tr/crypt.Xpack.gen8,Tr/Psw.zbot.924,EXP/Cve-2011-3544,TR/startPage.eo.1,EXP/Blacole.DU

cosinus · 21.02.2012, 19:41

Ich versteh die Frage nicht. Was verstehst du an den Anweisungen nicht?

???

Ameli · 21.02.2012, 19:42

okay, hat sich geklärt

bis gleich
Ameli

Ameli · 21.02.2012, 20:11

hier die Auswertung von Combofix:

[code]
Combofix Logfile:

Code:

ATTFilter

ComboFix 12-02-21.02 - Lammer 21.02.2012  19:50:06.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.639 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\Lammer\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
d:\dokumente und einstellungen\Lammer\4.0
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\1.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\a.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\b.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\c.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\d.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\e.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\f.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\g.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\h.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\i.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\J.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\k.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\l.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\m.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\mru.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\n.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\o.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\p.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\q.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\r.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\s.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\t.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\u.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\v.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\w.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\x.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\y.xml
d:\dokumente und einstellungen\Lammer\Anwendungsdaten\PriceGong\Data\z.xml
d:\dokumente und einstellungen\Lammer\Recent\Thumbs.db
d:\dokumente und einstellungen\Lammer\WINDOWS
d:\dokumente und einstellungen\LocalService\Anwendungsdaten\DPInst.exe
d:\dokumente und einstellungen\LocalService\Anwendungsdaten\gacutil.exe
d:\dokumente und einstellungen\LocalService\Anwendungsdaten\PnPutil.exe
d:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-21 bis 2012-02-21  ))))))))))))))))))))))))))))))
.
.
2012-02-21 08:33 . 2012-02-21 08:33	--------	d-----w-	D:\_OTL
2012-02-19 20:28 . 2012-02-19 20:28	40776	----a-w-	d:\windows\system32\drivers\mbamswissarmy.sys
2012-02-18 15:34 . 2012-02-18 15:34	--------	d-----w-	d:\programme\ESET
2012-02-17 10:04 . 2012-02-17 10:04	--------	d-----w-	d:\dokumente und einstellungen\Lammer\Anwendungsdaten\Malwarebytes
2012-02-17 10:04 . 2012-02-17 10:04	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-17 10:04 . 2011-12-10 14:24	20464	----a-w-	d:\windows\system32\drivers\mbam.sys
2012-02-17 10:04 . 2012-02-17 10:04	--------	d-----w-	d:\programme\Malwarebytes' Anti-Malware
2012-02-15 13:38 . 2012-01-11 19:06	3072	-c----w-	d:\windows\system32\dllcache\iacenc.dll
2012-02-15 13:38 . 2012-01-11 19:06	3072	------w-	d:\windows\system32\iacenc.dll
2012-02-12 22:00 . 2012-02-12 22:00	--------	d-----w-	d:\dokumente und einstellungen\Lammer\Lokale Einstellungen\Anwendungsdaten\Mozilla
2012-02-12 21:11 . 2012-02-12 21:11	--------	d-----r-	d:\dokumente und einstellungen\LocalService\Favoriten
2012-02-12 21:11 . 2012-02-12 21:11	--------	d-sh--w-	d:\dokumente und einstellungen\LocalService\IETldCache
2012-02-07 16:38 . 2012-02-07 16:38	--------	d-----w-	d:\programme\IDM
2012-02-07 16:31 . 2012-02-07 16:31	--------	d-----w-	d:\programme\Oxford
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-15 18:09 . 2011-10-18 15:43	137416	----a-w-	d:\windows\system32\drivers\avipbb.sys
2012-01-12 17:20 . 2008-04-14 05:23	1860096	----a-w-	d:\windows\system32\win32k.sys
2011-12-17 19:43 . 2008-04-14 05:53	1469440	----a-w-	d:\windows\system32\inetcpl.cpl
2011-12-17 19:43 . 2008-04-14 05:52	916992	----a-w-	d:\windows\system32\wininet.dll
2011-12-17 19:43 . 2008-04-14 05:52	43520	----a-w-	d:\windows\system32\licmgr10.dll
2011-12-16 12:22 . 2008-04-14 05:25	385024	----a-w-	d:\windows\system32\html.iec
