Hier erstmal die neue Logdatei von aswMBR:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-19 22:43:04
-----------------------------
22:43:04.703    OS Version: Windows 5.1.2600 Service Pack 2
22:43:04.703    Number of processors: 1 586 0x4C02
22:43:04.703    ComputerName: JULIA  UserName: juli
22:43:05.874    Initialize success
22:43:25.609    AVAST engine defs: 11121900
22:43:30.359    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000069
22:43:30.359    Disk 0 Vendor: SAMSUNG_HM080HI AB100-10 Size: 76319MB BusType: 3
22:43:30.484    Disk 0 MBR read successfully
22:43:30.484    Disk 0 MBR scan
22:43:30.718    Disk 0 Windows XP default MBR code
22:43:30.749    Disk 0 scanning sectors +156296385
22:43:30.890    Disk 0 scanning C:\WINDOWS\system32\drivers
22:43:52.953    Service scanning
22:43:54.328    Modules scanning
22:44:03.828    Disk 0 trace - called modules:
22:44:03.843    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvata.sys 
22:44:03.843    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85240ab8]
22:44:03.843    3 CLASSPNP.SYS[f74c805b] -> nt!IofCallDriver -> \Device\0000006a[0x85243948]
22:44:04.187    5 ACPI.sys[f735d620] -> nt!IofCallDriver -> \Device\00000069[0x852e4030]
22:44:04.437    AVAST engine scan C:\WINDOWS
22:44:23.921    AVAST engine scan C:\WINDOWS\system32
22:46:18.296    AVAST engine scan C:\WINDOWS\system32\drivers
22:46:28.499    AVAST engine scan C:\Dokumente und Einstellungen\juli
22:48:47.906    AVAST engine scan C:\Dokumente und Einstellungen\All Users
22:49:09.796    Scan finished successfully
22:49:56.874    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\juli\Desktop\MBR.dat"
22:49:56.874    The log file has been saved successfully to "C:\Dokumente und Einstellungen\juli\Desktop\aswMBR3.txt"
         

Sag Bescheid, wenn wir jetzt die kompletten Scans durchführen sollen.

Nee nicht beide, das sind drei Scans => MBAM, SASW und ESET

Feuer frei!

Erstmal MBAM:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8402

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

20.12.2011 15:31:09
mbam-log-2011-12-20 (15-31-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 301109
Laufzeit: 42 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\_OTL\movedfiles\12122011_204736\c_dokumente und einstellungen\Felix\anwendungsdaten\5suxrt589cxuftg.exe (Backdoor.Agent.H) -> No action taken.
c:\_OTL\movedfiles\12122011_204736\c_dokumente und einstellungen\juli\anwendungsdaten\5suxrt589cxuftg.exe (Backdoor.Agent.H) -> No action taken.
         

Das sind nur isolierte Schädlinge in der Q von OTL.
Mach mit den anderen weiter

Jetzt SASW:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8402

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

20.12.2011 15:31:09
mbam-log-2011-12-20 (15-31-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 301109
Laufzeit: 42 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\_OTL\movedfiles\12122011_204736\c_dokumente und einstellungen\Felix\anwendungsdaten\5suxrt589cxuftg.exe (Backdoor.Agent.H) -> No action taken.
c:\_OTL\movedfiles\12122011_204736\c_dokumente und einstellungen\juli\anwendungsdaten\5suxrt589cxuftg.exe (Backdoor.Agent.H) -> No action taken.
         

