Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen?
 

hallo an alle, ich habe vor etwa 4 wochen einen antivir scan laufen lassen, weil ich im internet explorer ständig blue screens erhalten habe, und dabei den trojaner TR/Agent.843776.22 gefunden.

der blue screen sagte mir:

driver_irql_not_less_or_equal
technical information: stop: 0*000000D1
dnjfrx.sys - adress 8070eccb

ich habe mir den pfad für den treiber dnjfrx.sys rausgesucht und ihn unter windows/system32/driver
gefunden. habe dann nochmal antivir drüberlaufen lassen und siehe da:

der treiber drnjfrx.sys ist der trojaner TR/agent.843776.22 !

löschen über antivir geht nicht, auch im abgesichtern modus kommt die meldung: quelldatei kann nicht gelöscht werden. umbenennen geht auch nicht.

übrigens finde ich den trojaner auch in regedit:
HKLM/controlset001/services/dnjfrx

in allen controlsets 001 bis 012 sowie im CurrentControlSet

wie bekomme ich das mistding runter?
alles läuft gut und ruhig...nur im internet explorer scheint der trojaner aktiv zu sein und bringt mir den bluescreen, deswegen möchte ich auch nicht gleich das ganze system neu installieren.

danke schonmal im voraus für hilfe...

Hallo und :hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lies die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.



Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

danke arne,

hab malwarebytes gestartet...jetzt hängt der scan aber seit etwa 45 minuten und 113044 durchsuchten objekten bei

C://system volume information/systemrestore/s-1-5-21-822432078 v.v.

soll ich abwarten oder den scan neu starten?

nach 60 minuten warten hat er wieder angefangen weiterzuscannen....die logs poste ich dann

hier sind die logdateien wobei am ende die info kommt dass die trojaner erfolgreich gelöscht wurden. bei der zweiten datei stimmt es, bei der bekannten datei DNJFRX.SYS stimmt es nicht: sie ist immernoch da.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5023

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

02.11.2010 23:19:01
mbam-log-2010-11-02 (23-19-01).txt

Art des Suchlaufs: Vollst‰ndiger Suchlauf (C:\|)
Durchsuchte Objekte: 356930
Laufzeit: 3 Stunde(n), 7 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungsschl¸ssel:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bˆsartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\drivers\dnjfrx.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\Michael Neumann\AppData\Roaming\jsdfgs.bat (Malware.Trace) -> Quarantined and deleted successfully.







HIER DIE LOGDATEIEN VON OTL:



OTL Logfile:
--- --- ---









UND DIE EXTRA LOGDATEI:





OTL Logfile:
--- --- ---

Ich hab Malwarebytes nochmals einen quickscan machen lassen und die selbe datei ist nach dem neustart wie gesagt noch da:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5023

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

02.11.2010 23:51:09
mbam-log-2010-11-02 (23-51-09)3

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 137161
Laufzeit: 4 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\Drivers\dnjfrx.sys (Rootkit.Agent) -> No action taken.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

Dies ist die logdatei nach dem OTL FIX:

��All processes killed

========== OTL ==========

Service tsudmdnt stopped successfully!

Service tsudmdnt deleted successfully!

File C:\Windows\System32\drivers\tsudmdnt.sys File not found not found.

File C:\Windows\System32\drivers\dnjfrx.sys not found.

C:\Users\Michael Neumann\AppData\Roaming\qvjsge.dat moved successfully.

========== COMMANDS ==========

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully



[EMPTYTEMP]



User: All Users



User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes



User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes



User: Michael Neumann

->Temp folder emptied: 21234943 bytes

->Temporary Internet Files folder emptied: 731447445 bytes

->Java cache emptied: 60144694 bytes

->Flash cache emptied: 2026269 bytes



User: Public



%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 76660048 bytes

RecycleBin emptied: 0 bytes



Total Files Cleaned = 850,00 mb





OTL by OldTimer - Version 3.2.17.2 log created on 11032010_134616



Files\Folders moved on Reboot...



Registry entries deleted on Reboot...



und nach einem erneuten qucikscan stelle chleider fest, dass er immernoch da ist: wobei der eintrag, dass er gelöscht wurde nicht stimmt, nach neustart verbleibt die datei wo ist ist, mit änderungsdatum genau zu der zeit, wo der neustart stattgefunden hat.


