Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Sorry, das Sichern der Dateien hat länger gedauert...

Hier der Fix:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-03-23 00:34:40
-----------------------------
00:34:40.185    OS Version: Windows 6.0.6002 Service Pack 2
00:34:40.185    Number of processors: 2 586 0xF0D
00:34:40.185    ComputerName: REBEKKA-PC  UserName: Rebekka
00:34:41.777    Initialize success
00:35:26.648    AVAST engine defs: 12032000
00:36:11.126    Verifying
00:36:21.234    Disk 0 Windows 600 MBR fixed successfully
00:37:21.794    Disk 0 MBR has been saved successfully to "C:\Users\Rebekka\Desktop\MBR.dat"
00:37:21.794    The log file has been saved successfully to "C:\Users\Rebekka\Desktop\aswMBRFix.log"
         

Hier der neue aswMBR Scan nach Fix und Neustart des Systems:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-03-23 00:41:20
-----------------------------
00:41:20.242    OS Version: Windows 6.0.6002 Service Pack 2
00:41:20.242    Number of processors: 2 586 0xF0D
00:41:20.242    ComputerName: REBEKKA-PC  UserName: Rebekka
00:42:20.378    Initialize success
00:44:20.212    AVAST engine defs: 12032000
00:44:33.815    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
00:44:33.815    Disk 0 Vendor: FUJITSU_MHZ2250BH_G2 00000009 Size: 238475MB BusType: 3
00:44:33.846    Disk 0 MBR read successfully
00:44:33.846    Disk 0 MBR scan
00:44:33.862    Disk 0 Windows VISTA default MBR code
00:44:33.877    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS         8000 MB offset 2048
00:44:33.893    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS        45000 MB offset 16386048
00:44:33.908    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       185473 MB offset 108546048
00:44:33.940    Disk 0 scanning sectors +488394752
00:44:34.049    Disk 0 scanning C:\Windows\system32\drivers
00:44:49.118    Service scanning
00:45:17.120    Modules scanning
00:45:26.200    Disk 0 trace - called modules:
00:45:26.231    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS PCIIDEX.SYS msahci.sys ndis.sys athr.sys 
00:45:26.246    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84dbb780]
00:45:26.246    3 CLASSPNP.SYS[87da08b3] -> nt!IofCallDriver -> [0x84bfdc10]
00:45:26.262    5 acpi.sys[8069a6bc] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x83e3ab98]
00:45:27.229    AVAST engine scan C:\Windows
00:45:31.800    AVAST engine scan C:\Windows\system32
00:47:12.888    File: C:\Windows\system32\perfh007.dat  **SUSPICIOUS**
00:49:11.651    AVAST engine scan C:\Windows\system32\drivers
00:49:33.818    AVAST engine scan C:\Users\Rebekka
00:53:31.937    AVAST engine scan C:\ProgramData
00:55:49.685    Scan finished successfully
01:02:38.467    Disk 0 MBR has been saved successfully to "C:\Users\Rebekka\Desktop\MBR.dat"
01:02:38.467    The log file has been saved successfully to "C:\Users\Rebekka\Desktop\aswMBR2.log"
         

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hier Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.23.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19190
Rebekka :: REBEKKA-PC [Administrator]

23.03.2012 21:49:50
mbam-log-2012-03-23 (21-49-50).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 349836
Laufzeit: 1 Stunde(n), 46 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Hier der SuperAntiSpyware- Log:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/24/2012 at 02:30 AM

Application Version : 5.0.1146

Core Rules Database Version : 8376
Trace Rules Database Version: 6188

Scan type       : Complete Scan
Total Scan Time : 01:43:10

Operating System Information
Windows Vista Home Premium 32-bit, Service Pack 2 (Build 6.00.6002)
UAC On - Administrator

Memory items scanned      : 734
Memory threats detected   : 0
Registry items scanned    : 33228
Registry threats detected : 0
File items scanned        : 201395
File threats detected     : 53

