TR/Pincav.afyp Trojan
 

Hallo ins Forum,

ich komme bei der Trojaner-Beseitigung nicht mehr weiter und bitte um Eure Hilfe.

Antivir hatte diese Trojaner gemeldet: TR/Pincav.afyp Trojan, TR/Crypt.XPACK.Gen 3 Trojan. Die Dateien habe ich danach sofort in Quarantäne verschoben.

Malware meldet nun, dass keine Dateien mehr infiziert seien. Dennoch taucht die Warnung TR/Crypt.XPACK.Gen 3 Trojan immer wieder auf und mein Rechner fährt langsamer hoch als sonst.


Viele Grüße,
kiki

Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

Hallo Arne,

die Liste an infizierten Dateien ist leider sehr lang und beunruhigt mich sehr. Vor zwei Wochen sowie Ende Juli meldete AntiVir folgende Funde:

TR/Crypt.XPACK.Gen 3 Trojan:
- C:\Dokumente und Einstellungen\...\sipovo566[1].exe
- C:\Dokumente und Einstellungen\Kirsten\907205.exe
- C:\Dokumente und Einstellungen\Kirsten\mhzb.exe

TR/Crypt.XPACK.Gen 2 Trojan:
- C:\Dokumente und Einstellungen\Kirsten\3391.exe
- C:\Dokumente und Einstellungen\Kirsten\bear315[1].exe
- C:\Dokumente und Einstellungen\Kirsten\376742.exe
- C:\Dokumente und Einstellungen\Kirsten\L...\172.exe
- C:\Dokumente und Einstellungen\Kirsten\...\sbeb.exe
- C:\Dokumente und Einstellungen\Kirsten\...\national48[1].exe
- C:\Dokumente und Einstellungen\Kirsten\L...\252.exe

BDS/Oserdi.aev:
- C:\Dokumente und Einstellungen\lasvegas106[1].exe
- C:\Dokumente und Einstellungen\Kirsten\L...\085.exe

TR/Pincav.afyp Trojan:
- C:\Dokumente und Einstellungen\Kirsten\...\6301.exe
- C:\Dokumente und Einstellungen\Kirsten\...\116[1].exe
- C:\Dokumente und Einstellungen\Kirsten\ibisov.exe

Alle entsprechenden Dateien hatte ich damals gleich in Quarantäne verschoben. Malwarebytes und AntiVir melden zwar keine infizierten Dateien mehr, doch habe ich gelesen, dass dies nicht unbedingt bedeuten muss, dass mein Rechner nicht mehr kontaminiert ist.
Kannst Du mir weiterhelfen?
Wie kann ich nun sichergehen, dass alle Trojaner entfernt wurden?

Viele Grüße,
kiki

Poste bitte auch alle Logs von Malwarebytes. Die findest Du im Programm im Reiter Logdateien.

Hallo Arne,

okay, dies ist der letzte log von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4181

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.11.2010 20:54:03
mbam-log-2010-11-04 (20-54-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 204585
Laufzeit: 1 Stunde(n), 14 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Viele Grüße,
Kirsten

Ich habe heute auf hijackthis.de auch mein OTL-logfile analysieren lassen. Dieser stufte folgende Dateien als schädlich ein, die ich darauhin gelöscht habe:

[2010.10.20 15:36:41 | 000,066,560 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\mshtmled.dll

[2010.10.20 15:36:41 | 000,043,520 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\licmgr10.dll

2010.10.20 15:36:41 | 000,025,600 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\jsproxy.dll

[2010.10.20 15:36:40 | 000,602,112 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\msfeeds.dll

[2010.10.20 15:36:40 | 000,184,320 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\iepeers.dll

[2010.10.20 15:36:40 | 000,055,296 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\msfeedsbs.dll

[2010.10.20 15:36:39 | 000,611,840 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\mstime.dll

[2010.10.20 15:36:38 | 000,916,480 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wininet.dll

2010.10.20 15:36:38 | 000,206,848 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\occache.dll

[2010.10.20 15:36:37 | 001,986,560 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iertutil.dll

2010.10.20 15:36:37 | 001,469,440 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\inetcpl.cpl

2010.10.20 15:36:36 | 000,743,424 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\iedvtool.dll

2010.10.20 15:36:36 | 000,173,056 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\ie4uinit.exe

2010.10.20 15:36:35 | 000,387,584 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\iedkcs32.dll

[2010.10.20 15:36:33 | 011,080,192 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\ieframe.dll

[2010.10.20 15:36:24 | 000,954,368 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc40.dll

2010.10.20 15:36:24 | 000,953,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc40u.dll

[2010.10.20 15:36:13 | 000,617,472 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\comctl32.dll

[2010.10.20 15:32:47 | 000,590,848 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache\rpcrt4.dll

die Datei [2010.10.20 15:36:36 | 000,173,056 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ie4uinit.exe konnte ich nicht löschen.

Viele Grüße,
kiki

Was machst Du denn da?? :wtf:
Hijackthis.de ist nur zur Auswertung von HJT-Logs, seit wann soll man da OTL-Logs auswerten können?!
Und warum löscht Du gleich ohne das abzuklären naiv Dateien, die automatische Auswertung hat immer ihre Macken! :balla:

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Hallo Arne,

das ist dann das Resultat eines Laien, der versucht sich selbst zu helfen:((
Ich kenne mich leider absolut nicht aus und mir konnte auch im Freundeskreis niemand weiterhelfen.

Okay, dann lade ich die neue Version von Malwarebytes herunter & führe den Vollscan durch.

Hoffe, Du hast etwas Geduld und kannst mir helfen..Ich bin Dir für jeden Rat so dankbar!

Viele Grüße,
kiki

Hallo Arne,

nach dem Update von Malwarebytes habe ich den Vollscan durchgeführt (s.u.).
Es wurde der Schädling "Worm.Palevo" entdeckt und "HKEY_LOCAL_MACHINE/SOFTWARE/Micr" als infiziertes Objekt gemeldet, das ich nach den Anweisungen auf trojanerboard entfernt habe.


