Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten
 

Hallo…

ich habe einige Probleme mit meinem Rechner, kann aber nicht sagen, ob zwischen den einzelnen ein Kausalzusammenhang besteht.

1. Firefox öffnet einfach neue Tabs. Meist ist auch gleich eine Warnmeldung auf der jeweiligen Seite dabei, dass die Website als attackierend gemeldet wurde. Teilweise geht es aber auch über drei – vier Seiten zu Google.

2. Im Laufe einer Sitzung habe ich Plötzlich keinen Ton mehr, weder im Internet (Youtube etc) noch Systemgeräusche („Warnmeldungs-Pling“). Das betrifft aber nur die Benutzeroberfläche auf der ich aktiv bin. Nach einem Neustart ist der Ton wieder da und ich bekomme eine Systemmeldung. Die Datenausführverhinderung (oder so) erklärt mir, dass ein Programm Win32-irgendwas beendet wurde. Da das grad nicht passiert ist, kann ich es leider nicht konkreter machen.
3. Meine Firewall startet nicht mehr automatisch. Ich muss sie die letzten Tage manuell aktivieren. Das Problem scheint sich, durch Malwarebytes gelöst zu haben.

Aus der Anleitung.html habe ich die Schritte 1- 3 befolgt. Malwarebytes fand 15 Infektionen.

Kurz nach dem Neustart, kam es zu einer Besonderheit. Eine Warnmeldung erschien und das System wurde automatisch heruntergefahren. Hab mir nur fix system32/services.exe und Statuscode 1073741819 notieren können.

Stell jetzt erstmal das Log von Malwarebytes hoch. Die anderen Folgen.

So, hab jetzt Schritt 4 - 6 abgearbeitet. Beim defogger bin ich mir unschlüssig, ob das lief wie´s laufen sollte. Ich wurde nicht zum Neustart aufgefordert, hab aber ein Log. Keine Ahnung...

Jedenfalls hier noch die fehlenden Logs.

Quickscan, uralte MBAM-Version.
Update auf Version 1.50.1 also neuste Version und neueste Signaturen. Dann einen Vollscan machen.
Poste das Log und auch alle anderen, die im Reiter Logdateien sind.

ok, habs geupdatet. Log vom Fullscan ist im Anhang, gab aber keinen Fund. Ich hab dort ca. 30 Logs, hab daher nur die mit funden hochgestellt. Wenn die anderen doch wichtig sind, reich ich die nach.

Da Avira aber immer was findet, hab ich die letzten Berichte davon hochgestellt.

Zu meinem Ton-Problem, die Meldung kam heute mal wieder. Generic Host Process for Win32 services wurde beendet.

Ich hoffe das hilft...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ok, hab ich gemacht. Zwischendurch wurde der Rechner zwei Mal neu gestartet. Ich kann nicht beurteilen, ob das normal ist.

Jedenfalls hier das CF.log:
Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Alles gemacht, hier die Datei:
Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER wollte nicht so, wie ich wollte- daher nur MBR und OSAM.
OSAM Logfile:
--- --- ---
If You have questions or want to get some help, You can visit Online Solutions :: Index