Adware.Tracking Cookie
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@adfarm1.adition[1].txt [ /adfarm1.adition ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@ads.planetactive[1].txt [ /ads.planetactive ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@ads.quartermedia[2].txt [ /ads.quartermedia ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@imrworldwide[2].txt [ /imrworldwide ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@invitemedia[1].txt [ /invitemedia ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@tracking.3gnet[1].txt [ /tracking.3gnet ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@tracking.quisma[2].txt [ /tracking.quisma ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@traffictrack[2].txt [ /traffictrack ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@tto2.traffictrack[2].txt [ /tto2.traffictrack ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@webmasterplan[2].txt [ /webmasterplan ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@www.windowsmedia[2].txt [ /www.windowsmedia ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@www.zanox-affiliate[2].txt [ /www.zanox-affiliate ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@zanox-affiliate[1].txt [ /zanox-affiliate ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\rebekka@zanox[1].txt [ /zanox ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\Z223J66L.txt [ /content.yieldmanager.com ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\NWNQH526.txt [ /doubleclick.net ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\TS9RHYSP.txt [ /ad.yieldmanager.com ]
	C:\Users\Rebekka\AppData\Roaming\Microsoft\Windows\Cookies\J6EB1JRC.txt [ /atdmt.com ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\ZS98613K.txt [ Cookie:rebekka@accounts.youtube.com/accounts ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\5BFIDPD3.txt [ Cookie:rebekka@c.atdmt.com/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\HXP4JO3A.txt [ Cookie:rebekka@doubleclick.net/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\J9BHCU3V.txt [ Cookie:rebekka@serving-sys.com/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\8HUK3R9Y.txt [ Cookie:rebekka@webmasterplan.com/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\83DL25EI.txt [ Cookie:rebekka@www.google.de/accounts ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\rebekka@interclick[1].txt [ Cookie:rebekka@interclick.com/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\TJOSLCU9.txt [ Cookie:rebekka@adfarm1.adition.com/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\rebekka@ad2.adfarm1.adition[2].txt [ Cookie:rebekka@ad2.adfarm1.adition.com/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\rebekka@apmebf[1].txt [ Cookie:rebekka@apmebf.com/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\EZEZY9G6.txt [ Cookie:rebekka@bs.serving-sys.com/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\rebekka@imrworldwide[2].txt [ Cookie:rebekka@imrworldwide.com/cgi-bin ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\389WVJIR.txt [ Cookie:rebekka@statse.webtrendslive.com/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\2TNJUUHQ.txt [ Cookie:rebekka@www.googleadservices.com/pagead/conversion/1069989259/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\rebekka@himedia.individuad[1].txt [ Cookie:rebekka@himedia.individuad.net/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\MDS825QA.txt [ Cookie:rebekka@ad1.adfarm1.adition.com/ ]
	C:\USERS\REBEKKA\AppData\Roaming\Microsoft\Windows\Cookies\Low\JUGO9FSC.txt [ Cookie:rebekka@atdmt.com/ ]
	C:\USERS\REBEKKA\Cookies\rebekka@www.windowsmedia[2].txt [ Cookie:rebekka@www.windowsmedia.com/ ]
	C:\USERS\REBEKKA\Cookies\rebekka@ads.quartermedia[2].txt [ Cookie:rebekka@ads.quartermedia.de/ ]
	C:\USERS\REBEKKA\Cookies\Z223J66L.txt [ Cookie:rebekka@content.yieldmanager.com/ ]
	C:\USERS\REBEKKA\Cookies\NWNQH526.txt [ Cookie:rebekka@doubleclick.net/ ]
	C:\USERS\REBEKKA\Cookies\rebekka@webmasterplan[2].txt [ Cookie:rebekka@webmasterplan.com/ ]
	C:\USERS\REBEKKA\Cookies\rebekka@tracking.3gnet[1].txt [ Cookie:rebekka@tracking.3gnet.de/ ]
	C:\USERS\REBEKKA\Cookies\rebekka@invitemedia[1].txt [ Cookie:rebekka@invitemedia.com/ ]
	C:\USERS\REBEKKA\Cookies\rebekka@tracking.quisma[2].txt [ Cookie:rebekka@tracking.quisma.com/ ]
	C:\USERS\REBEKKA\Cookies\rebekka@adfarm1.adition[1].txt [ Cookie:rebekka@adfarm1.adition.com/ ]
	C:\USERS\REBEKKA\Cookies\TS9RHYSP.txt [ Cookie:rebekka@ad.yieldmanager.com/ ]
	C:\USERS\REBEKKA\Cookies\rebekka@zanox-affiliate[1].txt [ Cookie:rebekka@zanox-affiliate.de/ ]
	C:\USERS\REBEKKA\Cookies\rebekka@www.zanox-affiliate[2].txt [ Cookie:rebekka@www.zanox-affiliate.de/ ]
	C:\USERS\REBEKKA\Cookies\rebekka@imrworldwide[2].txt [ Cookie:rebekka@imrworldwide.com/cgi-bin ]
	C:\USERS\REBEKKA\Cookies\J6EB1JRC.txt [ Cookie:rebekka@atdmt.com/ ]
	C:\USERS\REBEKKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\REBEKKA@AD.EISI[1].TXT [ /AD.EISI ]
	C:\USERS\REBEKKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\REBEKKA@AD.EISI[2].TXT [ /AD.EISI ]
	C:\USERS\REBEKKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\REBEKKA@TRAFFICTRACK[2].TXT [ /TRAFFICTRACK ]
	C:\USERS\REBEKKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\REBEKKA@ZANOX[1].TXT [ /ZANOX ]
         