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.11.2010 19:19:46
mbam-log-2010-11-05 (19-19-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 221370
Laufzeit: 1 Stunde(n), 39 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Viele Grüße,
kiki

Poste auch die Logs von OTL

Anbei das aktuelle Logfile von OTL:

OTL Code:OTL Logfile:
--- --- ---

Viele Grüße,
kiki

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Okay, habe ich wie beschrieben ausgeführt. Der Rechner wurde dabei neu gestartet.

OTL-Code:
All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{101e8cee-0cac-11df-b30c-18a905d08df5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found.
File D:\MEGA\\sudbina.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found.
File D:\MEGA\\\sudbina.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{101e8cee-0cac-11df-b30c-18a905d08df5}\ not found.
File D:\MEGA\\\sudbina.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{50645265-7d58-11df-b3ef-18a905d08df5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found.
File D:\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found.
File D:\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{50645265-7d58-11df-b3ef-18a905d08df5}\ not found.
File D:\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{517b0981-e76c-11df-b918-18a905d08df5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{517b0981-e76c-11df-b918-18a905d08df5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{517b0981-e76c-11df-b918-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{517b0981-e76c-11df-b918-18a905d08df5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{517b0981-e76c-11df-b918-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{517b0981-e76c-11df-b918-18a905d08df5}\ not found.
File D:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{521473cd-22f2-11df-aea7-18a905d08df5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found.
File D:\sejo\\kalac.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found.
File D:\sejo\kalac.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{521473cd-22f2-11df-aea7-18a905d08df5}\ not found.
File D:\sejo\\kalac.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6cd74f66-c0a3-11df-91a1-18a905d08df5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6cd74f66-c0a3-11df-91a1-18a905d08df5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6cd74f66-c0a3-11df-91a1-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6cd74f66-c0a3-11df-91a1-18a905d08df5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6cd74f66-c0a3-11df-91a1-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6cd74f66-c0a3-11df-91a1-18a905d08df5}\ not found.
File D:\StartVMCLite.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e075226a-9e3a-11df-866a-18a905d08df5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found.
File E:\sejo\\kalac.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found.
File E:\sejo\kalac.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e075226a-9e3a-11df-866a-18a905d08df5}\ not found.
File E:\sejo\\kalac.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found.
File D:\mirk\okitab.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found.
File D:\mirk\\okitab.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eadbb968-4d1d-11df-bac6-18a905d08df5}\ not found.
File D:\mirk\\okitab.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found.
File D:\MEGA\\sudbina.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found.
File D:\MEGA\\\sudbina.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{efeee0fe-d85b-11df-b4c4-18a905d08df5}\ not found.
File D:\MEGA\\\sudbina.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 321 bytes

User: Kirsten
->Temp folder emptied: 2639093 bytes
->Temporary Internet Files folder emptied: 24261607 bytes
->Java cache emptied: 458450 bytes
->FireFox cache emptied: 103624890 bytes
->Flash cache emptied: 15104 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3403499 bytes
RecycleBin emptied: 372116165 bytes

Total Files Cleaned = 483,00 mb


OTL by OldTimer - Version 3.2.9.1 log created on 11062010_173917

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Viele Grüße,
kiki

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

Danke für die Anweisungen; ich habe nun CCleaner sowie Combofix ausgeführt.

Dies ist die Meldung von combofix:

Combofix Logfile:
--- --- ---


Viele Grüße,
kiki

Hallo Arne,

mein Rechner meldete soeben, dass Windows Systemwiederherstellung und Roxio Back on Track (war auf meinem HP mini100c installiert) nicht parallel laufen können.
Es wurde geraten, die Windows Systemwiederherstellung zu deaktivieren. Ist das richtig?

Viele Grüße,
kiki

Ja war so ok. Weiter gehts:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

Danke zunächst für Deine Hilfe & die ganzen Schritt-für-Schritt-Anweisungen!
Ich habe alles ausgeführt, wie Du es beschrieben hast. Nach dem Neustart des Computers meldete Combofix zunächst, es würde eine Logdatei erstellen.
Doch kurz darauf ist mein Rechner wieder neu gestartet. Es erschien dann die Windows-Meldung, dass "das System nach einem schwerwiegenden Fehler wieder ausgeführt" wird.
Ich poste Dir hier mal die Fehlermeldung:

Problemsignatur:
BCCode : 1000008e BCP1 : 80000004 BCP2 : 8054BDF4 BCP3 : 9B35B594
BCP4 : 00000000 OSVer : 5_1_2600 SP : 3_0 Product : 768_1

Problembericht: enthaltene Dateien
C:\DOKUME~1\Kirsten\LOKALE~1\Temp\WER00c3.dir00\Mini110910-01.dmp
C:\DOKUME~1\Kirsten\LOKALE~1\Temp\WER00c3.dir00\sysdata.xml


Das Logfile von Combofix habe ich danach unter C:\\Combofix.txt abgerufen:

ComboFix 10-11-07.01 - Kirsten 09.11.2010 10:14:40.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1015.249 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kirsten\Desktop\cofi.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Kirsten\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\service4g.exe"
"c:\windows\starter4g.exe"
"c:\windows\updater4g.exe"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\service4g.exe
c:\windows\starter4g.exe
c:\windows\updater4g.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_XS_Stick_Service
-------\Service_XS Stick Service


((((((((((((((((((((((( Dateien erstellt von 2010-10-09 bis 2010-11-09 ))))))))))))))))))))))))))))))
.

Viele Grüße,
kiki

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hi Arne,

gestern abend hat Avira leider schon wieder vor einem Virus gewarnt. Es wurde der Worm\Rbot.655092 in folgender Datei entdeckt:
C:\\Qoobox\...\updater4g.exe.vir.
Die Datei habe ich danach zunächst in Quarantäne verschoben.
Anschließend habe ich meinen Rechner ein weiteres Mal mit Malwarebytes und Antivir gescannt; beide Scans waren unauffällig.

