Trojaner-Board - Windowsupdates blockiert+Nebenerscheinungen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windowsupdates blockiert+Nebenerscheinungen (https://www.trojaner-board.de/93664-windowsupdates-blockiert-nebenerscheinungen.html)

Windowsupdates blockiert+Nebenerscheinungen

Hallo liebes Forum, bin absoluter Neuling hier

Ich habe diverse Probleme auf meinem Rechner, ich vermute es ist ein Trojaner der alle Updateversuche blockiert. Nun habe ich auch kleinere Probleme (ständige Malewarefunde) die wahrscheinlich die Folge des ersteren Problems sind.

Symptome:
- alle Windowsupdateversuche schlagen fehl (Windows Update, Windows Defender, Microsoft Security Essentials) Fehlercode. 80072efe
- es öffnen sich ständig irgentwelche unbekannten Tabs, selbstständig, in Firefox
- Es kommt ständig die Felermeldung. "Der Hostprozess für Windowsdienste wurde beendet und geschlossen"
- es können keinerlei Systemwiederherrstelungspunkte gefunden werden
- (manchmal) hägt sich der Rechner beim Herunterfahren/Abmelden auf
- ich kann nicht auf Microsofts Update-Seite zugreifen, und hier im Board kein neues Thema eröffnen (Verbindung wird beim Laden der Seite zurückgesetzt)

Was ich bereits unternommen habe:
- Avira drüberlaufen lassen, hat anfangs ein paar Viren gefunden, jetzt aber keine mehr (Avira lässt sich updaten)
- SUPERAntySpyware findet ständig immer welche Maleware, die ich ständig entferne, aber immer wieder auftaucht (für Tabs in Firefox verantwortlich)
- in zig Foren nachgeschaut (Dr. Windows, Chip, Trojaner Board, konnte nichts finden, das genau mit meinem Problem übereinstimmt)
- die Host-datei mehrere mal auf eine vorinstalierte Version gebracht

nun ich bin schon lange ratos und hab das Problem ca. 2 Monate auf Eis gelegt, weil es mich ja nicht so stark beeinträchtigt, nun würde ich aber dem ganzen ein Ende bereiten. Danke im Voraus für alle Hilfe und bitte einfach und verständlich erklären, bin halt ein Dummi :)

HIJackThis, OTL Logs im Anhang

Zitat:

- Avira drüberlaufen lassen, hat anfangs ein paar Viren gefunden, jetzt aber keine mehr (Avira lässt sich updaten)
- SUPERAntySpyware findet ständig immer welche Maleware, die ich ständig entferne, aber immer wieder auftaucht (für Tabs in Firefox verantwortlich)

Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

ok hab verstanden

hier die einzigen Funde von Malwarebytes (sind 2 Logs)+ neuester Hijjack Log, wie gesagt die Probleme sind unverändert, selbst nachdem das untere hier gelöscht wurde.

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5237

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

03.12.2010 13:08:49
mbam-log-2010-12-03 (13-08-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 66192
Laufzeit: 18 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306} (Adware.ClickPotato) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5237

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

04.12.2010 15:20:40
mbam-log-2010-12-04 (15-20-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 275139
Laufzeit: 1 Stunde(n), 4 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\ShopperReports.Reporter (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.Reporter.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\KOO9RV9K4Z (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SMH2B46TDP (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\SRS_IT_E8790271B076545332AB94 (Malware.Trace) -> Value: SRS_IT_E8790271B076545332AB94 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Public\Desktop\cryptload_1.1.8\ocr\netload.in\asmcaptcha\test.exe (Malware.Packer) -> Quarantined and deleted successfully.
c:\Users\Public\Desktop\cryptload_1.1.8\router\fritz!box\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
c:\program files\common files\file.exe (Rogue.InternetAntiVirus) -> Quarantined and deleted successfully.
c:\program files\common files\internetantiviruspro.exe (Rogue.InternetAntiVirus) -> Quarantined and deleted successfully.

Zitat:

Datenbank Version: 5237

Die DBs sind ein wenig alt. Bitte Malwarebytes updaten und einen Vollscan wiederholen.

cryptload_1.1.8
:applaus:

Zitat:

Zitat von BataAlexander (Beitrag 599155)

cryptload_1.1.8
:applaus:

Ist mir nicht entgangen. Mal sehen was da noch zum Vorschein kommt :pfeiff:

Habt ihr mich falsch verstanden? Die Malwarebytes Logs sind die ersten überhaupt, nur in den ersten 2 wurde etwas gefunden (siehe oben)

Egal nun hab ich Malwarebytes nochmal aktualisiert und gleich einen Vollscan gemacht, wie erwartet keinerlei Funde, nirgentwo, genauso wie bei allen letzten Scans

PS: wieso Crypload infiziert wurde, kann ich mir nicht erklären, hab es ja schon runtergeladen als mein System schon befallen war, hab es schon vor einer Weile gelöscht, Sytmtome bleiben

Zitat:

Egal nun hab ich Malwarebytes nochmal aktualisiert und gleich einen Vollscan gemacht, wie erwartet keinerlei Funde, nirgentwo, genauso wie bei allen letzten Scans

Ja, das weiß man aber erst nachdem man es auch tatsächlich gemacht hat.
"Erwarten" ist das eine, eine Überprüfung mit aktuellen Signaturen eine andere Sache und die Logs der ersten beiden Scans sind ja schon über ne Woche alt :pfeiff:

