guten Morgen,

die MBRCheck.exe liegt auf dem Desktop und ich seh keine MBR...txt. Hab sogar nach " MBRcheck* " suchen lassen, da ich ja vielleicht Tomaten auf den Augen hab ;-) Er fand die exe, aber sonst nix.

Gruß,
Marion

Nagut. Der MBR muss lt. deiner Meldung eh gefixt werden.

Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Win7 (64-Bit) installiert?
Wenn nicht: Schau mal hier => RescueDisc-Win7-64-Bit

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).

Falls Du eine normale Win7-Installations-DVD (64-Bit) hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.

ok. Ich werd dann erst mal meine Daten sichern, wie du gesagt hast. Falls ich heute nicht alles schaffe, muss ich Freitag weitermachen.

Ich hab nur Win7 Home Premium (64bit). 2 Recovery-DVDs (1x 32 Bit und 1x 64Bit).

Jetzt hab ich noch ein paar Fragen:

Geht's mit den Recovery-DVDs auch?
Falls ja: Nachdem meine PC-Systeminfo sagt: 64-Bit-Betr.syst., nehme ich die 64Bit-DVD?

GMER. Geht nur bei 32-Bit-Systemen? (http://www.trojaner-board.de/69886-a...beachten.html, Punkt 3). Soll ich's trotzdem einfach versuchen?

Nach dem, was du gesehen hast, welchen Eindruck hast du von meinem Problem? Da ich ja noch nicht so viel davon merke, aber das Gefühl hab, dass da was im Busch is.

Ab wann ist es ratsam, das Betriebssystem neu zu installieren? Ich weiß auch nicht, wie kompliziert es is mit Win7. Bei WinXP am Laptop hab ich's kürzlich geschafft.

Grüße,
Marion

Zitat:

Geht's mit den Recovery-DVDs auch?

Nein, meistens nicht.

Zitat:

Soll ich's trotzdem einfach versuchen?

Ist eigentlich unnötig.

Zitat:

Nach dem, was du gesehen hast, welchen Eindruck hast du von meinem Problem?

Will ich jetzt nicht beurteilen. Bitte erst den MBR fixen

Sorry, jetzt kommt noch ne Frage.

Hab RescueDisc mit ImgBurn erstellt und beim PC-Start mit f8 über CD gebootet.

ABER: Bei der Auswahl Betriebssystem/Laufwerk kam ich ins Schleudern. Hatte nur 1 Auswahlmöglichkeit: "Windows7 auf Laufwerk D (Boot)". (Und ich hatte die Option, Treiber zu installieren, falls die gewünschte Auswahl nicht dabei ist.)

Nun ist aber Laufwerk C das Boot-Laufwerk und Laufwerk D eine Recover-Partition (war so vorinstalliert). DVD-Laufwerk = E. Also hätte ich die Auswahl erwartet: Windows7 auf Laufwerk C (Boot).

Hatte Angst, nen Riesenknoten reinzubringen und hab abgebrochen.

Soll ich trotzdem an der Stelle weitergehen?

Gruß und danke soweit erst mal,
Marion

Das gefundene Windows7 musst du auswählen. Die Laufwerkbuchstaben können da abweichen.

gutn Morgn,

hab ...fixboot und ...fixmbr ausgeführt.

MBRcheck neu heruntergeladen, aber er gibt mir immer noch kein Logfile.
Er sagt: Windows 7 MBR code detected. - Ich häng den Screenshot an.

Grüße,
Marion
(kann sein, dass ich erst morgen weitermachen kann)

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

hallo Arne,

ich will grad den Eset-Online-Scan machen und such die esetsmartinstaller_enu.exe für Firefox. Ich werd noch weitersuchen, aber vielleicht hast du ja nen Tipp, wo ich suchen soll?

danke, Marion

sorry, alles klar, ... es kommt automatisch ...

hallo Arne,

beim Abarbeiten der letzten Liste fiel mir auf, dass ich alle bisherigen Tests unter meinem Nicht-Admin-Konto ausgeführt hab (ich hab eines als Admin und eines für's Internet). Ich hab mit rechtem Mausklick "als Admin ausführen" gewählt und dann bei Aufforderung das Admin-Passwort eingegeben. Ich hoffe, das war ok so. ---- Den ESET-Online-Scan hab ich nun unter dem Admin-Konto ausgeführt. Auf dem dortigen Desktop lagen auch die "vermissten" Logs des MBRChecks ... haha ...

