Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

hier ist das log!

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-10-17 19:30:09
-----------------------------
19:30:09.644    OS Version: Windows 5.1.2600 Service Pack 3
19:30:09.644    Number of processors: 1 586 0x905
19:30:09.644    ComputerName: OGV  UserName: 
19:30:10.626    Initialize success
18:14:59.638    AVAST engine defs: 12101700
18:16:42.406    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
18:16:42.406    Disk 0 Vendor: FUJITSU_MHT2040AT 0022 Size: 38154MB BusType: 3
18:16:42.406    Device owAZEVAoRGRCZ -> DriverStartIo RGRCZ@J@ f8486864
18:16:42.606    Disk 0 MBR read successfully
18:16:42.606    Disk 0 MBR scan
18:16:43.357    Disk 0 Win32:MBRoot-J [Trj]
18:16:43.357    Disk 0 Windows XP default MBR code found via API
18:16:43.397    Disk 0 MBR hidden
18:16:43.467    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        38153 MB offset 63
18:16:43.467    Disk 0 MBR [Win32:MBRoot]  **ROOTKIT**
18:16:43.467    Disk 0 trace - called modules:
18:16:43.467    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82372000]<<
18:16:43.467    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8236eab8]
18:16:43.477    3 CLASSPNP.SYS[f8575fd7] -> nt!IofCallDriver -> \Device\00000076[0x8235f9e8]
18:16:43.477    5 ACPI.sys[f84eb620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82313940]
18:16:49.236    AVAST engine scan C:\WINDOWS
18:17:06.200    AVAST engine scan C:\WINDOWS\system32
18:26:45.703    AVAST engine scan C:\WINDOWS\system32\drivers
18:27:24.639    AVAST engine scan C:\Dokumente und Einstellungen\Sigrid
18:33:18.068    AVAST engine scan C:\Dokumente und Einstellungen\All Users
18:33:32.428    Scan finished successfully
18:35:50.427    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Sigrid\Desktop\MBR.dat"
18:35:50.497    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Sigrid\Desktop\aswMBR.txt"
         

Aswmbr nochmal scannen lassen, dann auf Fixmbr klicken. Neustarten, neu scannen lassen und Log posten.

Ich habe während dem scannen folgende Fehlermeldung (Bluescreen) bekommen:

https://docs.google.com/open?id=0B1aHnZdu1F0Zd3hvTHh1M2RYc2c

War während dem ersten Scan....

also bevor du den mbr gefixt hast?

Ja. Noch habe ich nicht mit mbr gefixt

Die telekom hat sich bei mir nochmals gemeldet und mir den Port 25 gesperrt "um mich zu unterstützen..."
Bedeutet ich kann also keine E-Mails mehr senden via Outlook und Co.
Klasse Unterstützung!

Hier die Mail von denen:
vor einiger Zeit haben wir Ihnen bereits über das E-Mail Postfach Ihres
Zugangs (*@t-online.de) mitgeteilt, dass von Ihrem Anschluss
unerwünschte Zugriffe auf fremde Systeme erfolgt sind.

In diesem Zusammenhang haben wir Ihren Internet-Zugang wieder eindeutig
als Quelle identifiziert. Dies ist möglich, da bei jeder Einwahl ins
Internet Ihrem Router eine IP-Adresse zugewiesen wird. Somit lässt sich
die verknüpfte IP-Adresse und der Zeitpunkt der Einwahl eindeutig Ihrer
Zugangsnummer zuordnen:

IP editiert

Daher unsere dringende Bitte: Prüfen Sie unbedingt Ihren Computer, um
die missbräuchliche Nutzung Ihres Zugangs zu unterbinden. Um Sie hierbei
zu unterstützen, haben wir den E-Mail-Verkehr (Port 25) eingeschränkt.
Das bedeutet, dass Sie derzeit über E-Mail-Programme, wie zum Beispiel
Microsoft Outlook zwar weiterhin E-Mails empfangen können, jedoch wurde
der Versand über die Server von Drittanbietern eingeschränkt. Das
Versenden über Ihre *@t-online.de E-Mail Adresse und die Verwendung von
E-Mail Portalen wie beispielsweise unserem E-Mail Center; Link:
https://email.t-online.de sind hiervon nicht betroffen.


erneute Zugriffszeitpunkt war letzten Mittwoch 17.30
Also genau zu dem zeitpunkt wo der infizierte Laptop das erste mal wieder mit dem Internet verbunden war um für aswMBR updates herunterzuladen...