Das OTL-Log ist rel. unauffällig, mach mal ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ich hab jetzt CF ausgeführt, hab davor geschlossen was ging, hab GData und Microsoft Security Essentials deaktiviert (CF hat trotzdem gesagt das sie arbeiten, hab ich ingonriert) und sogar Internet abgetrennt)

irgentwie ist jetzt ein IE-Icon auf meinem Desktop aufgetaucht und kein Programm lässt sich jetzt ausführen, Fehlermeldung "Es wurde versucht einen Registrierungsschlüssel einem unzuläsigem Vorgang zu unterziehen der zum Löschen markiert wurde." (weiß nicht ob das nach Neustart weggehen sollte)

hat kurz nach dem Scan Root Kit Warnung gegeben, neugestartet und hier ist der Log:

Combofix Logfile:

Code:

ComboFix 10-12-14.07 - anton 16.12.2010  13:58:26.1.4 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3071.1928 [GMT 1:00]

ausgeführt von:: c:\users\Public\Desktop\cofi.exe

AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

AV: G Data InternetSecurity 2010 *Enabled/Outdated* {54ACC2FC-837E-E665-7A92-5352D560D5EF}

AV: Microsoft Security Essentials *Enabled/Outdated* {BF5CEBDC-F2D3-7540-343C-F0CE11FD6E66}

FW: G Data Personal Firewall *Enabled* {6C9743D9-C911-E73D-51CD-FA672BB39294}

SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Microsoft Security Essentials *Enabled/Outdated* {043D0A38-D4E9-7ACE-0E8C-CBBC6A7A24DB}

SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Im Speicher befindliches AV aktiv.
 

.

PEV Error: CacheFile

PEV Error: CacheFolder
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\install.exe

C:\killosixxx.exe

c:\killosixxx.exe\config.bin

c:\users\anton\AppData\Local\cgmweoq.dat

c:\users\anton\AppData\Local\cgmweoq_nav.dat

c:\users\anton\AppData\Local\cgmweoq_navps.dat

c:\windows\system32\drivers\npf.sys

c:\windows\system32\Packet.dll

c:\windows\system32\pthreadVC.dll

c:\windows\system32\WanPacket.dll

c:\windows\system32\wpcap.dll
 

Infizierte Kopie von c:\windows\ehome\ehrecvr.exe wurde gefunden und desinfiziert 

Kopie von - c:\windows\winsxs\x86_microsoft-windows-ehome-services-ehrecvr_31bf3856ad364e35_6.0.6000.20659_none_bbdfcd413db5db9f\ehrecvr.exe wurde wiederhergestellt 
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_NPF

-------\Service_NPF
 
 

(((((((((((((((((((((((   Dateien erstellt von 2010-11-16 bis 2010-12-16  ))))))))))))))))))))))))))))))

.
 

2010-12-16 13:07 . 2010-12-16 13:11        --------        d-----w-        c:\users\anton\AppData\Local\temp

2010-12-16 13:07 . 2010-12-16 13:07        --------        d-----w-        c:\users\Default\AppData\Local\temp

2010-12-16 13:07 . 2010-12-16 13:07        --------        d-----w-        c:\users\ADMINI~1\AppData\Local\temp

2010-12-16 12:45 . 2010-11-10 04:33        6273872        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B430855D-8941-417F-A4C0-6BAD9EFE2072}\mpengine.dll

2010-12-16 09:50 . 2010-12-16 09:51        --------        d-----w-        c:\program files\CCleaner

2010-12-04 17:39 . 2010-12-04 17:43        --------        d-----w-        c:\users\anton\AppData\Roaming\vlc

2010-12-03 11:44 . 2010-12-03 11:44        --------        d-----w-        c:\users\anton\AppData\Roaming\Malwarebytes

2010-12-03 11:44 . 2010-11-29 16:42        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-03 11:44 . 2010-12-03 11:44        --------        d-----w-        c:\programdata\Malwarebytes

2010-12-03 11:43 . 2010-12-03 11:44        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2010-12-03 11:43 . 2010-11-29 16:42        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-19 09:41 . 2009-10-03 08:41        222080        ------w-        c:\windows\system32\MpSigStub.exe

2010-10-18 07:41 . 2010-10-25 14:00        6146896        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]

"ScemesMonitor"="c:\program files\Sceneo\TVcentral-v4\Scemes\MediaMon.exe" [2008-10-24 855040]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 202240]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2007-01-02 83568]

"GDFirewallTray"="c:\program files\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe" [2009-09-24 1124424]

"G DATA AntiVirus Trayapplication"="c:\program files\G DATA\InternetSecurity\AVKTray\AVKTray.exe" [2009-09-18 924232]

"TVBroadcast"="c:\program files\Sceneo\VistaTV\SERVICES\ODSBC\ODSBCApp.exe" [2008-10-23 925696]

"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-05-27 413696]

"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-09-15 1094224]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
 

c:\users\anton\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"
 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Radio.fx.LNK]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Radio.fx.LNK

backup=c:\windows\pss\Radio.fx.LNK.CommonStartup

backupExtension=.CommonStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-05-14 09:44        248552        ----a-w-        c:\program files\Common Files\Java\Java Update\jusched.exe
 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