2011-12-10 09:25 . 2011-12-24 10:08	59392	----a-w-	d:\windows\system32\Spool\prtprocs\w32x86\EKAiO2PPR.dll
2011-12-10 09:25 . 2011-12-24 10:08	160256	----a-w-	d:\windows\system32\EKAiO2COI07.dll
2011-12-10 09:25 . 2011-12-24 10:08	805376	----a-w-	d:\windows\system32\EKAiO2MON.dll
2011-11-25 21:57 . 2008-04-14 05:52	293888	----a-w-	d:\windows\system32\winsrv.dll
2012-02-18 16:01 . 2012-02-12 22:05	134104	----a-w-	d:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="d:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-06-29 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="d:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-12-03 1594664]
"Conime"="d:\windows\system32\conime.exe" [2008-04-14 27648]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512]
"EKAIO2StatusMonitor"="d:\windows\System32\spool\DRIVERS\W32X86\3\EKAiO2MUI.exe" [2011-12-10 2756608]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="d:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 21:45	28672	----a-w-	d:\windows\system32\notifyf2.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 18:16	24576	----a-w-	d:\windows\system32\tphklock.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^Lammer^Startmenü^Programme^Autostart^OpenOffice.org 3.2.lnk]
path=d:\dokumente und einstellungen\Lammer\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk
backup=d:\windows\pss\OpenOffice.org 3.2.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACTray]
2010-03-01 11:18	431464	----a-w-	d:\programme\ThinkPad\ConnectUtilities\ACTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACWLIcon]
2010-03-01 11:18	181608	----a-w-	d:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-02 09:07	843712	----a-r-	d:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-01-03 21:51	37296	----a-w-	d:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
2009-09-29 13:10	26112	----a-w-	d:\windows\system32\Ati2mdxx.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrowserChoice]
2010-02-12 10:03	293376	------w-	d:\windows\system32\browserchoice.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 05:52	15360	----a-w-	d:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EZEJMNAP]
2009-12-01 00:39	256576	------w-	d:\progra~1\ThinkPad\UTILIT~1\EZEJMNAP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRMGRTR]
2010-01-05 23:13	513384	------w-	d:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
2004-08-06 05:27	860160	----a-w-	d:\programme\Analog Devices\SoundMAX\SMax4.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
2004-10-14 07:11	1388544	----a-w-	d:\programme\Analog Devices\SoundMAX\SMax4PNP.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2009-09-29 12:36	61440	----a-w-	d:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TP4EX]
2005-10-16 23:11	65536	----a-w-	d:\windows\system32\TP4EX.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPHOTKEY]
2006-10-02 08:19	94208	----a-w-	d:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPKMAPHELPER]
2007-01-09 14:28	868352	----a-w-	d:\programme\ThinkPad\Utilities\TpKmapAp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TpShocks]
2009-12-11 10:19	337256	----a-w-	d:\windows\system32\TpShocks.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVT Scheduler Proxy]
2008-03-04 08:34	487424	----a-w-	d:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Datensicherung\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"d:\\Programme\\Kodak\\AiO\\Center\\Kodak.Statistics.exe"=
"d:\\Programme\\Kodak\\AiO\\Center\\NetworkPrinterDiscovery.exe"=
"d:\\Programme\\Kodak\\AiO\\Firmware\\KodakAiOUpdater.exe"=
"d:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kodak\\Installer\\Setup.exe"=
"d:\\Programme\\ICQ7.6\\ICQ.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\explorer.exe"= %windir%\explorer.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:UDP"= 5353:UDP:Bonjour Port 5353
"9322:TCP"= 9322:TCP:EKDiscovery
.
R0 DozeHDD;DozeHDD;d:\windows\system32\drivers\DOZEHDD.SYS [20.04.2010 20:40 24304]
R0 TPDIGIMN;TPDIGIMN;d:\windows\system32\drivers\ApsHM86.sys [09.10.2009 11:10 20520]
R0 TPDiskPM;TPDiskPM;d:\windows\system32\drivers\TPDiskPM.sys [20.04.2010 20:19 14848]
R1 avkmgr;avkmgr;d:\windows\system32\drivers\avkmgr.sys [18.10.2011 16:43 36000]
R1 lenovo.smi;Lenovo System Interface Driver;d:\windows\system32\drivers\smiif32.sys [20.04.2010 20:39 13480]
R1 SSHDRV5C;SSHDRV5C;d:\windows\system32\drivers\SSHDRV5C.sys [21.09.2010 17:46 34816]