Ich habe weiterhin ein Problem mit Firefox. Wenn ich meinen google mail account aufrufen möchte (also die Seite zum einloggen) kommt immer nur die Meldung, dass diese Seite nicht vertrauenswürdig sei und sich nicht ausweisen könne. Kann ich davon ausgehen, dass dieses Problem nicht an Viren/Trojanern... liegt, sondern einfach an Firefox und evtl. meinem Antivirenprogramm?

Zitat:

Wenn ich meinen google mail account aufrufen möchte (also die Seite zum einloggen) kommt immer nur die Meldung, dass diese Seite nicht vertrauenswürdig sei und sich nicht ausweisen könne.

Welches Datum und welche Uhrzeit ist auf deinem Rechner eingestellt? Garantiert die richtige? Du bist weder zu weit in der Zukunft noch in der Vergangenheit? Solche Zertifikatsprobleme sind in den meisten Fällen Probleme mit der Zeit-/Datumseinstellung!

Ich habe Datum/Uhrzeit bereits mehrmals neu synchronisiert. Daran kanns nicht liegen.

Erstell dir mal ein neues Profil und teste => Profile verwalten | Anleitung | Firefox-Hilfe

Hab ein neues Profil erstellt, funktioniert damit aber auch nicht. Es kommt immer folgende Meldung:

Code: Alles auswählenAufklappen

ATTFilter

Dieser Verbindung wird nicht vertraut
      
      
      
      
        
          Sie haben Firefox angewiesen, eine gesicherte Verbindung zu mail.google.com aufzubauen, es kann aber nicht überprüft werden, ob die Verbindung sicher ist.
          Wenn Sie normalerweise eine gesicherte Verbindung aufbauen, weist sich die Website mit einer vertrauenswürdigen Identifikation aus, um zu garantieren, dass Sie die richtige Website besuchen. Die Identifikation dieser Website dagegen kann nicht bestätigt werden.
        
        
        
          Was sollte ich tun?
          
            Falls Sie für gewöhnlich keine Probleme mit dieser Website haben, könnte dieser Fehler bedeuten, dass jemand die Website fälscht. Sie sollten in dem Fall nicht fortfahren.
            
          
        
        
        
        
          Technische Details
          
        
        
        
          Ich kenne das Risiko
          
            Wenn Sie wissen, warum dieses Problem auftritt, können Sie Firefox anweisen, der Identifikation dieser Website zu vertrauen.
Selbst wenn Sie der Website vertrauen, kann dieser Fehler bedeuten, dass jemand ihre Verbindung manipuliert.
            Fügen Sie keine Ausnahme hinzu, außer Sie wissen, dass es einen guten Grund dafür gibt, warum diese Website keine vertrauenswürdige Identifikation verwendet.
         