S2 accvssvc;AccSys WLAN Control Service;c:\program files\Common Files\AccSys\AccVSSvc.exe [2008-07-09 131072]

S2 AVKProxy;G Data AntiVirus Proxy;c:\program files\Common Files\G DATA\AVKProxy\AVKProxy.exe [2009-12-07 1128008]

S2 AVKService;G Data Scheduler;c:\program files\G DATA\InternetSecurity\AVK\AVKService.exe [2009-08-08 397896]

S2 AVKWCtl;G Data Dateisystem Wächter;c:\program files\G DATA\InternetSecurity\AVK\AVKWCtl.exe [2009-11-25 1251488]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

Inhalt des "geplante Tasks" Ordners
 

2010-12-16 c:\windows\Tasks\User_Feed_Synchronization-{095E254B-69B6-4869-9A40-35B294C89679}.job

- c:\windows\system32\msfeedssync.exe [2010-08-11 04:24]

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: Öffnen mit WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta

FF - ProfilePath - c:\users\anton\AppData\Roaming\Mozilla\Firefox\Profiles\5kt958ih.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - www.google.de

FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: G Data WebFilter: {9AA46F4F-4DC7-4c06-97AF-5035170633FE} - c:\program files\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

FF - Ext: Cooliris: piclens@cooliris.com - %profile%\extensions\piclens@cooliris.com

FF - Ext: DictionarySearch: {a0faa0a4-f1a7-4098-9a74-21efc3a92372} - %profile%\extensions\{a0faa0a4-f1a7-4098-9a74-21efc3a92372}

FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

FF - Ext: Easy Youtube Video Downloader: {c0c9a2c7-2e5c-4447-bc53-97718bc91e1b} - %profile%\extensions\{c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}

FF - Ext: YouTube to MP3: youtube2mp3@mondayx.de - %profile%\extensions\youtube2mp3@mondayx.de

FF - Ext: Linkification: {35106bca-6c78-48c7-ac28-56df30b51d2a} - %profile%\extensions\{35106bca-6c78-48c7-ac28-56df30b51d2a}

FF - Ext: BugMeNot: {987311C6-B504-4aa2-90BF-60CC49808D42} - %profile%\extensions\{987311C6-B504-4aa2-90BF-60CC49808D42}

FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}

FF - Ext: Personas: personas@christopher.beard - %profile%\extensions\personas@christopher.beard

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

Toolbar-Locked - (no file)

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

HKU-Default-Run-protomoxxx.exe - c:\protomoxxx.exe\protomoxxx.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-12-16 14:10

Windows 6.0.6002 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net

Windows 6.0.6002 Disk: WDC_WD5000AAKS-07YGA0 rev.12.01C02 -> Harddisk0\DR0 -> \Device\Ide\IdePort0 P0T0L0-0
 

device: opened successfully

user: MBR read successfully
 

Disk trace:

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x854FDEC5]<< 

_asm { PUSH EBP; MOV EBP, ESP; SUB ESP, 0x1c; PUSH EBX; PUSH ESI; MOV DWORD [EBP-0x4], 0x85b45872; SUB DWORD [EBP-0x4], 0x85b4512e; PUSH EDI; CALL 0xffffffffffffdf33;  }

1 nt!IofCallDriver[0x8207A14B] -> \Device\Harddisk0\DR0[0x85F422D0]

3 CLASSPNP[0x82B728B3] -> nt!IofCallDriver[0x8207A14B] -> [0x846E1898]

5 acpi[0x82A516BC] -> nt!IofCallDriver[0x8207A14B] -> [0x846F3A38]

[0x85461D98] -> IRP_MJ_CREATE -> 0x854FDEC5

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0;  }

detected disk devices:

\Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskWDC_WD5000AAKS-07YGA0___________________12.01C02#5&2937633b&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found

detected hooks:

\Driver\atapi DriverStartIo -> 0x854FDAEA

user & kernel MBR OK 

sectors 976773166 (+255): user != kernel

Warning: possible TDL3 rootkit infection !
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1751223794-1578487298-1609530666-1000\Software\Buhl Data Service\On4u2\VistaTV-MCE\ExtData*]

"OfflineKey"="n/HuF3hrIZjfXTvcvtojLJwqfnVTd4QIRwMMNJ+iSSRGvvGGmMxH8DlY5VXeqn2lQ5AyX4X5OUsKlnz0Q5Y5KS3wL0X5usbp1SQVgtQVDZUNZFMtxc41ZSYwchO27Gq2NSunCE+5vr+DtxYnPpGbQVWhbM0lNA0nFdTeEBpehI4L5pJ8Z+hBCaAQyPvrYL/qFssU9+Hb+HlU5i1Zs38uHQ==2oxOTY16QuzHOcwm196ROC025xOiG5w3w6OhTwkQQKc+mOY67fd89iWLKtLMKsyYfbZJQkfgwj8RE6To+XhPZQ=="

