Trojaner-Board - Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer (https://www.trojaner-board.de/92364-trojaner-oeffnen-staendig-seiten-werbung-internet-explorer.html)

Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer

Hallo Miteinander,

habe mich gerade hier neu angemeldet, weil sich mein 14-jähriger Sohn diverse Trojaner auf seinem Laptop eingefangen hat. Nun muss ich gleich dazu sagen, dass ich die alltäglichen Fuktionen am PC schon beherrsche, aber mich in den "Tiefen" eines PC´s nicht wirklich auskenne.

Das Problem wurde gestern urspünglich über Avira Antivir entdeckt. Avira fand mal einen, mal zwei Trojaner, die wir in Quarantäne schoben und dann gelöscht haben. Weil aber bei jedem neuen Scan immer wieder welche gefunden wurden, habe ich gestern den ganzen Tag über Google nach Hife gesucht und habe dann letztendlich Malwarebytea Anti-Malware heruntergeladen. Dieses Programm hat dann schon 8 Trojaner gefunden. Ich habe sie wieder in Quarantäne verschoben und verusucht zu löschen. Übrig blieben aber immer wieder 2 Trojaner die sich anscheinend in der Registry festgesetzt haben.

Nun habe ich heute angefangen Euren Anleitungen zu folgen die man vor der Registrierung ausführen soll. Ich glaube ich habe auch alle Logfiles hingekriegt, bis auf das von GMER. Bei Programm GMER "hängte" sich immer wieder auf und der Laptop stürzte ab.

Nun hoffe ich auf Eure Hilfe und bitte seht mir nach, wenn ich als Laie vielleicht eine Anweisung erst nochmal nachfragen muss. Aber ich tue meine Bestes.

Liebe Grüße Julena

P.S. Die Namen und Orte der Trojaner habe ich in die Datei "Ausschnitt Malware" kopiert.

MUSS ICH DIE LOGFILES HIER IN DEN TEXT KOPIEREN, ANSTATT IN DEN ANHANG ? BITTE HELFT MIR.

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hallo Cosinus,

danke Dir für Deine Antwort. Ich mache den Vollscan und melde mich dann wieder...

So, jetzt bin ich wieder da.

Ich habe den Vollscan mit Malwarebytes gemacht, dabei wurde aber nichts gefunden. Allerdings befinden sich ja immer noch die früher gefundenen 10 Trojaner in der Quarantäne (siehe unten).

Logfile von
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5008

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

31.10.2010 21:52:51
mbam-log-2010-10-31 (21-52-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 287808
Laufzeit: 1 Stunde(n), 12 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

In Quarantäne:
Anbieter Datum Kategorie Objekt
Trojan.Downloader 31.10.2010 File C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
Trojan.FakeAlert.Gen 31.10.2010 File C:\Users\***\downloads\video-plugin.40012.exe
Trojan.Downloader 31.10.2010 File C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
Trojan.FakeAlert. 31.10.2010 File C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
Trojan.FakeAlert. 31.10.2010 Registry Key HKEY_CURRENT_USER\SOFTWARE\NtWqlVLZEWZU
Trojan.FakeAlert. 31.10.2010 Registry Key HKEY_CURRENT_USER\SOFTWARE\U36VRSFLG6
Trojan.FakeAlert. 31.10.2010 Registry Key HKEY_CURRENT_USER\SOFTWARE\XML
Trojan.FakeAlert. 31.10.2010 Registry Key HKEY_CURRENT_USER\SOFTWARE\65MWRMP54G
Trojan.FakeAlert. 31.10.2010 Registry Value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current\Version\Run\u36vrsflg6
(Data:C:\Users\***\AppData\Local\Temp\Hnd.exe)
Trojan.Agent 31.10.2010 Registry Value HKEY_CURRENT_USER\SOFTWARE\ Microsoft\Windows\Current\Version\Run\vttqqpaudio
(Data:rundll32.exe „c:\users\***\appdata\local\temp\xxvstq.dll“,s)

Gruß Julena :killpc:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O33 - MountPoints2\{5afea5de-113e-11de-a322-001377989c37}\Shell - "" = AutoRun

O33 - MountPoints2\{5afea5de-113e-11de-a322-001377989c37}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found

@Alternate Data Stream - 85 bytes -> C:\ProgramData:$SS_DESCRIPTOR_SVXWV4PVSVVVVFN4TF1RVDNPCLLTJP0JYFLKYWFVVGVFVF5VV4VH

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Ok, ich das hat soweit geklappt, der Rechner wurde auch neu gestartet.

_____________________________________

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5afea5de-113e-11de-a322-001377989c37}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5afea5de-113e-11de-a322-001377989c37}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5afea5de-113e-11de-a322-001377989c37}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5afea5de-113e-11de-a322-001377989c37}\ not found.
File F:\LaunchU3.exe not found.
ADS C:\ProgramData:$SS_DESCRIPTOR_SVXWV4PVSVVVVFN4TF1RVDNPCLLTJP0JYFLKYWFVVGVFVF5VV4VH deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: J**
->Temp folder emptied: 96319854 bytes
->Temporary Internet Files folder emptied: 522351 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 40664390 bytes
->Flash cache emptied: 998 bytes

User: N**
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 147212 bytes
RecycleBin emptied: 21463 bytes

Total Files Cleaned = 131,00 mb

OTL by OldTimer - Version 3.2.17.1 log created on 10312010_232011

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Nun hab ich auch diese beiden Schritte mit CCleaner und ComboFix geschafft (bin aber zwischendurch 1000 Tode gestorben vor Angst etwas falsch zu machen :balla:).

Combofix Logfile:

Code:

ComboFix 10-10-31.01 - ***** 01.11.2010   0:38.2.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3032.1898 [GMT 1:00]

ausgeführt von:: c:\users\*****\Desktop\ComboFix.exe

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-09-28 bis 2010-10-31  ))))))))))))))))))))))))))))))

.
 