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5023

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

03.11.2010 13:56:45
mbam-log-2010-11-03 (13-56-45).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 136755
Laufzeit: 4 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungsschl¸ssel:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bˆsartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\Drivers\dnjfrx.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Folgende Logdatei hab ich erhalten:


Combofix Logfile:
--- --- ---


ICH HABE ÜBRIGENS DAS PROBLEM NICHT MEHR IN MEINE SYSTEMSTEUERUNG ZU KOMMEN. ES KOMMT DIE MELDUNG: ES WURDE VERSUCHT EINEN REGISTRIERUNGSSCHLÜSSEL EINEM UNZULÄSSIGEN VORGANG ZU UNTERZIEHEN DER ZUM LÖSCHEN MARKIERT WURDE.
AUSSERDEM IST DIE DATEI IMMERNOCH VORHANDEN: DNFJRX.SYS.

alle programme laufen...nur ist wie gesagt die datei noch da...

Immer mit der Ruhe, Du brauchst nicht gleich zu schreien :balla:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

LOL...sorry...hat man das soweit gehört :pfeiff:

Combofix Logfile:
--- --- ---


nach einem erneuten neustart scheint die datei weg zu sein...ich habe einen quickscan mit malwarebytes gemacht und er hat diesmal nichts gefunden...
:knuddel:

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER LOGFILE:


GMER Logfile:
--- --- ---



OSAM LOGFILE:


OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru



MBERCHECKLOGFILE:


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: Sony Corporation
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: Sony Corporation
System Product Name: VGN-FW41M_H
Logical Drives Mask: 0x0000007c

