Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Hallo!

Hier ist das neue ASWMBR-Log:

Code: Alles auswählenAufklappen

ATTFilter

 aswMBR version 0.9.9.1297 Copyright(c) 2011 AVAST Software
Run date: 2012-01-08 23:26:40
-----------------------------
23:26:40.629    OS Version: Windows 6.0.6002 Service Pack 2
23:26:40.629    Number of processors: 2 586 0xF0B
23:26:40.629    ComputerName: ***-PC  UserName: 
23:26:41.519    Initialize success
23:26:52.361    AVAST engine defs: 12010701
23:27:09.396    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
23:27:09.411    Disk 0 Vendor: ST916082 3.BH Size: 152627MB BusType: 3
23:27:09.411    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-1
23:27:09.427    Disk 1 Vendor: ST916082 3.BH Size: 152627MB BusType: 3
23:27:09.489    Disk 0 MBR read successfully
23:27:09.489    Disk 0 MBR scan
23:27:09.521    Disk 0 Windows VISTA default MBR code
23:27:09.536    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       144992 MB offset 63
23:27:09.583    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS         7632 MB offset 296945460
23:27:09.583    Disk 0 scanning sectors +312576705
23:27:09.645    Disk 0 scanning C:\Windows\system32\drivers
23:27:34.184    Service scanning
23:27:36.181    Modules scanning
23:27:56.524    Disk 0 trace - called modules:
23:27:56.571    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys 
23:27:56.571    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8653fac8]
23:27:56.587    3 CLASSPNP.SYS[8a7a58b3] -> nt!IofCallDriver -> [0x8553b900]
23:27:56.587    5 acpi.sys[8069f6bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8553d030]
23:27:59.317    AVAST engine scan C:\Windows
23:28:10.346    AVAST engine scan C:\Windows\system32
23:34:20.741    AVAST engine scan C:\Windows\system32\drivers
23:34:43.174    AVAST engine scan C:\Users\*** NEU
23:35:22.704    AVAST engine scan C:\ProgramData
23:36:24.714    Scan finished successfully
23:37:03.293    Disk 0 MBR has been saved successfully to "C:\Users\*** NEU\Desktop\MBR.dat"
23:37:03.293    The log file has been saved successfully to "C:\Users\*** NEU\Desktop\aswMBR 2012-01-08.txt"
         

Viele Grüße
Touri

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

So, hat jetzt etwas länger gedauert. Hier die Ergebnisse:

Malwarebytes Log:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.09.08

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19170
*** NEU :: ***-PC [Administrator]

Schutz: Aktiviert

09.01.2012 23:10:19
mbam-log-2012-01-09 (23-10-19).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 570900
Laufzeit: 6 Stunde(n), 21 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Soweit so gut. Dann das SUPERAntiSpyware Log mit einigen Ergebnissen. Habe ich alles entfernt:

Code: Alles auswählenAufklappen

ATTFilter

 SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/10/2012 at 10:34 PM

Application Version : 5.0.1142

Core Rules Database Version : 8119
Trace Rules Database Version: 5931

Scan type       : Complete Scan
Total Scan Time : 02:18:36

Operating System Information
Windows Vista Home Premium 32-bit, Service Pack 2 (Build 6.00.6002)
UAC On - Limited User (Administrator User)

Memory items scanned      : 820
Memory threats detected   : 0
Registry items scanned    : 37225
Registry threats detected : 0
File items scanned        : 112533
File threats detected     : 18

Adware.Tracking Cookie
	ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	webcount.feratel.at [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	.apmebf.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	.fastclick.net [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	.doubleclick.net [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	.googleads.g.doubleclick.net [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	.doubleclick.net [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	.4stats.de [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	.4stats.de [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	.4stats.de [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	adserver.webwerk.at [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
	.247realmedia.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]
         

Und dann noch ESET, leider immer noch mit Trojaner-Ergebnis, oder? (Habe ich anweisungsgemäß NICHT entfernen lassen.) Das Problem steckt in den alten Backup-Dateien, die ich nicht mehr brauche.