2010-10-31 23:43 . 2010-10-31 23:43        --------        d-----w-        c:\users\*****\AppData\Local\temp

2010-10-31 23:43 . 2010-10-31 23:43        --------        d-----w-        c:\users\Default\AppData\Local\temp

2010-10-31 23:18 . 2010-10-31 23:18        --------        d-----w-        c:\program files\CCleaner

2010-10-31 22:20 . 2010-10-31 22:20        --------        d-----w-        C:\_OTL

2010-10-31 13:16 . 2010-10-31 13:16        --------        d-----w-        c:\program files\7-Zip

2010-10-31 12:06 . 2010-10-31 12:08        --------        d-----w-        c:\program files\ERUNT

2010-10-30 18:13 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-10-30 18:13 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-10-30 16:53 . 2010-10-30 16:53        --------        d-----w-        c:\users\*****\AppData\Roaming\Malwarebytes

2010-10-30 16:52 . 2010-10-30 16:52        --------        d-----w-        c:\users\*****\AppData\Roaming\Malwarebytes

2010-10-30 16:46 . 2010-10-30 18:22        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2010-10-30 16:46 . 2010-10-30 16:46        --------        d-----w-        c:\programdata\Malwarebytes

2010-10-30 14:45 . 2010-10-30 14:45        2560        ----a-w-        c:\windows\_MSRSTRT.EXE

2010-10-29 11:45 . 2010-10-07 23:21        6146896        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{D07D2983-EE2F-42D5-9870-C44FABF7F2D4}\mpengine.dll

2010-10-25 14:05 . 2007-02-08 13:45        29184        ----a-w-        c:\windows\system32\drivers\ActionReplayDS.sys

2010-10-25 13:53 . 2010-10-25 13:53        --------        d-----w-        c:\program files\Datel

2010-10-23 19:51 . 2010-08-26 04:23        13312        ----a-w-        c:\program files\Internet Explorer\iecompat.dll

2010-10-17 12:46 . 2010-10-17 12:46        --------        d-----w-        c:\users\*****\AppData\Roaming\InstallShield Installation Information

2010-10-17 12:46 . 2010-10-17 12:46        --------        d-----w-        c:\users\*****\AppData\Local\AOL

2010-10-17 12:46 . 2010-10-31 08:19        --------        d-----w-        c:\users\*****\AppData\Roaming\ICQ

2010-10-15 11:36 . 2010-09-13 13:56        168960        ----a-w-        c:\program files\Windows Media Player\wmplayer.exe

2010-10-15 11:36 . 2010-09-13 13:56        8147456        ----a-w-        c:\windows\system32\wmploc.DLL

2010-10-05 16:26 . 2010-10-05 16:27        --------        d-----w-        c:\users\*****\AppData\Roaming\TS3Client

2010-10-05 16:26 . 2010-10-05 16:26        --------        d-----w-        c:\users\*****\AppData\Local\TeamSpeak 3 Client

2010-10-03 15:21 . 2010-10-03 15:22        --------        d-----w-        c:\users\*****\AppData\Roaming\TeamViewer

2010-10-03 15:21 . 2010-10-03 15:21        --------        d-----w-        c:\users\*****\AppData\Roaming\TeamViewer
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-19 09:41 . 2009-10-03 07:24        222080        ------w-        c:\windows\system32\MpSigStub.exe

2010-08-21 15:33 . 2010-08-21 15:33        45056        ----a-r-        c:\users\*****\AppData\Roaming\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}\GameShadow.exe1_D9316813509243FDA4C292F72F483E61.exe

2010-08-21 15:33 . 2010-08-21 15:33        45056        ----a-r-        c:\users\*****\AppData\Roaming\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}\GameShadow.exe_D9316813509243FDA4C292F72F483E61.exe

2010-08-21 15:33 . 2010-08-21 15:33        40960        ----a-r-        c:\users\*****\AppData\Roaming\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}\GSDR.exe_D9316813509243FDA4C292F72F483E61.exe

2010-08-17 14:11 . 2010-09-15 10:49        128000        ----a-w-        c:\windows\system32\spoolsv.exe

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-17 39408]

"BitTorrent DNA"="c:\users\*****\Program Files\DNA\btdna.exe" [2010-06-18 323392]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]

"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 6111232]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]

"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]

"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]

"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]

"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]

"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536]

"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]

"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-10-17 122880]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

"AGEIA PhysX SysTray"="c:\program files\AGEIA Technologies\TrayIcon.exe" [2006-03-20 331776]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-28 136216]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-28 171032]

"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-28 170520]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.com.exe" [2010-04-29 1090952]
 

c:\users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
 

c:\users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

OneNote Inhaltsverzeichnis.onetoc2 [2010-3-4 3656]
 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-12 723496]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1896260233-359134397-3295179695-1003]

"EnableNotificationsRef"=dword:00000001
 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-27 135664]

R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184]

R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2010-02-24 3432444]

R3 VMC302;Vimicro Camera Service VMC302;c:\windows\system32\Drivers\VMC302.sys [x]

R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\Drivers\VMC326.sys [x]

R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]

S2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\system32\DRIVERS\kmdfmemio.sys [2007-05-23 13312]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

Inhalt des "geplante Tasks" Ordners
 

2010-10-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-27 15:19]
 

2010-10-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-27 15:19]
 

2010-10-31 c:\windows\Tasks\User_Feed_Synchronization-{300BEF11-1369-420D-BA8C-3F1AC8193F25}.job

- c:\windows\system32\msfeedssync.exe [2010-10-15 04:25]
 

2010-10-31 c:\windows\Tasks\User_Feed_Synchronization-{AF1C7010-76DC-4C1C-A8DA-90DE89B9119A}.job

- c:\windows\system32\msfeedssync.exe [2010-10-15 04:25]
 

2010-10-31 c:\windows\Tasks\User_Feed_Synchronization-{C77D9260-0D18-44B4-9FBE-349144314B5B}.job

- c:\windows\system32\msfeedssync.exe [2010-10-15 04:25]
 

2010-10-31 c:\windows\Tasks\User_Feed_Synchronization-{EB9C923B-8CF8-4098-9B88-91CABFC19CF3}.job

- c:\windows\system32\msfeedssync.exe [2010-10-15 04:25]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/webhp?sourceid=navclient&hl=de&ie=UTF-8&rlz=1T4GGLL_deDE349DE350

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

LSP: c:\windows\system32\wpclsp.dll

FF - ProfilePath - c:\users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\d1lderuu.default\

FF - prefs.js: browser.search.selectedEngine - ICQ Search

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/webhp?hl=&sourceid=navclient-ff&rlz=1R0GGLL_de&ie=UTF-8

FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q=

FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll

FF - component: c:\users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\d1lderuu.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll

FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\programdata\NexonEU\NGM\npNxGameeu.dll

FF - plugin: c:\users\*****\Program Files\DNA\plugins\npbtdna.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

BHO-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)

WebBrowser-{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - (no file)

WebBrowser-{872B5B88-9DB5-4310-BDD0-AC189557E5F5} - (no file)
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-11-01 00:43

Windows 6.0.6002 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

Zeit der Fertigstellung: 2010-11-01  00:45:23

ComboFix-quarantined-files.txt  2010-10-31 23:45
 

Vor Suchlauf: 15 Verzeichnis(se), 45.268.545.536 Bytes frei

Nach Suchlauf: 19 Verzeichnis(se), 45.022.826.496 Bytes frei
 

- - End Of File - - 91405333D3728D5BF1DE2FD9332FD801

--- --- ---

_______________________________________________________

Cosinus, ich sehe dass Du mittlerweile Offline bist. Das mache ich jetzt auch und gehe ins Bett.

Ich hoffe, dass Du mir Morgen weiter behilflich sein kannst. Aber ich möchte mich jetzt schon einmal bedanken, weil Du mir mit der Schritt-für-Schritt-Anleitung sehr weiter hilfst. :dankeschoen:

Gute Nacht

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

So, jetzt geht es weiter...