Kernel Drivers (total 156):
0x8323A000 \SystemRoot\system32\ntkrnlpa.exe
0x83207000 \SystemRoot\system32\hal.dll
0x8040C000 \SystemRoot\system32\kdcom.dll
0x80413000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x80483000 \SystemRoot\system32\PSHED.dll
0x80494000 \SystemRoot\system32\BOOTVID.dll
0x8049C000 \SystemRoot\system32\CLFS.SYS
0x804DD000 \SystemRoot\system32\CI.dll
0x80608000 \SystemRoot\system32\drivers\Wdf01000.sys
0x80684000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x80691000 \SystemRoot\system32\drivers\acpi.sys
0x806D7000 \SystemRoot\system32\drivers\WMILIB.SYS
0x806E0000 \SystemRoot\system32\drivers\msisadrv.sys
0x806E8000 \SystemRoot\system32\drivers\pci.sys
0x8070F000 \SystemRoot\System32\drivers\partmgr.sys
0x8071E000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x80721000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8072B000 \SystemRoot\system32\drivers\volmgr.sys
0x8073A000 \SystemRoot\System32\drivers\volmgrx.sys
0x80784000 \SystemRoot\System32\drivers\mountmgr.sys
0x8B204000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8B2D2000 \SystemRoot\system32\drivers\fltmgr.sys
0x8B304000 \SystemRoot\system32\drivers\fileinfo.sys
0x8B314000 \SystemRoot\System32\Drivers\PxHelp20.sys
0x8B31E000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8B407000 \SystemRoot\system32\drivers\ndis.sys
0x8B512000 \SystemRoot\system32\drivers\msrpc.sys
0x8B53D000 \SystemRoot\system32\drivers\NETIO.SYS
0x8B607000 \SystemRoot\System32\drivers\tcpip.sys
0x8B6F1000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8B80A000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8B91A000 \SystemRoot\system32\drivers\volsnap.sys
0x8B953000 \SystemRoot\System32\Drivers\spldr.sys
0x8B95B000 \SystemRoot\System32\Drivers\mup.sys
0x8B96A000 \SystemRoot\System32\drivers\ecache.sys
0x8B991000 \SystemRoot\system32\drivers\disk.sys
0x8B9A2000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x8B9C3000 \SystemRoot\system32\drivers\crcdisk.sys
0x8B9D9000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8B9E4000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8FA01000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x8FE6E000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8FF0F000 \SystemRoot\System32\drivers\watchdog.sys
0x8FF1B000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8FFA8000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8FFB3000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8FFF1000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x90008000 \SystemRoot\system32\DRIVERS\NETw5v32.sys
0x90390000 \SystemRoot\system32\DRIVERS\yk60x86.sys
0x903DC000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x903EC000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x8B9ED000 \SystemRoot\system32\DRIVERS\risdptsk.sys
0x8B7DA000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0x8B578000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8B7F4000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8B58B000 \SystemRoot\system32\DRIVERS\Apfiltr.sys
0x8B5B7000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x903FA000 \SystemRoot\system32\DRIVERS\SFEP.sys
0x8B5C2000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x90000000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x8B5DA000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8B800000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8B38F000 \SystemRoot\system32\DRIVERS\dne2000.sys
0x8B3AE000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x80794000 \SystemRoot\system32\DRIVERS\storport.sys
0x8B5E9000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8B3DD000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8B5F4000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x807D5000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x805BD000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x805CC000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x805E0000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x90405000 \SystemRoot\system32\DRIVERS\termdd.sys
0x90415000 \SystemRoot\system32\DRIVERS\swenum.sys
0x90417000 \SystemRoot\system32\DRIVERS\ks.sys
0x90441000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x9044B000 \SystemRoot\system32\DRIVERS\umbus.sys
0x90458000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x9048D000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x9049E000 \SystemRoot\system32\drivers\RtHDMIV.sys
0x904C2000 \SystemRoot\system32\drivers\portcls.sys
0x904EF000 \SystemRoot\system32\drivers\drmk.sys
0x91009000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x9122F000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
0x9126C000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
0x90514000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
0x9136F000 \SystemRoot\system32\drivers\modem.sys
0x9137C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x91385000 \SystemRoot\System32\Drivers\Null.SYS
0x9138C000 \SystemRoot\System32\Drivers\Beep.SYS
0x91393000 \SystemRoot\System32\drivers\vga.sys
0x9139F000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x913C0000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x913C8000 \SystemRoot\system32\drivers\rdpencdd.sys
0x913D0000 \SystemRoot\System32\Drivers\Msfs.SYS
0x913DB000 \SystemRoot\System32\Drivers\Npfs.SYS
0x913E9000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x905C8000 \SystemRoot\system32\DRIVERS\tdx.sys
0x905DE000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x913F2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x91603000 \SystemRoot\system32\DRIVERS\smb.sys
0x91617000 \SystemRoot\System32\Drivers\usbvideo.sys
0x91638000 \SystemRoot\system32\drivers\afd.sys
0x91680000 \SystemRoot\system32\DRIVERS\ArcSoftKsUFilter.sys
0x91689000 \SystemRoot\System32\DRIVERS\netbt.sys
0x916BB000 \SystemRoot\system32\DRIVERS\pacer.sys
0x916D1000 \SystemRoot\system32\DRIVERS\netbios.sys
0x916DF000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x916F2000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x916F8000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x91734000 \SystemRoot\system32\drivers\nsiproxy.sys
0x9173E000 \SystemRoot\system32\DRIVERS\DMICall.sys
0x9173F000 \SystemRoot\System32\Drivers\dfsc.sys
0x91756000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x91778000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8B70C000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x91785000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x9178E000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x9179E000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x99CF0000 \SystemRoot\System32\win32k.sys
0x917A5000 \SystemRoot\System32\drivers\Dxapi.sys
0x917AF000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x917B7000 \SystemRoot\system32\DRIVERS\monitor.sys
0x99F10000 \SystemRoot\System32\TSDDD.dll
0x99F30000 \SystemRoot\System32\cdd.dll
0x917C6000 \SystemRoot\system32\drivers\luafv.sys
0x917E1000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x81005000 \SystemRoot\system32\drivers\spsys.sys
0x810B5000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x810C5000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x810EF000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x810F9000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x8110C000 \SystemRoot\system32\drivers\HTTP.sys
0x81179000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x81196000 \SystemRoot\system32\DRIVERS\bowser.sys
0x811AF000 \SystemRoot\System32\drivers\mpsdrv.sys
0x811C4000 \SystemRoot\system32\drivers\mrxdav.sys
0x82206000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x82225000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x8225E000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x82276000 \SystemRoot\System32\DRIVERS\srv2.sys
0x8229E000 \SystemRoot\System32\DRIVERS\srv.sys
0x82304000 \??\C:\Windows\system32\Drivers\CVPNDRVA.sys
0x82394000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0x9CA05000 \SystemRoot\system32\drivers\peauth.sys
0x9CAE3000 \??\C:\Windows\system32\drivers\regi.sys
0x9CAE5000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9CAEF000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9CAFB000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x9CB10000 \SystemRoot\system32\DRIVERS\WUDFPf.sys
0x9CB22000 \SystemRoot\system32\DRIVERS\xaudio.sys
0x9CB2A000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x9CB48000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x9CB5D000 \SystemRoot\System32\Drivers\fastfat.SYS
0x9CB85000 \??\C:\Users\MICHAE~1\AppData\Local\Temp\fglyiaow.sys
0x773C0000 \Windows\System32\ntdll.dll