Soll ich trotzdem mit den Schritten fortfahren? Oder nochmal Ccleaner durchlaufen lassen?

Viele Grüße,
kiki

Qoobox ist der Quarantäne/Backup Ordner von combofix. Was da gefunden wird bitte ignorieren, Schädlinge da drin sind isoliert und können so dem System nicht mehr schaden!
Mach jetzt die anderen Logs.

Okay! Danke für die Info zu Qoobox!
Ich setze mich jetzt an die nächsten Logs.

Viele Grüße,
kiki

Hi Arne,

der Scan von GMER hat ziemlich lange gedauert; hier kommen nun die Logs.

GMER:

GMER Logfile:
--- --- ---



OSAM:
OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


und MBRCheck:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 129):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7A88000 \WINDOWS\system32\KDCOM.DLL
0xF7998000 \WINDOWS\system32\BOOTVID.dll
0xF7458000 ACPI.sys
0xF7A8A000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7447000 pci.sys
0xF7588000 isapnp.sys
0xF799C000 compbatt.sys
0xF79A0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7B50000 pciide.sys
0xF7808000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7A8C000 aliide.sys
0xF7A8E000 viaide.sys
0xF7A90000 intelide.sys
0xF7598000 MountMgr.sys
0xF7428000 ftdisk.sys
0xF79A4000 ACPIEC.sys
0xF7B51000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7810000 PartMgr.sys
0xF75A8000 VolSnap.sys
0xF734E000 iaStor.sys
0xF75B8000 disk.sys
0xF75C8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF732E000 fltMgr.sys
0xF7316000 syscow32x.sys
0xF75D8000 PxHelp20.sys
0xF72FF000 KSecDD.sys
0xF7272000 Ntfs.sys
0xF7245000 NDIS.sys
0xF7818000 SaibIa32.sys
0xF75E8000 SahdIa32.sys
0xF722B000 Mup.sys
0xF77B8000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF5A74000 \SystemRoot\system32\DRIVERS\igxpmp32.sys
0xF5A60000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF5A38000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF588D000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
0xF77D8000 \SystemRoot\system32\DRIVERS\l1c51x86.sys
0xF78A8000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF5869000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF78B0000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF77E8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF78B8000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF5838000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AC2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF77F8000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xF57BC000 \SystemRoot\System32\Drivers\wdf01000.sys
0xF78C0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF715B000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF7A40000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xF7C4F000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7628000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF69C2000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF57A5000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7638000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7648000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF78C8000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF5794000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7658000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF78D0000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF78D8000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7668000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7AC4000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF5771000 \SystemRoot\system32\DRIVERS\ks.sys
0xF5713000 \SystemRoot\system32\DRIVERS\update.sys
0xF69B2000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF609A000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xA81E9000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xA24AF000 \SystemRoot\system32\drivers\sthda.sys
0xA248B000 \SystemRoot\system32\drivers\portcls.sys
0xA81D9000 \SystemRoot\system32\drivers\drmk.sys
0xA246F000 \SystemRoot\system32\drivers\AESTAud.sys
0xA80F4000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7B3E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xA39DF000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B40000 \SystemRoot\System32\Drivers\Beep.SYS
0xA4731000 \SystemRoot\System32\drivers\vga.sys
0xF7B42000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B44000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xA2239000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
0xA81B9000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xA4729000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
0xA4721000 \SystemRoot\System32\Drivers\Msfs.SYS
0xA4719000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA80F0000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA2226000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA21CD000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA21A5000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA217F000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA215D000 \SystemRoot\System32\drivers\afd.sys
0xA81A9000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA4711000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA8199000 \SystemRoot\System32\Drivers\SaibVd32.sys
0xA2132000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA20C2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA4814000 \SystemRoot\System32\Drivers\Fips.SYS
0xA20A6000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B4E000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0x9D278000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x9B71C000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0x9C5B9000 \SystemRoot\System32\drivers\Dxapi.sys
0x9D395000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0x9B980000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0x9B708000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x9C040000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x9B6CB000 \SystemRoot\system32\drivers\wdmaud.sys
0xF604A000 \SystemRoot\system32\drivers\sysaudio.sys
0x9B508000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x9B3E8000 \SystemRoot\system32\DRIVERS\srv.sys
0x9AF0D000 \SystemRoot\system32\drivers\kmixer.sys
0xF7AC8000 \SystemRoot\system32\drivers\splitter.sys
0x9AD8C000 \SystemRoot\System32\Drivers\HTTP.sys
0x9C7A5000 \SystemRoot\System32\Drivers\Cdfs.SYS
0x9B5A9000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x9A8C6000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x9A8AE000 \??\C:\DOKUME~1\Kirsten\LOKALE~1\Temp\fftorfow.sys
0x9D3A5000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x9A894000 \SystemRoot\system32\DRIVERS\cmnsusbser.sys
0xA26D9000 \SystemRoot\System32\Drivers\Modem.SYS
0xA26A9000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 50):
0 System Idle Process
4 System
768 C:\WINDOWS\system32\smss.exe
816 csrss.exe
840 C:\WINDOWS\system32\winlogon.exe
884 C:\WINDOWS\system32\services.exe
896 C:\WINDOWS\system32\lsass.exe
1068 C:\WINDOWS\system32\svchost.exe
1148 svchost.exe
1188 C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe
1200 C:\WINDOWS\system32\svchost.exe
1384 svchost.exe
1452 svchost.exe
1684 C:\WINDOWS\system32\spoolsv.exe
1728 C:\Programme\IDT\WDM\stacsv.exe
488 C:\WINDOWS\explorer.exe
584 C:\Programme\Avira\AntiVir Desktop\sched.exe
2032 svchost.exe
280 C:\Programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe
308 C:\Programme\Avira\AntiVir Desktop\avguard.exe
384 C:\Programme\Java\jre6\bin\jqs.exe
688 C:\WINDOWS\system32\svchost.exe
1012 C:\Programme\XSManager\WTGService.exe
1084 C:\WINDOWS\system32\igfxtray.exe
1360 C:\WINDOWS\system32\hkcmd.exe
1372 C:\WINDOWS\system32\igfxpers.exe
1408 C:\Programme\HP\HPBTWD.exe
1424 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1440 C:\Programme\IDT\WDM\sttray.exe
1496 C:\WINDOWS\system32\AESTFltr.exe
1540 C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
1548 C:\WINDOWS\system32\igfxsrvc.exe
1724 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1752 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2056 C:\Programme\Skype\Phone\Skype.exe
2092 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
2144 C:\WINDOWS\system32\ctfmon.exe
2268 C:\Programme\OpenOffice.org 3\program\soffice.exe
2356 C:\Programme\OpenOffice.org 3\program\soffice.bin
3048 C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
3296 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3324 wmiprvse.exe
3372 alg.exe
3508 C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
3596 C:\WINDOWS\system32\wuauclt.exe
3888 C:\Programme\XSManager\XSManager.exe
3652 C:\Programme\Mozilla Firefox\firefox.exe
3292 C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe
3492 C:\Programme\Mozilla Firefox\plugin-container.exe
752 C:\Dokumente und Einstellungen\Kirsten\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

