Achja, vielleicht sollte ich hinzufügen: Beim ersten tdss scan, den wir gemacht hatten, wurden keine Bedrohungen entdeckt. Erst, als ich den Haken bei Verify driver digital signatures und Detect TDLFS file system gesetzt hatte, kamen die drei Bedrohungen raus, von denen wir Nvnusbaudio dann in Quarantäne packten. Sorry für die Unklarheit!

kein problem, lass uns mal morgen weiter machen bitte

Alles klar, danke!! Meld dich einfach, wenn du Luft hast.

...ich beschreib nur noch einmal kurz die genaue Symptomatik, da es gerade wieder passiert ist:

1. Vollbild-Applikationen werden in unregelmäßigen Abständen von etwa 10-20 Minuten minimiert.

2. Sehr selten bekomme ich die Fehlermeldung, dass der Internet Explorer eine Seite nicht öffnen konnte und der Vorgang abgebrochen wurde, obwohl ich den Internet Explorer nicht verwende

3. (am häufigsten): Ich werde, wenn ich auf einen Link (z.B. von Google aus) klicke, auf andere Seiten weitergeleitet, wie z.B. 12finder.de, ips.us oder damnlol.com. Diese Weiterleitung wird dann unterbrochen, sodass ich meist auf der Startseite der angestrebten Seite (z.B. Kaspersky, als ich eigtl. TDDSKiller per Direktlink laden wollte) lande.

4. Seiten laden langsamer als gewohnt.

...noch ein Update, Malwarebytes wurde jetzt bei der externen Festplatte fündig...ich weiß aber nicht, ob das das Problem verursacht...




Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 8226

Windows 5.2.3790 Service Pack 2
Internet Explorer 6.0.3790.1830

24.11.2011 01:09:35
mbam-log-2011-11-24 (01-09-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (I:\|)
Durchsuchte Objekte: 237790
Laufzeit: 10 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
i:\system volume information\_restore{fd53264e-855f-45c1-afb6-eccd606737ed}\RP388\A0074002.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
i:\system volume information\_restore{fd53264e-855f-45c1-afb6-eccd606737ed}\RP388\A0074003.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
i:\system volume information\_restore{fd53264e-855f-45c1-afb6-eccd606737ed}\RP388\A0074004.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

Als letztes ist mir noch aufgefallen, dass sich der Internet Explorer nach jedem Neustart als Standard-Browser setzt...dies muss ich jedes Mal beim Start von Firefox oder Chrome wieder ändern.

Jetzt aber - gute Nacht!

erst mal danke für die zusammenfassung.
das klingt für mich nach dem rootkit verdacht den ich habe aber wir müssen das unbedingt vorher ganz sicher wissen befor wir weitere schritte einleiten.
http://www.trojaner-board.de/74908-a...t-scanner.html
bitte mal ausführen log posten.

Hi Markus,

ich habe GMER gemäß Anleitung ausgeführt (also vorher alle Scanner und Netzwerkverbindungen deaktiviert und beim scannen die Maus nicht bewegt) und bekam am Schluss die Meldung, dass keine Veränderungen im System auf keiner der Platten gefunden werden konnten. Ich klickte dann auf "Copy", kriege aber keinen Log zum Einfügen...achja, und bei mir sind einige Suchkriterien auf der rechten Seite ausgegraut, ist das normal? Habe ich was falsch gemacht?




Ein weiteres Update: Ich habe mit Kaspersky den ständig laufenden Prozess "IEXPLORER.EXE" jetzt mal auf "untrusted" gestellt, seitdem bekomme ich die anfangs erwähnte Fehlermeldung, dass der Internet Explorer einen Link öffnen wollte, nicht mehr. Nur Kaspersky hat bisher einmal gemeldet, dass ein Download verhindert wurde, weil der Prozess auf "untrusted" gesetzt wurde...über die IEXPLORER.EXE scheint also einiges von diesem "Rest-Trojaner" zu laufen...achja, und die Google Weiterleitungen wirken fröhlich weiter.

hi, das ist aber der internet explorer, du musst das dann unbedingt wieder endern wenn wir durch sind.
nutze hitmanpro, wähle quarantäne für funde und poste das log
http://www.trojaner-board.de/99424-c...o-scannen.html

hi, ich kann meinen vorher gehenden beitrag nicht bearbeiten, nutze mal bitte diesen hitmanpro link
http://dl.surfright.nl/HitmanPro36beta_x64.exe

Hi Marcus,

da ich leider keine Vollversion von Hitman habe, komme ich nicht an die Logs ran bzw. hab nicht die Möglichkeit, was in Quarantäne zu verschieben....aber das Programm ist fündig geworden! Nicht nur fand es einige Tracking Cookies (z.B. "atdmt.com"), sondern auch eine mögliche Infizierung...ich muss es leider per Screenshot anhängen, da ich ja keine Vollversion hab:

ANMERKUNG: Wenn ich mit dem Scrollrad nach unten gehe, kommen nur noch Tracking Cookies, keine weiteren Trojaner.

du kannst doch die testversion registrieren dann müsste es gehen mit den logs und dem bzw in quarantäne packen der dateien.

Ah, das hatte ich übersehen, mein Fehler. Bei diesem Run fand Hitman sogar ein Bootkit!!


Hitman Log.xml

computer scan version date reboot timeSpentInSecs filesProcessed type malwareName score status id name path hash
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Malware Bootkit 100 PendingDelete Other Win64/Bootkit C:$MBR EC57733AEBA31CDF5CF60CD2279FAAC72363001444B0A75A2459BF1CBF5C81FB
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Cookies\administrator@atdmt[2].txt
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Cookies\administrator@mm.chitika[1].txt
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:2o7.net
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:ad.ad-srv.net
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:ad.adnet.de
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:ad.yieldmanager.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:ad.zanox.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:ads.creative-serving.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:ads.leitmotiv.de
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:adserver.adtechus.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:advertise.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:apmebf.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:atdmt.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:bs.serving-sys.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:c1.atdmt.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:doubleclick.net
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:ero-advertising.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:h.atdmt.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:media6degrees.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:mediaplex.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:questionmarket.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:serving-sys.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:smartadserver.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:tradedoubler.com
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Repair 0 Deleted C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies:Google
GREGSEN Normal 3.6.0.133 25.11.2011 15:55 yes 165 34630 Malware Trojan 104 Quarantiend DrWeb STPAGE.Trojan C:\Documents and Settings\Administrator\My Documents\Downloads\Live_Install.exe 405884DA131F15914CBF0CC802394D6030E03C26070291F0B7B66345A58C1A63

ok neustarten, ie wieder freigeben in kaspersky und beobachten wies läuft.

Haha, ich freu mich so! Sieht aus, als hätten wir dem Mistding einen ganz schönen Schlag versetzt. IEXPLORER.EXE verhält sich nach Freigabe normal und setzt sich nicht mehr als Standardbrowser. Die Verzögerung bei der Benutzung von Google ist weg. Bisher bin ich nicht mehr umgeleitet worden. Ich kann soweit keine Beeinträchtigung feststellen.

Was meinst du? Wie weit sind wir bei der Bereinigung? Ein riesiges Dankeschön an deine Mithilfe! Meine Spende ist euch sicher.