"InitTime"=dword:00009b26

"LastTime"=dword:00009cc3

"Keyindex"=dword:00000000

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\nvvsvc.exe

c:\program files\Microsoft Security Essentials\MsMpEng.exe

c:\windows\system32\nvvsvc.exe

c:\windows\system32\PSIService.exe

c:\program files\Tobit Radio.fx\Server\rfx-server.exe

c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

c:\program files\Sceneo\Bonavista\Services\PVR\PVRService.exe

c:\windows\system32\WUDFHost.exe

c:\program files\Common Files\G DATA\GDScan\GDScan.exe

c:\program files\G DATA\InternetSecurity\Firewall\GDFwSvc.exe

c:\windows\system32\conime.exe

c:\windows\ehome\ehmsas.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\windows\system32\Aurora.scr

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-12-16  14:16:32 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-12-16 13:16
 

Vor Suchlauf: 17 Verzeichnis(se), 256.216.342.528 Bytes frei

Nach Suchlauf: 19 Verzeichnis(se), 256.063.901.696 Bytes frei
 

- - End Of File - - B07623181029AAB8DBD7D6C2389D398D

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hab hier die alles was du wolltest; OSAM und MBRCheck im Anhang

bin schon langsam müde die ganzen Logs hier zu machen, ich hoffe das bald eine Lösung verfügbar ist.

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit quick scan 2010-12-16 18:53:54
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdePort0 WDC_WD5000AAKS-07YGA0 rev.12.01C02
Running: gmer.exe; Driver: C:\Users\anton\AppData\Local\Temp\awlcrpog.sys

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sectors 976772912 (+255): rootkit-like behavior;

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort0 854FDAEA
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort1 854FDAEA
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP1T0L0-1 854FDAEA
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP1T1L0-3 854FDAEA
Device \Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskWDC_WD5000AAKS-07YGA0___________________12.01C02#5&2937633b&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found

---- EOF - GMER 1.0.15 ----

Code:

Size  Device Name          MBR Status

--------------------------------------------

ERROR Opening: \\.\PhysicalDrive0 (32)

Hast du mbrcheck per Rechtsklick als Admin ausgeführt?

Pardon, hier ist der MBRCheck Log als Admin:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: FUJITSU SIEMENS
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: FUJITSU SIEMENS
System Product Name: MS-7504VP
Logical Drives Mask: 0x000007fc

