Hi TB-Team,

ich habe letztens den USB Stick meiner Freundin in meinen PC gesteckt und gleich eine Viruswarung bekommen. Die befallenen Daten auf dem Stick konnte ich mit AVIRA gleich entfernen, aber seit dem bekomme ich beim Start des PCs die Meldung "Im Masterbootsektor von Laufwerk E: wurde ein Virus oder unerwünschtes Programm BOO/Whistler.A gefunden".

Die anderen Themen zu dieser Meldung helfen mir nicht wirklich weiter, weil die ihre Laufwerke nicht mehr sehen können, daher eröffne ich ein neues Thema. Falls ich eins übersehen habe, welches mir als Vorlage dienen kann, bitte ich um Entschuldigung und um den Link.

Ich habe bereits einen MBAM QuickSearch und Vollständige Suche gemacht. Die gefundenen Probleme habe ich entfernt, bekomme aber immernoch die Meldung.

Noch ein Grund für einen individuellen Thread ist die Tatsache, dass der Virus den Masterbootsektor befallen hat und ich mit Programmen arbeiten muss die Supervising benötigen.

Ich plane in kürze auf Win7 umzusteigen, will aber bis dahin nicht befallen bleiben und sicherstellen, dass der Fehler hinterher nicht immernoch auftritt.


Vorab schonmal ein Danke
und ich hoffe ihr könnt mir helfen.

Zitat:

Die befallenen Daten auf dem Stick konnte ich mit AVIRA gleich entfernen,

Bitte die Logs dazu posten

Hier der Bericht des USB Sticks



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 10. November 2011 21:10

Es wird nach 3505271 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : Peki-C001EB845A

Versionsinformationen:
BUILD.DAT : 12.0.0.861 41826 Bytes 19.10.2011 18:18:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 25.10.2011 19:06:56
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 11.10.2011 12:59:38
AVREG.DLL : 12.1.0.22 226512 Bytes 25.10.2011 19:07:03
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 12:59:54
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 12:59:54
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 12:59:54
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 12:59:54
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 12:59:54
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:59:54
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:59:54
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 13:35:57
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 16:57:46
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 16:57:47
VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 16:57:47
VBASE019.VDF : 7.11.16.112 162816 Bytes 24.10.2011 17:38:00
VBASE020.VDF : 7.11.16.150 167424 Bytes 26.10.2011 19:04:46
VBASE021.VDF : 7.11.16.187 171520 Bytes 28.10.2011 19:04:51
VBASE022.VDF : 7.11.16.209 190976 Bytes 31.10.2011 17:33:05
VBASE023.VDF : 7.11.16.243 158208 Bytes 02.11.2011 17:33:07
VBASE024.VDF : 7.11.17.21 194560 Bytes 06.11.2011 07:08:50
VBASE025.VDF : 7.11.17.101 202752 Bytes 09.11.2011 13:48:54
VBASE026.VDF : 7.11.17.102 2048 Bytes 09.11.2011 13:48:55
VBASE027.VDF : 7.11.17.103 2048 Bytes 09.11.2011 13:48:55
VBASE028.VDF : 7.11.17.104 2048 Bytes 09.11.2011 13:48:55
VBASE029.VDF : 7.11.17.105 2048 Bytes 09.11.2011 13:48:55
VBASE030.VDF : 7.11.17.106 2048 Bytes 09.11.2011 13:48:55
VBASE031.VDF : 7.11.17.121 72192 Bytes 10.11.2011 13:48:55
Engineversion : 8.2.6.108
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 19:06:45
AESCRIPT.DLL : 8.1.3.84 467324 Bytes 27.10.2011 19:04:55
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.13.3 684407 Bytes 25.10.2011 19:06:39
AEOFFICE.DLL : 8.1.2.19 201084 Bytes 03.11.2011 22:36:16
AEHEUR.DLL : 8.1.2.188 3801464 Bytes 03.11.2011 22:36:16
AEHELP.DLL : 8.1.18.0 254327 Bytes 25.10.2011 19:05:14
AEGEN.DLL : 8.1.5.13 405877 Bytes 08.11.2011 07:08:54
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.24.0 196983 Bytes 25.10.2011 19:05:09
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.17 223184 Bytes 11.10.2011 12:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4ebc0db8\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +JOKE,+SPR,