Hier nun die Logs:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6874

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

17.06.2011 10:44:06
mbam-log-2011-06-17 (10-44-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 383188
Laufzeit: 24 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

________________
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/17/2011 at 12:17 PM

Application Version : 4.54.1000

Core Rules Database Version : 7278
Trace Rules Database Version: 5090

Scan type : Complete Scan
Total Scan Time : 01:08:51

Memory items scanned : 516
Memory threats detected : 0
Registry items scanned : 13990
Registry threats detected : 0
File items scanned : 213516
File threats detected : 3

Adware.Tracking Cookie
cdn.eyewonder.com [ C:\Users\Marion_Internet\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5XJ6S7W7 ]
hottraffic.nl [ C:\Users\Marion_Internet\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5XJ6S7W7 ]
macromedia.com [ C:\Users\Marion_Internet\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5XJ6S7W7 ]
______________
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=ee7897bd4ef0284e86dfbc4f6bc7c65e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-17 01:45:55
# local_time=2011-06-17 03:45:55 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775165 100 94 2610 44854123 11129 0
# compatibility_mode=5893 16776574 100 94 279357 60719338 0 0
# compatibility_mode=8192 67108863 100 0 398 398 0 0
# scanned=292882
# found=4
# cleaned=0
# scan_time=4688
C:\_D_A_T_E_N_Marion\__4___ZUM_B_R_E_N_N_E_N\Programme\mp3_audiograbber\agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
I:\$RECYCLE.BIN\S-1-5-21-2215537698-2554243989-2799663152-1003\$R6MS0RI\Programme\mp3_audiograbber\agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
I:\_D_A_T_E_N_Marion_15_06_11\__4___ZUM_B_R_E_N_N_E_N\Programme\mp3_audiograbber\agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
I:\_D_A_T_E_N_Marion_17_05_11\__4___ZUM_B_R_E_N_N_E_N\Programme\mp3_audiograbber\agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
___________

Das letzte MBRCheck log (falls es dich noch interessiert). Ich hab insgesamt 11 davon ;-), weil ich's immer wieder probiert und danach gesucht hatte.

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 64-bit
Base Board Manufacturer: MEDIONPC
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: MEDIONPC
System Product Name: MS-7616
Logical Drives Mask: 0x000000fc