Versuchen wir es mal so:


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Nein.
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.


Nach dem Scan dann Fixmbr klicken. ich hab die IP editiert

So... Hab den Scan durchlaufen lassen.. Oder nennen wir es mal versuchen...

Habe wieder den Bluescreen.
Dieses mal allerdings eine etwas abgeänderte Meldung!

Zitat:

Es wurde ein problem festgestellt. Windows wurder heruntergefahren, damit der Computer nicht beschädigt wird.
Das Problem wurde möglicherweise von der folgenden Datei verursacht: Ntfs.sys

Ein Teil des Treiberabbilds wurde als seitenauslagerungsfähig markiert.

... weiter wie bei der letzen meldung...

technische Informationen:
*** STOP: 0x000000D3 /0xF8431008, 0x0000000D, 0x00000001, 0x806F568A=
Ntfs.sys
Speicherabbild des physischen Speichers wird erstellt.
Abbild des physischen Speichers wurde erstellt.
Wenden Sie sich an den Systemadministrator oder den technischen Support.

Windows Cd zur Hand?

Für Systemreparatur?

Ja hab die CD zur Hand

• Lege die Installations-CD von XP in das CD-Laufwerk ein und starte den Computer neu.
• Startet der Computer nicht über die CD, musst Du im BIOS-Setup des PCs die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird.
• Während des Bootens erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort.
• Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.
• Nun gebe folgenden Befehl ein:
• fixmbr

alles klar,
"Neuer MBR wurde einwandfrei geschrieben"

Ich bin gerade mal in mein Antivir reingegangen... da stehen ganz viele neue Sachen ?!?!

Code: Alles auswählenAufklappen

ATTFilter

Exportierte Ereignisse:

21.10.2012 19:15 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Sigrid\Lokale 
      Einstellungen\temp\_avast4_\unp189284246.tmp'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff erlauben

21.10.2012 19:14 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Sigrid\Lokale 
      Einstellungen\temp\av41.tmp'
      wurde ein Virus oder unerwünschtes Programm 'BOO/TDss.M' [virus] gefunden.
      Ausgeführte Aktion: Zugriff erlauben

21.10.2012 18:53 [Updater] Update nicht ausgeführt
      Das Update von Computer OGV (127.0.0.1) von 
      hxxp://perspeak.avira-update.com/update ist fehlgeschlagen.
      Während des Herunterladens ist ein Fehler aufgetreten
      Es wurden keine neuen Dateien geladen.

20.10.2012 16:41 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Sigrid\Lokale 
      Einstellungen\temp\_avast4_\unp114789953.tmp'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff erlauben

20.10.2012 16:41 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Sigrid\Lokale 
      Einstellungen\temp\av41.tmp'
      wurde ein Virus oder unerwünschtes Programm 'BOO/TDss.M' [virus] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

20.10.2012 16:41 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Sigrid\Lokale 
      Einstellungen\temp\av41.tmp'
      wurde ein Virus oder unerwünschtes Programm 'BOO/TDss.M' [virus] gefunden.
      Ausgeführte Aktion: Zugriff erlauben
         

Hi,

Combofix vom Desktop löschen, neu laden, und nochmal laufen lassen.

Kurze Zwischenfrage: Macht es Sinn die Festplatte nicht einfach zu formatieren und das System komplett neu aufzusetzen?
Wenn ich mir jetzt alle wichtigen Daten auf einen USB Stick ziehe, kann es sein dass ich damit den Virus weiter"verschleppe" ?
Wäre der Virus & Trojaner nach der Formatierung sicher weg?

Wenn Du komplett formatierst ja, da wird auch der MBR erneuert. Daten sichern wäre ich vorsichtig, also bitte keine ausführbaren Dateien sichern. Aber ein letztes frisches Combofix-Logfile würde mich intressieren, nachdem der MBR neu geschrieben wurde.