PhysicalDrive0 Model Number: WDCWD1600BEVT-60ZCT1, Rev: 13.01A13

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!


Viele Grüße,
kiki

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi Arne,

Danke!! Wäre so froh, wenn mein Rechner wieder in Ordnung kommt- und ich keine Panik mehr vor Trojanern etc. haben muss!

Hier kommt zunächst das Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5098

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.11.2010 12:57:40
mbam-log-2010-11-12 (12-57-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 223095
Laufzeit: 1 Stunde(n), 23 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Das Log von SASW schicke ich später.

Viele Grüße,
kiki

Hi Arne,

dies ist das Log con SASW:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/12/2010 at 03:45 PM

Application Version : 4.45.1000

Core Rules Database Version : 5850
Trace Rules Database Version: 3662

Scan type : Complete Scan
Total Scan Time : 01:33:35

Memory items scanned : 644
Memory threats detected : 0
Registry items scanned : 6437
Registry threats detected : 0
File items scanned : 85811
File threats detected : 7

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kirsten\Cookies\kirsten@perf.overture[1].txt
C:\Dokumente und Einstellungen\Kirsten\Cookies\kirsten@2o7[2].txt
adserv.quality-channel.de [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]
cdn5.specificclick.net [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]
imagesrv.adition.com [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]
serving-sys.com [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]
www.ardmediathek.de [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]

Viele Grüße,
kiki

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo Arne,

Malwarebytes und Antivir haben keine Viren o.ä. mehr gefunden! Tausend Dank für Deine Hilfe!!!
Nur mein Rechner fährt immer noch langsam hoch, dabei wird der Bildschirm kurz schwarz und die Taskleiste erscheint dann ein zweites Mal. Ist dennoch alles okay? Oder kann das auch auf ein Virus hindeuten?

Schöne Grüße,
kiki

Wie kann denn die Taskleiste ein 2. Mal erscheinen? Meinst du was anderes mit Taskleiste als das was ich meine? Beschreib mal genauer.
Und natürlich könnte irgendwo immer noch was Bösartiges stecken auch wenn alle Logs nun ok sind. Das ist das Restrisiko einer jeden Bereinigung.

Hi Arne,

ich meine die Startleiste, die am Bildschirmrand unten erscheint und Startmenü sowie Batterieanzeige etc. enhält.

Gut, dann ich versuch nochmal die Probleme beim Hochfahren des Computers zu beschreiben:

Bevor AntiVir den Trojaner meldete fuhr der Computer schneller hoch und die Taskleiste erschien ohne Verzögerung.
Jetzt sieht anfangs auch alles normal aus, d.h. alle Dokumente auf dem Desktop und auch die Startleiste sind bereits auf dem Bildschirm zu sehen. Doch kurze Zeit später wird der Hintergrund für kurze Zeit komplett schwarz und anschließend wird die Startleiste quasi erneut, aber sehr langsam aufgebaut.

Viele Grüße,
kiki

Das war die ganze Prozedur schon so durch, also direkt nach dem AntiVir-Fund oder erst nach einen "meiner" Schritte?

Direkt nach dem AntiVir- Fund, also bereits vor dem Durchführen Deiner "Schritte".

Viele Grüße,
kiki

Kannst du AntiVir mal vorübergehend deinstallieren, Rechner neustarten und beobachten ob das immer noch so auftaucht?

Hi Arne,

nachdem ich AntiVir deinstaliert habe, wurde der Bildschirm nach dem Hochfahren erneut für einen kurzen Moment schwarz.
Aber die Taskleiste erschien nicht mehr verzögert.

Schönen Gruß,
kiki

Ok, lags wohl an AntiVir. Als Alternative kannst du auch das nutzen => http://www.microsoft.com/security_essentials/

Ansonsten noch Probleme oder weitere Funde?

Hallo Arne,

sorry für die späte Antwort.
In der Zwischenzeit hatte ich keine weiteren Funde. Dann sollte soweit alles in Ordnung sein, oder?
Werde mir wohl Kaspersky Internet Security 2011 zulegen, um meinen Computer in Zukunft noch besser zu schützen.

Viele Grüße,
kiki

Mach das nicht. Eine Internet Security Suite ist kontraproduktiv!!

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Hi Arne,

vielen Dank für den Tipp & die ganzen Links!
Dabei frage ich mich wirklich, wie ich mir die Trojaner eingefangen habe. Denn das Internet nutze ich vor allem um Mails zu schreiben, Online-Zeitung zu lesen oder für meine Arbeit zu recherchieren.

Na, dann hoff ich mal, mit regelmäßigen Antivirus-Checks und "kontrolliertem" Surfen passiert mir das nicht nochmal.

