exe
1336 C:\WINDOWS\system32\svchost.exe
1400 svchost.exe
1576 svchost.exe
1712 C:\WINDOWS\explorer.exe
1976 C:\WINDOWS\system32\spoolsv.exe
2024 C:\Programme\Avira\AntiVir Desktop\sched.exe
168 svchost.exe
240 C:\Programme\Avira\AntiVir Desktop\avguard.exe
316 C:\Programme\Java\jre6\bin\jqs.exe
384 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
600 C:\WINDOWS\system32\svchost.exe
260 wdfmgr.exe
956 C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
964 C:\WINDOWS\system32\igfxtray.exe
968 C:\WINDOWS\system32\hkcmd.exe
1108 C:\WINDOWS\system32\igfxpers.exe
1260 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
1364 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1416 C:\Programme\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
1448 C:\Programme\HP\QuickPlay\QPService.exe
1460 C:\Programme\HPQ\Quick Launch Buttons\eabservr.exe
1740 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1872 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2016 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
2108 wmiprvse.exe
2280 C:\Programme\OpenOffice.org 2.0\program\soffice.exe
2288 C:\Programme\OpenOffice.org 2.0\program\soffice.bin
2360 C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
2672 C:\Programme\HPQ\Shared\HpqToaster.exe
2744 C:\WINDOWS\system32\wscntfy.exe
2928 alg.exe
3380 C:\Programme\Opera\opera.exe
2352 C:\WINDOWS\system32\svchost.exe
1688 C:\Dokumente und Einstellungen\sunshine\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000015`9d212c00 (FAT32)

PhysicalDrive0 Model Number: HTS541010G9SA00, Rev: MBZOC60P

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: D0919EC9044E217466E4B6B4F0D4E99E29BDE3F9


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Gruß Stefan

Starte den Rechner neu und geh im Bootmenü auf die Wiederherstellungskonsole. Sieht ein wenig nach DOS aus, ist es aber nicht. Führe dort die befehle aus (eintippen und mit ok bestätigen, Abfrage (Warnung) mit j bestätigen)

War nicht leicht zu finden, aber geschafft. Befehle eingegeben und bestätigt.

Gruß Stefan

Ok. Dann MBRCheck nochmal ausführen wie vorhin und das neue Log posten.

Hallo Arne,

hier nochmal der MBR Check

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 127):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7ABE000 \WINDOWS\system32\KDCOM.DLL
0xF79CE000 \WINDOWS\system32\BOOTVID.dll
0xF748E000 ACPI.sys
0xF7AC0000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF747D000 pci.sys
0xF75BE000 isapnp.sys
0xF75CE000 ohci1394.sys
0xF75DE000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF79D2000 compbatt.sys
0xF79D6000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7B86000 pciide.sys
0xF783E000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7AC2000 intelide.sys
0xF7AC4000 viaide.sys
0xF7AC6000 aliide.sys
0xF745F000 pcmcia.sys
0xF75EE000 MountMgr.sys
0xF7440000 ftdisk.sys
0xF79DA000 ACPIEC.sys
0xF7B87000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7846000 PartMgr.sys
0xF75FE000 VolSnap.sys
0xF7428000 atapi.sys
0xF7352000 iaStor.sys
0xF760E000 disk.sys
0xF761E000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7332000 fltmgr.sys
0xF7320000 sr.sys
0xF784E000 PxHelp20.sys
0xF7309000 KSecDD.sys
0xF727C000 Ntfs.sys
0xF724F000 NDIS.sys
0xF762E000 serial.sys
0xF7235000 Mup.sys
0xF778E000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF71F4000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB9DCB000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xB9DB7000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9D8F000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB9C32000 \SystemRoot\system32\DRIVERS\w39n51.sys
0xF78C6000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9C0E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF78CE000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB9BE6000 \SystemRoot\system32\drivers\tifm21.sys
0xB9BD2000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xB9BAB000 \SystemRoot\system32\DRIVERS\e100b325.sys
0xF71F0000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF779E000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF78D6000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB9B7C000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AF2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF78DE000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF77BE000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF77CE000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF77DE000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9B59000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7C41000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF77EE000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF71DC000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB8F56000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB9F56000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB9F46000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7926000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB8F45000 \SystemRoot\system32\DRIVERS\psched.sys
0xB9F36000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB0645000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB0416000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB021D000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7ADA000 \SystemRoot\system32\DRIVERS\swenum.sys
0xAF8ED000 \SystemRoot\system32\DRIVERS\update.sys
0xB17C7000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xA9ED4000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x98FEA000 \SystemRoot\system32\drivers\CHDAud.sys
0x98FC6000 \SystemRoot\system32\drivers\portcls.sys
0xA9B65000 \SystemRoot\system32\drivers\drmk.sys
0x98F94000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0x98E97000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0x98DE7000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xA9C19000 \SystemRoot\System32\Drivers\Modem.SYS
0xA95B1000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xA94C1000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xAA083000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xAFBBC000 \SystemRoot\System32\Drivers\Null.SYS
0xAA081000 \SystemRoot\System32\Drivers\Beep.SYS
0xA9BD9000 \SystemRoot\System32\drivers\vga.sys
0xAA07F000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xAA07D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xA9BD1000 \SystemRoot\System32\Drivers\Msfs.SYS
0xA9647000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA94BD000 \SystemRoot\system32\DRIVERS\rasacd.sys
0x98DB4000 \SystemRoot\system32\DRIVERS\ipsec.sys
0x98D5B000 \SystemRoot\system32\DRIVERS\tcpip.sys
0x98D33000 \SystemRoot\system32\DRIVERS\netbt.sys
0x98D11000 \SystemRoot\System32\drivers\afd.sys
0xA9591000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA963F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x98CE6000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x98C76000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA9581000 \SystemRoot\System32\Drivers\Fips.SYS
0x98C50000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA9571000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAA07B000 \??\C:\WINDOWS\system32\drivers\EABFiltr.sys
0x98C34000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xAA077000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0x98C10000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x98B3A000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB042E000 \SystemRoot\System32\drivers\Dxapi.sys
0xA9617000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xAFC19000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF020000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF042000 \SystemRoot\System32\ialmdev5.DLL
0xBF077000 \SystemRoot\System32\ialmdd5.DLL
0x98B26000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xAD031000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x98A81000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x98A1C000 \SystemRoot\system32\drivers\wdmaud.sys
0xF780E000 \SystemRoot\system32\drivers\sysaudio.sys
0x988D7000 \SystemRoot\system32\DRIVERS\srv.sys
0x98B16000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0x9874F000 \SystemRoot\System32\Drivers\Cdfs.SYS
0x98393000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 41):
0 System Idle Process
4 System
728 C:\WINDOWS\system32\smss.exe
800 csrss.exe
824 C:\WINDOWS\system32\winlogon.exe
868 C:\WINDOWS\system32\services.exe
880 C:\WINDOWS\system32\lsass.exe
1036 C:\WINDOWS\system32\svchost.exe
1116 svchost.exe
1156 C:\WINDOWS\system32\svchost.exe
1248 svchost.exe
1392 svchost.exe
1532 C:\WINDOWS\explorer.exe
1792 C:\WINDOWS\system32\spoolsv.exe
1840 C:\Programme\Avira\AntiVir Desktop\sched.exe
1884 svchost.exe
2004 C:\WINDOWS\system32\igfxtray.exe
2024 C:\WINDOWS\system32\hkcmd.exe
2040 C:\WINDOWS\system32\igfxpers.exe
248 C:\Programme\Avira\AntiVir Desktop\avguard.exe
272 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
304 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
312 C:\Programme\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
124 C:\Programme\HP\QuickPlay\QPService.exe
368 C:\Programme\HPQ\Quick Launch Buttons\eabservr.exe
472 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
516 C:\Programme\Java\jre6\bin\jqs.exe
524 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
532 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
592 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
988 C:\WINDOWS\system32\svchost.exe
1204 C:\Programme\OpenOffice.org 2.0\program\soffice.exe
1376 C:\Programme\OpenOffice.org 2.0\program\soffice.bin
1420 wdfmgr.exe
640 C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
200 C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
2548 wmiprvse.exe
2864 alg.exe
3360 C:\Programme\HPQ\Shared\HpqToaster.exe
2304 C:\Programme\Opera\opera.exe
3036 C:\Dokumente und Einstellungen\sunshine\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000015`9d212c00 (FAT32)