Processes (total 86):
0 System Idle Process
4 System
580 C:\Windows\System32\smss.exe
648 csrss.exe
712 C:\Windows\System32\wininit.exe
720 csrss.exe
756 C:\Windows\System32\services.exe
776 C:\Windows\System32\lsass.exe
784 C:\Windows\System32\lsm.exe
936 C:\Windows\System32\winlogon.exe
964 C:\Windows\System32\svchost.exe
1048 C:\Windows\System32\svchost.exe
1092 C:\Windows\System32\svchost.exe
1180 C:\Windows\System32\Ati2evxx.exe
1196 C:\Windows\System32\svchost.exe
1240 C:\Windows\System32\svchost.exe
1304 C:\Windows\System32\svchost.exe
1368 C:\Windows\System32\audiodg.exe
1392 C:\Windows\System32\svchost.exe
1412 C:\Windows\System32\SLsvc.exe
1444 C:\Windows\System32\svchost.exe
1644 C:\Windows\System32\svchost.exe
1848 C:\Windows\System32\spoolsv.exe
1876 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1884 C:\Windows\System32\wlanext.exe
1896 C:\Windows\System32\svchost.exe
436 C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
524 C:\Windows\System32\Ati2evxx.exe
748 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
780 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1172 C:\Program Files\Bonjour\mDNSResponder.exe
1400 C:\Windows\System32\svchost.exe
1564 C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
1588 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
1660 C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
520 C:\Program Files\Intel\WiFi\bin\EvtEng.exe
2176 C:\Windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
2364 C:\Windows\System32\dwm.exe
2400 C:\Windows\explorer.exe
2504 C:\Windows\System32\taskeng.exe
2768 C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
2784 C:\Windows\System32\lxblcoms.exe
2936 C:\Program Files\Apoint\Apoint.exe
2956 C:\Program Files\sony\ISB Utility\ISBMgr.exe
2968 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3064 C:\Program Files\iTunes\iTunesHelper.exe
3084 C:\Program Files\sony\Network Utility\LANUtil.exe
3220 C:\Program Files\sony\Network Utility\NSUService.exe
3360 C:\Windows\System32\svchost.exe
3376 C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
3392 C:\Program Files\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe
3432 C:\Windows\System32\svchost.exe
3480 C:\Program Files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe
3492 C:\Program Files\sony\VAIO Event Service\VESMgr.exe
3556 C:\Program Files\sony\VAIO Power Management\SPMService.exe
3612 dllhost.exe
3716 C:\Program Files\sony\VAIO Event Service\VESMgrSub.exe
3824 dllhost.exe
4012 C:\Program Files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe
4024 C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
4048 C:\Windows\System32\svchost.exe
4076 C:\Windows\System32\SearchIndexer.exe
2440 C:\Windows\System32\drivers\XAudio.exe
1736 C:\Program Files\Common Files\Sony Shared\SOHLib\SOHDms.exe
2980 WUDFHost.exe
3056 C:\Program Files\Common Files\Sony Shared\SOHLib\SOHDs.exe
2648 C:\Program Files\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe
1484 C:\Program Files\Common Files\Sony Shared\SOHLib\SOHCImp.exe
4584 WmiPrvSE.exe
4984 C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
5024 C:\Program Files\sony\VAIO Power Management\SPMgr.exe
5204 C:\Program Files\iPod\bin\iPodService.exe
5508 C:\Program Files\Apoint\ApMsgFwd.exe
5664 C:\Program Files\Apoint\ApntEx.exe
4832 C:\Program Files\Common Files\Real\Update_OB\realsched.exe
328 C:\Program Files\Windows Media Player\wmpnscfg.exe
4000 C:\Program Files\Windows Media Player\wmpnetwk.exe
5368 C:\Windows\System32\wuauclt.exe
5172 C:\Windows\servicing\TrustedInstaller.exe
2104 C:\Windows\System32\svchost.exe
5964 C:\Windows\System32\SearchProtocolHost.exe
5324 C:\Windows\System32\SearchFilterHost.exe
3588 dllhost.exe
4156 dllhost.exe
3692 G:\MBRCheck.exe
1500 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000003`39800000 (NTFS)