Schöne Grüße,
kiki

Hi Arne,

kannst Du mir bitte nochmal helfen?
Auf meinem Rechner wurden neue Trojaner entdeckt:((
Dabei habe ich vorsichtig gesurft und keine Dateien heruntergeladen. Frage mich wirklich, wie sich die Trojaner immer wieder einschleichen. Und warum habe ich das nicht bemerkt?


Gestern hat Malwarebytes Trojaner in folgenden Dateien entdeckt. Danach habe ich alle in Quarantäne verschoben.


Trojan.DNSChanger:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{07EC0ADC-8A48-43FE-8341-D9D7C698892E}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{76E7AEAD-198B-4AFC-B507-76050BA527EC}\DhcpNameServer

Trojan.Dropper:
c:\dokumente und einstellungen\Kirsten\lokale einstellungen\Temp\0.4442943182359632.exe
c:\system rollback data\Restore\Current\50390\10\Target\WINDOWS\system32\spool\prtprocs\w32x86\xMYW3u7.dll

Trojan.Alureon.Gen:
c:\system rollback data\Restore\Current\50390\10\Target\WINDOWS\system32\spool\prtprocs\w32x86\Y17oCEI9.dll


Seit gestern wird auch meine Internetverbindung (über einen Surf-Stick) immer wieder unterbrochen und kurz nach dem Hochfahren des Rechners erscheint die Fehlermeldung: Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden. Die Taskleiste verändert sich komplett; anderes Schriftbild, auch die Datum- und Uhrzeitangabe sind anders aus.

Die Trojaner machen mir große Sorgen. Das sieht nicht gut aus, oder??

Anbei die Meldungen von Malwarebytes; nach der ersten Trojaner-Beseitigung hatte ich einen zweiten Suchdurchlauf gestartet:


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5264

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.12.2010 00:46:57
mbam-log-2010-12-08 (00-46-57).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 131163
Laufzeit: 6 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{07EC0ADC-8A48-43FE-8341-D9D7C698892E}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (93.188.163.192,93.188.160.112) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{76E7AEAD-198B-4AFC-B507-76050BA527EC}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (93.188.163.192,93.188.160.112) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Kirsten\lokale einstellungen\Temp\0.4442943182359632.exe (Trojan.Dropper) -> Quarantined and deleted successfully.




Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5264

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.12.2010 02:12:14
mbam-log-2010-12-08 (02-12-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 218354
Laufzeit: 1 Stunde(n), 20 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system rollback data\Restore\Current\50390\10\Target\WINDOWS\system32\spool\prtprocs\w32x86\xMYW3u7.dll (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\system rollback data\Restore\Current\50390\10\Target\WINDOWS\system32\spool\prtprocs\w32x86\Y17oCEI9.dll (Trojan.Alureon.Gen) -> Quarantined and deleted successfully.

Antispyware meldet außer Tracking Cookies keine weiteren Funde.

Wie soll ich vorgehen? Wieder OTL und GMER posten?

Schöne Grüße,
kiki

Am selben Rechner oder ist das ein anderer?

Hi Arne,

am selben Rechner.

Viele Grüße,
kiki

Hi Arne,

AntiVir hat inzwischen zwei versteckte Objekte gefunden:

HKEY_USERS\S-1-5-21-2219577811-1329296693-4104837356-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\savedlegacysettings
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\RNG\seed
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Ich schicke Dir hier schonmal die OTL Logs- falls Du mal draufschauen kannst und sie für die Diagnose brauchst.

OTL Logfile:OTL Logfile:
--- --- ---
OTL Logfile:
--- --- ---

Viele Grüße,
kiki

Mach nochmal nen Durchgang mit CF, die cofi neu runterladen:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi Arne,

sorry für die späte Antwort. Mein Rechner hat sich beim ersten Durchlauf aufgehängt. Und danach gabs so viel Stress an der Uni. Ich versuche combofix jetzt einfach nochmal.

Viele Grüße,
kiki

Hi Arne,

hier kommt das Log von Combofix (das ich leider nur im reduzierten Modus ausführen konnte).

Log Combofix:

Combofix Logfile:
--- --- ---

Viele Grüße,
kiki

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne,

erstmal vielen lieben Dank, dass Du mir weiterhilfst!

Hier kommen die Logs von Osam und MBRCheck; GMER ist leider abgestürzt.

Osam Log:
OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCheck Log:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00000004

