TR/Shutdowner.fft PC fährt immer rauf und runter
 

Vor einigen Tagen hat mein Virenscaner ‚Avira AntiVir Personal’ folgender FM ausgegeben bei einem Systemcheck:
Mailvirus in C:\WINDOWS\System32\kb.dll\TR\Shutdowner.fft
Nach drücken ‘Entfernen’ kam die FM immer wieder, alle paar Sekunden.
Das aufrufen des Explorer war nicht möglich.
Ich habe mir dann spyboot und Adavare installiert und diese laufen lassen. Diese Programme haben den Virus nicht entdeckt.
Jetzt ist es so das der PC hochfährt und sofort wieder herunterfährt.
Im ‚Abgesicherten Modus ‚ ist das auch so.
Ich habe jetzt keine Ahnung was ich noch machen kann. Bin auch nicht fit mit solchen Dingen und finde keine Lösung in eurem board.
OLT und Malwaretes-Anti-Malware kann ich logischweise nicht ausführen.
Bitte um Hilfe.
Hinweis:Betriebssystem Windows XP

Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

Hallo!
Leider komme ich ja nicht mehr auf den Computer. Er fährt automatisch immer rauf und runter. Auch beim abgesicherten Modus ist das so.

Gruß
Rainer

Hast du eine Live-CD wie Knoppix oder eine Ubuntu-Installations-CD zur Hand? Besorg sie dir, damit könnte man Windows wahrscheinlich wieder flottmachen. Sag Bescheid, ich poste dann eine Anleitung.

Ich habe mir eine Knoppix 6.21 CD gebrannt und kann damit auch booten.
Wie kann ich jetzt das System retten?
Gruß Rainer

Hallo!
Ich wollte mittels externer Brenner die Daten sichern. Leider finde ich keine Brennersoftware auf der LiveCD Knoppix 6.2.1.
Bitte um weitere Hilfe.

Früher war in Knoppix K3B enthalten (AFAIR) damals basierte es aber auch noch auf KDE, jetzt auf das schlankere LXDE. Warum sicherst du nicht auf USB-Stick oder USB-Platte?

Wenn du eine Datei ersetzt, müsste Windows aber wieder booten können:
Im laufenden Knoppix diese saubere winlogon.exe runterladen (zB auf den Desktop) - kopiere sie in den Windows-Systempfad:

(müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen, der Pfas mit "/media" am Anfang kann anders lauten bei dir, je nachdem wohin Knoppix die Windowspartition eingehangen hat)

Hallo! Danke das hat soweit geklappt. (Nicht einfach)
Jetzt bootet der PC bringt aber nach der User Auswahl folgende zwei FM:
1)Explorer.EXE hat ein problem festgestellt und muss beendet werden.
2) Der Administrator des Computers kann das Blocken diese Programms
Name Internet Explorer
Die Windows-Firewall hat die Annahme von Verbindingen aus dem Internet oder einem anderen Netzwerk für diese Programm geblockt. Sie können die Sperrung aufheben, wenn Sie das Programm kennen oder dem Herrausgeber trauen.
Dann bleibt der PC im hochfahren hängen.
-------------
PS: Ich habe keine USB Festplatte un der STICK ist für das sichern viel zu kein.

Mach das gleiche mit Parted Magic nochmal, aber mit der explorer.exe. Hier der Download => File-Upload.net - explorer.exe
Die explorer.exe ist direkt im Windows-Ordner, nicht unter system32! Denk dran, die alte explorer.exe wieder umzubenennen.
Wenn du die explorer.exe ersetzt hast, sehen wir weiter.
Falls diese immer noch abstürzt, kannst du über den Taskmanager manuell "explorer.exe" starten, dann sollte der Desktop wie gewohnt da sein.

Ja und? :confused:
Wenn man x GB hat, muss das Backupmedium auch min. x GB groß sein! Also kauf dir eine ext. Platte!