Kernel Drivers (total 172):
0x02E49000 \SystemRoot\system32\ntoskrnl.exe
0x02E00000 \SystemRoot\system32\hal.dll
0x00B9B000 \SystemRoot\system32\kdcom.dll
0x00CBD000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00D01000 \SystemRoot\system32\PSHED.dll
0x00D15000 \SystemRoot\system32\CLFS.SYS
0x00E25000 \SystemRoot\system32\CI.dll
0x00EE5000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00F89000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00F98000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x00FEF000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x00E00000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x00D73000 \SystemRoot\system32\DRIVERS\pci.sys
0x00E0A000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x00DA6000 \SystemRoot\System32\drivers\partmgr.sys
0x00DBB000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x00C00000 \SystemRoot\System32\drivers\volmgrx.sys
0x00C5C000 \SystemRoot\System32\drivers\mountmgr.sys
0x01074000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x01190000 \SystemRoot\system32\drivers\amdxata.sys
0x0119B000 \SystemRoot\system32\drivers\fltmgr.sys
0x011E7000 \SystemRoot\system32\drivers\fileinfo.sys
0x01242000 \SystemRoot\System32\Drivers\Ntfs.sys
0x01000000 \SystemRoot\System32\Drivers\msrpc.sys
0x013E4000 \SystemRoot\System32\Drivers\ksecdd.sys
0x01483000 \SystemRoot\System32\Drivers\cng.sys
0x014F6000 \SystemRoot\System32\drivers\pcw.sys
0x01507000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x0162D000 \SystemRoot\system32\drivers\ndis.sys
0x0171F000 \SystemRoot\system32\drivers\NETIO.SYS
0x0177F000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01801000 \SystemRoot\System32\drivers\tcpip.sys
0x017AA000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x01511000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x017F4000 \SystemRoot\System32\Drivers\spldr.sys
0x0155D000 \SystemRoot\System32\drivers\rdyboost.sys
0x01600000 \SystemRoot\System32\Drivers\mup.sys
0x01612000 \SystemRoot\System32\drivers\hwpolicy.sys
0x01597000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x015D1000 \SystemRoot\system32\DRIVERS\disk.sys
0x01400000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x02D30000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x02D5A000 \SystemRoot\System32\Drivers\Null.SYS
0x02D63000 \SystemRoot\System32\Drivers\Beep.SYS
0x02D6A000 \SystemRoot\System32\drivers\vga.sys
0x02D78000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x02D9D000 \SystemRoot\System32\drivers\watchdog.sys
0x02DAD000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x02DB6000 \SystemRoot\system32\drivers\rdpencdd.sys
0x02DBF000 \SystemRoot\system32\drivers\rdprefmp.sys
0x02DC8000 \SystemRoot\System32\Drivers\Msfs.SYS
0x02DD3000 \SystemRoot\System32\Drivers\Npfs.SYS
0x01430000 \SystemRoot\system32\DRIVERS\tdx.sys
0x02DE4000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x03EF2000 \SystemRoot\system32\drivers\afd.sys
0x03F7B000 \SystemRoot\System32\DRIVERS\netbt.sys
0x03FC0000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x03FC9000 \SystemRoot\system32\DRIVERS\pacer.sys
0x03FEF000 \SystemRoot\system32\DRIVERS\netbios.sys
0x03E00000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x03E1B000 \SystemRoot\system32\DRIVERS\termdd.sys
0x03E2F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x03E80000 \SystemRoot\system32\drivers\nsiproxy.sys
0x03E8C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x03E97000 \SystemRoot\System32\drivers\discache.sys
0x03EA6000 \SystemRoot\System32\Drivers\dfsc.sys
0x03EC4000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x0144E000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x01200000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x03ED5000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x0482E000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x052F2000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x052F4000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x00C76000 \SystemRoot\System32\drivers\dxgmms1.sys
0x053E8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x04004000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x0405A000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x0407E000 \SystemRoot\system32\DRIVERS\Rt64win7.sys
0x040D4000 \SystemRoot\system32\DRIVERS\1394ohci.sys
0x04112000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x04130000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x0413F000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x0414F000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x04165000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x04189000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x04195000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x041C4000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x041DF000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x04800000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x0481A000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x04000000 \SystemRoot\system32\DRIVERS\swenum.sys
0x04471000 \SystemRoot\system32\DRIVERS\ks.sys
0x044B4000 \SystemRoot\system32\DRIVERS\umbus.sys
0x044C6000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x04520000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x06015000 \SystemRoot\system32\drivers\RTKVHD64.sys
0x04535000 \SystemRoot\system32\drivers\portcls.sys
0x04572000 \SystemRoot\system32\drivers\drmk.sys
0x061F6000 \SystemRoot\system32\drivers\ksthunk.sys
0x06000000 \SystemRoot\System32\Drivers\crashdmp.sys
0x02C00000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x04594000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x000C0000 \SystemRoot\System32\win32k.sys
0x045A7000 \SystemRoot\System32\drivers\Dxapi.sys
0x045B3000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x045C1000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x045DA000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x0600E000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x045E3000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x045F0000 \SystemRoot\system32\DRIVERS\monitor.sys
0x04400000 \SystemRoot\system32\drivers\USBSTOR.SYS
0x00440000 \SystemRoot\System32\TSDDD.dll
0x006E0000 \SystemRoot\System32\cdd.dll
0x008A0000 \SystemRoot\System32\ATMFD.DLL
0x0441B000 \SystemRoot\system32\drivers\luafv.sys
0x0443E000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x00DD0000 \SystemRoot\system32\drivers\WudfPf.sys
0x0445B000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x015E7000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x076BD000 \SystemRoot\system32\drivers\HTTP.sys
0x07785000 \SystemRoot\system32\DRIVERS\bowser.sys
0x077A3000 \SystemRoot\System32\drivers\mpsdrv.sys
0x077BB000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x07600000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x0764E000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x07A70000 \SystemRoot\system32\drivers\peauth.sys
0x07B16000 \SystemRoot\System32\Drivers\secdrv.SYS
0x07B21000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x07B4E000 \SystemRoot\System32\drivers\tcpipreg.sys
0x07B60000 \SystemRoot\System32\DRIVERS\srv2.sys
0x08295000 \SystemRoot\System32\DRIVERS\srv.sys
0x0832A000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x770A0000 \Windows\System32\ntdll.dll
0x47D60000 \Windows\System32\smss.exe
0xFF3C0000 \Windows\System32\apisetschema.dll
0xFF550000 \Windows\System32\autochk.exe
0xFF1A0000 \Windows\System32\ole32.dll
0xFF190000 \Windows\System32\nsi.dll
0xFF160000 \Windows\System32\imm32.dll
0xFF080000 \Windows\System32\advapi32.dll
0xFE2F0000 \Windows\System32\shell32.dll
0xFE2A0000 \Windows\System32\ws2_32.dll
0xFE280000 \Windows\System32\imagehlp.dll
0xFE230000 \Windows\System32\Wldap32.dll
0xFE190000 \Windows\System32\clbcatq.dll
0xFDFB0000 \Windows\System32\setupapi.dll
0xFDEA0000 \Windows\System32\msctf.dll
0x76F80000 \Windows\System32\kernel32.dll
0x76E80000 \Windows\System32\user32.dll
0x77270000 \Windows\System32\normaliz.dll
0x77260000 \Windows\System32\psapi.dll
0xFDC40000 \Windows\System32\iertutil.dll
0xFDBA0000 \Windows\System32\msvcrt.dll
0xFDB20000 \Windows\System32\difxapi.dll
0xFDAB0000 \Windows\System32\gdi32.dll
0xFD930000 \Windows\System32\urlmon.dll
0xFD860000 \Windows\System32\usp10.dll
0xFD730000 \Windows\System32\rpcrt4.dll
0xFD690000 \Windows\System32\comdlg32.dll
0xFD670000 \Windows\System32\sechost.dll
0xFD5F0000 \Windows\System32\shlwapi.dll
0xFD5E0000 \Windows\System32\lpk.dll
0xFD500000 \Windows\System32\oleaut32.dll
0xFD3D0000 \Windows\System32\wininet.dll
0xFD3B0000 \Windows\System32\devobj.dll
0xFD340000 \Windows\System32\KernelBase.dll
0xFD300000 \Windows\System32\wintrust.dll
0xFD190000 \Windows\System32\crypt32.dll
0xFD0F0000 \Windows\System32\comctl32.dll
0xFD0B0000 \Windows\System32\cfgmgr32.dll
0xFD0A0000 \Windows\System32\msasn1.dll
0x76E50000 \Windows\SysWOW64\normaliz.dll