GMER Logfile:

Code:

GMER 1.0.15.15477 - hxxp://www.gmer.net

Rootkit scan 2010-11-01 12:23:03

Windows 6.0.6002 Service Pack 2

Running: 4y4r82n0.exe; Driver: C:\Users\*****\AppData\Local\Temp\kxldapob.sys
 
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0  Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1  Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 12:48:16 on 01.11.2010
OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6

Scanner Settings
Rootkits detection (hidden registry)
Rootkits detection (hidden files)
Retrieve files information
Check Microsoft signatures

Filters
Trusted entries
Empty entries
Hidden registry entries (rootkit activity)
Exclusively opened files
Not found files
Files without detailed information
Existing files
Non-startable services
Non-startable drivers
Active entries
Disabled entries

Risk Name Publisher Full Path Status
Common
%SystemRoot%\Tasks
|||| "GoogleUpdateTaskMachineCore.job" "Google Inc." C:\Program Files\Google\Update\GoogleUpdate.exe File exists
|||| "GoogleUpdateTaskMachineUA.job" "Google Inc." C:\Program Files\Google\Update\GoogleUpdate.exe File exists
Control Panel Objects
%SystemRoot%\system32
|||||| "iproset.cpl" "Intel(R) Corporation" C:\Windows\system32\iproset.cpl File exists
|||||| "PhysX.cpl" C:\Windows\system32\PhysX.cpl File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
|||||| "mlcfg32.cpl" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL File exists
|||||| "PROSet Tools" "Intel(R) Corporation" C:\Windows\System32\iPROSet.cpl File exists
Drivers
HKLM\SYSTEM\CurrentControlSet\Services
|||||| "avgio" (avgio) "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\avgio.sys File exists
|||||| "avgntflt" (avgntflt) "Avira GmbH" C:\Windows\System32\DRIVERS\avgntflt.sys File exists
|||||| "avipbb" (avipbb) "Avira GmbH" C:\Windows\System32\DRIVERS\avipbb.sys File exists
"catchme" (catchme) C:\Users\Julius\AppData\Local\Temp\catchme.sys File not found
"EagleNT" (EagleNT) C:\Windows\system32\drivers\EagleNT.sys File not found
|||||| "Hamachi Network Interface" (hamachi) "LogMeIn, Inc." C:\Windows\System32\DRIVERS\hamachi.sys File exists
"IP in IP Tunnel Driver" (IpInIp) C:\Windows\System32\DRIVERS\ipinip.sys File not found
"IPX Traffic Filter Driver" (NwlnkFlt) C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
"IPX Traffic Forwarder Driver" (NwlnkFwd) C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
"kxldapob" (kxldapob) C:\Users\Julius\AppData\Local\Temp\kxldapob.sys Hidden registry entry, rootkit activity | File not found
|||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\Windows\System32\DRIVERS\ssmdrv.sys File exists
"Vimicro Camera Service VMC302" (VMC302) C:\Windows\System32\Drivers\VMC302.sys File not found
"Vimicro Camera Service VMC326" (VMC326) C:\Windows\System32\Drivers\VMC326.sys File not found
Explorer
HKLM\Software\Classes\Folder\shellex\ColumnHandlers
|||||| {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll File exists
HKLM\Software\Classes\Protocols\Filter
|||||| {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL File exists
HKLM\Software\Classes\Protocols\Handler
|||||| {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL File exists
|||||| {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll File exists
|||||| {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" "Skype Technologies" C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" File not found | COM-object registry key not found
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" File not found | COM-object registry key not found
|||||| {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" "Igor Pavlov" C:\Program Files\7-Zip\7-zip.dll File exists
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" File not found | COM-object registry key not found
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" File not found | COM-object registry key not found
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" File not found | COM-object registry key not found
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" File not found | COM-object registry key not found
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" File not found | COM-object registry key not found
|||||| {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" "Microsoft Corporation" C:\Program Files\Microsoft Office\Office12\msohevi.dll File exists
|||||| {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll File exists
|||||| {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL File exists
|||||| {00020d75-0000-0000-c000-000000000046} "Microsoft Office Outlook" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL File exists
|||||| {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll File exists
|||||| {7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" "Broadcom Corporation." C:\Windows\system32\btncopy.dll File exists
|||||| {0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL File exists
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" File not found | COM-object registry key not found
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" File not found | COM-object registry key not found
|||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\shlext.dll File exists
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" File not found | COM-object registry key not found
Internet Explorer
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions
|||| "ICQ7.2" "ICQ, LLC." C:\Users\Julius\AppData\Roaming\ICQ\Application\ICQ7.2\ICQ.exe File exists
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
|| "Google Toolbar" "Google Inc." C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File exists
ITBar7Height "ITBar7Height" File not found | COM-object registry key not found
"ITBar7Layout" File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
|||| {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2iexp.dll File exists
|||| {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\npjpi160_20.dll File exists
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
|||||| "@btrez.dll,-4015" C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm File exists
|||| {48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll File exists
|||| {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL File exists
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
|| "Google Toolbar" "Google Inc." C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
|||||| {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" "Adobe Systems Incorporated" C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File exists
|| {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" "Google Inc." C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File exists
|| {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" "Google Inc." C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll File exists
|||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2ssv.dll File exists
|||||| {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live ID-Anmelde-Hilfsprogramm" "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll File exists
Logon
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
|||| "OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk" "Microsoft Corporation" C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE Shortcut exists | File exists
|||||| "desktop.ini" C:\Users\Julius\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini File exists
"OneNote Inhaltsverzeichnis.onetoc2" C:\Users\Julius\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote Inhaltsverzeichnis.onetoc2 File exists
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup
|||||| "desktop.ini" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini File exists
|||| "BTTray.lnk" "Broadcom Corporation." C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe Shortcut exists | File exists
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
|||| "BitTorrent DNA" "BitTorrent, Inc." "C:\Users\Julius\Program Files\DNA\btdna.exe" File exists
|||| "Skype" "Skype Technologies S.A." "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized File exists
|||| "swg" "Google Inc." "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File exists
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd
"StartupPrograms" rdpclip File not found
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
|||| "Adobe ARM" "Adobe Systems Incorporated" "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" File exists
"Adobe Reader Speed Launcher" "Adobe Systems Incorporated" "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" File exists
|||| "AGEIA PhysX SysTray" C:\Program Files\AGEIA Technologies\TrayIcon.exe File found, but it contains no detailed information
|||||| "avgnt" "Avira GmbH" "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min File exists
|||| "BrMfcWnd" "Brother Industries, Ltd." C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN File exists
|||| "ControlCenter3" "Brother Industries, Ltd." C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun File exists
|||| "Google Quick Search Box" "Google Inc." "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun File exists
|||| "IndexSearch" "Nuance Communications, Inc." "C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" File exists
|||||| "Malwarebytes Anti-Malware (reboot)" "Malwarebytes Corporation" "C:\Program Files\Malwarebytes' Anti-Malware\mbam.com.exe" /runcleanupscript File exists
|||| "PaperPort PTD" "Nuance Communications, Inc." "C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" File exists
|||| "PPort11reminder" "Nuance Communications, Inc." "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\ProgramData\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini" File exists
|||| "SSBkgdUpdate" "Nuance Communications, Inc." "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot File exists
|||| "SunJavaUpdateSched" "Sun Microsystems, Inc." "C:\Program Files\Common Files\Java\Java Update\jusched.exe" File exists
Print Monitors
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
|||||| "Send To Microsoft OneNote Monitor" "Microsoft Corporation" C:\Windows\system32\msonpmon.dll File exists
Services
HKLM\SYSTEM\CurrentControlSet\Services
|||||| "@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) "Microsoft Corporation" C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe File exists
|||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\avguard.exe File exists
|||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\sched.exe File exists
|||||| "Bluetooth Service" (btwdins) "Broadcom Corporation." C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe File exists
|||| "Google Software Updater" (gusvc) "Google" C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe File exists
|||| "Google Update Service (gupdate)" (gupdate) "Google Inc." C:\Program Files\Google\Update\GoogleUpdate.exe File exists
|||||| "Intel® PROSet/Wireless Event Log" (EvtEng) "Intel(R) Corporation" C:\Program Files\Intel\WiFi\bin\EvtEng.exe File exists
|||||| "Intel® PROSet/Wireless Registry Service" (RegSrvc) "Intel(R) Corporation" C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe File exists
|||||| "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) "Microsoft Corporation" C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe File exists
|||||| "Microsoft Office Diagnostics Service" (odserv) "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE File exists
|||| "nProtect GameGuard Service" (npggsvc) "INCA Internet Co., Ltd." C:\Windows\system32\GameMon.des File exists
|||||| "Office Source Engine" (ose) "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE File exists
|||||| "SQL Server (MSSMLBIZ)" (MSSQL$MSSMLBIZ) "Microsoft Corporation" C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe File exists
|||||| "SQL Server VSS Writer" (SQLWriter) "Microsoft Corporation" C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe File exists
|||||| "SQL Server-Browser" (SQLBrowser) "Microsoft Corporation" C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe File exists
|||||| "SQL Server-Startdienst für Business Contact Manager" (BcmSqlStartupSvc) "Microsoft Corporation" C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe File exists
|||||| "Windows Live ID Sign-in Assistant" (wlidsvc) "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE File exists