Kernel Drivers (total 155):
0x82018000 \SystemRoot\system32\ntoskrnl.exe
0x823C3000 \SystemRoot\system32\hal.dll
0x82803000 \SystemRoot\system32\kdcom.dll
0x8280A000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8287A000 \SystemRoot\system32\PSHED.dll
0x8288B000 \SystemRoot\system32\BOOTVID.dll
0x82893000 \SystemRoot\system32\CLFS.SYS
0x828D4000 \SystemRoot\system32\CI.dll
0x829B4000 \SystemRoot\system32\drivers\Wdf01000.sys
0x82A30000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x82A3D000 \SystemRoot\system32\drivers\acpi.sys
0x82A83000 \SystemRoot\system32\drivers\WMILIB.SYS
0x82A8C000 \SystemRoot\system32\drivers\msisadrv.sys
0x82A94000 \SystemRoot\system32\drivers\pci.sys
0x82ABB000 \SystemRoot\System32\drivers\partmgr.sys
0x82ACA000 \SystemRoot\system32\drivers\volmgr.sys
0x82AD9000 \SystemRoot\System32\drivers\volmgrx.sys
0x82B23000 \SystemRoot\system32\drivers\pciide.sys
0x82B2A000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x82B38000 \SystemRoot\System32\drivers\mountmgr.sys
0x82B48000 \SystemRoot\system32\drivers\nvraid.sys
0x82B61000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x82B82000 \SystemRoot\system32\drivers\atapi.sys
0x82B8A000 \SystemRoot\system32\drivers\ataport.SYS
0x82BA8000 \SystemRoot\system32\drivers\vsmraid.sys
0x8A407000 \SystemRoot\system32\drivers\storport.sys
0x8A448000 \SystemRoot\system32\drivers\fltmgr.sys
0x8A47A000 \SystemRoot\system32\drivers\fileinfo.sys
0x8A48A000 \SystemRoot\System32\Drivers\PxHelp20.sys
0x8A494000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8A505000 \SystemRoot\system32\drivers\ndis.sys
0x8A610000 \SystemRoot\system32\drivers\msrpc.sys
0x8A63B000 \SystemRoot\system32\drivers\NETIO.SYS
0x8A676000 \SystemRoot\System32\drivers\tcpip.sys
0x8A760000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8A803000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8A913000 \SystemRoot\system32\drivers\wd.sys
0x8A91B000 \SystemRoot\system32\drivers\volsnap.sys
0x8A954000 \SystemRoot\System32\Drivers\spldr.sys
0x8A95C000 \SystemRoot\System32\Drivers\mup.sys
0x8A96B000 \SystemRoot\system32\drivers\GDBehave.sys
0x8A971000 \SystemRoot\System32\drivers\ecache.sys
0x8A998000 \SystemRoot\system32\drivers\disk.sys
0x8A9A9000 \SystemRoot\system32\drivers\crcdisk.sys
0x8A9D2000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8A9DD000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8A9E6000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8A9F5000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0x8A9FD000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x8AA07000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8AA45000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8AA54000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8AAE1000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x8AAF1000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x8FC0E000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x9066F000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x90671000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x90712000 \SystemRoot\System32\drivers\watchdog.sys
0x9071E000 \SystemRoot\system32\DRIVERS\PhilCap.sys
0x8AAFF000 \SystemRoot\system32\DRIVERS\ks.sys
0x907FB000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
0x8AB29000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8FC00000 \SystemRoot\System32\drivers\GEARAspiWDM.sys
0x90C0B000 \SystemRoot\system32\DRIVERS\nvmfdx32.sys
0x90D08000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x90D11000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x90D40000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x90D4B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x90D62000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x90D6D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x90D90000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x90D9F000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x90DB3000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x90DC8000 \SystemRoot\system32\DRIVERS\termdd.sys
0x90DD8000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x90DE3000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x90DEE000 \SystemRoot\system32\DRIVERS\swenum.sys
0x90DF0000 \SystemRoot\system32\DRIVERS\circlass.sys
0x90DFE000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x90E08000 \SystemRoot\system32\DRIVERS\umbus.sys
0x90E15000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x90E4A000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x91004000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x911F3000 \SystemRoot\system32\drivers\portcls.sys
0x91220000 \SystemRoot\system32\drivers\drmk.sys
0x91245000 \SystemRoot\system32\DRIVERS\MpFilter.sys
0x91268000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x91271000 \SystemRoot\System32\Drivers\Null.SYS
0x91278000 \SystemRoot\System32\Drivers\Beep.SYS
0x91288000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x9128F000 \SystemRoot\System32\drivers\vga.sys
0x9129B000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x912BC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x912C4000 \SystemRoot\system32\drivers\rdpencdd.sys
0x912CC000 \SystemRoot\System32\Drivers\Msfs.SYS
0x912D7000 \SystemRoot\System32\Drivers\Npfs.SYS
0x912E5000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x912EE000 \SystemRoot\system32\DRIVERS\tdx.sys
0x91304000 \SystemRoot\system32\DRIVERS\smb.sys
0x91318000 \SystemRoot\system32\drivers\afd.sys
0x91360000 \SystemRoot\System32\DRIVERS\netbt.sys
0x91392000 \SystemRoot\system32\DRIVERS\pacer.sys
0x913A8000 \SystemRoot\system32\DRIVERS\netbios.sys
0x913B6000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x913C9000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x913D2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x913E2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x90E5B000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
0x913E4000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x913EC000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
0x90E7D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x913F2000 \SystemRoot\system32\drivers\nsiproxy.sys
0x90EB9000 \??\C:\Windows\system32\drivers\GRD.sys
0x90ECF000 \SystemRoot\system32\DRIVERS\gdwfpcd32.sys
0x90EDC000 \SystemRoot\System32\Drivers\dfsc.sys
0x90EF3000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x9127F000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x90F1F000 \SystemRoot\system32\DRIVERS\sis163u.sys
0x90F55000 \SystemRoot\System32\Drivers\crashdmp.sys
0x90F62000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x90F6D000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x81800000 \SystemRoot\System32\win32k.sys
0x90F75000 \SystemRoot\System32\drivers\Dxapi.sys
0x90F7F000 \SystemRoot\system32\DRIVERS\monitor.sys
0x81A20000 \SystemRoot\System32\TSDDD.dll
0x81A40000 \SystemRoot\System32\cdd.dll
0x81A50000 \SystemRoot\System32\ATMFD.DLL
0x90F8E000 \SystemRoot\system32\drivers\luafv.sys
0x8AB41000 \SystemRoot\system32\drivers\spsys.sys
0x90FB1000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x90FC1000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x90FEB000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x8A9B2000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x8A77B000 \SystemRoot\system32\drivers\HTTP.sys
0x82BC6000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x82BE3000 \SystemRoot\system32\DRIVERS\bowser.sys
0x8A7E8000 \SystemRoot\System32\drivers\mpsdrv.sys
0xA200D000 \SystemRoot\system32\drivers\mrxdav.sys
0xA202E000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA204D000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0xA2086000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0xA209E000 \SystemRoot\System32\DRIVERS\srv2.sys
0xA20C5000 \SystemRoot\System32\DRIVERS\srv.sys
0xA2128000 \SystemRoot\System32\Drivers\adfs.SYS
0xA2139000 \SystemRoot\system32\drivers\peauth.sys
0xA2217000 \SystemRoot\System32\Drivers\secdrv.SYS
0xA2221000 \SystemRoot\System32\drivers\tcpipreg.sys
0xA2254000 \??\C:\Windows\system32\drivers\HookCentre.sys
0xA2261000 \??\C:\Windows\system32\drivers\MiniIcpt.sys
0xA226D000 \??\C:\Windows\system32\drivers\PktIcpt.sys
0xA227D000 \SystemRoot\system32\DRIVERS\cdfs.sys
0xA23A1000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xA2356000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0xA236B000 \SystemRoot\system32\DRIVERS\WUDFPf.sys
0x770F0000 \Windows\System32\ntdll.dll