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000001fd

Kernel Drivers (total 143):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7A10000 \WINDOWS\system32\KDCOM.DLL
0xF7920000 \WINDOWS\system32\BOOTVID.dll
0xF73E0000 ACPI.sys
0xF7A12000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF73CF000 pci.sys
0xF7510000 isapnp.sys
0xF7520000 ohci1394.sys
0xF7530000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7AD8000 pciide.sys
0xF7790000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7540000 MountMgr.sys
0xF73B0000 ftdisk.sys
0xF7A14000 dmload.sys
0xF738A000 dmio.sys
0xF7798000 PartMgr.sys
0xF7550000 VolSnap.sys
0xF7372000 atapi.sys
0xF7560000 disk.sys
0xF7570000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7352000 fltmgr.sys
0xF7340000 sr.sys
0xF77A0000 PxHelp20.sys
0xF7329000 KSecDD.sys
0xF729C000 Ntfs.sys
0xF726F000 NDIS.sys
0xF7255000 Mup.sys
0xF69CD000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xF6807000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF67F3000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7858000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF67CF000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7860000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF69BD000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF69AD000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF699D000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF67AC000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7A36000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
0xF7868000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF698D000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF6731000 \SystemRoot\system32\drivers\hcw88vid.sys
0xF697D000 \SystemRoot\system32\drivers\STREAM.SYS
0xF79E4000 \SystemRoot\system32\drivers\hcw88aud.sys
0xF66E8000 \SystemRoot\system32\drivers\hcw88tse.sys
0xF6359000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF6335000 \SystemRoot\system32\drivers\portcls.sys
0xF75B0000 \SystemRoot\system32\drivers\drmk.sys
0xF79E8000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
0xF62EB000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
0xF62B4000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS
0xF7870000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF75C0000 \SystemRoot\system32\DRIVERS\serial.sys
0xF79EC000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF62A0000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7C60000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7878000 \SystemRoot\system32\DRIVERS\rasirda.sys
0xF7880000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF75D0000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF79F4000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6289000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF75E0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF75F0000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF6278000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7600000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7888000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7890000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6220000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7610000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7898000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF78A0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7A38000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF61C2000 \SystemRoot\system32\DRIVERS\update.sys
0xF7229000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7660000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF7670000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7A3E000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7680000 \SystemRoot\system32\drivers\HCW88BAR.sys
0xA8746000 \SystemRoot\system32\drivers\hcw88tun.sys
0xA8722000 \SystemRoot\system32\drivers\hcw88bda.sys
0xF79B4000 \SystemRoot\system32\drivers\BdaSup.SYS
0xF76A0000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
0xF78B0000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7A4C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7B27000 \SystemRoot\System32\Drivers\Null.SYS
0xF7A4E000 \SystemRoot\System32\Drivers\Beep.SYS
0xF78C0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF78C8000 \SystemRoot\System32\drivers\vga.sys
0xF7A50000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7A52000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF78D0000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF78D8000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF79D4000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA79E7000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA798E000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA7966000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA7940000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA791E000 \SystemRoot\System32\drivers\afd.sys
0xF76C0000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF76D0000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF78E0000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF76F0000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xA7853000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA77E3000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7700000 \SystemRoot\System32\Drivers\Fips.SYS
0xF6264000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF7710000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF78E8000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xA77BD000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7A56000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF78F0000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF6258000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF7221000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xA7771000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xA7759000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7A6A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xA7A2E000 \SystemRoot\System32\drivers\Dxapi.sys
0xF77F0000 \SystemRoot\System32\watchdog.sys
0xBE000000 \SystemRoot\System32\drivers\dxg.sys
0xF7C1A000 \SystemRoot\System32\drivers\dxgthk.sys
0xBE012000 \SystemRoot\System32\ati2dvag.dll
0xBE054000 \SystemRoot\System32\ati2cqag.dll
0xBE093000 \SystemRoot\System32\atikvmag.dll
0xBE0C9000 \SystemRoot\System32\ati3duag.dll
0xBE345000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA55B4000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA554E000 \SystemRoot\system32\DRIVERS\irda.sys
0xA55D9000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA52F1000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA51FD000 \??\C:\WINDOWS\system32\drivers\acedrv11.sys
0xA50CC000 \SystemRoot\System32\Drivers\HTTP.sys
0xA4F11000 \SystemRoot\system32\DRIVERS\srv.sys
0xA4EFC000 \SystemRoot\system32\drivers\wdmaud.sys
0xA5165000 \SystemRoot\system32\drivers\sysaudio.sys
0xF7A82000 \SystemRoot\system32\drivers\MSPQM.sys
0xA48A7000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA4385000 \??\C:\Acer\Empowering Technology\eRecovery\int15.sys
0xA7739000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xA4342000 \??\C:\DOKUME~1\BUTTER~2\LOKALE~1\Temp\agpcifoc.sys
0xA4317000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 39):
0 System Idle Process
4 System
668 C:\WINDOWS\system32\smss.exe
768 csrss.exe
796 C:\WINDOWS\system32\winlogon.exe
840 C:\WINDOWS\system32\services.exe
852 C:\WINDOWS\system32\lsass.exe
1044 C:\WINDOWS\system32\ati2evxx.exe
1060 C:\WINDOWS\system32\svchost.exe
1120 svchost.exe
1220 C:\WINDOWS\system32\svchost.exe
1344 svchost.exe
1420 svchost.exe
1660 C:\WINDOWS\system32\spoolsv.exe
1700 C:\Programme\Avira\AntiVir Desktop\sched.exe
1780 svchost.exe
1852 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1868 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1884 C:\Programme\Bonjour\mDNSResponder.exe
1924 C:\WINDOWS\ehome\ehrecvr.exe
1984 C:\WINDOWS\ehome\ehSched.exe
340 C:\Programme\Java\jre6\bin\jqs.exe
400 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
696 svchost.exe
988 C:\WINDOWS\system32\svchost.exe
292 C:\WINDOWS\system32\ati2evxx.exe
752 mcrdsvc.exe
1180 C:\WINDOWS\explorer.exe
2728 C:\WINDOWS\ehome\ehtray.exe
2744 C:\WINDOWS\soundman.exe
2816 C:\WINDOWS\ehome\ehmsas.exe
2836 C:\Acer\Empowering Technology\eRecovery\Monitor.exe
2844 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2864 C:\Programme\Real\RealPlayer\Update\realsched.exe
3336 C:\WINDOWS\system32\dllhost.exe
3468 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3580 alg.exe
3492 C:\Programme\Mozilla Firefox\firefox.exe
2940 C:\Dokumente und Einstellungen\ButterkeksJohnny\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000025`cf4cbe00 (FAT32)

PhysicalDrive0 Model Number: WDCWD3200JD-00KLB0, Rev: 08.05J08

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Erstmal sorry, dass die Antwort so lang auf sich warten ließ.

