Code: Alles auswählenAufklappen

ATTFilter

zu 3:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/10/2011 at 11:12 AM

Application Version : 5.0.1118

Core Rules Database Version : 7673
Trace Rules Database Version: 5485

Scan type       : Complete Scan
Total Scan Time : 00:17:11

Operating System Information
Windows 7 Professional 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Administrator

Memory items scanned      : 598
Memory threats detected   : 0
Registry items scanned    : 71514
Registry threats detected : 0
File items scanned        : 46485
File threats detected     : 4

Trojan.Agent/Gen-MSFake
	C:\USERS\MATZE\APPDATA\ROAMING\DESKTOPICONFORAMAZON\ICONFORAMAZON.EXE

Adware.Tracking Cookie
	.doubleclick.net [ C:\USERS\MATZE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7BWCP5U1.DEFAULT\COOKIES.SQLITE ]
	.apmebf.com [ C:\USERS\MATZE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7BWCP5U1.DEFAULT\COOKIES.SQLITE ]
	.mediaplex.com [ C:\USERS\MATZE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7BWCP5U1.DEFAULT\COOKIES.SQLITE ]
         

Norton meldet sich immer noch!

Zitat:

Zitat von MacManus

Norton meldet sich immer noch!

genauer Meldung und Protokoll bitte posten!

Außerdem:
Posting #14 - Punkt 4. fehlt noch!

Zitat:

Zitat von kira

genauer Meldung und Protokoll bitte posten!

Außerdem:
Posting #14 - Punkt 4. fehlt noch!

Code: Alles auswählenAufklappen

ATTFilter

Norton:

Behobene Bedrohungen:
Es wurden keine Risiken behoben.

Nicht behobene Bedrohungen:
Boot.Mebroot
 Typ: Master-Bootsektor
 Risiko: Hoch (Hoch Verbergen, Hoch Entfernen, Hoch Leistung, Hoch Datenschutz)  
 Kategorien: Virus
 Status: Entfernen fehlgeschlagen
 -----------
 1 Systemaktion
Laufwerk 0x81 - Infiziert

zu 4:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=0dc73289d479ec4e8796634bd565109b
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-12 06:34:35
# local_time=2011-09-12 08:34:35 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=3588 16777214 85 79 441051 19741531 0 0
# compatibility_mode=5893 16776574 100 94 786848 67478575 0 0
# compatibility_mode=8192 67108863 100 0 162 162 0 0
# scanned=171074
# found=0
# cleaned=0
# scan_time=3749
         

MBR mit aswMBR von Avast wiederherstellen

• Lade aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
• PC vom Internet trennen, Firewall und alle Schutzsoftware deaktivieren
• XP Benutzer: Doppelklick auf die aswMBR.exe, um das Tool zu starten.
  Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen.
• Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.
• Klicke Scan, um den Suchlauf zu starten.
• Wenn der Scan beendet ist, was mit Scan finished sucessfull! angezeigt und eine MBR-Infektion gemeldet wird, klicke Fix (bei TLD) oder FixMBR (bei Whistler), um den MBR wiederherzustellen.

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-13 21:32:59
-----------------------------
21:32:59.257    OS Version: Windows x64 6.1.7601 Service Pack 1
21:32:59.257    Number of processors: 4 586 0x2A07
21:32:59.258    ComputerName: MATZE-PC  UserName: Matze
21:32:59.392    Initialize success
21:33:06.045    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
21:33:06.047    Disk 0 Vendor: SAMSUNG_ 1AJ1 Size: 953869MB BusType: 3
21:33:06.049    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-2
21:33:06.052    Disk 1 Vendor: ST332062 3.AA Size: 305244MB BusType: 3
21:33:06.069    Disk 0 MBR read successfully
21:33:06.072    Disk 0 MBR scan
21:33:06.074    Disk 0 Windows 7 default MBR code
21:33:06.076    Service scanning
21:33:06.936    Modules scanning
21:33:06.940    Disk 0 trace - called modules:
21:33:06.944    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 
21:33:06.948    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800670d790]
21:33:06.952    3 CLASSPNP.SYS[fffff88001a5143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa80071dc050]
21:33:06.956    Scan finished successfully
21:34:07.649    Disk 0 MBR has been saved successfully to "C:\Users\Matze\Desktop\MBR.dat"
21:34:07.653    The log file has been saved successfully to "C:\Users\Matze\Desktop\aswMBR.txt"


aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-13 21:32:59
-----------------------------
21:32:59.257    OS Version: Windows x64 6.1.7601 Service Pack 1
21:32:59.257    Number of processors: 4 586 0x2A07
21:32:59.258    ComputerName: MATZE-PC  UserName: Matze
21:32:59.392    Initialize success
21:33:06.045    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
21:33:06.047    Disk 0 Vendor: SAMSUNG_ 1AJ1 Size: 953869MB BusType: 3
21:33:06.049    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-2
21:33:06.052    Disk 1 Vendor: ST332062 3.AA Size: 305244MB BusType: 3
21:33:06.069    Disk 0 MBR read successfully
21:33:06.072    Disk 0 MBR scan
21:33:06.074    Disk 0 Windows 7 default MBR code
21:33:06.076    Service scanning
21:33:06.936    Modules scanning
21:33:06.940    Disk 0 trace - called modules:
21:33:06.944    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 
21:33:06.948    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800670d790]
21:33:06.952    3 CLASSPNP.SYS[fffff88001a5143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa80071dc050]
21:33:06.956    Scan finished successfully
21:34:07.649    Disk 0 MBR has been saved successfully to "C:\Users\Matze\Desktop\MBR.dat"
21:34:07.653    The log file has been saved successfully to "C:\Users\Matze\Desktop\aswMBR.txt"
21:34:20.849    Verifying
21:34:30.864    Disk 0 Windows 601 MBR fixed successfully
21:35:23.576    Disk 0 MBR has been saved successfully to "C:\Users\Matze\Desktop\MBR.dat"
21:35:23.580    The log file has been saved successfully to "C:\Users\Matze\Desktop\aswMBR.txt"
         

ich kann Windows Updates herunterladen. Unter anderem steht mir folgendes Update zur Verfügung:"Winwos-Tool zum Entfernen bösartiger Software x64 - September 2011"

Soll ich die Updates installieren?

1.
mache bitte folgendes:
Systemsteuerung/System und Sicherheit/System/Computerschutz/Systemeigenschaften poppt auf und dann einen Sicherungspunkt erstellen
Systemwiederherstellung deaktivieren: Windows 7 - einen manuellen Systemwiederherstellungspunkt erstellen
also zuerst deaktivieren-> dann aktivieren - am Ende soll wieder aktiviert sein!

2.
Ja, alle Updates, die Dir angeboten wird bitte machen!

► berichte in welchem Zustand dein System sich befindet? Ob noch Probleme auftreten? - wenn ja, welche?
tauchen noch Meldungen von Norton auf?

Es taucht immer noch die Meldung von Norton auf!!!

[Code]
Behobene Bedrohungen:
Es wurden keine Risiken behoben.

Nicht behobene Bedrohungen:
Boot.Mebroot
Typ: Master-Bootsektor
Risiko: Hoch (Hoch Verbergen, Hoch Entfernen, Hoch Leistung, Hoch Datenschutz)
Kategorien: Virus
Status: Entfernen fehlgeschlagen
-----------
1 Systemaktion
Laufwerk 0x81 - Infiziert


{/Code]

nach Anleitung vorgehen:-> MBR unter Vista oder Windows 7 reparieren

Was richtet dieser "Trojaner" eigentlich an?Und auf welcher Partion befindet sich dieser Trojaner bei mir?

das MBR-Rootkit hat sich im MBR festgesetzt...
Der Master Boot Record (MBR) der ersten Festplatte wird beim Start des Rechners geladen, noch vor dem Betriebssystem. Code, der Dort residiert, kann im Prinzip das Betriebssystem kontrollieren.

Die Dos-Box hat die Befehle /FixMbr und Co nicht akzeptiert und meinte, dass diese Befehle nicht bekannt wären

1.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:

Code: Alles auswählenAufklappen

ATTFilter

CCleaner
         

- Zeitweise laufen lassen:-> Anleitung

2.
Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

3.
mache folgendes:
Systemsteuerung/System und Sicherheit/System/Computerschutz/Systemeigenschaften poppt auf und dann einen Sicherungspunkt erstellen
Systemwiederherstellung deaktivieren: Windows 7 - einen manuellen Systemwiederherstellungspunkt erstellen
also zuerst deaktivieren-> dann aktivieren - am Ende soll wieder aktiviert sein!

4.
Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

5.
Download den Internet Explorer 9!Wenn auch man ihn nicht verwenden möchte , gehört zur Quasi-Standard-Ausstattung unter Windows...

6.
Update dein Norton und einen Vollscan wieder machen

Zitat:

Zitat von kira

nach Anleitung vorgehen:-> MBR unter Vista oder Windows 7 reparieren

Kira ich konnte den Schritt nicht machen. Habe den Befehl Bootrec.exe eingegeben, das hat geklappt und mir wurde eine Liste aufgeführt der zur Verfügung stehenden Befehle.

Hab dann den Befehl eingegeben:"...."als und hinter der Adresse dann einfach \FixMbr

dann kam die Nachricht das der Befehl falsch geschrieben sei oder nicht bekannt ist.

Ist das schlimm das ich den Schritt nicht machen konnte bzw warum hat es nicht funktioniert?

habe gelöscht