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7A88000 \WINDOWS\system32\KDCOM.DLL
0xF7998000 \WINDOWS\system32\BOOTVID.dll
0xF7458000 ACPI.sys
0xF7A8A000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7447000 pci.sys
0xF7588000 isapnp.sys
0xF799C000 compbatt.sys
0xF79A0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7B50000 pciide.sys
0xF7808000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7A8C000 aliide.sys
0xF7A8E000 viaide.sys
0xF7A90000 intelide.sys
0xF7598000 MountMgr.sys
0xF7428000 ftdisk.sys
0xF79A4000 ACPIEC.sys
0xF7B51000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7810000 PartMgr.sys
0xF75A8000 VolSnap.sys
0xF734E000 iaStor.sys
0xF75B8000 disk.sys
0xF75C8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF732E000 fltMgr.sys
0xF7316000 syscow32x.sys
0xF7304000 sr.sys
0xF75D8000 PxHelp20.sys
0xF72ED000 KSecDD.sys
0xF7260000 Ntfs.sys
0xF7233000 NDIS.sys
0xF7818000 SaibIa32.sys
0xF75E8000 SahdIa32.sys
0xF7219000 Mup.sys
0xF77E8000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF5F72000 \SystemRoot\system32\DRIVERS\igxpmp32.sys
0xF5F5E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF5F36000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF5D8B000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
0xF77F8000 \SystemRoot\system32\DRIVERS\l1c51x86.sys
0xF78A8000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF5D67000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF78B0000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7628000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF78B8000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF5D36000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AC6000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7638000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xF5CBA000 \SystemRoot\System32\Drivers\wdf01000.sys
0xF78C0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF714D000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF7149000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xF7CA1000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7648000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7A40000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF5CA3000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7658000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7668000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF78C8000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF5C92000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7678000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF78D0000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF78D8000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7688000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7AC8000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF5C6F000 \SystemRoot\system32\DRIVERS\ks.sys
0xF5C11000 \SystemRoot\system32\DRIVERS\update.sys
0xF6EB8000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7698000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xA9281000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xA7CD8000 \SystemRoot\system32\drivers\sthda.sys
0xA7CB4000 \SystemRoot\system32\drivers\portcls.sys
0xA9271000 \SystemRoot\system32\drivers\drmk.sys
0xA7C98000 \SystemRoot\system32\drivers\AESTAud.sys
0xF71F1000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7B46000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x9FE82000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B48000 \SystemRoot\System32\Drivers\Beep.SYS
0xA35FD000 \SystemRoot\System32\drivers\vga.sys
0xF7B4A000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B4C000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xA35F5000 \SystemRoot\System32\Drivers\Msfs.SYS
0xA35ED000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF71ED000 \SystemRoot\system32\DRIVERS\rasacd.sys
0x9D4AF000 \SystemRoot\system32\DRIVERS\ipsec.sys
0x9D456000 \SystemRoot\system32\DRIVERS\tcpip.sys
0x9D406000 \SystemRoot\system32\DRIVERS\netbt.sys
0x9D3E0000 \SystemRoot\system32\DRIVERS\ipnat.sys
0x9D3BE000 \SystemRoot\System32\drivers\afd.sys
0x9D210000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
0xA3877000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xA35E5000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
0xA3867000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA35D5000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x9D1EE000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
0xA35CD000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
0xA3857000 \SystemRoot\System32\Drivers\SaibVd32.sys
0x9D1C3000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x9D153000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA00AF000 \SystemRoot\System32\Drivers\Fips.SYS
0x9D130000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7AF0000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0x97731000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x9624D000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0x98160000 \SystemRoot\System32\drivers\Dxapi.sys
0x97B4E000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7C63000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0x96238000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x9665E000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x961FB000 \SystemRoot\system32\drivers\wdmaud.sys
0x96996000 \SystemRoot\system32\drivers\sysaudio.sys
0x96060000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x95CE8000 \SystemRoot\system32\DRIVERS\srv.sys
0x9599D000 \SystemRoot\system32\drivers\kmixer.sys
0x97BDD000 \SystemRoot\system32\drivers\splitter.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 51):
0 System Idle Process
4 System
764 C:\WINDOWS\system32\smss.exe
812 csrss.exe
836 C:\WINDOWS\system32\winlogon.exe
880 C:\WINDOWS\system32\services.exe
892 C:\WINDOWS\system32\lsass.exe
1064 C:\WINDOWS\system32\svchost.exe
1160 svchost.exe
1216 C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe
1380 svchost.exe
1428 svchost.exe
1472 C:\WINDOWS\explorer.exe
1812 C:\Programme\IDT\WDM\stacsv.exe
516 C:\Programme\Avira\AntiVir Desktop\sched.exe
644 svchost.exe
724 C:\Programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe
168 C:\WINDOWS\system32\igfxtray.exe
1012 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
1008 C:\WINDOWS\system32\hkcmd.exe
1092 C:\WINDOWS\system32\igfxpers.exe
1100 C:\Programme\HP\HPBTWD.exe
1084 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1308 C:\WINDOWS\system32\AESTFltr.exe
1352 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1368 C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
1376 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1392 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1296 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
1412 C:\Programme\Skype\Phone\Skype.exe
1444 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
1552 C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
1620 C:\WINDOWS\system32\ctfmon.exe
1500 C:\WINDOWS\system32\igfxsrvc.exe
1908 C:\Programme\Philips\GoGear SA1VBExxA Device Manager\GoGear_SA1VBExxA_DeviceManager.exe
1988 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac
208 C:\Programme\Java\jre6\bin\jqs.exe
224 C:\Programme\Google\Update\GoogleUpdate.exe
244 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
252 C:\Programme\OpenOffice.org 3\program\soffice.exe
540 C:\WINDOWS\system32\svchost.exe
436 C:\Programme\OpenOffice.org 3\program\soffice.bin
1548 C:\Programme\XSManager\WTGService.exe
3072 C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
3296 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3392 alg.exe
3568 C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
2244 C:\WINDOWS\system32\spoolsv.exe
1240 C:\Programme\Avira\AntiVir Desktop\avcenter.exe
692 C:\Programme\Avira\AntiVir Desktop\avwsc.exe
2820 C:\Dokumente und Einstellungen\Kirsten\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

PhysicalDrive0 Model Number: WDCWD1600BEVT-60ZCT1, Rev: 13.01A13

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

Viele Grüße,
kiki

Ok. Probier combofix bitte mit einer neu heruntergeladenen cofi.exe nochmal aus.

Hallo Arne,

Combofix habe ich neu heruntergeladen und gestartet. Das Programm lief sehr lange- mehr als 12 Stunden und meldete, dass nach infizierten Dateien gesucht wird. Als ich zur Uni musste, habe ich den Rechner weiterlaufen lassen, um Combofix nicht zu unterbrechen.
Danach lief er im Ruhemodus und hat sich schließlich aufgehangen. Es erschien die Nachricht, dass nur PCxy oder ein Administrator die Computersperre aufheben kann. Ich drückte auf Enter, doch dann tat sich gar nichts mehr. Ich musste schließlich warten, bis die Batterie leer war, um ihn neu starten zu können.
Soll ich es nochmal mit Combofix versuchen?

Viele Grüße,
kiki

Nee lass CF jetzt weg.
Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne,

okay, habe ich durchgeführt. Anbei poste ich Dir die Logs.