Processes (total 61):
0 System Idle Process
4 System
424 C:\Windows\System32\smss.exe
496 csrss.exe
556 C:\Windows\System32\wininit.exe
564 csrss.exe
600 C:\Windows\System32\services.exe
612 C:\Windows\System32\lsass.exe
620 C:\Windows\System32\lsm.exe
648 C:\Windows\System32\winlogon.exe
816 C:\Windows\System32\svchost.exe
860 C:\Windows\System32\nvvsvc.exe
888 C:\Windows\System32\svchost.exe
948 C:\Program Files\Microsoft Security Essentials\MsMpEng.exe
1144 C:\Windows\System32\svchost.exe
1172 C:\Windows\System32\svchost.exe
1208 C:\Windows\System32\svchost.exe
1272 C:\Windows\System32\audiodg.exe
1364 C:\Windows\System32\svchost.exe
1392 C:\Windows\System32\SLsvc.exe
1488 C:\Windows\System32\svchost.exe
1532 C:\Windows\System32\nvvsvc.exe
1616 C:\Windows\System32\svchost.exe
1888 C:\Windows\System32\spoolsv.exe
1912 C:\Windows\System32\svchost.exe
476 C:\Program Files\Common Files\AccSys\accvssvc.exe
800 C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
872 C:\Program Files\G DATA\InternetSecurity\AVK\AVKService.exe
1160 C:\Program Files\G DATA\InternetSecurity\AVK\AVKWCtl.exe
372 C:\Windows\System32\svchost.exe
1328 C:\Windows\System32\PSIService.exe
2060 C:\Program Files\Tobit Radio.fx\Server\rfx-server.exe
2084 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
2232 C:\Program Files\Sceneo\Bonavista\Services\PVR\pvrservice.exe
2268 C:\Windows\System32\svchost.exe
2372 C:\Windows\System32\svchost.exe
2468 C:\Windows\System32\SearchIndexer.exe
2748 C:\Program Files\Common Files\G DATA\GDScan\GDScan.exe
2864 C:\Program Files\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
3696 C:\Windows\System32\taskeng.exe
5016 WUDFHost.exe
5048 C:\Windows\servicing\TrustedInstaller.exe
5736 C:\Windows\System32\dwm.exe
5768 C:\Windows\explorer.exe
5852 C:\Windows\System32\taskeng.exe
6080 C:\Program Files\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
6092 C:\Program Files\G DATA\InternetSecurity\AVKTray\AVKTray.exe
6104 C:\Program Files\Sceneo\VistaTV\Services\ODSBC\ODSBCApp.exe
3872 C:\Program Files\Microsoft Security Essentials\msseces.exe
1904 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
3524 C:\Windows\ehome\ehtray.exe
3924 C:\Program Files\Sceneo\TVcentral-v4\Scemes\MediaMon.exe
1204 C:\Program Files\Windows Media Player\wmpnscfg.exe
3852 C:\Program Files\Windows Media Player\wmpnetwk.exe
3392 C:\Windows\System32\msfeedssync.exe
4124 C:\Windows\ehome\ehmsas.exe
4056 C:\Windows\System32\wuauclt.exe
2940 C:\Windows\System32\SearchProtocolHost.exe
4068 C:\Windows\System32\SearchFilterHost.exe
3340 C:\Users\Public\Desktop\MBRCheck.exe
708 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`ee100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000004e`c4400000 (NTFS)

PhysicalDrive0 Model Number: WDCWD5000AAKS-07YGA0, Rev: 12.01C02

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979

Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hä? Was soll denn bitte schön ok sein? Ich hab jetzt einen haufen Logs gemacht, aber das Problem ist völlig unverändert, nichts hat sich verändert

ich hab jetzt Malwarebytes aktualisiert und drüber laufen lassen, wie erwartet hat es nichts gefunden, wie die ganzen letzten Male auch
Und SAPW lass ich fast jeden Tag laufen, findet immer einen Haufen Schädlinge, die ich zwar lösche aber jedes mal von neuem da sind. der letzte von zahlreichen Logs: (ich weiß dass die version nicht ganz aktuell war, würde eh nix ändern, da es IMMER zahlreiche Funde meldet, die Schälinge sind für die Tabs in Firefox verantwortlich.) Also bei allem Respekt gegenüber den helfern und Experten hier, aber wir kommen der Lösung meines Problems nicht näher

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/17/2010 at 04:32 PM

Application Version : 4.46.1000

Core Rules Database Version : 5940
Trace Rules Database Version: 3632

Scan type : Complete Scan
Total Scan Time : 01:14:27

Memory items scanned : 690
Memory threats detected : 0
Registry items scanned : 8530
Registry threats detected : 0
File items scanned : 31866
File threats detected : 55