Ja, ich hab nur XP drauf, daher hier das Log.

Bootkit Remover
(c) 2009 eSage Lab
eSage Lab - Digital security research and consulting - Main

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)


Done;
Press any key to quit...


Übrigens scheint inzwischen symptomatisch alles ok zu sein.

sorry, hatte den Beitrag zwei Mal hochgestellt...

Antivir hat grad noch einen Trojaner gefunden:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 6. Februar 2011 18:18

Es wird nach 2456743 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ACER-21FDDD6C59

Versionsinformationen:
BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 12.12.2010 20:20:25
AVSCAN.DLL : 10.0.3.0 56168 Bytes 12.05.2010 09:42:06
LUKE.DLL : 10.0.3.2 104296 Bytes 12.12.2010 20:20:26
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 22:10:13
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 22:10:13
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 22:10:13
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 22:10:13
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 22:10:13
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 22:10:13
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 22:10:13
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 22:10:14
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 22:10:14
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 22:10:14
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 22:10:14
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 22:10:14
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 19:01:53
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 19:01:53
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 19:01:53
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 19:01:53
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 10:47:52
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 19:46:13
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 15:52:28
VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 15:27:12
VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 10:30:04
VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 10:30:05
VBASE023.VDF : 7.11.1.124 125440 Bytes 14.01.2011 14:29:34
VBASE024.VDF : 7.11.1.155 132096 Bytes 17.01.2011 14:29:44
VBASE025.VDF : 7.11.1.189 451072 Bytes 20.01.2011 14:29:53
VBASE026.VDF : 7.11.1.230 138752 Bytes 24.01.2011 17:29:57
VBASE027.VDF : 7.11.2.12 164352 Bytes 27.01.2011 12:51:14
VBASE028.VDF : 7.11.2.43 178176 Bytes 01.02.2011 13:00:53
VBASE029.VDF : 7.11.2.78 206336 Bytes 04.02.2011 16:34:57
VBASE030.VDF : 7.11.2.79 2048 Bytes 04.02.2011 16:34:57
VBASE031.VDF : 7.11.2.80 2048 Bytes 04.02.2011 16:34:57
Engineversion : 8.2.4.162
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 08:34:57
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 31.01.2011 12:51:23
AESCN.DLL : 8.1.7.2 127349 Bytes 28.11.2010 09:47:03
AESBX.DLL : 8.1.3.2 254324 Bytes 28.11.2010 09:47:04
AERDL.DLL : 8.1.9.2 635252 Bytes 24.09.2010 11:42:00
AEPACK.DLL : 8.2.4.9 512374 Bytes 31.01.2011 12:51:21
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 31.01.2011 12:51:20
AEHEUR.DLL : 8.1.2.73 3207541 Bytes 04.02.2011 15:51:43
AEHELP.DLL : 8.1.16.1 246134 Bytes 04.02.2011 15:51:40
AEGEN.DLL : 8.1.5.2 397683 Bytes 20.01.2011 14:30:09
AEEMU.DLL : 8.1.3.0 393589 Bytes 28.11.2010 09:47:01
AECORE.DLL : 8.1.19.2 196983 Bytes 20.01.2011 14:29:59
AEBB.DLL : 8.1.1.0 53618 Bytes 12.05.2010 09:42:06
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 02.11.2010 11:10:13
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 12.12.2010 20:20:25
AVARKT.DLL : 10.0.22.6 231784 Bytes 12.12.2010 20:20:25
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.11.2010 11:10:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_c5168802\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Sonntag, 6. Februar 2011 18:18

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{58229371-D47B-4E00-B9F8-825F6B4774F7}\RP396\A0099376.sys'
C:\System Volume Information\_restore{58229371-D47B-4E00-B9F8-825F6B4774F7}\RP396\A0099376.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f3e794d.qua' verschoben!


Ende des Suchlaufs: Sonntag, 6. Februar 2011 18:18
Benötigte Zeit: 00:14 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
37 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
36 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Sry ich meinte natürlich MBRCheck und nicht den BootKit Remover (hab noch einen alten Textbaustein, den ich mal aktualisieren muss ;))

Deaktiviere auch die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.