Processes (total 55):
0 System Idle Process
4 System
320 C:\Windows\System32\smss.exe
460 csrss.exe
520 C:\Windows\System32\wininit.exe
544 csrss.exe
584 C:\Windows\System32\winlogon.exe
628 C:\Windows\System32\services.exe
644 C:\Windows\System32\lsass.exe
652 C:\Windows\System32\lsm.exe
768 C:\Windows\System32\svchost.exe
868 C:\Windows\System32\nvvsvc.exe
908 C:\Windows\System32\svchost.exe
992 C:\Windows\System32\svchost.exe
128 C:\Windows\System32\svchost.exe
468 C:\Windows\System32\svchost.exe
1056 C:\Windows\servicing\TrustedInstaller.exe
1164 C:\Windows\System32\svchost.exe
1252 C:\Windows\System32\svchost.exe
1368 C:\Windows\System32\spoolsv.exe
1400 C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
1428 C:\Windows\System32\svchost.exe
1548 C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
1576 C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE
1628 C:\Program Files (x86)\Bonjour\mDNSResponder.exe
1780 C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
1788 C:\Windows\System32\conhost.exe
1812 C:\Windows\System32\svchost.exe
1876 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
1928 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTmon.exe
1976 C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
2060 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
2344 C:\Windows\System32\SearchIndexer.exe
2496 WUDFHost.exe
2724 C:\Windows\System32\nvvsvc.exe
3064 C:\Windows\System32\taskhost.exe
2672 C:\Windows\System32\dwm.exe
1136 C:\Windows\explorer.exe
1416 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
1612 C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
2616 C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
2624 C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
2528 C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
2816 C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
1828 C:\Windows\System32\svchost.exe
2800 C:\Program Files\Windows Media Player\wmpnetwk.exe
3356 C:\Windows\System32\svchost.exe
3636 C:\Program Files (x86)\Mozilla Firefox\firefox.exe
736 C:\Program Files (x86)\Adobe\Adobe Photoshop CS3\Photoshop.exe
3868 C:\Windows\splwow64.exe
3016 dllhost.exe
3940 dllhost.exe
2364 dllhost.exe
2600 C:\Users\Marion_Internet\Desktop\MBRCheck.exe
900 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x000000e2`60a00000 (NTFS)