PhysicalDrive0 Model Number: TOSHIBAMK5055GSX, Rev: FG001A

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

hab mal avira scannen lassen und malwarebytes. bei malwarebytes scheint alles ok, bei avira findet er eine versteckte datei:





Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 4. November 2010 00:54

Es wird nach 3011229 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : MICHAELNEUMANN

Versionsinformationen:
BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 03.11.2010 19:14:02
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 20:05:43
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 17:37:21
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 10:26:22
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 19:41:31
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 19:13:59
VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 19:13:59
VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 19:13:59
VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 19:14:00
VBASE013.VDF : 7.10.13.84 2048 Bytes 02.11.2010 19:14:00
VBASE014.VDF : 7.10.13.85 2048 Bytes 02.11.2010 19:14:00
VBASE015.VDF : 7.10.13.86 2048 Bytes 02.11.2010 19:14:00
VBASE016.VDF : 7.10.13.87 2048 Bytes 02.11.2010 19:14:00
VBASE017.VDF : 7.10.13.88 2048 Bytes 02.11.2010 19:14:00
VBASE018.VDF : 7.10.13.89 2048 Bytes 02.11.2010 19:14:00
VBASE019.VDF : 7.10.13.90 2048 Bytes 02.11.2010 19:14:00
VBASE020.VDF : 7.10.13.91 2048 Bytes 02.11.2010 19:14:00
VBASE021.VDF : 7.10.13.92 2048 Bytes 02.11.2010 19:14:00
VBASE022.VDF : 7.10.13.93 2048 Bytes 02.11.2010 19:14:00
VBASE023.VDF : 7.10.13.94 2048 Bytes 02.11.2010 19:14:00
VBASE024.VDF : 7.10.13.95 2048 Bytes 02.11.2010 19:14:00
VBASE025.VDF : 7.10.13.96 2048 Bytes 02.11.2010 19:14:00
VBASE026.VDF : 7.10.13.97 2048 Bytes 02.11.2010 19:14:00
VBASE027.VDF : 7.10.13.98 2048 Bytes 02.11.2010 19:14:00
VBASE028.VDF : 7.10.13.99 2048 Bytes 02.11.2010 19:14:00
VBASE029.VDF : 7.10.13.100 2048 Bytes 02.11.2010 19:14:00
VBASE030.VDF : 7.10.13.101 2048 Bytes 02.11.2010 19:14:00
VBASE031.VDF : 7.10.13.114 136192 Bytes 03.11.2010 19:14:01
Engineversion : 8.2.4.92
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 11:44:55
AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 03.11.2010 19:14:01
AESCN.DLL : 8.1.6.1 127347 Bytes 25.05.2010 20:05:50
AESBX.DLL : 8.1.3.1 254324 Bytes 25.05.2010 20:05:50
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 15:03:47
AEPACK.DLL : 8.2.3.11 471416 Bytes 15.10.2010 11:48:39
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 23.07.2010 10:27:11
AEHEUR.DLL : 8.1.2.38 2990455 Bytes 03.11.2010 19:14:01
AEHELP.DLL : 8.1.14.0 246134 Bytes 15.10.2010 11:48:33
AEGEN.DLL : 8.1.3.24 401781 Bytes 03.11.2010 19:14:01
AEEMU.DLL : 8.1.2.0 393588 Bytes 25.05.2010 20:05:48
AECORE.DLL : 8.1.17.0 196982 Bytes 27.09.2010 18:10:01
AEBB.DLL : 8.1.1.0 53618 Bytes 25.05.2010 20:05:47
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 03.11.2010 19:14:02
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 03.11.2010 19:14:02
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 03.11.2010 19:13:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 4. November 2010 00:54