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

_______________________________________

MBRCheck, version 1.2.3
(c) 2010, ADCommand-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
BIOS Manufacturer: Phoenix Technologies Ltd.
System Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
System Product Name: R509
Logical Drives Mask: 0x0000005c

Kernel Drivers (total 142):
0x82408000 \SystemRoot\system32\ntoskrnl.exe
0x827B3000 \SystemRoot\system32\hal.dll
0x8A00D000 \SystemRoot\system32\kdcom.dll
0x8A014000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8A084000 \SystemRoot\system32\PSHED.dll
0x8A095000 \SystemRoot\system32\BOOTVID.dll
0x8A09D000 \SystemRoot\system32\CLFS.SYS
0x8A0DE000 \SystemRoot\system32\CI.dll
0x8A1BE000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8A23A000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8A247000 \SystemRoot\system32\drivers\acpi.sys
0x8A28D000 \SystemRoot\system32\drivers\WMILIB.SYS
0x8A296000 \SystemRoot\system32\drivers\msisadrv.sys
0x8A29E000 \SystemRoot\system32\drivers\pci.sys
0x8A2C5000 \SystemRoot\System32\drivers\partmgr.sys
0x8A2D4000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8A2D7000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8A2E1000 \SystemRoot\system32\drivers\volmgr.sys
0x8A2F0000 \SystemRoot\System32\drivers\volmgrx.sys
0x8A33A000 \SystemRoot\System32\drivers\mountmgr.sys
0x8A40C000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8A4DC000 \SystemRoot\system32\drivers\atapi.sys
0x8A4E4000 \SystemRoot\system32\drivers\ataport.SYS
0x8A502000 \SystemRoot\system32\drivers\fltmgr.sys
0x8A534000 \SystemRoot\system32\drivers\fileinfo.sys
0x8A544000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8A5B5000 \SystemRoot\system32\drivers\ndis.sys
0x8A6C0000 \SystemRoot\system32\drivers\msrpc.sys
0x8A6EB000 \SystemRoot\system32\drivers\NETIO.SYS
0x8A805000 \SystemRoot\System32\drivers\tcpip.sys
0x8A8EF000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8A90A000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8AA1A000 \SystemRoot\system32\drivers\volsnap.sys
0x8AA53000 \SystemRoot\System32\Drivers\spldr.sys
0x8AA5B000 \SystemRoot\System32\Drivers\mup.sys
0x8AA6A000 \SystemRoot\System32\drivers\ecache.sys
0x8AA91000 \SystemRoot\system32\drivers\disk.sys
0x8AAA2000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x8AAC3000 \SystemRoot\system32\drivers\crcdisk.sys
0x8ABA9000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8ABB4000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8EC0A000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
0x8F527000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8F5C8000 \SystemRoot\System32\drivers\watchdog.sys
0x8F5D4000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8F5DF000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8F61D000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8F62C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8F6B9000 \SystemRoot\system32\DRIVERS\athr.sys
0x8A726000 \SystemRoot\system32\DRIVERS\yk60x86.sys
0x8F7E2000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8F7E6000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8ABBD000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8ABC8000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x8F7F9000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8A772000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8A77D000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8F7FB000 \SystemRoot\System32\drivers\GEARAspiWDM.sys
0x8A795000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8A7A4000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x8A34A000 \SystemRoot\system32\DRIVERS\storport.sys
0x8A7D3000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8A7DE000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8A7F5000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8A38B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8A3AE000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8A3BD000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8A3D1000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8A3E6000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8F7FE000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8FC0E000 \SystemRoot\system32\DRIVERS\ks.sys
0x8FC38000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8FC42000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8FC4F000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8FC84000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8FC95000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x8FE95000 \SystemRoot\system32\drivers\portcls.sys
0x8FEC2000 \SystemRoot\system32\drivers\drmk.sys
0x8FEE7000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x8FEF0000 \SystemRoot\System32\Drivers\Null.SYS
0x8FEF7000 \SystemRoot\System32\Drivers\Beep.SYS
0x8FEFE000 \SystemRoot\System32\drivers\vga.sys
0x8FF0A000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8FF2B000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8FF33000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8FF3B000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8FF46000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8FF54000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x8FF5D000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8FF73000 \SystemRoot\system32\DRIVERS\smb.sys
0x8FF87000 \SystemRoot\system32\drivers\afd.sys
0x90004000 \SystemRoot\System32\DRIVERS\netbt.sys
0x90036000 \SystemRoot\system32\drivers\ws2ifsl.sys
0x9003F000 \SystemRoot\system32\DRIVERS\pacer.sys
0x90055000 \SystemRoot\system32\DRIVERS\netbios.sys
0x90063000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x90076000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x9007C000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x900B8000 \SystemRoot\system32\drivers\nsiproxy.sys
0x900C2000 \SystemRoot\System32\Drivers\dfsc.sys
0x900D9000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x900FB000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x900FD000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x90112000 \SystemRoot\System32\Drivers\crashdmp.sys
0x9011F000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x901EF000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x90206000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x9020F000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x9021F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x90226000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x98C30000 \SystemRoot\System32\win32k.sys
0x9022E000 \SystemRoot\System32\drivers\Dxapi.sys
0x90238000 \SystemRoot\system32\DRIVERS\monitor.sys
0x98E50000 \SystemRoot\System32\TSDDD.dll
0x98E70000 \SystemRoot\System32\cdd.dll
0x90247000 \SystemRoot\system32\drivers\luafv.sys
0x90262000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x90277000 \SystemRoot\system32\DRIVERS\kmdfmemio.sys
0x9027F000 \SystemRoot\system32\drivers\spsys.sys
0x9032F000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x9033F000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x90369000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x90373000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x90386000 \SystemRoot\system32\drivers\HTTP.sys
0x8FFCF000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x8AACC000 \SystemRoot\system32\DRIVERS\bowser.sys
0x8AAE5000 \SystemRoot\System32\drivers\mpsdrv.sys
0x8AAFA000 \SystemRoot\system32\drivers\mrxdav.sys
0x8AB1B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x8AB3A000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x8AB73000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0xAC40A000 \SystemRoot\System32\DRIVERS\srv2.sys
0xAC432000 \SystemRoot\System32\DRIVERS\srv.sys
0xAC498000 \SystemRoot\system32\drivers\peauth.sys
0xAC576000 \SystemRoot\System32\Drivers\secdrv.SYS
0xAC580000 \SystemRoot\System32\drivers\tcpipreg.sys
0xAC58C000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0xAC5A1000 \SystemRoot\system32\DRIVERS\WUDFPf.sys
0xAC5B3000 \SystemRoot\system32\DRIVERS\cdfs.sys
0xAC5C9000 \??\C:\Users\Julius\AppData\Local\Temp\kxldapob.sys
0xAC5E0000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x77570000 \Windows\System32\ntdll.dll