R2 AntiVirSchedulerService;Avira Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [18.10.2011 16:44 86224]
R2 DozeSvc;Lenovo Doze Mode Service;d:\programme\ThinkPad\Utilities\DOZESVC.EXE [20.04.2010 20:40 132456]
R2 Kodak AiO Network Discovery Service;Kodak AiO Network Discovery Service;d:\programme\Kodak\AiO\Center\EKAiOHostService.exe [05.09.2011 16:00 393648]
R2 LENOVO.CAMMUTE;Lenovo Camera Mute;d:\programme\Lenovo\HOTKEY\cammute.exe [20.04.2010 20:39 54632]
R2 Power Manager DBC Service;Power Manager DBC Service;d:\programme\ThinkPad\Utilities\PWMDBSVC.exe [20.04.2010 20:40 53248]
R2 TPHKSVC;Anzeige am Bildschirm;d:\programme\Lenovo\HOTKEY\TPHKSVC.exe [20.04.2010 20:39 63928]
R3 TPInput;TPInput;d:\windows\system32\drivers\TPInput.sys [20.04.2010 20:19 6528]
S2 gupdate;Google Update Service (gupdate);d:\programme\Google\Update\GoogleUpdate.exe [29.06.2010 20:23 135664]
S2 LENOVO.MICMUTE;Lenovo Microphone Mute;d:\programme\Lenovo\HOTKEY\micmute.exe [20.04.2010 20:39 44984]
S3 gupdatem;Google Update-Dienst (gupdatem);d:\programme\Google\Update\GoogleUpdate.exe [29.06.2010 20:23 135664]
S3 MBAMSwissArmy;MBAMSwissArmy;d:\windows\system32\drivers\mbamswissarmy.sys [19.02.2012 21:28 40776]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-21 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- d:\programme\Google\Update\GoogleUpdate.exe [2010-06-29 19:23]
.
2012-02-21 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- d:\programme\Google\Update\GoogleUpdate.exe [2010-06-29 19:23]
.
2010-04-21 d:\windows\Tasks\PMTask.job
- d:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2010-04-20 23:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: {{7644E42D-B096-457F-8B5B-901238FC81AE} - d:\programme\ICQ7.6\ICQ.exe
TCP: Interfaces\{33E03DEE-F163-4BEC-866A-BDAE5B6A8775}: NameServer = 192.168.178.1
FF - ProfilePath - d:\dokumente und einstellungen\Lammer\Anwendungsdaten\Mozilla\Firefox\Profiles\vo0q8ah7.default\
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Notify-ACNotify - ACNotify.dll
MSConfigStartUp-SunJavaUpdateSched - d:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
AddRemove-Presentation Director - d:\windows\IsUn0407.exe
AddRemove-Uninstall_is1 - d:\programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-02-21 20:02
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1292428093-299502267-1801674531-1003\Software\SecuROM\License information*]
"datasecu"=hex:6e,60,19,57,6d,72,04,1e,33,a8,f3,f1,18,00,bd,17,25,fd,ef,bc,3e,
   53,b4,dd,a6,31,c8,3b,23,01,1e,49,bd,d8,0b,cd,82,a6,18,a6,6c,08,80,67,87,8b,\
"rkeysecu"=hex:8a,80,10,b7,ac,3e,a7,c5,4c,41,35,92,c0,94,6e,93
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1052)
d:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
d:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
d:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
d:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
d:\windows\system32\Ati2evxx.dll
d:\windows\system32\tphklock.dll
.
- - - - - - - > 'explorer.exe'(3932)
d:\windows\system32\webcheck.dll
d:\windows\system32\WPDShServiceObj.dll
d:\windows\system32\PortableDeviceTypes.dll
d:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\windows\system32\ibmpmsvc.exe
d:\windows\system32\Ati2evxx.exe
d:\programme\Intel\Wireless\Bin\S24EvMon.exe
d:\windows\system32\Ati2evxx.exe
d:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
d:\programme\Avira\AntiVir Desktop\avguard.exe
d:\programme\Intel\Wireless\Bin\EvtEng.exe
d:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
d:\programme\Java\jre6\bin\jqs.exe
d:\programme\Intel\Wireless\Bin\RegSrvc.exe
d:\programme\Analog Devices\SoundMAX\SMAgent.exe
d:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
d:\windows\system32\TpKmpSVC.exe
d:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
d:\programme\Lenovo\System Update\SUService.exe
d:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
d:\programme\Avira\AntiVir Desktop\avshadow.exe
d:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\program files\ThinkPad\UltraNav Wizard\UNavTray.EXE
d:\programme\Synaptics\SynTP\SynTPLpr.exe
d:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-02-21  20:08:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-02-21 19:07
.
Vor Suchlauf: 7 Verzeichnis(se), 30.169.698.304 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 30.254.411.776 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 327D0FB7CCDBB251B1F724BC8187E0CC