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e2726ca70de5c54fb80bc461d2200c36
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-07 01:40:34
# local_time=2012-01-07 02:40:34 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 7027718 7027718 0 0
# compatibility_mode=5892 16776574 100 100 3717 163410107 0 0
# compatibility_mode=8192 67108863 100 0 6639 6639 0 0
# scanned=386143
# found=8
# cleaned=0
# scan_time=23054
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\2bf7b327-3f9e6f68	multiple threats (unable to clean)	00000000000000000000000000000000	I
D:\***-PC\Backup Set 2010-01-10 174323\Backup Files 2011-01-25 193038\Backup files 1.zip	multiple threats (unable to clean)	00000000000000000000000000000000	I
D:\***-PC\Backup Set 2010-01-10 174323\Backup Files 2011-05-30 230003\Backup files 3.zip	HTML/ScrInject.B.Gen virus (unable to clean)	00000000000000000000000000000000	I
H:\Retrospect Backup\Backup of HP_PAVILION (C)\Documents and Settings\Default User\Start Menu\Programs\Startup\AutoPlay.exe	Win32/Agent.NVP trojan (unable to clean)	00000000000000000000000000000000	I
H:\Retrospect Backup\Backup of HP_PAVILION (C)\Documents and Settings\Owner\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\BlackBox.class-e1df023-7e7f3714.class	Win32/TrojanClicker.Spywad.B trojan (unable to clean)	00000000000000000000000000000000	I
H:\Retrospect Backup\Backup of HP_PAVILION (C)\Documents and Settings\Owner\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\SecurityClassLoader.class-42db6c92-7253d5a7.class	Win32/TrojanClicker.Spywad.B trojan (unable to clean)	00000000000000000000000000000000	I
H:\Retrospect Backup\Backup of HP_PAVILION (C)\hp\bin\AUTOPLAY.EXE	Win32/Agent.NVP trojan (unable to clean)	00000000000000000000000000000000	I
H:\Retrospect Backup\Backup of HP_PAVILION (C)\Program Files\HPSelect\FL2002\autorun.exe	probably a variant of Win32/Hupigon.KKVRTQS trojan (unable to clean)	00000000000000000000000000000000	I
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e2726ca70de5c54fb80bc461d2200c36
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-11 03:23:17
# local_time=2012-01-11 04:23:17 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 7383368 7383368 0 0
# compatibility_mode=5892 16776638 100 100 224571 163765757 0 0
# compatibility_mode=8192 67108863 100 0 362289 362289 0 0
# scanned=305041
# found=2
# cleaned=0
# scan_time=19167
D:\***-PC\Backup Set 2010-01-10 174323\Backup Files 2011-01-25 193038\Backup files 1.zip	multiple threats (unable to clean)	00000000000000000000000000000000	I
D:\***-PC\Backup Set 2010-01-10 174323\Backup Files 2011-05-30 230003\Backup files 3.zip	HTML/ScrInject.B.Gen virus (unable to clean)	00000000000000000000000000000000	I
         

Sieht ok aus, da wurden nur Cookies gefunden und zwei Fehlalarme gemeldet.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo,

nein, keine Probleme, läuft alles einwandfrei. Das einzige Problem ist, dass das D:\-Laufwerk jetzt nach der ganzen Scannerei voll ist...

Und was sich auf H:\ verbirgt ist auch unproblematisch? Klingt gefährlich (TrojanClicker.Spywad.B, Agent.NVP trojan etc.)...

Aber ich gebe zu ziemlich planlos zu sein.

Das Zeug ist in alten Backups - einfach löschen

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Phantastisch - ein großes !!!

Die Ratschläge werde ich beherzigen. Jetzt trinke ich erst einmal ein Bier, Prost!

Vielen Dank, cosinus.

Gruß
Touri