Processes (total 83):
0 System Idle Process
4 System
456 C:\Windows\System32\smss.exe
588 csrss.exe
632 C:\Windows\System32\wininit.exe
644 csrss.exe
676 C:\Windows\System32\services.exe
688 C:\Windows\System32\lsass.exe
700 C:\Windows\System32\lsm.exe
776 C:\Windows\System32\winlogon.exe
888 C:\Windows\System32\svchost.exe
968 C:\Windows\System32\svchost.exe
1008 C:\Windows\System32\svchost.exe
1140 C:\Windows\System32\svchost.exe
1176 C:\Windows\System32\svchost.exe
1196 C:\Windows\System32\svchost.exe
1268 C:\Windows\System32\audiodg.exe
1292 C:\Windows\System32\svchost.exe
1308 C:\Windows\System32\SLsvc.exe
1340 C:\Windows\System32\svchost.exe
1464 C:\Windows\System32\svchost.exe
1684 C:\Windows\System32\wlanext.exe
1808 C:\Windows\System32\taskeng.exe
1816 C:\Windows\System32\spoolsv.exe
1848 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1868 C:\Windows\System32\svchost.exe
324 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
472 C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
556 C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
596 C:\Program Files\Intel\WiFi\bin\EvtEng.exe
880 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
1952 C:\Windows\System32\svchost.exe
2064 C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
2108 C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
2144 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
2208 C:\Windows\System32\svchost.exe
2240 C:\Windows\System32\svchost.exe
2296 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
2312 C:\Windows\System32\SearchIndexer.exe
2460 WUDFHost.exe
2828 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
3316 C:\Windows\System32\taskeng.exe
3332 C:\Windows\System32\dwm.exe
3404 C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
3412 C:\Windows\System32\taskeng.exe
3476 C:\Windows\explorer.exe
3564 C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
3588 C:\Program Files\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe
3596 C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
3684 C:\Windows\System32\igfxext.exe
3712 C:\Windows\System32\igfxsrvc.exe
3996 C:\Program Files\Windows Defender\MSASCui.exe
4020 C:\Windows\RtHDVCpl.exe
4032 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
2228 C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
1360 C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
840 C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe
1628 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
732 C:\Program Files\AGEIA Technologies\TrayIcon.exe
2860 C:\Program Files\Common Files\Java\Java Update\jusched.exe
2980 C:\Windows\System32\igfxtray.exe
2848 C:\Windows\System32\hkcmd.exe
1052 C:\Program Files\Brother\Brmfcmon\BrMfcMon.exe
1612 C:\Program Files\Brother\ControlCenter3\BrccMCtl.exe
2724 C:\Windows\System32\igfxpers.exe
1856 C:\Windows\System32\igfxsrvc.exe
3060 C:\Program Files\Windows Sidebar\sidebar.exe
2320 C:\Windows\ehome\ehtray.exe
2088 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
3240 C:\Users\Julius\Program Files\DNA\btdna.exe
3376 C:\Windows\ehome\ehmsas.exe
3400 C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
3524 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
4492 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
3680 C:\Program Files\Internet Explorer\iexplore.exe
5860 C:\Program Files\Internet Explorer\iexplore.exe
5596 C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe
1260 C:\Windows\System32\Macromed\Flash\FlashUtil10k_ActiveX.exe
2544 C:\Users\Julius\Desktop\osam.exe
5032 dllhost.exe
5932 dllhost.exe
2784 C:\Users\Julius\Desktop\MBRCheck.exe
340 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000003`40100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001e`b8800000 (NTFS)

PhysicalDrive0 Model Number: HitachiHTS543225L9A300, Rev: FBEOC4CC

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 898F3CF28E8EC7228D29035E39B672E205D702F2

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Hast Du noch andere Betriebssysteme außer Vista installiert?

Wenn nicht, schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).
Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen.

Hallo Cosinus,

soweit ich weiß, ist nur Windows Vista installiert. Ich weiß jetzt nicht mal genau, ob Vista schon vorinstalliert war oder ob es eine CD dazu gibt, weil mein Sohn seinen Laptop über/von seinem Vater bekommen hat und dieser alles im Laden einrichten ließ und ggf. auch alle Software noch bei sich hat.

Aber ich wollte gestern mal den Abgesicherten Modus testen, also F8 drücken beim booten und da gab es diese ganzen Möglichkeiten der Systemwiederherstellungsoptionen, die auf der Notfall-PC beschrieben sind.