..und schließlich noch ESET:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a931c2208bf3eb41a6ac88c14b3c3c36
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-13 10:17:09
# local_time=2011-12-13 11:17:09 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=8192 67108863 100 0 3936 3936 0 0
# scanned=121487
# found=8
# cleaned=0
# scan_time=4712
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V0J02V6Q\main[1].htm	JS/Kryptik.EI.Gen trojan (unable to clean)	00000000000000000000000000000000	I
C:\RECYCLER\S-1-5-21-1179663589-1245496569-3080118457-1006\Dc770.zip	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\WINDOWS\system32\drivers\SSHDRV86.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\WINDOWS\Temp\qaurcn\setup.exe	a variant of Win32/LockScreen.AJB trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\12122011_204736\C_Dokumente und Einstellungen\Felix\Anwendungsdaten\5suxrt589cxuftg.exe	a variant of Win32/LockScreen.AJB trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\12122011_204736\C_Dokumente und Einstellungen\juli\Anwendungsdaten\5suxrt589cxuftg.exe	a variant of Win32/LockScreen.AJB trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\12122011_204736\C_Dokumente und Einstellungen\NetworkService\Anwendungsdaten\5suxrt589cxuftg.exe	a variant of Win32/LockScreen.AJB trojan (unable to clean)	00000000000000000000000000000000	I
${Memory}	a variant of Win32/Sirefef.DN trojan	00000000000000000000000000000000	I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a931c2208bf3eb41a6ac88c14b3c3c36
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-20 06:38:56
# local_time=2011-12-20 07:38:56 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=8192 67108863 100 0 596028 596028 0 0
# scanned=115452
# found=25
# cleaned=0
# scan_time=4327
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP202\A0028389.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP202\A0029389.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP202\A0029398.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP202\A0030398.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP202\A0031398.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP202\A0032398.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP202\A0032408.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP202\A0033408.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP202\A0033416.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP202\A0033428.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP202\A0033440.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP203\A0033457.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP203\A0033477.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP203\A0033565.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP204\A0033578.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP205\A0033598.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP205\A0033617.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP205\A0033639.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP205\A0033652.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP205\A0033665.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP205\A0033674.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{F1D2E550-A178-442E-9ACF-DB7A2C41F19D}\RP206\A0033801.sys	a variant of Win32/Rootkit.Kryptik.GG trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\12122011_204736\C_Dokumente und Einstellungen\Felix\Anwendungsdaten\5suxrt589cxuftg.exe	a variant of Win32/LockScreen.AJB trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\12122011_204736\C_Dokumente und Einstellungen\juli\Anwendungsdaten\5suxrt589cxuftg.exe	a variant of Win32/LockScreen.AJB trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\12122011_204736\C_Dokumente und Einstellungen\NetworkService\Anwendungsdaten\5suxrt589cxuftg.exe	a variant of Win32/LockScreen.AJB trojan (unable to clean)	00000000000000000000000000000000	I
         

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Systemwiederherstellung ist deaktiviert. Kann ich noch irgendwas tun? Soll ich das Update für Service Pack 3 durchführen? Oder nen aktuelles Antivirus-Programm aufspielen?

Gruß,

Wir sollten dann fast durch sein

1. Das SP3 von hier downloaden => Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler (und ja es ist das richtige Paket für dich)
   
2. Alle Programme beenden, Internetverbindung trennen, Virenscanner abstellen!
   
3. SP3 instalieren, Anweisungen folgen - Installation sollte ca. 15-20 Minuten dauern. Kann auch schneller gehen, bei älteren Rechnern dauert es ca. ne halbe Stunde - nach der Installation Rechner neu starten

SP3 ist jetzt installiert. Im Moment sieht alles ganz ok aus.
Vielen Dank schonmal bis hierhin

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.


Flashplayer
Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers => Adobe - Andere Version des Adobe Flash Player installieren
(Alternativ bei Chip => http://filepony.de/?q=Flash+Player)

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Vielen, vielen Dank.
Du hast mir durch deine Hilfe einiges erspart und nebenbei habe ich meinen Computer von einer ganz neuen Seite kennengelernt.
Ach ja, muss ich Malwarebytes kaufen? Hatte die Meldung, dass die Testversion in fünf Tagen abläuft.

Gruß, Julia

Nein, Malwarebytes muss man nicht kaufen. Nur wenn du die im Hintergrund laufende "Protection" Erweiterung dauerhaft verwenden und vllt mal die sog. Flashscans machen willst, dann musst du Malwarebytes kaufen.

Nachdem ich jetzt ein paar der angesprochenen Punkte aus deiner vorletzten Antwort durchgeführt habe (Programme gelöscht, neuen pdf-Reader installiert, Windows-Updates runtergeladen) meldet sich Malwarebytes wieder mit der Meldung, dass es den Zugang zu einer potentiell gefährlichen Internetseite geblockt habe. Ist das gefährlich?

Zitat:

Ist das gefährlich?

Wie soll ich das denn einschätzen wenn du mir die genauen Meldungen nicht zeigst?