--- --- ---

Grüße Ameli

cosinus · 21.02.2012, 20:54

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Ameli · 23.02.2012, 16:52

Hi Arne,
GMER wie du schon geahnt hast, ging auch nach dem 2. mal neu runterladen nicht. Und bei Osam stellt sich mir ein erneutes Problem, da ich kein Entpackungsprogramm habe, hab ich mit 7zip runtergeladen, jedoch öffnet sich Osam auch nach dem 2. mal downloaden in 7zip nicht.
=/ Was mache ich falsch? Habe alles ganz normal über Mozilla runtergeladen, aus dem Downloadfensterchen auf den Desktop gezogen & versuch beides zukombinieren:/

Gruß Ameli

cosinus · 23.02.2012, 17:40

Virenscanner wurde deaktiviert?
Du musst es auch vorher komplett entpacken. OSAM.exe nicht aus dem 7zip Fenster heraus öffnen!

Ameli · 23.02.2012, 20:00

ja, der Virenscanner wurde deaktiviert... mhm okay, dass hatte ich nämlich versucht Osam mit 7zip zu öffnen.. wie entpacke ich das:/?
Gruß Ameli

cosinus · 23.02.2012, 21:13

Rechtsklick => 7zip => Entpacken nach
So entpackt man!

Ameli · 26.02.2012, 19:26

Hi Arne,
hier die Auswertung von Osam:

Code:

ATTFilter

aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-02-26 19:11:33
-----------------------------
19:11:33.640    OS Version: Windows 5.1.2600 Service Pack 3
19:11:33.640    Number of processors: 1 586 0xD08
19:11:33.640    ComputerName: LENOVO  UserName: Lammer
19:11:34.796    Initialize success
19:14:51.078    AVAST engine defs: 12022602
19:15:07.703    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
19:15:07.703    Disk 0 Vendor: FUJITSU_MHV2060AH 00840096 Size: 57231MB BusType: 3
19:15:07.718    Disk 0 MBR read successfully
19:15:07.718    Disk 0 MBR scan
19:15:07.765    Disk 0 Windows XP default MBR code
19:15:07.765    Disk 0 Partition 1 00     07    HPFS/NTFS NTFS        53252 MB offset 63
19:15:07.796    Disk 0 Partition 2 80 (A) 0C    FAT32 LBA MSDOS5.0     3971 MB offset 109060560
19:15:07.796    Disk 0 scanning sectors +117195120
19:15:07.890    Disk 0 scanning D:\WINDOWS\system32\drivers
19:15:21.515    Service scanning
19:15:49.718    Modules scanning
19:16:01.343    Disk 0 trace - called modules:
19:16:01.359    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
19:16:01.359    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86750ab8]
19:16:01.375    3 CLASSPNP.SYS[f7650fd7] -> nt!IofCallDriver -> \Device\00000086[0x8675a9e8]
19:16:01.375    5 ACPI.sys[f74e6620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x86752d98]
19:16:02.000    AVAST engine scan D:\WINDOWS
19:16:16.156    AVAST engine scan D:\WINDOWS\system32
19:19:50.453    AVAST engine scan D:\WINDOWS\system32\drivers
19:20:07.593    AVAST engine scan D:\Dokumente und Einstellungen\Lammer
19:22:26.140    Disk 0 MBR has been saved successfully to "D:\Dokumente und Einstellungen\Lammer\Desktop\osam\MBR.dat"
19:22:26.140    The log file has been saved successfully to "D:\Dokumente und Einstellungen\Lammer\Desktop\osam\aswMBR.txt"

Aber mal eine andre Sache, seitdem Combofix, kommt bei mir wieder die Schwarze Seite, wie man sie auch nach einem Absturz des Pcs kennt, bevor der Pc normal hochfährt.
liebe Grüße Ameli

cosinus · 26.02.2012, 19:56

Zitat:

kommt bei mir wieder die Schwarze Seite, wie man sie auch nach einem Absturz des Pcs kennt, bevor der Pc normal hochfährt.