Frage 1: Kann ich es dann auch ohne Notfall-CD über F8 machen ???
Ich habe noch nie eine CD gebrannt und müsste Morgen auch erstmal eine kaufen.

Frage 2: Da ich mit den Logfiles nicht wirklich viel anfangen kann... Hat er sich da eine "größere" Infizierung eingefangen?

Wenn Du eine Vista-DVD zu normalen Installation da hast, geht das auch mit der. Evtl. geht auch eine Recovery-DVD, musst Du bitte testen.

Zitat:

Frage 1: Kann ich es dann auch ohne Notfall-CD über F8 machen ???

Nein, darüber kommt man nicht in die Wiederherstellungskonsole.

Zitat:

Hat er sich da eine "größere" Infizierung eingefangen?

Groß in welchem Sinne? Ein paar virulente Dateien waren dabei. Den MBR müssen wir auch neu schreiben zur Sicherheit, da der als unbekannt eingestuft wird.

Ok, ich habe zwischenzeitlich mal gestöbert und eine CD-R gefunden. Versuche dann jetzt die Notfall-CD zu brennen und melde mich im Anschluss wieder.

Hallo Cosinus,

ich bin schon wieder da, viel schneller als ich gedacht habe. Das Brennen sowie das Booten mit der Notfall-CD hat auf Anhieb geklappt. :singsing:

Was muss ich jetzt als nächstes tun ?

Du hast die Befehle in der Konsole auch so eingegeben, nachdem Du von der CD den Rechner gebootet hast?

Ich habe auch die Befehle eingegeben und jeweils Enter gedrückt. Allerdings habe ich dann nicht Konsole nicht über X geschlossen weil ich mir nicht sicher war ob ich das tun sollte. Darum habe ich die Konsole nur minimiert und bin dann auf neu starten gegangen.

Dann mach bitte ein neues Log mit mbrcheck

Das neue Log mit MBRCheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
BIOS Manufacturer: Phoenix Technologies Ltd.
System Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
System Product Name: R509
Logical Drives Mask: 0x0000005c

Kernel Drivers (total 140):
0x82444000 \SystemRoot\system32\ntoskrnl.exe
0x82411000 \SystemRoot\system32\hal.dll
0x8A00D000 \SystemRoot\system32\kdcom.dll
0x8A014000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8A084000 \SystemRoot\system32\PSHED.dll
0x8A095000 \SystemRoot\system32\BOOTVID.dll
0x8A09D000 \SystemRoot\system32\CLFS.SYS
0x8A0DE000 \SystemRoot\system32\CI.dll
0x8A1BE000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8A23A000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8A247000 \SystemRoot\system32\drivers\acpi.sys
0x8A28D000 \SystemRoot\system32\drivers\WMILIB.SYS
0x8A296000 \SystemRoot\system32\drivers\msisadrv.sys
0x8A29E000 \SystemRoot\system32\drivers\pci.sys
0x8A2C5000 \SystemRoot\System32\drivers\partmgr.sys
0x8A2D4000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8A2D7000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8A2E1000 \SystemRoot\system32\drivers\volmgr.sys
0x8A2F0000 \SystemRoot\System32\drivers\volmgrx.sys
0x8A33A000 \SystemRoot\System32\drivers\mountmgr.sys
0x8A40C000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8A4DC000 \SystemRoot\system32\drivers\atapi.sys
0x8A4E4000 \SystemRoot\system32\drivers\ataport.SYS
0x8A502000 \SystemRoot\system32\drivers\fltmgr.sys
0x8A534000 \SystemRoot\system32\drivers\fileinfo.sys
0x8A544000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8A5B5000 \SystemRoot\system32\drivers\ndis.sys
0x8A6C0000 \SystemRoot\system32\drivers\msrpc.sys
0x8A6EB000 \SystemRoot\system32\drivers\NETIO.SYS
0x8A805000 \SystemRoot\System32\drivers\tcpip.sys
0x8A8EF000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8A90A000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8AA1A000 \SystemRoot\system32\drivers\volsnap.sys
0x8AA53000 \SystemRoot\System32\Drivers\spldr.sys
0x8AA5B000 \SystemRoot\System32\Drivers\mup.sys
0x8AA6A000 \SystemRoot\System32\drivers\ecache.sys
0x8AA91000 \SystemRoot\system32\drivers\disk.sys
0x8AAA2000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x8AAC3000 \SystemRoot\system32\drivers\crcdisk.sys
0x8ABA9000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8ABB4000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8E404000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
0x8ED21000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8EDC2000 \SystemRoot\System32\drivers\watchdog.sys
0x8EDCE000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8EDD9000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8EE17000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8EE26000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8EEB3000 \SystemRoot\system32\DRIVERS\athr.sys
0x8A726000 \SystemRoot\system32\DRIVERS\yk60x86.sys
0x8EFDC000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8EFE0000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8EFF3000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8ABBD000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x8EFFE000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8ABEB000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8A772000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8E400000 \SystemRoot\System32\drivers\GEARAspiWDM.sys
0x8A78A000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8A799000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x8A34A000 \SystemRoot\system32\DRIVERS\storport.sys
0x8A7C8000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8A7D3000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8A7EA000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8A38B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8A3AE000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8A3BD000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8A3D1000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8A3E6000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8ABF6000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8F400000 \SystemRoot\system32\DRIVERS\ks.sys
0x8F42A000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8F434000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8F441000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8F476000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8F487000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x8F687000 \SystemRoot\system32\drivers\portcls.sys
0x8F6B4000 \SystemRoot\system32\drivers\drmk.sys
0x8F6D9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x8F6E2000 \SystemRoot\System32\Drivers\Null.SYS
0x8F6E9000 \SystemRoot\System32\Drivers\Beep.SYS
0x8F6F0000 \SystemRoot\System32\drivers\vga.sys
0x8F6FC000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8F71D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8F725000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8F72D000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8F738000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8F746000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x8F74F000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8F765000 \SystemRoot\system32\DRIVERS\smb.sys
0x8F779000 \SystemRoot\system32\drivers\afd.sys
0x8F7C1000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8F7F3000 \SystemRoot\system32\drivers\ws2ifsl.sys
0x8F805000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8F81B000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8F829000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8F83C000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8F842000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8F87E000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8F888000 \SystemRoot\System32\Drivers\dfsc.sys
0x8F89F000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8F8C1000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x8F8C3000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x8F8DA000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x8F8E3000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x8F8F3000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x8F8FA000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x8F902000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x8F917000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8F924000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x98000000 \SystemRoot\System32\win32k.sys
0x8F9F4000 \SystemRoot\System32\drivers\Dxapi.sys
0x8F9FE000 \SystemRoot\system32\DRIVERS\monitor.sys
0x98220000 \SystemRoot\System32\TSDDD.dll
0x98240000 \SystemRoot\System32\cdd.dll
0x8FA0D000 \SystemRoot\system32\drivers\luafv.sys
0x8FA28000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x8FA3D000 \SystemRoot\system32\DRIVERS\kmdfmemio.sys
0x8FA45000 \SystemRoot\system32\drivers\spsys.sys
0x8FAF5000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x8FB05000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x8FB2F000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x8FB39000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x8FB4C000 \SystemRoot\system32\drivers\HTTP.sys
0x8FBB9000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x8FBD6000 \SystemRoot\system32\DRIVERS\bowser.sys
0x8AACC000 \SystemRoot\System32\drivers\mpsdrv.sys
0x8AAE1000 \SystemRoot\system32\drivers\mrxdav.sys
0x8AB02000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x8AB21000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x8AB5A000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x8AB72000 \SystemRoot\System32\DRIVERS\srv2.sys
0xAC40E000 \SystemRoot\System32\DRIVERS\srv.sys
0xAC474000 \SystemRoot\system32\drivers\peauth.sys
0xAC552000 \SystemRoot\System32\Drivers\secdrv.SYS
0xAC55C000 \SystemRoot\System32\drivers\tcpipreg.sys
0xAC568000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0xAC57D000 \SystemRoot\system32\DRIVERS\WUDFPf.sys
0xAC58F000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x77650000 \Windows\System32\ntdll.dll