Adware.Tracking Cookie
C:\Windows\Temp\Cookies\system@dc.tremormedia[1].txt
C:\Windows\Temp\Cookies\system@doubleclick[1].txt
C:\Windows\Temp\Cookies\system@clicks.bestcoolsearch[1].txt
C:\Windows\Temp\Cookies\system@atdmt[2].txt
C:\Windows\Temp\Cookies\system@atdmt[1].txt
C:\Windows\Temp\Cookies\system@www.mediatraffic[1].txt
C:\Windows\Temp\Cookies\system@kontera[1].txt
C:\Windows\Temp\Cookies\system@overture[2].txt
C:\Windows\Temp\Cookies\system@my-adserver[1].txt
C:\Windows\Temp\Cookies\system@bizzclick[2].txt
C:\Windows\Temp\Cookies\system@ad.adc-serv[1].txt
C:\Windows\Temp\Cookies\system@adtech[1].txt
C:\Windows\Temp\Cookies\system@apmebf[1].txt
C:\Windows\Temp\Cookies\system@webmasterplan[3].txt
C:\Windows\Temp\Cookies\system@webmasterplan[2].txt
C:\Windows\Temp\Cookies\system@ads.creative-serving[1].txt
C:\Windows\Temp\Cookies\system@invitemedia[1].txt
C:\Windows\Temp\Cookies\system@www.my-adserver[2].txt
C:\Windows\Temp\Cookies\system@media6degrees[2].txt
C:\Windows\Temp\Cookies\system@ads.weboost[1].txt
C:\Windows\Temp\Cookies\system@mediaplex[2].txt
C:\Windows\Temp\Cookies\system@adserver.adtechus[1].txt
C:\Windows\Temp\Cookies\system@ad.zanox[2].txt
C:\Windows\Temp\Cookies\system@ad.zanox[3].txt
C:\Windows\Temp\Cookies\system@ad.yieldmanager[2].txt
C:\Windows\Temp\Cookies\system@ad.yieldmanager[1].txt
C:\Windows\Temp\Cookies\system@content.yieldmanager[4].txt
C:\Windows\Temp\Cookies\system@content.yieldmanager[1].txt
C:\Windows\Temp\Cookies\system@ads.gossipcenter[3].txt
C:\Windows\Temp\Cookies\system@fastclick[1].txt
C:\Windows\Temp\Cookies\system@tracking.mindshare[1].txt
C:\Windows\Temp\Cookies\system@ads.gossipcenter[1].txt
C:\Windows\Temp\Cookies\system@zanox[2].txt
C:\Windows\Temp\Cookies\system@mediatraffic[2].txt
C:\Windows\Temp\Cookies\system@tracking.foxnews[1].txt
C:\Windows\Temp\Cookies\system@tribalfusion[1].txt
C:\Windows\Temp\Cookies\system@www.burstnet[1].txt
C:\Windows\Temp\Cookies\system@www.googleadservices[1].txt
C:\Windows\Temp\Cookies\system@tracking.quisma[2].txt
C:\Windows\Temp\Cookies\system@questionmarket[1].txt
C:\Windows\Temp\Cookies\system@revsci[1].txt
C:\Windows\Temp\Cookies\system@www.zanox-affiliate[1].txt
C:\Windows\Temp\Cookies\system@eas.apm.emediate[3].txt
C:\Windows\Temp\Cookies\system@eas.apm.emediate[1].txt
C:\Windows\Temp\Cookies\system@tradedoubler[1].txt
C:\Windows\Temp\Cookies\system@clicks.mysearchdomain[1].txt
C:\Windows\Temp\Cookies\system@zanox-affiliate[3].txt
C:\Windows\Temp\Cookies\system@zanox-affiliate[1].txt
C:\Windows\Temp\Cookies\system@traffictrack[1].txt
C:\Windows\Temp\Cookies\system@ad.adition[2].txt
C:\Windows\Temp\Cookies\system@imrworldwide[2].txt
C:\Windows\Temp\Cookies\system@collective-media[1].txt
C:\Windows\Temp\Cookies\system@content.yieldmanager[3].txt
media.scanscout.com [ C:\Windows\System32\config\systemprofile\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\J2RYXPP2 ]
secure-us.imrworldwide.com [ C:\Windows\System32\config\systemprofile\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\J2RYXPP2 ]

Zitat:

Hä? Was soll denn bitte schön ok sein?

Die Logs sind ok, wenn sich dein System immer noch komisch verhält kann ich das nicht hellsehen du schreibst es ja jetzt erst :balla:

Hast du rein zufällig einen Router, bei dem das Standardpasswort vom Hersteller noch eingestellt ist, sprich das Passwort nie geändert wurde?

In der Tat, ich habe einen Standard o2 Router, das Passwort habe ich mit dem Willkomensbrief erhalten und so weit ich weiß wurde das nicht geändert, jedenfalls nicht von einem Menschen

(Obwohl ich das Passwort selber schon vergessen habe und den Brief wahrscheinlich schon weggehauen habe, das Passwort kann ich trotzdem noch herausfinden)

Nach einigen Wochen Pause hier im Forum wärend der Feiertage, würde ich doch gerne endlich mal eine Lösung gehört haben.

Wenn die Logs soweit sauber sind und mein System also nicht direkt infiziert ist was hat dann mein Router damit zu tun? Ja der hat ein Passwort vom Hersteller, das nicht verändert wurde, was hat das jetzt konkret zu bedeuten? An den Router ist ja auch noch ein anderer PC angeschlossen und der zeigt gar keine Symptome. Also die ganzen Maken meines Rechner bringen mich langsam um den Verstand...

hoffe jetzt auf baldige Anwort, und frohes Neues euch allen!

Durch Standardpasswörter können Schädlinge ganz leicht die Settings am Router verstellen. Ist doch ein einfacher Zusammenhang :rolleyes:
Hast du den Router jetzt mal auf die Werkseinstellung zurückgesetzt und das Passwort verändert?

Zitat:

Nach einigen Wochen Pause hier im Forum wärend der Feiertage, würde ich doch gerne endlich mal eine Lösung gehört haben.

So wirklich gefällt mir der Ton nicht. Dieses ist ein Hilfe- und Diskussionsforum, in den sprichwörtlichen Arsch kannst du die Leute treten, die von dir Geld für Support bekommen. Da kannst auch drängeln :rolleyes:

Bitte um Verzeihung falls ich mich hier etwas unpassend ausgedrückt habe, es ist halt sehr aufwendig und unangenehm für mich jedesmal den Pc meines Freundes zu benutzen, da ich von meinem nicht auf diesen Theard zugreifen kann.

