Zitat:

Zitat von cosinus

Weil du dann nicht mehr über die Recovery-Partition recovern kannst. Das ist aber eh die bekloppteste Augenwischerei. Diesen shice hätte man sich echt sparen können. Recovery-DVD beilegen Recovery NUR und AUSCHLIESSLICH darüber Punkt aus Ende, dann hätte man weniger Probleme.

Weil ein Virus die Partition infizieren kann?
kann ich die recover partition jetzt lscöhen da sie ehh nicht mehr funktioniert?

Zitat:

aswMBR version 0.9.9.1297 Copyright(c) 2011 AVAST Software
Run date: 2012-01-12 23:38:52
-----------------------------
23:38:52.216 OS Version: Windows x64 6.1.7600
23:38:52.216 Number of processors: 4 586 0x2505
23:38:52.216 ComputerName: Ersetzter Name-HP UserName: Ersetzter Name
23:38:54.135 Initialize success
23:38:54.384 AVAST engine defs: 12011201
23:38:57.473 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
23:38:57.473 Disk 0 Vendor: WDC_WD50 06.0 Size: 476940MB BusType: 8
23:38:57.489 Disk 0 MBR read successfully
23:38:57.489 Disk 0 MBR scan
23:38:57.489 Disk 0 Windows 7 default MBR code
23:38:57.489 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
23:38:57.504 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 462879 MB offset 206848
23:38:57.535 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 13959 MB offset 948183040
23:38:57.535 Service scanning
23:39:00.609 Modules scanning
23:39:00.609 Disk 0 trace - called modules:
23:39:00.624 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
23:39:00.624 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004a07060]
23:39:00.624 3 CLASSPNP.SYS[fffff88000e0143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa80046d9050]
23:39:01.217 AVAST engine scan C:\Windows
23:39:04.881 AVAST engine scan C:\Windows\system32
23:40:15.409 AVAST engine scan C:\Windows\system32\drivers
23:40:25.269 AVAST engine scan C:\Users\Ersetzter Name
23:47:19.027 AVAST engine scan C:\ProgramData
23:50:02.120 Scan finished successfully
23:50:53.742 Disk 0 MBR has been saved successfully to "C:\Users\Ersetzter Name\Desktop\MBR.dat"
23:50:53.742 The log file has been saved successfully to "C:\Users\Ersetzter Name\Desktop\aswMBR.txt"

Zitat:

Weil ein Virus die Partition infizieren kann?

EIne Partition kann nicht infiziert werden. Es kann aber Schadcode in Form von Dateien auf ein Dateisystem (formatierte Partition) oder Schadcode im MBR abgelegt werden (MBR= 1. Sektor (Sektor 0) auf einer Fetsplatte)

Zitat:

23:38:57.489 Disk 0 Windows 7 default MBR code

Dein MBR ist nun ok.
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

uhh das wird wieder zeit in anspruch nehmen.. allein Eset dauert ne stunde

Fullquote entfernt //cosinus

Um mir das mitzuteilen brauchst du keinen Fullquote zu machen...

Eset kommt noch und die Keybind.exe ist kein virus, ist ein Keybinder, also für Minecraft Server schreibt der z.b. im chat wenn ich f1 drücke /i 1 oder sowas ...

Zitat:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/14/2012 at 12:10 PM

Application Version : 5.0.1142

Core Rules Database Version : 8133
Trace Rules Database Version: 5945

Scan type : Quick Scan
Total Scan Time : 00:03:53

Operating System Information
Windows 7 Home Premium 64-bit (Build 6.01.7600)
UAC Off - Administrator

Memory items scanned : 590
Memory threats detected : 0
Registry items scanned : 64214
Registry threats detected : 0
File items scanned : 11603
File threats detected : 8