Processes (total 81):
0 System Idle Process
4 System
436 C:\Windows\System32\smss.exe
504 csrss.exe
548 csrss.exe
556 C:\Windows\System32\wininit.exe
592 C:\Windows\System32\services.exe
608 C:\Windows\System32\lsass.exe
620 C:\Windows\System32\lsm.exe
684 C:\Windows\System32\winlogon.exe
796 C:\Windows\System32\svchost.exe
876 C:\Windows\System32\svchost.exe
912 C:\Windows\System32\svchost.exe
1012 C:\Windows\System32\svchost.exe
1044 C:\Windows\System32\svchost.exe
1060 C:\Windows\System32\svchost.exe
1176 C:\Windows\System32\audiodg.exe
1200 C:\Windows\System32\svchost.exe
1216 C:\Windows\System32\SLsvc.exe
1268 C:\Windows\System32\svchost.exe
1380 C:\Windows\System32\svchost.exe
1584 C:\Windows\System32\wlanext.exe
1692 C:\Windows\System32\spoolsv.exe
1700 C:\Windows\System32\taskeng.exe
1740 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1768 C:\Windows\System32\svchost.exe
1992 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
2024 C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
2040 C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
280 C:\Program Files\Intel\WiFi\bin\EvtEng.exe
316 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
540 C:\Windows\System32\svchost.exe
1028 C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
2084 C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
2096 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
2136 C:\Windows\System32\svchost.exe
2188 C:\Windows\System32\svchost.exe
2208 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
2248 C:\Windows\System32\SearchIndexer.exe
2484 WUDFHost.exe
2748 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
2964 C:\Windows\System32\dwm.exe
2996 C:\Windows\System32\taskeng.exe
3040 C:\Windows\System32\taskeng.exe
3048 C:\Windows\explorer.exe
3056 C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
3244 C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
3252 C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
3284 C:\Program Files\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe
3400 C:\Windows\System32\igfxext.exe
3424 C:\Windows\System32\igfxsrvc.exe
3492 C:\Program Files\Windows Defender\MSASCui.exe
3500 C:\Windows\RtHDVCpl.exe
3516 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
3532 C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
3560 C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
3580 C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe
3588 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3596 C:\Program Files\AGEIA Technologies\TrayIcon.exe
3624 C:\Program Files\Common Files\Java\Java Update\jusched.exe
3632 C:\Windows\System32\igfxtray.exe
3648 C:\Windows\System32\hkcmd.exe
3748 C:\Windows\System32\igfxpers.exe
3776 C:\Program Files\Windows Sidebar\sidebar.exe
3784 C:\Windows\ehome\ehtray.exe
3792 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
3800 C:\Users\*****\Program Files\DNA\btdna.exe
3808 C:\Program Files\Skype\Phone\Skype.exe
3816 C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
3824 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
3880 C:\Windows\System32\igfxsrvc.exe
3912 C:\Program Files\Brother\ControlCenter3\BrccMCtl.exe
4072 C:\Windows\ehome\ehmsas.exe
3176 C:\Windows\System32\mobsync.exe
3540 C:\Program Files\Brother\Brmfcmon\BrMfcMon.exe
4680 C:\Program Files\Skype\Plugin Manager\skypePM.exe
4784 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
5780 dllhost.exe
5396 dllhost.exe
5836 C:\Users\*****\Desktop\MBRCheck.exe
3876 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000003`40100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001e`b8800000 (NTFS)

PhysicalDrive0 Model Number: HitachiHTS543225L9A300, Rev: FBEOC4CC

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979

Done!

Hallo Cosinus,

hast Du schon gesehen, dass ich Dir gestern Abend noch den Log von MBRCheck reingestellt habe?

Hast Du heute nochmal Zeit um mit mir weiterzumachen?

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

So, habe endlich die beiden Scans durch:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 5023

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

02.11.2010 20:07:36
mbam-log-2010-11-02 (20-07-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 291474
Laufzeit: 1 Stunde(n), 10 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

_____________________________________________________

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 11/02/2010 bei 10:02 PM

Version der Applikation : 4.45.1000

Version der Kern-Datenbank : 5797
Version der Spur-Datenbank : 3609

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:32:31

Gescannte Speicherelemente : 727
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 9173
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 143818
Erfasste Datei-Elemente : 0

__________________________________________________

Hat wohl nichts neues gefunden, aber die Quarantäne von mbam ist ja noch voll mit den 10 Viren.
(Übrigens, vielen Dank, dass Du mich ans das updaten der Tools erinnert hast)

Wie geht es jetzt weiter?

Guten Morgen Cosinus,

heute Morgen gabs bereits einen kleinen Zwischenfall. Mein Sohn hat einen seiner Spiele-Ordner bzw. ein Spiel geöffnet und darauf hin hat Avira sofort wieder einen Virus (Trojaner) gemeldet. Ich war vielleicht zu voreilig, habe ihn in Quarantäne verschoben und gelöscht.

Auf jeden Fall lass ich jetzt erstmal wieder mbam laufen (habe aktualisiert) und poste Dir dann den neuen Log, bis ich wieder von Dir höre.

So, ich habe jetzt mbam nochmal durch und das hat nichts gefunden...

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.orgDatenbank Version: 5029

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

03.11.2010 11:28:43
mbam-log-2010-11-03 (11-28-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 291636
Laufzeit: 1 Stunde(n), 17 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

_______________________________________________

Ich warte jetzt mal auf weitere Anweisungen. Bis dann...

(:heulen: Weißt Du was ich mit dem "Blechdeppen" mache könnte:snyper: )

Zitat:

Mein Sohn hat einen seiner Spiele-Ordner bzw. ein Spiel geöffnet und darauf hin hat Avira sofort wieder einen Virus (Trojaner) gemeldet. Ich war vielleicht zu voreilig, habe ihn in Quarantäne verschoben und gelöscht.