Nun den ROuter hab ich auf Werkeinstellung zurückgesetzt, nur wie soll ich jetzt das Passwort ändern? Der o2 Conection Manger kann den Router nicht finden bzw. erkennt ihn nicht, obwohl ich mit ihm verbunden bin, also Internet habe.
Wie kann ich jetzt das Passwort ändern? Und wenn ich das Passwort geändert habe und es sollte wieder alles in Ordnung sein, müsste ich noch irgentwelche Einstellungen überprüfen, die ggf. verändert wurden?

Was steht denn im Handbuch??
Router werden üblicherweise über den browser gesteuert/administriert, wozu soll so ein connection manager?

Ok ich hab jetzt das PAsswort meines Router geändert, sollte meines Erachtens nach bombensicher sein.

Nun wir erwartet hat es die derzeitige Lage natürlich nicht verändert. Sind dort irgentwelche EInstellungen dieich vieleicht ändern könnte? z.b. das ich wieder auf alle WebSites zugreifen kann?

PS: Hab noch mal Malewarebytes drüber laufen lassen, hat zu meiner Überraschung noch etwas entdeckt:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5464

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

05.01.2011 20:00:17
mbam-log-2011-01-05 (20-00-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 288868
Laufzeit: 1 Stunde(n), 32 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich würde erstmal versuchen rauszufinden, ob das nur unter Windows so ist, oder auch mit anderen Betriebssystemen.
Lad dir mal sowas wie Knoppix oder Ubuntu herunter, brenn die iso Datei per Imagebrennfunktion auf eine CD und boote den Rechner davon.
Teste dann mal ausgiebig die Internetverbindung unter Linux und berichte ob die Verindung dort normal schnell oder auch langsam ist.

Ehrlich gesagt wäre das für mich sehr umständlich, zumal ich auch keine CD/DVD benutze, müsste ich eine solche auftreiben...

Wenn ich Linux booten würde, dann bin ich mir zu 99% sicher das keine Seiten blockiert werden würden, denn der Schädling den ich raufgemacht habe ist ja für Windows gewesen. Denn mein Problem ist das manche Seiten blockiert sind und ich somit auch Manuell keine Updates instalieren kann. Die Internetgeschwindigkeit ist unberührt, immer bei dem Maximum was mein Tarif her gibt.
Mich würde es interesieren wie ich jetzt diese geblockten Anwendungen/Seiten irgentwie erfassen oder alles auf Werkeinstellung zurücksetzen könnte (nicht das ganze Betriebssystem)

ich hätte ja schon längst meine FEstplatte fromatiert und mit der Recovery CD Winwos nochmal aufgespielt, das Problem ist nur das ich ca. 160 GB Filme habe, und noch keine externe Festplatte auf die ich sie sichern könnte.
Also gibt es noch Hoffnung das irgentwie anders zu lösen?

Ich wollte mit der Linux-Geschichte auch nur wirklich sicherstellen, dass es am Windows liegt. Stell dir vor, unter dem sauberen Live-OS wäre das auch! Dann hat der Router immer noch was...

Der Router hat bestimmt nichts, schließlich hab ich schon das Passwort geändert, auf Werkeinstellungen zurückgesetzt und es ist noch ein anderer PC an den Router angeschlossen, der problemlos funktioniert.

Ich habe mir neulich die Testversion von GData 2011 gehohlt und gleich mal einen Scan gemacht der wieder einmal die unterschiedlichsten Viren und Fehler aufgelistet hat, hab alles enternt hat aber an der Situation nichts geändert
Ich bin mir schon fast zu 100% sicher das Windows grundlegend verändert wurde und da kein Schädling mehr schuld dran ist. Meine Frage gibt es irgentwelche Protokolle/Dateien die ich überprüfen könnte? Vor allem fürs Netzwerk oder Verbindungen.

Sonst hohl ich mir in 2 Monaten zu meinem Geburtstag einfach eine externe Festplatte und mach ein Back-UP und formatiere dann alles und setzte es mit der Recovery CD wieder her...

Vllt postest du mal das Log vom GDATA-Scanner damit man nachvollzeihen kann was da gefunden wurde

So jetzt hab ich endlich genug davon, ich habe mir jetzt eine externe Festplatte zugelegt und alles was ich brauche gesichert.

Nun hab ich eine letzte Frage: Wie formatiere ich am besten meine Festplatte, damit ich Windows Vista dann mit meiner Recovery CD neuinstalieren kann, ich weiß dass dafür die versteckte Back-Up Partion da ist, nun wie mache ich das jetzt am besten ohne diese zu Löschen?

Zitat:

Nun hab ich eine letzte Frage: Wie formatiere ich am besten meine Festplatte, damit ich Windows Vista dann mit meiner Recovery CD neuinstalieren kann, ich weiß dass dafür die versteckte Back-Up Partion da ist, nun wie mache ich das jetzt am besten ohne diese zu Löschen?

Was willst du mit der versteckten Partition wenn du Recovery-CD hast, von denen das System recovert wird? Was sagt das Handbuch?