PhysicalDrive0 Model Number: ST31000528AS, Rev: CC44

Size Device Name MBR Status
--------------------------------------------
931 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!

Gruß,
Marion

Sieht soweit ok aus. Die Funde von ESET lassen sich dadurch erklären, dass manche Setup Adware in Form von Toolbars mitbringen. Das kann man ignorieren.

Rechner sonst wieder im Lot?

hallo Arne,

Der Trojaner is ja irgendwie nicht mehr aufgetaucht, oder?

Was mir noch auffällt:

(1) Antivir bringt die Fehlermeldung "beim Downloaden der Dateien ist ein Fehler aufgetreten", wenn ich auf "Update starten" klicke. Manueller Update geht. Hab ihn über Systemsteuerung deinstalliert, das Programm neu heruntergeladen und installiert, aber keine Veränderung.

(2) Wenn ich den Rechner hochfahre und eine Online-Verbindung herstellen will, dann wird das Standardgateway falsch zugewiesen, d.h. es hat 2 Adressen: 0.0.0.0 und die korrekte Adresse (192.xxx.x.x). Das scheint laut meiner Recherche allerdings ein Win7-Problem zu sein und über Netzwerkkarten-Treiber aus- und wieder einschalten geht's dann. Auch fliege ich immer wieder mal aus dem Netz, vermute aber eher meine schlechte Telefonleitung (auf dem Land) oder das DSL-Modem als Problem.

(3) Meine Bildschirm-Kalibrierung wird manchmal korrekt übernommen (so wie ich's eingestellt und gespeichert habe) und manchmal nicht. Das halte ich eher für eine computerinterne Ungenauigkeit?

Ansonsten keine Performance-Probleme oder Auffälligkeiten.

Hast du nen konkreten Tipp, wie ich Trojaner in Zukunft besser vermeiden kann, oder wo ich ihn aufgeschnappt haben könnte? Ich bin in der Regel vorsichtig mit den Seiten, auf die ich gehe und welche Dateien ich runterlade und öffne. Bilder (Kunst und Portraits) bei Google, hab ich gehört, sollen riskant sein?

Und an dieser Stelle mal ein RIESEN-Danke für Begleitung bei der Latte an Tests.

Grüße,
Marion

Zitat:

(1) Antivir bringt die Fehlermeldung "beim Downloaden der Dateien ist ein Fehler aufgetreten", wenn ich auf "Update starten" klicke. Manueller Update geht. Hab ihn über Systemsteuerung deinstalliert, das Programm neu heruntergeladen und installiert, aber keine Veränderung.