PhysicalDrive0 Model Number: HTS541010G9SA00, Rev: MBZOC60P

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

Gruß Stefan

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hier das Logfile von SAS

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/05/2010 at 10:41 PM

Application Version : 4.42.1000

Core Rules Database Version : 5458
Trace Rules Database Version: 3270

Scan type : Complete Scan
Total Scan Time : 01:10:26

Memory items scanned : 566
Memory threats detected : 0
Registry items scanned : 5962
Registry threats detected : 0
File items scanned : 77391
File threats detected : 3

Trojan.Agent/Gen-Nullo[Short]
C:\QOOBOX\QUARANTINE\C\DOKUMENTE UND EINSTELLUNGEN\SUNSHINE\STARTMENü\PROGRAMME\AUTOSTART\UPDQNC32.EXE.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP2\A0000110.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP3\A0000482.EXE

----------------
Hier das Logfile von Malware


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4551

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

05.09.2010 21:22:09
mbam-log-2010-09-05 (21-22-09).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 128040
Laufzeit: 6 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gruß Stefan

Sieht ok aus, da wurden nur Überreste gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo Arne,

sorry hatte nur einen Malware Quickscan gemacht, hier jetzt das Ergebniss des Vollscan. Während des Scan meldete Guard von Avira mehrere Funde, sind auch gepostet, sonst alles in Ordnung.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4552

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

06.09.2010 21:26:27
mbam-log-2010-09-06 (21-26-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 201363
Laufzeit: 7 Stunde(n), 17 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\axunuav.sys.vir (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP3\A0000483.sys (Rootkit.Bubnix) -> Quarantined and deleted successfully.

---------------------------

Avira

Exportierte Ereignisse:

06.09.2010 06:19 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP3\A0000483.sys'
wurde ein Virus oder unerwünschtes Programm 'RKIT/Agent.biiu' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 06:18 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 06:18 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 06:18 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000005.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 06:14 [Guard] Malware gefunden
In der Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\axunuav.sys.vir'
wurde ein Virus oder unerwünschtes Programm 'RKIT/Agent.biiu' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 05:27 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 04:27 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 03:27 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 02:27 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 01:27 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.09.2010 00:27 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000076.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Zbot.754' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Gruß Stefan

Sieht soweit ok aus, nur Überreste aus dem Combofixordner Qoobox und in der Systemwiederherstellung.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Systemwiederherstellung ist deaktiviert.

Ok. Noch Probleme? Eigentlich wären wir dann soweit durch wenn Du nichts mehr hast! ;) :party:

Nein, keine Probleme mehr. Vielen Dank für deine Geduld.
Bin echt froh das es geschafft ist :taenzer:
Nochmal Danke.

Gruß Stefan

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.