Ich konnte jetzt zumindest eine Ausnahmeregel für meinen GoogleAccount hinzufügen. Vielen Dank für den Tipp. Meinen Online Banking Account zweifelt Firefox allerdings immer noch an...Kann ich davon ausgehen, dass mein Rechner sonst sauber ist? Dann würde ich dafür auch versuchen eine Ausnahmeregel einzurichten. Mich beunruhigt,dass Firefox das Sicherheitszertifikat nicht anerkennt. Sowohl Google als auch meine Bank benutzen doch bestimmt keine selbst zertifizierten.

Zu früh gefreut. Sorry wg. der doppelten Meldung. Ich konnte bei Google zwar die Login Seite öffnen und meine Daten eingeben, aber Firefox läd die Seite dann nicht. Er hängt sich auf und zeigt dann wieder die Nachricht mit der "nicht vertrauenswürdigen Verbindung".

Zitat:

C:\Windows\system32\drivers\HOOKHELP.sys

Diese Datei fällt mir jetzt erst richtig auf
Werte sie bitte mal bei Virustotal aus und poste die Ergebnisse

Sorry, hat länger gedauert. Mein Arbeitsalltag hat mich wieder.
Hab die Datei ausgewertet.

Code: Alles auswählenAufklappen

ATTFilter

SHA256: a089fff9a92e47580d5bd0c797b743d1a7454318ecc562659fdd844384b9e476 
SHA1: b48b2f4b3c0bb04a37d5cebd441e8d3f272f6272 
MD5: a6311d6cfce13ea256b454e1e56f18a8 
File size: 37.6 KB ( 38552 bytes )  
File name: C:\Windows\System32\drivers\HookHelp.sys 
File type: Win32 EXE 
Tags: signed  
Detection ratio: 0 / 42 
Analysis date: 2012-03-29 19:39:09 UTC ( 3 Minuten ago )  

 00Antivirus Result Update 
AhnLab-V3 - 20120329 
AntiVir - 20120329 
Antiy-AVL - 20120329 
Avast - 20120329 
AVG - 20120329 
BitDefender - 20120329 
ByteHero - 20120319 
CAT-QuickHeal - 20120329 
ClamAV - 20120329 
Commtouch - 20120329 
Comodo - 20120329 
DrWeb - 20120329 
Emsisoft - 20120329 
eSafe - 20120328 
eTrust-Vet - 20120329 
F-Prot - 20120328 
F-Secure - 20120329 
Fortinet - 20120329 
GData - 20120329 
Ikarus - 20120329 
Jiangmin - 20120329 
K7AntiVirus - 20120329 
Kaspersky - 20120329 
McAfee - 20120329 
McAfee-GW-Edition - 20120329 
Microsoft - 20120329 
NOD32 - 20120329 
Norman - 20120329 
nProtect - 20120329 
Panda - 20120329 
PCTools - 20120326 
Prevx - 20120329 
Rising - 20120329 
Sophos - 20120329 
SUPERAntiSpyware - 20120329 
Symantec - 20120329 
TheHacker - 20120329 
TrendMicro - 20120329 
TrendMicro-HouseCall - 20120329 
VBA32 - 20120329 
VIPRE - 20120329 
ViRobot - 20120329 

Comments
 Additional information
 No commentsMore comments Leave your comment...? Rich Text AreaToolbar Bold (Ctrl+B) Italic (Ctrl+I) Underline (Ctrl+U) Undo (Ctrl+Z) Redo (Ctrl+Y)  StylesStyles ▼ 
  Remove Formatting  
 
 
 Post comment You have not signed in. Only registered users can leave comments, sign in and have a voice! 
Sign in Join the community 
 
An error occurred 
ssdeep
768:oljitn7KCIxamAGgTeknwZjiT16P2TLWMmVbCN:olju7IAmReTwK0OTaD9CN  
TrID
Win32 Executable Generic (58.4%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
VXD Driver (0.2%)
 