Die Infos reichen einfach nicht. Welches Spiel wurde geöffnet, war das schon installiert oder hat er es neu bekommen und dann installiert, welcher Schädling wurde wo genau gefunden?

Er wollte das Online-Spiel Metin2 über einen SCOG-Ordner öffnen (Habe ein Bild davon in den Anhang gestellt). Diese GSYSLoader.exe befand sich auch in dem SCOG-Ordner. Das Spiel spielt/hat er schon ca. 1 Jahr, aber er sagt, er müsste das aber immer wieder neu downloaden, weil es öfters "hängt".

Gleich nach dem Öffnen meldete sich Avira, aber wie gesagt ich schob es in Quarantäne und löschte diese.

Das sind die Ereignisse bei Avira von heute Morgen:

Exportierte Ereignisse von Avira:
03.11.2010 09:52 [Guard] Malware gefunden
In der Datei 'C:\Users\Julius\Desktop\SCOG-Ordner\GSYSLoader.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.XY.3428' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern
____________________________________________________________

Exportierte Ereignisse:

03.11.2010 09:55 [Scanner] Malware gefunden
Die Datei 'C:\Users\Julius\Desktop\SCOG-Ordner\GSYSLoader.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Obfuscated.XY.3428'
[trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cb876e.qua'
verschoben!

____________________________________________________________

Exportierte Ereignisse:

03.11.2010 10:25 [Guard] Malware gefunden
In der Datei 'C:\Users\Julius\Downloads\GSYSLoader.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.XY.3428' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

____________________________________________________________

Exportierte Ereignisse:

03.11.2010 10:32 [Guard] Malware gefunden
In der Datei 'C:\Users\Julius\Downloads\GSYSLoader.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.XY.3428' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

____________________________________________________________

xportierte Ereignisse:

03.11.2010 10:41 [Guard] Malware gefunden
In der Datei 'C:\Users\Julius\Downloads\GSYSLoader.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.XY.3428' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

__________________________________________________________

Exportierte Ereignisse:

03.11.2010 10:41 [Guard] Malware gefunden
In der Datei 'C:\Users\Julius\Downloads\GSYSLoader.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.XY.3428' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

____________________________________________________________

Exportierte Ereignisse:

03.11.2010 10:41 [Guard] Malware gefunden
In der Datei 'C:\Users\Julius\Downloads\GSYSLoader.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.XY.3428' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern
__________________________________________________________

Exportierte Ereignisse:

03.11.2010 10:41 [Guard] Malware gefunden
In der Datei 'C:\Users\Julius\Downloads\GSYSLoader.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.XY.3428' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

__________________________________________________________

Exportierte Ereignisse:

03.11.2010 10:41 [Guard] Malware gefunden
In der Datei 'C:\Users\Julius\Downloads\GSYSLoader.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.XY.3428' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

______________________________________________________________

Exportierte Ereignisse:

03.11.2010 10:41 [Guard] Malware gefunden
In der Datei 'C:\Users\Julius\Downloads\GSYSLoader.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.XY.3428' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

_____________________________________________________________

Exportierte Ereignisse:

03.11.2010 10:41 [Guard] Malware gefunden
In der Datei
'C:\$RECYCLE.BIN\S-1-5-21-1896260233-359134397-3295179695-1004\$RM4UDDX.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.XY.3428' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff erlauben

______________________________________________________________

Exportierte Ereignisse:

03.11.2010 10:43 [Guard] Malware gefunden
In der Datei
'C:\$RECYCLE.BIN\S-1-5-21-1896260233-359134397-3295179695-1004\$RM4UDDX.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.XY.3428' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

______________________________________________________________

Das Log von mbam aus meinem letzten Post habe ich aber erst nach diesen Ereignissen erstellt.

Kann sein, dass es ein Fehlalarm ist. Lad die besagte Datei bitte mal bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Auf die Gefahr hin, dass Du mich jetzt für völlig bescheuert hälst... Habe die Einstellungen in den Ordnerfunktionen vorgenommen, kann aber die Datei nicht mehr finden.

Der Inhalt des Papierkorbs wurde im Laufe des Tages auch schon gelöscht. Kann ich die Datei dann überhaupt noch finden da ich ja alles in Quarantäne verschoben und danach gelöscht habe!?

Was muss ich jetzt tun?

Dann wurde die Datei schon gelöscht. Frag Deinen Sohn mal, von wo genau er sich den Kram heruntergeladen hat.

BTW: Für die Zukunft solltet Ihr beide nicht mehr mit Adminrechten arbeiten, sondern Euch nur noch als Administrator anmelden, wenn es unbedingt nötig ist!

Ich traue es mich ja kaum zu sagen. Er sagt, dass er diese Datei schon vor 3 Monaten von einem Mitspieler eines Online-Spiels, per Skype zugeschickt bekam.

Julius hat sonst keine Administratorenrechte auf seinem Konto. Das habe ich jetzt nur vorübergehend von Standard auf Administrator umgestellt, solange ich mir Dir an seinem Problem arbeite. Aber trotzdem danke für den Hinweis.

Hoffe Du hast noch Nerven mit uns Laien weiterzumachen :wtf:

Hallo Cosinus,

sehe ich das richtig, dass sein System bzw. die Logs ansonsten soweit in Ordnung ist/sind?

Was müssen wir jetzt noch machen um die 10 Trojaner aus der Quarantäne zu bekommen?

Zitat:

Was müssen wir jetzt noch machen um die 10 Trojaner aus der Quarantäne zu bekommen?

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Zitat:

Zitat von cosinus (Beitrag 585501)

Du weißt, was eine Quarantäne ist? .

Na ich dachte da an eine befristete Isolierung.

Ich war mir nie ganz sicher, ob man Viren in der Quarantäne belassen kann, oder ob man sie dort baldmöglichst entfernen sollte.

Aber Du hast mir das sehr gut erklärt, wie übrigens auch die schrittweise Hilfe der ganzen letzten Tage. Dafür wollen wir uns ganz herzlich bei Dir bedanken!

:dankeschoen: :dankeschoen: :dankeschoen:

Liebe Grüße von Julius und Mama

Wenn keine Funde oder andere Probleme da sind, wären wir dann durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Cosinus,

habe Deine letzten Ausführen befolgt. Ich lies auch nochmal mbam laufen, welches gottseidank auch nichts mehr findet.

Ich habe mich hier sehr gut aufgehoben gefühlt, dennoch hoffe ich Eure Hilfe so schnell nicht mehr zu benötigen :nixda: ...
(zumindest nicht für einen infizierten PC)

Ich danke Dir nochmal vielmals für Deine Zeit und Mühe die Du investiert hast.

Mach weiter so... :abklatsch:

Liebe Grüße Julena