OSAM Logfile:
OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


GMER Logfile:
GMER Logfile:
--- --- ---

MBR Check Logfile:


 CE0000 \SystemRoot\System32\Drivers\wdf01000.sys
0xF78C8000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF714D000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF7149000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xF7BD6000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7658000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7A40000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF5CC9000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7668000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7678000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF78D0000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF5CB8000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7688000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF78D8000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF78E0000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF65BE000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7ACA000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF5C95000 \SystemRoot\system32\DRIVERS\ks.sys
0xF5C37000 \SystemRoot\system32\DRIVERS\update.sys
0xF6EDE000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF65AE000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xA9281000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xA7C3B000 \SystemRoot\system32\drivers\sthda.sys
0xA7739000 \SystemRoot\system32\drivers\portcls.sys
0xA9201000 \SystemRoot\system32\drivers\drmk.sys
0xA5D2D000 \SystemRoot\system32\drivers\AESTAud.sys
0x9DD0F000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
0xA3E28000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xA3790000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
0xF71F5000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7B3C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xA013D000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B3E000 \SystemRoot\System32\Drivers\Beep.SYS
0xA3778000 \SystemRoot\System32\drivers\vga.sys
0xF7B40000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B42000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xA3770000 \SystemRoot\System32\Drivers\Msfs.SYS
0xA3768000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF71F1000 \SystemRoot\system32\DRIVERS\rasacd.sys
0x9DCDC000 \SystemRoot\system32\DRIVERS\ipsec.sys
0x9DC83000 \SystemRoot\system32\DRIVERS\tcpip.sys
0x9DC5D000 \SystemRoot\system32\DRIVERS\ipnat.sys
0x9DC35000 \SystemRoot\system32\DRIVERS\netbt.sys
0x9DC13000 \SystemRoot\System32\drivers\afd.sys
0xA3E08000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA3758000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x9DBF1000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
0x9FDE7000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
0xA3DF8000 \SystemRoot\System32\Drivers\SaibVd32.sys
0x9DBC6000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x9DB56000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA011D000 \SystemRoot\System32\Drivers\Fips.SYS
0x9DB33000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x9FD6A000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0x977C8000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x96BB1000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0x980E1000 \SystemRoot\System32\drivers\Dxapi.sys
0x97A1E000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BC7000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0x96B9C000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF7A7C000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x96B5F000 \SystemRoot\system32\drivers\wdmaud.sys
0xA00AD000 \SystemRoot\system32\drivers\sysaudio.sys
0x969C4000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x965FC000 \SystemRoot\system32\DRIVERS\srv.sys
0x96021000 \SystemRoot\System32\Drivers\Cdfs.SYS
0x966A4000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x95D15000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 46):
0 System Idle Process
4 System
764 C:\WINDOWS\system32\smss.exe
812 csrss.exe
836 C:\WINDOWS\system32\winlogon.exe
880 C:\WINDOWS\system32\services.exe
892 C:\WINDOWS\system32\lsass.exe
1068 C:\WINDOWS\system32\svchost.exe
1160 svchost.exe
1216 C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe
1396 svchost.exe
1432 svchost.exe
1476 C:\WINDOWS\explorer.exe
1808 C:\Programme\IDT\WDM\stacsv.exe
608 C:\Programme\Avira\AntiVir Desktop\sched.exe
664 svchost.exe
680 C:\WINDOWS\system32\igfxtray.exe
688 C:\WINDOWS\system32\hkcmd.exe
696 C:\WINDOWS\system32\igfxpers.exe
704 C:\Programme\HP\HPBTWD.exe
712 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
720 C:\WINDOWS\system32\AESTFltr.exe
1100 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1332 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1288 C:\Programme\Skype\Phone\Skype.exe
1532 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
1544 C:\WINDOWS\system32\igfxsrvc.exe
1560 C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
1764 C:\Programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe
1832 C:\WINDOWS\system32\ctfmon.exe
1896 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
1908 C:\Programme\Philips\GoGear SA1VBExxA Device Manager\GoGear_SA1VBExxA_DeviceManager.exe
1956 C:\Programme\Avira\AntiVir Desktop\avguard.exe
284 C:\Programme\OpenOffice.org 3\program\soffice.exe
368 C:\Programme\Java\jre6\bin\jqs.exe
384 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
396 C:\Programme\OpenOffice.org 3\program\soffice.bin
412 C:\Programme\Google\Update\GoogleUpdate.exe
1132 C:\WINDOWS\system32\svchost.exe
2088 C:\Programme\XSManager\WTGService.exe
2960 C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
3960 C:\WINDOWS\system32\wbem\wmiapsrv.exe
444 alg.exe
228 C:\WINDOWS\system32\spoolsv.exe
2724 C:\WINDOWS\system32\svchost.exe
4024 C:\Dokumente und Einstellungen\Kirsten\Desktop\MBRCheck (1).exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

PhysicalDrive0 Model Number: WDCWD1600BEVT-60ZCT1, Rev: 13.01A13

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

Hoffe sehr, dass mein Rechner bald wieder normal läuft und sich die Viren etc. entfernen lassen. Danke auf jeden Fall für Deine Unterstützung!!

Viele Grüße,
kiki

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne,

okay; habe beides aktualisiert und die Scans durchgeführt.
Antispyware hat einen Tracking Cookie entdeckt; Malwarebytes meldete keine infizierten Dateien.
Das sieht ja erstmal okay aus. Ich werde nun beobachten, ob noch Probleme mit der Internetverbindung oder der Taskleiste auftreten.

Anbei das Log von Malwarebytes:

Malwarebytes Logfile:
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5342

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.12.2010 15:25:04
mbam-log-2010-12-17 (15-25-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 221138
Laufzeit: 1 Stunde(n), 23 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Viele Grüße,
kiki

Sieht ok aus.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo Arne,

nein, es gab keine weiteren Funde.
Aber einige Minuten nach dem Hochfahren des Computers verändert sich immer noch die Taskleiste, u.a. Uhrzeit und Schriftbild. Diese Änderungen sind erst nach den letzten Virusmeldungen aufgetreten.
Soll ich nochmal andere Programme durchlaufen lassen, die Rootkits entfernen wie z.B. Blacklight?