Überleg dir gut, ob du in Zukunft weiterhin bei AntiVir bleiben willst. Die haben eine sehr fragwürdige Entscheidung getroffen, was nicht gerade seriös wirkt => http://www.trojaner-board.de/100374-...e-und-ask.html

Zitat:

d.h. es hat 2 Adressen: 0.0.0.0 und die korrekte Adresse (192.xxx.x.x).

Sowas hab ich noch garnicht gehört. Mal auf feste IP-Adresse für den internen LAN-Adapter umstellen zB 192.168.x.2 und weitersehen. Auch das Gateway manuell zuweisen => Gateway=Router-IP-Nummer.
Und solche Adressen wie 192.168.XXX.YYY kannst du ruhig komplett posten, das sind private Adressen für dein internes Netzwerk, die sind aus dem Internet nicht (direkt) erreichbar.

Zitat:

Hast du nen konkreten Tipp, wie ich Trojaner in Zukunft besser vermeiden kann, oder wo ich ihn aufgeschnappt haben könnte? Ich bin in der Regel vorsichtig mit den Seiten, auf die ich gehe und welche Dateien ich runterlade und öffne. Bilder (Kunst und Portraits) bei Google, hab ich gehört, sollen riskant sein?

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?




Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

hallo Arne,

erst mal Danke für die Tipps!!! Hab mich durchgearbeitet und noch ein bissl dazu recherchiert. Soweit ich gesehen hab, empfehlt ihr MSE und Avast! als Alternative zu Antivir ... Gut zu wissen!

Das mit der festen IP-Adresse sieht gut aus, keine doppelte Adresse für Standardgateway mehr. Rausfliegen kommt noch vor, oder dass ich mal das Modem neu starten muss, aber nicht so oft, ist also tolerabel.

Und sorry, leider nochmal ein paar Fragen:

1. Hab das Antivir-Update-Problem vorerst gelöst: Ich musste bei Antivir eintragen, dass ich keinen Proxy benutze, dann geht's.
   
   Aber dabei kam eine andere Frage auf: Unter "Systemsteuerung/Internetoptionen/Einstellungen für LAN" ist "Proxyserver für LAN verwenden" angehakt (also doch Proxyverwendung??? ), ohne Adresseneintrag an dieser Stelle. Unter "Erweitert > Proxyeinstellungen" steht dann die http-Adresse 127.0.0.1, Port 63879.
   
   Hab hier im TB "Probleme mit der Internetverbindung ( Proxy Einstellungen prüfen )" gelesen. Heißt das, Proxy abwählen + vorher die Adresse unter "Proxyeinstellungen" rauslöschen?? + "automatische Suche der Einstellungen" aktivieren?? Hab woanders gelesen, dass Serven mit Proxy sicherer ist, da kein direkter Zugang zu meinem Rechner??
   
   
2. Ich hab noch Spybot - Search & Destroy vor unserer Zusammenarbeit drauf und die Immunisieren-Funktion aktiviert. Würdest du das drauf lassen? Malwarebytes + Spybot + (noch)Antivir = zu viel des Guten?
   
   
3. Bei Defogger hab ich "re-enable" gemacht, nachdem du sagtest, dass wir durch sind. Hierzu noch ne Frage: Hab das versehentlich als Nicht-Admin (mit meinem "eingeschränkte-Rechte-Konto") und nicht per Rechtsklick/"als Administrator starten" gemacht. Es kam aber ohnehin die Aufforderung, mein Admin-Passwort einzugeben. Ist das gleichwertig und ok so?

Und noch zum Löschen der verwendeten Tools:

Über Systemsteuerung/Programme kann ich scheinbar folgende Tools löschen:

• ESET-Onlinescanner
• SUPERAntiSpyware Free Edition

Wie entferne ich?

• Gmer (V22vskpv9.exe)
• Defogger
• OTL
• MBRcheck

Problem bei Combofix entfernen:

Zitat:

CF kann über Start, Ausführen mit combofix /uninstall entfernt werden

Hier erhalte ich leider "... entweder falsch geschrieben oder konnte nicht gefunden werden"

Danke für deine Geduld!
Marion