Beginn des Suchlaufs: Donnerstag, 10. November 2011 21:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FOXIT READER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'httpd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LXSUPMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'httpd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'J:\1thes92p.exe'
J:\1thes92p.exe
[FUND] Ist das Trojanische Pferd TR/PSW.OnlineGames.KDHG.1
Beginne mit der Suche in 'J:\bud3mkqr.exe'
J:\bud3mkqr.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen
Beginne mit der Suche in 'J:\et3ypes.exe'
J:\et3ypes.exe
[FUND] Ist das Trojanische Pferd TR/Agent.bq.18
Beginne mit der Suche in 'J:\i00dvoym.exe'
J:\i00dvoym.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen
Beginne mit der Suche in 'J:\mi9al8rs.exe'
J:\mi9al8rs.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen

Beginne mit der Desinfektion:
J:\mi9al8rs.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d8b94e1.qua' verschoben!
J:\i00dvoym.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5505bb8d.qua' verschoben!
J:\et3ypes.exe
[FUND] Ist das Trojanische Pferd TR/Agent.bq.18
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0759e1a1.qua' verschoben!
J:\bud3mkqr.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '60a1ae60.qua' verschoben!
J:\1thes92p.exe
[FUND] Ist das Trojanische Pferd TR/PSW.OnlineGames.KDHG.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2521835d.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 10. November 2011 21:12
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
45 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
40 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
5 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Ok ich hab den Vollständigen Suchlauf gemacht.
MBAM hat nichts gefunden obwohl während dem Scan mein AVIRA wieder angesprungen ist und was gemeldet hat.


Ich poste mal die drei Logs die seit dem Befall von MBAM gespeichert wurden und mach dann alles aus um mit ESET weiterzumachen.

bei ESET finde ich nur: eset_smart_security_live_installer.exe
Ich werds versuchen



Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8160

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

14.11.2011 14:56:41
mbam-log-2011-11-14 (14-56-41).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 160451
Laufzeit: 3 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl (PUP.FCTPlugin) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\programme\Object (PUP.FCTPlugin) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\programme\Object\status.txt (PUP.FCTPlugin) -> Quarantined and deleted successfully.
c:\programme\Object\config.ini (PUP.FCTPlugin) -> Quarantined and deleted successfully.
c:\programme\Object\enable.txt (PUP.FCTPlugin) -> Quarantined and deleted successfully.
c:\programme\Object\status2.txt (PUP.FCTPlugin) -> Quarantined and deleted successfully.






Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8160

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

14.11.2011 18:52:58
mbam-log-2011-11-14 (18-52-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|G:\|I:\|)
Durchsuchte Objekte: 421665
Laufzeit: 1 Stunde(n), 43 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\alcohol soft\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Quarantined and deleted successfully.
c:\programme\electronic arts\battlefield bad company 2\rld-bbc2.exe (RiskWare.Tool.HCK) -> Quarantined and deleted successfully.





Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8163

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

15.11.2011 16:13:26
mbam-log-2011-11-15 (16-13-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 422503
Laufzeit: 1 Stunde(n), 44 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

c:\programme\electronic arts\battlefield bad company 2\rld-bbc2.exe (RiskWare.Tool.HCK)

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

Diese Datei war vorher nicht befallen. Der Virus scheint umherzuspringen.

Ich bin mir sicher, dass die Ursache nicht diese Datei ist.

Zitat:

Ich bin mir sicher, dass die Ursache nicht diese Datei ist.

Keygens und Cracks bleiben aber nunmal illegal und haben ein riesiges Infektionspotential.
Nur weil vorher kein Virenscanner diese gemeldet hat, heißt das nicht, dass sie jetzt erst "hinterher infiziert" wurde, das ist eine falsche Schlussfolgerung!

Beachten => http://www.trojaner-board.de/95393-c...-software.html