ExifTool
SpecialBuild.............: 515243749062500
SubsystemVersion.........: 5.0
InitializedDataSize......: 12544
ImageVersion.............: 5.0
ProductName..............: Rising security Software 2011
FileVersionNumber........: 25.0.0.12
UninitializedDataSize....: 0
LanguageCode.............: Chinese (Simplified)
FileFlagsMask............: 0x0017
CharacterSet.............: Unicode
LinkerVersion............: 7.1
OriginalFilename.........: HookHelp.sys
MIMEType.................: application/octet-stream
Subsystem................: Native
FileVersion..............: 25, 0, 0, 12
TimeStamp................: 2011:09:13 09:26:16+02:00
FileType.................: Win32 EXE
PEType...................: PE32
InternalName.............: Beijing Rising Information Technology Co., Ltd.
ProductVersion...........: 25.0
FileDescription..........: HookHelp.sys
OSVersion................: 5.0
FileOS...................: Win32
LegalCopyright...........: Copyright(C) 2010-2011 Beijing Rising Information Technology Co., Ltd. All Rights Reserved.
MachineType..............: Intel 386 or later, and compatibles
CompanyName..............: Beijing Rising Information Technology Co., Ltd.
CodeSize.................: 17920
FileSubtype..............: 0
ProductVersionNumber.....: 25.0.0.12
EntryPoint...............: 0x0ab0
ObjectFileType...........: Driver
 
Sigcheck
signers..................: Beijing Rising Information Technology Corporation Limited
               VeriSign Class 3 Code Signing 2009-2 CA
               Class 3 Public Primary Certification Authority
signing date.............: 9:44 AM 9/13/2011
 
Portable Executable structural information
Compilation timedatestamp.....: 2011-09-13 07:26:16
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x00000AB0

PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
.text                  1280         16826     16896     5.95  a42eefeea5c344bb33eb021985ad9ea5
.bss                  18176          7448      7552     0.00  56bf0e725f6dd67d4baea350f6493c68
.rdata                25728          1396      1408     7.16  d93cb4f5bcc0c0fb8dbd1ead474dcd07
.data                 27136           516       640     2.04  db4ace59562be21de38e9c3e3b0f40b5
.edata                27776           794       896     4.78  085ce0913298996de61dfa9ff55e86fa
INIT                  28672           974      1024     4.94  23a8ccdcb2cac0c6642a510bc27a304e
.rsrc                 29696          1192      1280     3.20  7bfe4ddd10e7e8af74b676bc1f12fd84
.reloc                30976           750       768     5.71  1695cd25abac2fd6c574c0fad0d44653

PE Imports....................:

HAL.dll
	ExReleaseFastMutex, ExAcquireFastMutex

ntoskrnl.exe
	strncmp, MmIsAddressValid, memcpy, MmGetSystemRoutineAddress, RtlInitUnicodeString, NtBuildNumber, KeInitializeEvent, KeServiceDescriptorTable, PsSetCreateThreadNotifyRoutine, PsSetLoadImageNotifyRoutine, PsSetCreateProcessNotifyRoutine, PsGetCurrentProcessId, ZwClose, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, strcpy, _wcsnicmp, wcslen, wcscpy, ZwQueryInformationProcess, ExRaiseDatatypeMisalignment, ExRaiseAccessViolation, MmUserProbeAddress, _except_handler3, ZwOpenProcess, KeUnstackDetachProcess, ObfDereferenceObject, KeStackAttachProcess, IoGetCurrentProcess, ObReferenceObjectByHandle, ExFreePool, _wcsupr, ExAllocatePoolWithTag


PE Exports....................:

_, G, e, t, F, u, l, l, P, r, o, c, e, s, s, I, n, f, o, @, 2, 4, ,,  , _, G, e, t, P, r, o, c, Q, u, e, r, y, V, a, l, u, e, I, n, f, o, @, 1, 2, ,,  , _, G, e, t, P, r, o, c, e, s, s, I, n, f, o, @, 1, 6, ,,  , _, G, e, t, P, r, o, c, e, s, s, I, n, f, o, R, o, o, t, @, 1, 6, ,,  , _, G, e, t, S, y, s, t, e, m, P, r, o, c, e, s, s, L, i, s, t, @, 8, ,,  , _, H, o, o, k, B, a, s, e, I, n, i, t, @, 0, ,,  , _, I, n, s, e, r, t, M, o, n, P, r, o, c, e, s, s, @, 1, 2, ,,  , _, I, n, s, e, r, t, M, o, n, T, h, r, e, a, d, @, 1, 2, ,,  , _, I, s, M, o, n, P, r, o, c, e, s, s, @, 8, ,,  , _, I, s, M, o, n, T, h, r, e, a, d, @, 8, ,,  , _, R, e, m, o, v, e, M, o, n, P, r, o, c, e, s, s, @, 4, ,,  , _, R, e, m, o, v, e, M, o, n, T, h, r, e, a, d, @, 4, ,,  , _, R, i, s, i, n, g, H, o, o, k, F, u, n, c, @, 1, 2, ,,  , _, R, i, s, i, n, g, H, o, o, k, F, u, n, c, E, x, @, 1, 6, ,,  , _, R, i, s, i, n, g, I, n, l, i, n, e, H, o, o, k, @, 8, ,,  , _, R, i, s, i, n, g, I, n, l, i, n, e, U, n, H, o, o, k, @, 4, ,,  , _, R, i, s, i, n, g, I, s, C, a, n, H, o, o, k, W, i, n, 3, 2, k, @, 4, ,,  , _, R, i, s, i, n, g, S, e, t, W, i, n, 3, 2, k, P, a, r, a, @, 8, ,,  , _, R, i, s, i, n, g, U, n, H, o, o, k, F, u, n, c, @, 4, ,,  , _, R, i, s, i, n, g, U, n, H, o, o, k, F, u, n, c, E, x, @, 8, ,,  , _, S, e, t, I, m, a, g, e, L, o, a, d, N, o, t, i, f, y, @, 8, ,,  , _, S, e, t, P, r, o, c, Q, u, e, r, y, V, a, l, u, e, I, n, f, o, @, 1, 2, ,,  , _, S, e, t, P, r, o, c, e, s, s, N, o, t, i, f, y, @, 8, ,,  , _, S, e, t, T, h, r, e, a, d, N, o, t, i, f, y, @, 8 
First seen by VirusTotal
2011-09-19 10:55:41 UTC ( 6 Monate, 1 Woche ago )  
Last seen by VirusTotal
2012-03-29 19:39:09 UTC ( 3 Minuten ago )  
File names (max. 25)
1.73564B57981BE7A7969E00CF0F219A002217C85F.sys 
2.C:\Windows\System32\drivers\HookHelp.sys 
3.HookHelp.sys
         

Ok, die Datei ist ok

Hast du rein zufällig einen Router? Wenn ja wurde da das Adminpasswort geändert?
Wenn nicht, setz diesen Router auf Werkseinstellungen zurück und konfiguriere ihn neu. Wichtig ist, dass du das unsichere vordefinierte Adminkennwort zum Router änderst!

Adminkennwort erfolgreich geändert. Ich hab auch mal die verschlüsselung auf WPA2 umgestellt. Die Probleme im Internet bleiben aber gleich. Mein GoogleAccount öffnet nicht, bzw. öffnet und bleibt ganz grau, ich kann keine Mails löschen et.
Frage: Ich benutze Firefox mit der google- Suchleiste. Seit der Routeränderung kann ich darüber auf keine Seiten mehr zugreifen. Ich gebe was ein und bekomme die Botschaft mit "Dieser Seite wird nicht vertraut..."
Wenn ich über die Adressleiste google eingebe, auf der google Seite lande und dann die Seiten aufrufe, funktioniert das einwandfrei. (Bis auf meinen GoogleAccount.)
Stimmt da was nicht?

Hm so recht weiß ich noch nicht wo das Problem ist
Hast du das nur mit dem Firefox oder auch mit anderen Browsern?

