Sehr seltsam.

Probiere es bitte ein letztes Mal im abgesicherten Modus.

Zitat:

Lesestoff:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:

Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung

Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

Hallo,

es hat geklappt! Hat Dateien und Ordner gelöscht. Dateien was gelöscht und was in Quarantäne sind auf C abgelegt.
Hier das Logfile welche unter C:/NoMBR/Combofix.txt

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-12-30.01 - Doris 30.12.2012  22:51:54.4.2 - x86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.503.348 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Doris\Desktop\NoMBR.exe


((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))


C:\Dokumente und Einstellungen\Doris\WINDOWS
C:\WINDOWS\EventSystem.log
C:\WINDOWS\IsUn0407.exe
C:\WINDOWS\pkunzip.pif
C:\WINDOWS\pkzip.pif
C:\WINDOWS\system32\muzapp.exe
C:\WINDOWS\system32\URTTemp
C:\WINDOWS\system32\URTTemp\fusion.dll
C:\WINDOWS\system32\URTTemp\mscoree.dll
C:\WINDOWS\system32\URTTemp\mscoree.dll.local
C:\WINDOWS\system32\URTTemp\mscorsn.dll
C:\WINDOWS\system32\URTTemp\mscorwks.dll
C:\WINDOWS\system32\URTTemp\msvcr71.dll
C:\WINDOWS\system32\URTTemp\regtlib.exe
C:\WINDOWS\wininit.ini
E:\Autorun.inf


(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSHOST32


(((((((((((((((((((((((   Dateien erstellt von 2012-11-28 bis 2012-12-30  ))))))))))))))))))))))))))))))


2012-12-30 19:52:19 . 2012-12-30 22:15:07	114688	----a-w-	C:\WINDOWS\system32\chg.exe
2012-12-28 11:35:04 . 2012-12-28 11:35:04	--------	d-----w-	C:\Dokumente und Einstellungen\Doris\Anwendungsdaten\Malwarebytes
2012-12-28 11:34:16 . 2012-12-28 11:34:16	--------	d-----w-	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-12-28 08:05:18 . 2012-12-28 08:05:18	--------	d-----w-	C:\Dokumente und Einstellungen\Doris\Lokale Einstellungen\Anwendungsdaten\DoNotTrackPlus
2012-12-28 08:05:13 . 2012-12-28 10:38:20	--------	d-----w-	C:\Dokumente und Einstellungen\Doris\Anwendungsdaten\CallingID
2012-12-27 15:36:59 . 2012-12-28 11:19:07	--------	d-----w-	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2012-12-01 20:18:13 . 2012-12-01 20:18:13	--------	d-----w-	C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\McAfee
.


((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

2012-12-16 12:23:59 . 2004-08-04 08:00:00	290560	----a-w-	C:\WINDOWS\system32\atmfd.dll
2012-11-13 11:55:38 . 2004-08-04 08:00:00	1866496	----a-w-	C:\WINDOWS\system32\win32k.sys
2012-11-02 02:02:36 . 2004-08-04 08:00:00	375296	----a-w-	C:\WINDOWS\system32\dpnet.dll
2012-11-01 12:17:52 . 2004-08-04 08:00:00	916992	----a-w-	C:\WINDOWS\system32\wininet.dll
2012-11-01 12:17:52 . 2004-08-04 08:00:00	43520	----a-w-	C:\WINDOWS\system32\licmgr10.dll
2012-11-01 12:17:52 . 2004-08-04 08:00:00	1469440	------w-	C:\WINDOWS\system32\inetcpl.cpl
2012-11-01 00:35:34 . 2004-08-04 08:00:00	385024	----a-w-	C:\WINDOWS\system32\html.iec
2012-10-02 18:04:21 . 2004-08-04 08:00:00	58368	----a-w-	C:\WINDOWS\system32\synceng.dll
2006-10-11 08:04:58 . 2006-10-25 20:47:18	61036	----a-w-	C:\Programme\mozilla firefox\components\jar50.dll
2006-10-11 08:04:59 . 2006-10-25 20:47:18	48742	----a-w-	C:\Programme\mozilla firefox\components\jsd3250.dll
2006-10-11 08:05:03 . 2006-10-25 20:47:18	29313	----a-w-	C:\Programme\mozilla firefox\components\myspell.dll
2006-10-11 08:05:03 . 2006-10-25 20:47:19	41082	----a-w-	C:\Programme\mozilla firefox\components\spellchk.dll
2006-10-11 08:04:58 . 2006-10-25 20:47:19	166510	----a-w-	C:\Programme\mozilla firefox\components\xpinstal.dll


((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))


*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-03 13:06:38 68856]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:56:34 204288]
"KiesTrayAgent"="C:\Program Files\Samsung\Kies\KiesTrayAgent.exe" [2010-11-20 07:48:34 3365176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsmqIntCert"="mqrt.dll" [2008-04-14 02:22:15 177152]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 08:11:06 925696]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 11:03:52 36975]
"PTHOSTTR"="C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2006-02-14 09:56:08 122880]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 21:11:42 49152]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-31 03:20:00 122940]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-10 18:04:00 761945]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 12:17:04 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 12:13:40 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 12:17:50 118784]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 08:49:22 454656]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 18:12:00 17920]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-02 13:39:42 131072]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2006-02-22 06:03:32 40960]
"Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 13:51:40 1187840]
"Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-02-15 13:43:16 892928]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-25 20:50:57 180269]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-06-15 23:15:02 366400]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-11-04 09:30:50 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-11-20 12:20:54 290088]
"WatchDog"="C:\Programme\InterVideo\DVD Check\DVDCheck.exe" [2005-11-08 09:59:20 184320]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 02:22:40 15360]