Super! Jetzt komme ich bis zur Window's XP Oberfläche.
Jetzt meldet sich aber AVIRA
Guard: Malware gefunden
Datei C\Dokumente und Einstellungen\...\rwdgnsdq.exe wurde ein Virus oder unerwünschtes Programm 'BDS/IRCNite.cfo' gefunden.
Zugriff auf die Datei wurde verweigert

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5405

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

27.12.2010 23:18:53
mbam-log-2010-12-27 (23-18-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 205061
Laufzeit: 36 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6FD31ED6-7C94-4BBC-8E95-F927F4D3A949} (Adware.180Solutions) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\programme\A360 (Rogue.A360AntiVirus) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\dokumente und einstellungen\rainer\lokale einstellungen\Temp\19792079 (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rainer\startmenü\programme\autostart\rwdgnsdq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programme\qerdverv©pœërwdgnsdq.exe\rwdgnsdq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b8ce1d1f-b7dd-40a0-aa16-c142eb1868d2}\RP5\A0000070.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b8ce1d1f-b7dd-40a0-aa16-c142eb1868d2}\RP5\A0001100.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b8ce1d1f-b7dd-40a0-aa16-c142eb1868d2}\RP5\A0001112.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b8ce1d1f-b7dd-40a0-aa16-c142eb1868d2}\RP5\A0001113.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rainer\anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rainer\anwendungsdaten\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> Quarantined and deleted successfully.

OTL Logfile:
--- --- ---

OTL Logfile:
--- --- ---

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:
--- --- ---

Ich hatte bevor ich Combofix laufen lassen hatte folgede FM von Avira Antivr:
C.,\System Volume Information\...\A0001108.dll
TR\Shutdowner.ftt gefunden

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo!
Ich bekomme den avguard.exe nicht abgschossen im Taskmanager.
Soll ich Avira deinstallieren oder gibt es noch eine andere möglichkeit?

Ja notfalls deinstallieren ;)

Hallo Arne!
Ich habe Avira deinstalliert. Die Avguard.exe ist nicht mehr im Taskmanager zu sehen. Trotzdem bringt Combofix folgende Meldung:
Combofix hat festgestellt das folgende Real-Time-Scanner aktiv sind:
antivirus: Avira Anti Personal Edition Classic
antivirus: Avira Anti Personal Edition Classic
antivirus: Avira Anti Personal Edition Classic
antivirus: Avira Anti Personal Edition Classic

Ich lasse jetzt trotzdem Combofix laufen und poste Combofix.txt.
Hinweis:
Vor dem scan von Combofix habe ich den Rechner vom Netz genommen, weil er sonst ja ungeschütz wäre.

Ja, das ist ein Bug. Einfach CF laufen lassen, Avira ist ja weg.