Adware.Tracking Cookie
accounts.google.com [ C:\USERS\VOLKAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7GH1LLR1.DEFAULT\COOKIES.SQLITE ]
accounts.youtube.com [ C:\USERS\VOLKAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7GH1LLR1.DEFAULT\COOKIES.SQLITE ]
.serving-sys.com [ C:\USERS\VOLKAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7GH1LLR1.DEFAULT\COOKIES.SQLITE ]
.serving-sys.com [ C:\USERS\VOLKAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7GH1LLR1.DEFAULT\COOKIES.SQLITE ]
.bs.serving-sys.com [ C:\USERS\VOLKAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7GH1LLR1.DEFAULT\COOKIES.SQLITE ]
.serving-sys.com [ C:\USERS\VOLKAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7GH1LLR1.DEFAULT\COOKIES.SQLITE ]
.serving-sys.com [ C:\USERS\VOLKAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7GH1LLR1.DEFAULT\COOKIES.SQLITE ]

Trojan.Agent/Gen-Buzus
C:\USERS\VOLKAN\DESKTOP\ETC\GAMES\KEYBIND.EXE

Zitat:

Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.09.07

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Volkan :: Volkan-HP [Administrator]

Schutz: Aktiviert

14.01.2012 11:15:44
mbam-log-2012-01-14 (11-15-44).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 426425
Laufzeit: 47 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Da haste Eset

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=41a8817114b9e542b535448ceaa2d9c8
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-09 08:46:04
# local_time=2012-01-09 09:46:04 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=768 16777215 100 0 32394603 32394603 0 0
# compatibility_mode=5893 16776573 100 94 0 77770904 0 0
# compatibility_mode=8192 67108863 100 0 80 80 0 0
# scanned=50926
# found=0
# cleaned=0
# scan_time=909
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=41a8817114b9e542b535448ceaa2d9c8
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-09 10:00:25
# local_time=2012-01-09 11:00:25 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=768 16777215 100 0 32395591 32395591 0 0
# compatibility_mode=5893 16776573 100 94 0 77771892 0 0
# compatibility_mode=8192 67108863 100 0 1068 1068 0 0
# scanned=251604
# found=6
# cleaned=0
# scan_time=4383
C:\Program Files (x86)\JDownloader\backup\database_1293745865538.zip MSIL/Restamdos.AG trojan (unable to clean) 00000000000000000000000000000000 I
C:\Program Files (x86)\K-Lite Codec Pack\Tools\Xvid_Quant_Matrices.zip MSIL/Restamdos.AG trojan (unable to clean) 00000000000000000000000000000000 I
C:\Program Files (x86)\TechSmith\Camtasia Studio 7\Media\Studio\Swf\Preloaders\preloaders_src.zip MSIL/Restamdos.AG trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Volkan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\6304e921-78c1078a multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Users\Volkan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\1a31206d-5b0cb72b Java/Agent.DJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Volkan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\75bb0ac9-58ac3681 Java/Exploit.CVE-2011-3544.S trojan (unable to clean) 00000000000000000000000000000000 I
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=41a8817114b9e542b535448ceaa2d9c8
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-14 12:23:02
# local_time=2012-01-14 01:23:02 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=768 16777215 100 0 32793354 32793354 0 0
# compatibility_mode=5893 16776573 100 94 70913 78169655 0 0
# compatibility_mode=8192 67108863 100 0 398831 398831 0 0
# scanned=235598
# found=0
# cleaned=0
# scan_time=3977

Ok der hat nichts mehr weiter gefunden im letzten Lauf.
Rechner soweit wieder im Lot oder gibts noch Probleme?

Prima, danke sehr nett. Du hast mir das zweite Mal geholfen

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Zitat:

CF kann über Start, Ausführen mit combofix /uninstall entfernt werden

Zitat:

[Window Title]
combofix

[Content]
"combofix" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig eingegeben haben und wiederholen Sie den Vorgang.

[OK]

und ich achte sowieso darauf, dass bei mir alles up to date ist

Dann lass es einfach so. CF sollte nicht deinstalliert auch nicht weiter stören