Viele Grüße,
kiki

Wie genau sehen die Änderungen aus? Altbackenes Design?

Hallo Arne,

ja, genau.
Also anfangs sieht die Taskleiste noch normal aus; Uhrzeit und Wochentag erscheinen im bekannten Schriftbild und die Leiste ist durchgängig dunkelgrau. Doch nach einigen Minuten sieht es so aus, als ob sich eine weitere Taskleiste "daraufsetzt". Die Farbgebung ist dann nicht mehr einheitlich; die Mitte der Leiste ist anschließend hellgrau und die Taskleiste sieht dadurch wie unterbrochen aus.
Wenn ich das Startmenü anklicke, erscheint mein Benutzername in einem ganz anderen Schriftbild als sonst.

Viele Grüße,
kiki

Mach mal einen Screenshot davon...

Hallo Arne,

okay; ich habe einen Screenshot gemacht und ihn als Paint-Dokument abgespeichert. Aber wie ich kann ihn Dir posten? Sorry, habe leider keine Ahnung.

Viele Grüße,
kiki

Speicher es bitte als png Datei ab. Datei kannst du bei saved.im hochladen und hier verlinken

Hi Arne,

okay, Danke! Dies ist der link: hxxp://saved.im/mty1mzexamd3/screenshot.html.

Hier sieht die Taskleiste noch nicht ganz so schräg aus; aber normalerweise ist der Start-Button grün und das Datum erscheint unter dem Wochentag.
Nach einiger Zeit ändert sich ab und an die Leiste erneut; sie ist dann hellgrau und mein Benutzername wechselt in ein kursives Schriftbild.
Das ist heute aber noch nicht aufgetreten, deswegen konnte ich davon keinen Screenshot machen; sonst schicke ich Dir das nochmal als link.

Viele Grüße,
kiki

Die Leiste wird von ganz allein grau und doppelt so breit? :balla:

Hallo Arne,

nein; die Breite der Leiste habe ich selbst so eingestellt.

Wie gesagt, einige Minuten nach dem Hochfahren des Computers erscheint die Leiste noch einmal und verändert sich merkwürdig, ohne dass ich irgendetwas mache! Normalerweise ist der Start-Button grün, die Leiste komplett dunkelgrau und wenn ich das Starmenü anklicke, erscheint ganz oben mein Name neben einem kleinen Bild.
Danach: ist dieses Bild verschwunden, der Name ist kursiv und die Leiste ist heller als sonst.

Na, erstmal schöne Weihnachten.

Viele Grüße,
k.

Mach nochmal frische OTL-Logs:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Arne,

Danke, dass Du dir das weiterhin anschaust!!
Die OTL-Logs poste ich Dir später.
Hier noch ein Link zum aktuellen Screenshot: hxxp://saved.im/mty1nja4annv/screenshot2.html
So sieht es momentan aus, wenn ich auf den Startbutton klicke. Das hat sich erst einige Minuten nach dem Hochfahren so verändert. Normalerweise erscheint mein Name nicht kursiv und daneben ist normalerweise ein kleines Bild; das ist jetzt verschwunden.

Viele Grüße,
k.

Hi Arne,

hier kommt das Logfile von OTL:

OTL Logfile:OTL Logfile:
--- --- ---


Wünsch Dir noch einen schönen 2. Weihnachtstag!

Viele Grüße,
kiki

Upps, entschuldige, das war nicht vollständig. Hier die beiden aktuellen Logs.

OTL Logfile:OTL Logfile:
--- --- ---


OTL-Logfile:OTL Logfile:
--- --- ---

Viele Grüße,
k

Ich seh da höchstens nur überflüssige Einträge. Evtl. hat nur dein Benutzerprofil einen Schuss, kann vorkommen, auch bei nicht infizierten Rechnern. Erstell dir mal ein neuen Benutzerkonto über Systemsteuerung oder in XP Start, ausführen control userpasswords2 eintippen und ausführen - da einen neuen Benutzer mit Passwort anlegen. Log dich aus und mit dem neuen Benutzer ein. Gib dem neuen Benutzer ruhig Adminrechte, aber normalerweise sollte der Benutzer, mit dem man ständig am Rechner dran ist, keine Adminrechte haben!!

Hallo Arne,

ganz lieben Dank, dass Du die Logs ausgewertet hast!!
Oh..gut! Dann liegt`s bitte, bitte nur am Benutzerprofil. Denn sonst würd ich total verzweifeln :killpc:
Okay, werde ein neues Profil einrichten und Dir dann kurz melden, ob die Änderungen an der Taskleiste immer noch auftreten.

Schönen Abend & viele Grüße,
k

Naja was heißt "nur" :balla:
Wenn es defekt ist müsstest du mit einem komplett neuen anfangen, d.h. alle benutzerspezifischen Einstellungen in Programmen etc müssen neu gemacht werden. Auch Daten aus Eigene Dateien oder Bilder müssen auf dem defekten ins neue Profil kopiert werden. Das ist fast wie format c :D nur dass man sich das Neuinstallieren von Windows und das Installieren der Programme danach erspart, mit einem neuen Profil hat man auch viel Fummelarbeit, aber was will man sonst machen wenn das bisher genutze Defekt ist und man weiß nicht an welcher Stelle http://cheesebuerger.de/images/smilie/konfus/a050.gif

Hallo Arne,

oh.. das habe ich mir einfacher vorgestellt :confused:
Hilft ja nichts..da muss ich wohl durch! Danke für Deinen Support!!
Ich kopiere jetzt nochmal alle Daten aus den Ordnern Eigene Dateien/ Eigene Bilder auf einen USB-Stick und erstelle das neue Profil. Eine Neuinstallation wäre ziemlich aufwendig; denn ich habe kein CD-ROM Laufwerk. Und von Computern, wie Du siehst, Null Ahnung!

Viele Grüße,
kiki