Zitat:

Adminkennwort erfolgreich geändert. Ich hab auch mal die verschlüsselung auf WPA2 umgestellt.

Hast du nicht auf Werkeinstellungen zurückgesetzt?

Ich bin über Reset gegeangen und habe neu konfiguriert- neue Passwörter und höhere Sicherheitseinstellungen. Muss dazu sagen, wir sind ein Wlan Netzwerk mit 6 Computern und ich bin momentan die einzige mit den Problemen.
Im IE kann ich mittlerweile mail.google wieder öffnen und auch Mails schreiben.
Im firefox geht gar nichts. Im Zertifikatsmanager steht nur ne Liste unter denen die Server identifizieren und die bewertet er größtenteils als nicht vertrauenswürdig oder nicht verifizierbar...Da ist auch addons.mozilla.org, mail.google.com, Google, div. login.yahoo.com dabei.
Fehlt mir eine Zertifikatsliste zum abgleich? Gibts sowas?
Würde es was bringen firefox mal komplett plattzumachen? Ich hab ihn natürlich schon mehrmals deinstalliert und neu aufgesetzt. Wie finde ich den alle Dateien die was damit zu tun haben?
Meine Internetsecurity blockt im übrigen ständig Angriffe,gefühlt mehr als früher.
Da sind auch iexplore.exe (bei Gebrauch von IE) und firefox.exe und plugin-container.exe dabei.....?s

Hier mal das Log von Rising, ich werde nochmal mit Malwarebytes scannen.:

Code: Alles auswählenAufklappen

ATTFilter

Datum                                                           Created By                                                      Process                                                         Action Taken                                                    
2012-03-30 22:32:24                                             Defense against unknown loophole attacks                        C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE                 Deny                                                            
2012-03-29 21:27:55                                             Defense against unknown loophole attacks                        C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE                 Deny                                                            
2012-03-25 21:01:15                                             Defense against unknown loophole attacks                        C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE                 Deny                                                            
2012-03-22 22:56:45                                             Defense against unknown loophole attacks                        C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE                 Deny                                                            
2012-03-21 22:04:47                                             Defense against unknown loophole attacks                        C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE                 Deny
         

Code: Alles auswählenAufklappen

ATTFilter

Datum                                                           Created By                                                      Rule ID                                                         Process                                                         Related file(s)                                                 Action Taken                                                    
2012-03-30 03:03:12                                             Trojan defense                                                  536870918                                                       C:\PROGRAM FILES\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE;C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE;--                                                              Quarantine and delete                                           
2012-03-23 01:05:40                                             Trojan defense                                                  536870918                                                       C:\PROGRAM FILES\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE;C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE;--                                                              Quarantine and delete                                           
2012-03-22 22:49:38                                             Trojan defense                                                  536870918                                                       C:\PROGRAM FILES\ITUNES\ITUNES.EXE;                             --                                                              Quarantine and delete                                           
2012-03-22 00:25:07                                             Trojan defense                                                  536870918                                                       C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE;C:\PROGRAM FILES\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE;--                                                              Allow                                                           
2012-03-20 22:55:18                                             Trojan defense                                                  536870918                                                       C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE;                   --                                                              Allow                                                           
2012-03-20 22:53:59                                             Trojan defense                                                  536870918                                                       C:\PROGRAM FILES\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE;C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE;--                                                              Quarantine and delete
         

Entweder hab ich ein Brett vorm Kopf oder du hast noch irgendein Rootkit im System, was sich über die bisherigen Logs nicht bemerkbar machte

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Edit:

Zitat:

Ich habe jetzt noch einen EsetScan gemacht, der hat folgendes entdeckt:

C:\Users\Rebekka\AppData\Roaming\Sun\{6C7F4AFA-6826-4E93-BEA6-C57F44B93611}\UpgradeHelper.exe a variant of Win32/Kryptik.ACPZ trojan
Operating memory a variant of Win32/Gataka.A trojan

Haben wir diese K... eigentlich gelöscht? Oder hast du das schon vorher entfernt?