Kein Plan was du da meinst. Wie wäre es denn wenn du mal schreibst ws da steht?!

Ameli · 27.02.2012, 17:06

Es ist mittlerweile weg, zum Glück, war nichts schlimmes nur eben die Seite, dass der Pc jetzt hochgefahren wird mit dem Betriebssystem, wie ich es eben auch von Computerabstürzen gewohnt war- gibt es was Neues in Sachen Viren bei mir, oder sind sie jetzt alle soweit weg? Blicke nicht mehr ganz durch, muss ich gestehen...

Grüße Ameli

cosinus · 27.02.2012, 21:12

Was ist mit den anderen Logs? Du hast nur ein aswMBR Log gepostet

Ameli · 01.03.2012, 16:23

Hi Arne,
Gmer hatte sich ja bei mir aufgehangen- ging nicht. Das Osam log steht ja dort oben, oder nicht?=/ Wenn nicht, hole ich es noch nach

Gruß Ameli

cosinus · 01.03.2012, 20:54

Nein das OSAM Log ist da aben nicht!
Was verstehst du an "du hast nur das Log von aswMBR gepostet" denn nicht?

aswMBR != OSAM

21.02.2012, 19:41	#16
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	tr/crypt.Xpack.gen8,Tr/Psw.zbot.924,EXP/Cve-2011-3544,TR/startPage.eo.1,EXP/Blacole.DU Ich versteh die Frage nicht. Was verstehst du an den Anweisungen nicht? ??? __________________ Logfiles bitte immer in CODE-Tags posten

23.02.2012, 17:40	#21
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	tr/crypt.Xpack.gen8,Tr/Psw.zbot.924,EXP/Cve-2011-3544,TR/startPage.eo.1,EXP/Blacole.DU Virenscanner wurde deaktiviert? Du musst es auch vorher komplett entpacken. OSAM.exe nicht aus dem 7zip Fenster heraus öffnen! __________________ --> tr/crypt.Xpack.gen8,Tr/Psw.zbot.924,EXP/Cve-2011-3544,TR/startPage.eo.1,EXP/Blacole.DU

23.02.2012, 21:13	#23
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	tr/crypt.Xpack.gen8,Tr/Psw.zbot.924,EXP/Cve-2011-3544,TR/startPage.eo.1,EXP/Blacole.DU Rechtsklick => 7zip => Entpacken nach So entpackt man! __________________ Logfiles bitte immer in CODE-Tags posten

27.02.2012, 21:12	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	tr/crypt.Xpack.gen8,Tr/Psw.zbot.924,EXP/Cve-2011-3544,TR/startPage.eo.1,EXP/Blacole.DU Was ist mit den anderen Logs? Du hast nur ein aswMBR Log gepostet __________________ Logfiles bitte immer in CODE-Tags posten

01.03.2012, 20:54	#29
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	tr/crypt.Xpack.gen8,Tr/Psw.zbot.924,EXP/Cve-2011-3544,TR/startPage.eo.1,EXP/Blacole.DU Nein das OSAM Log ist da aben nicht! Was verstehst du an "du hast nur das Log von aswMBR gepostet" denn nicht? aswMBR != OSAM __________________ Logfiles bitte immer in CODE-Tags posten

tr/crypt.Xpack.gen8,Tr/Psw.zbot.924,EXP/Cve-2011-3544,TR/startPage.eo.1,EXP/Blacole.DU

Plagegeister aller Art und deren Bekämpfung: tr/crypt.Xpack.gen8,Tr/Psw.zbot.924,EXP/Cve-2011-3544,TR/startPage.eo.1,EXP/Blacole.DU