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER Logfile:
--- --- ---

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x000000fd

Kernel Drivers (total 117):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806ED000 \WINDOWS\system32\hal.dll
0xF7D2F000 \WINDOWS\system32\KDCOM.DLL
0xF7C3F000 \WINDOWS\system32\BOOTVID.dll
0xF77DF000 ACPI.sys
0xF7D31000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF77CE000 pci.sys
0xF782F000 isapnp.sys
0xF7D33000 viaide.sys
0xF7AAF000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF783F000 MountMgr.sys
0xF77AF000 ftdisk.sys
0xF7D35000 dmload.sys
0xF7789000 dmio.sys
0xF7AB7000 PartMgr.sys
0xF784F000 VolSnap.sys
0xF7771000 atapi.sys
0xF785F000 disk.sys
0xF786F000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7751000 fltMgr.sys
0xF773F000 sr.sys
0xF7728000 KSecDD.sys
0xF7715000 WudfPf.sys
0xF7688000 Ntfs.sys
0xF765B000 NDIS.sys
0xF787F000 viaagp.sys
0xF7ABF000 viaagp1.sys
0xF7640000 Mup.sys
0xF6CE3000 \SystemRoot\system32\DRIVERS\amdk7.sys
0xF6BD2000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6BBE000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7B6F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6B9B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7B77000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF6CB3000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF78AF000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF78BF000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6B78000 \SystemRoot\system32\DRIVERS\ks.sys
0xF6B65000 \SystemRoot\system32\drivers\viaudio.sys
0xF6B41000 \SystemRoot\system32\drivers\portcls.sys
0xF78CF000 \SystemRoot\system32\drivers\drmk.sys
0xF78DF000 \SystemRoot\system32\DRIVERS\fetnd5b.sys
0xF7B7F000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF6B30000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7D0B000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF6B1C000 \SystemRoot\system32\DRIVERS\parport.sys
0xF78EF000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7B87000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7E4B000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF78FF000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7D0F000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6B05000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF790F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF791F000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7B8F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6AF4000 \SystemRoot\system32\DRIVERS\psched.sys
0xF792F000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7B97000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7B9F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6AC3000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF793F000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7BA7000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7BAF000 \SystemRoot\system32\DRIVERS\seehcri.sys
0xF7D55000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6A8F000 \SystemRoot\system32\DRIVERS\update.sys
0xF7D2B000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF794F000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF798F000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7D5F000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7BBF000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7D61000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E7F000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D63000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7BCF000 \SystemRoot\System32\drivers\vga.sys
0xF7D65000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D67000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7BD7000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7BDF000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7CC7000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xBAFA5000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xBAF4D000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xBAF25000 \SystemRoot\system32\DRIVERS\netbt.sys
0xBAF03000 \SystemRoot\System32\drivers\afd.sys
0xF79AF000 \SystemRoot\system32\DRIVERS\netbios.sys
0xBAED8000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF7E8A000 \SystemRoot\System32\Drivers\PQNTDrv.SYS
0xBAE69000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF79BF000 \SystemRoot\System32\Drivers\Fips.SYS
0xBAE48000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF79CF000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF7BEF000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xF7CF3000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF79EF000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7BF7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF7CF7000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF79FF000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xBAE08000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D6B000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6A77000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BFF000 \SystemRoot\System32\watchdog.sys
0xBF9C4000 \SystemRoot\System32\drivers\dxg.sys
0xF7F28000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF9D6000 \SystemRoot\System32\ati2dvag.dll
0xBFA10000 \SystemRoot\System32\ati2cqag.dll
0xBFA4D000 \SystemRoot\System32\ati3duag.dll
0xBFC80000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB8CD0000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB8A6C000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7DC1000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB8925000 \SystemRoot\system32\DRIVERS\srv.sys
0xB8550000 \SystemRoot\system32\drivers\wdmaud.sys
0xB8755000 \SystemRoot\system32\drivers\sysaudio.sys
0xB8502000 \SystemRoot\system32\drivers\kmixer.sys
0xB7DD9000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 47):
0 System Idle Process
4 System
536 C:\WINDOWS\system32\smss.exe
600 csrss.exe
632 C:\WINDOWS\system32\winlogon.exe
676 C:\WINDOWS\system32\services.exe
688 C:\WINDOWS\system32\lsass.exe
836 C:\WINDOWS\system32\ati2evxx.exe
848 C:\WINDOWS\system32\svchost.exe
936 svchost.exe
976 C:\WINDOWS\system32\svchost.exe
1012 C:\WINDOWS\system32\svchost.exe
1152 svchost.exe
1212 svchost.exe
1324 C:\WINDOWS\system32\spoolsv.exe
1400 svchost.exe
1444 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
1508 C:\Programme\Java\jre6\bin\jqs.exe
1560 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
1676 C:\WINDOWS\system32\svchost.exe
1832 C:\WINDOWS\system32\wuauclt.exe
1916 C:\Programme\Canon\CAL\CALMAIN.exe
148 alg.exe
520 C:\WINDOWS\system32\ati2evxx.exe
272 C:\WINDOWS\system32\WgaTray.exe
604 C:\WINDOWS\explorer.exe
1084 C:\Programme\Google\Update\GoogleUpdate.exe
1264 wmiprvse.exe
1576 C:\WINDOWS\SOUNDMAN.EXE
1352 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
1692 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
1972 C:\Programme\Hercules\Deluxe Optical Glass\CamService.exe
2056 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
2096 C:\Programme\WEB.DE\LiveUpdate\m2LUTray.exe
2108 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2128 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
2164 C:\Programme\Microsoft ActiveSync\wcescomm.exe
2260 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
2272 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
2284 C:\Programme\Skype\Phone\Skype.exe
2312 C:\Programme\Microsoft ActiveSync\rapimgr.exe
2324 C:\WINDOWS\system32\ctfmon.exe
2376 C:\Programme\Nikon\NkView6\NkvMon.exe
2388 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
2516 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
2944 C:\Programme\Skype\Plugin Manager\skypePM.exe
3132 C:\Dokumente und Einstellungen\rainer\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000004`6528ec00 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000000e`a609c000 (NTFS)
\\.\G: --> \\.\PhysicalDrive0 at offset 0x00000018`e6ea9400 (NTFS)
\\.\H: --> \\.\PhysicalDrive0 at offset 0x00000023`27cb6800 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP2014N, Rev: VC100-33

Size Device Name MBR Status
--------------------------------------------
186 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Datenbank Version: 5415

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

29.12.2010 15:19:18
mbam-log-2010-12-29 (15-19-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 204089
Laufzeit: 30 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich habe die ANTISYWARE.exe laufen lassen.
Erhat noch eine Menge gefunden.
Ich finde das Log aber leider nicht??

Bitte lies die Anleitung richtig!!!

http://img528.imageshack.us/img528/2685/loglk6.jpg

Danke!!