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\program files\sony\vaio event service\activation.exe
c:\Program Files\sony\VAIO Event Service\Activation.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apntex.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApMsgFwd.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPMgr.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCSW.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOHCImp.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOHPlMgr.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOHDs.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOHDms.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'VzCdbSvc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCFw.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPMService.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgr.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'uCamMonitor.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOHDBSvr.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'LANUtil.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'NSUService.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxblcoms.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '129' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '147' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1676' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'


Ende des Suchlaufs: Donnerstag, 4. November 2010 02:19
Benötigte Zeit: 1:24:54 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

34446 Verzeichnisse wurden überprüft
508543 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
508543 Dateien ohne Befall
1399 Archive wurden durchsucht
0 Warnungen
0 Hinweise
655371 Objekte wurden beim Rootkitscan durchsucht




Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5023

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

04.11.2010 10:50:49
mbam-log-2010-11-04 (10-50-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 351228
Laufzeit: 2 Stunde(n), 42 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Die versteckte Datei beim Avira-Durchlauf ist ok.
Malwarebytes hast Du vorher nicht aktualisiert daher bitte updaten und den Vollscan wiederholen, zur Kontrolle bitte auch einen Vollscan mit SASW machen und alle Logs posten.

hier die zwei logs...erstaunlicherweise sagt mir superantispyware, dass die mbr.exe datei die ich mir runterladen sollte der trojaner agent/gen ist...kann das sein? ich hab beide funde erstmal in die quarantäne verschoben...


SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 11/05/2010 at 01:05 AM

Application Version : 4.45.1000

Core Rules Database Version : 5813
Trace Rules Database Version: 3625

Scan type : Complete Scan
Total Scan Time : 02:26:33

Memory items scanned : 852
Memory threats detected : 0
Registry items scanned : 8677
Registry threats detected : 0
File items scanned : 214900
File threats detected : 2

Adware.Tracking Cookie
s0.2mdn.net [ C:\Users\Michael Neumann\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\MVYNHNDL ]

Trojan.Agent/Gen
C:\WINDOWS\MBR.EXE




Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 5045

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

04.11.2010 22:31:29
mbam-log-2010-11-04 (22-31-29).txt

Art des Suchlaufs: Vollst‰ndiger Suchlauf (C:\|)
Durchsuchte Objekte: 351858
Laufzeit: 2 Stunde(n), 44 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungsschl¸ssel:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bˆsartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateien:
(Keine bˆsartigen Objekte gefunden)

Nein das ist ein Fehlalarm. Und sonst wurde nur ein Cookie gefunden.
Noch Probleme oder weitere Funde?

nee, sieht gut aus...nur windows update funktioniert nicht mehr...aber stehe schon mit microsoft in kontakt...ich soll ein fixit ausführen...ich dank dir auf jeden fall schonmal für die hilfe...das hätte ich allein nie hinbekommen!
:dankeschoen:
:party:

also das update für windows geht wieder. ich habe dann superantispyware deinstalliert und CCcleaner usw, und jetzt braucht der computer ewig um hochfahren. desktop kommt nach etwa 60sekunden, aber wirklich normal läuft alles erst nach 10 minuten. vorher braucht er ewig um ein programm zu öffnen. manchmal bekomme ich auch die info, dass mein antivirusprogramm nicht angeschaltet ist obwohl es läuft. ich hab mir die prozesse angeschaut und (für mich als laien) sieht es normal aus. cpu läuft ruhig und der arbeitsspeicher ist etwa 35% ausgelastet. allerdings fällt mir auf, dass machmal drei prozesse für den IExplorer gleichzeitig laufen. noch irgendeine idee oder info?
PS: habe ein chkdsk nach neustart laufen lassen und es bleibt leider so träge.

An für sich wären wir durch. Spiel erstmal alle Updates ein und beobachte, ob das System dann besser/schneller läuft. Hier mein Standardtext dazu:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.