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/29/2010 at 04:27 PM

Application Version : 4.47.1000

Core Rules Database Version : 6091
Trace Rules Database Version: 3903

Scan type : Complete Scan
Total Scan Time : 00:43:13

Memory items scanned : 557
Memory threats detected : 0
Registry items scanned : 7451
Registry threats detected : 0
File items scanned : 23234
File threats detected : 119

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.tubepornx[3].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@partypoker[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ads.watchmygf[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@adnetxchange[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ads.immobilienscout24[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ad2.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@atdmt[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.teenhana[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@questionmarket[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.pornhub[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.inthecrack[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.googleadservices[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ads.bleepingcomputer[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@tracking.mlsat02[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@adviva[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@flvtools.spacash[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@generaltracking[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@invitemedia[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@profiporn[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@rts.pgmediaserve[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@worldtubeporn[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ads.creative-serving[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@porntubepack[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@tubesexclips[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@liveperson[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@liveperson[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@pro-market[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@counter.sexsuche[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.profiporn[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@toplist[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ad1.adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@myroitracking[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@traffictrack[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@tracking.hannoversche[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ad.boreus[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@adultfriendfinder[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@doubleclick[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.sexkiste[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@adtech[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@youhdporn[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@inthecrack[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@xiti[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@clicksor[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@go.trafficshop[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@pornhub[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@sexpartnerclub[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@server.lon.liveperson[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@collective-media[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@tribalfusion[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@trafficholder[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.netdebit-counter[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@porno-girls[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.tubepornx[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.sexpartnerclub[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@de.sitestat[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@zanox[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@microsoftmachinetranslation.112.2o7[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@imrworldwide[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@teenhana[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@webmasterplan[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.etracker[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@count.xhit[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@chokertraffic[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@adxpansion[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@banners.facebookofsex[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@de.pornhub[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@www.googleadservices[3].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ad.adnet[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@markussexblog[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@pornoxo[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@keyword-advertising.web[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ads.crakmedia[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ad.zanox[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@revsci[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@specificclick[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@adserver.adtechus[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@serving-sys[2].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ad.adition[1].txt
C:\Dokumente und Einstellungen\rainer\Cookies\rainer@ad.adserver01[1].txt
.adtech.de [ C:\Dokumente und Einstellungen\Georg\Anwendungsdaten\Mozilla\Firefox\Profiles\6vujh65b.default\cookies.sqlite ]
.adfarm1.adition.com [ C:\Dokumente und Einstellungen\Georg\Anwendungsdaten\Mozilla\Firefox\Profiles\6vujh65b.default\cookies.sqlite ]
www.etracker.de [ C:\Dokumente und Einstellungen\Georg\Anwendungsdaten\Mozilla\Firefox\Profiles\6vujh65b.default\cookies.sqlite ]
banner.mindshare.de [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
cdn-www.pornhub.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
cdn5.specificclick.net [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
flvtools.spacash.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
m.de.2mdn.net [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
macromedia.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
media1.break.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
multimedia.metacafe [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
n1.pornstarslikeitbig.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
naiadsystems.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
pornoprinzen.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
secure-us.imrworldwide.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
spe.atdmt.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
static.xxxcupid.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
video.pornorama.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
webmaster.pornme.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
www.daywithapornstar.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
www.maxporn.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
www.naiadsystems.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
www.pornhub.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
www.pornoprinzen.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
www.pornstarnetwork.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
www.youhdporn.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
wwwstatic.megaporn.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\8VYNKMKQ ]
eas.apm.emediate.eu [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Mozilla\Firefox\Profiles\1764jyn4.default\cookies.sqlite ]
eas.apm.emediate.eu [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Mozilla\Firefox\Profiles\1764jyn4.default\cookies.sqlite ]
.revsci.net [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Mozilla\Firefox\Profiles\1764jyn4.default\cookies.sqlite ]
.stats.paypal.com [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Mozilla\Firefox\Profiles\1764jyn4.default\cookies.sqlite ]
.traffictrack.de [ C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Mozilla\Firefox\Profiles\1764jyn4.default\cookies.sqlite ]

Trojan.Agent/Gen-Krpytik
C:\PROGRAMME\FALK REISEPLANER CITY\PROG\TC_MGGCHECK.EXE

Unclassified.Monitor/ActualSpy
C:\SYSTEM VOLUME INFORMATION\_RESTORE{B8CE1D1F-B7DD-40A0-AA16-C142EB1868D2}\RP5\A0001104.DLL

Ein Fehlalarm und Überrest, eine Menge Cookies - harmlos.
Rechner ansonsten wieder paletti?

Super! Super!
Vielen Dank für die professionelle Hilfe!
Rainer

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.