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2006-1-25 61440]

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2006-1-25 61440]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
DVD Check.lnk - C:\Programme\InterVideo\DVD Check\DVDCheck.exe [2006-10-25 184320]
officejet 6100.lnk - C:\Desktop\hp foto- und bildbearbeitung 2.0 - all in one- installshield wizard\Digital Imaging\bin\hposol08.exe [2003-4-9 147456]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2005-07-25 18:41:50	40960	----a-w-	C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 a2free;a-squared Free Service;C:\Programme\a-squared Free\a2service.exe [08.01.2010 18:55:23 1858144]
R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe -k Cognizance [04.08.2004 09:00:00 14336]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [20.10.2008 17:08:47 66472]
R2 dgdersvc;Device Error Recovery Service;C:\WINDOWS\system32\dgdersvc.exe [25.10.2010 10:07:48 95568]
R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [24.11.2010 12:18:38 217088]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\drivers\avmcowan.sys [15.08.2007 01:00:00 53632]
R3 dgderdrv;dgderdrv;C:\WINDOWS\system32\drivers\dgderdrv.sys [25.10.2010 10:07:48 18120]
R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [24.11.2010 12:18:39 36640]
R3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\drivers\NETPPPOI.SYS [10.10.2008 18:03:26 334640]
S3 fxusbase;Eumex 400;C:\WINDOWS\system32\drivers\fxusbase.sys [15.08.2007 01:00:00 567936]
S3 sscebus;SAMSUNG USB Composite Device V2 driver (WDM);C:\WINDOWS\system32\drivers\sscebus.sys [24.11.2010 12:02:06 98560]
S3 sscemdfl;SAMSUNG Mobile Modem V2 Filter;C:\WINDOWS\system32\drivers\sscemdfl.sys [24.11.2010 12:02:07 14848]
S3 sscemdm;SAMSUNG Mobile Modem V2 Drivers;C:\WINDOWS\system32\drivers\sscemdm.sys [24.11.2010 12:02:07 123648]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance	REG_MULTI_SZ   	ASChannel
tapisrv	REG_MULTI_SZ   	Tapisrv

Inhalt des "geplante Tasks" Ordners

2009-12-27 C:\WINDOWS\Tasks\FRU Task 2003-04-10 00:56:27ewlett-Packard2003-04-10 00:56:27p officejet 6100 series272A572217594EBCF1CEE215E352B92AD073FDE4253726213.job
- C:\Desktop\hp foto- und bildbearbeitung 2.0 - all in one- installshield wizard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 15:56:28 . 2003-04-09 15:56:28]

2012-12-29 C:\WINDOWS\Tasks\Google Software Updater.job
- C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-03-25 10:58:41 . 2012-08-18 10:47:33]

2012-12-30 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
- C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-03 14:32:58 . 2010-02-03 14:29:53]

2012-12-30 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
- C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-03 14:32:58 . 2010-02-03 14:29:53]

2012-12-30 C:\WINDOWS\Tasks\ReclaimerUpdateFiles_Doris.job
- C:\Dokumente und Einstellungen\Doris\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.30\agent\rnupgagent.exe [2012-12-18 10:13:50 . 2012-12-18 10:13:50]

2012-12-29 C:\WINDOWS\Tasks\ReclaimerUpdateXML_Doris.job
- C:\Dokumente und Einstellungen\Doris\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.30\agent\rnupgagent.exe [2012-12-18 10:13:50 . 2012-12-18 10:13:50]

2012-12-30 C:\WINDOWS\Tasks\RNUpgradeHelperLogonPrompt_Doris.job
- C:\Dokumente und Einstellungen\Doris\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.30\agent\rnupgagent.exe [2012-12-18 10:13:50 . 2012-12-18 10:13:50]


------- Zusätzlicher Suchlauf -------

uStart Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{F50C329E-61FF-4B5B-A056-340F2DA0BD60}: NameServer = 192.168.121.252,192.168.121.253
FF - ProfilePath - C:\Dokumente und Einstellungen\Doris\Anwendungsdaten\Mozilla\Firefox\Profiles\5itvxdn5.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.ask.com?o=10148&l=dis&tb=AVR-4
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: keyword.URL -  

- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-InfoCockpit - C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE
AddRemove-ComCenter 1.0 - C:\WINDOWS\IsUn0407.exe
AddRemove-Konfigurator Eumex 400 - C:\WINDOWS\IsUn0407.exe
AddRemove-Microsoft Interactive Training - C:\WINDOWS\IsUn0407.exe
AddRemove-SAMSUNG CDMA Modem - C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe
AddRemove-SAMSUNG Mobile Composite Device - C:\WINDOWS\system32\Samsung_USB_Drivers\6\SSBCUninstall.exe
AddRemove-01_Simmental - C:\Program Files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - C:\Program Files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - C:\Program Files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - C:\Program Files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-07_Schorl - C:\Program Files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-09_Hsp - C:\Program Files\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - C:\Program Files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-12_Symbian_USB_Download_Driver - C:\Program Files\Samsung\USB Drivers\12_Symbian_USB_Download_Driver\Uninstall.exe
AddRemove-15_Symbian_Samsung_PC_DLC_Driver - C:\Program Files\Samsung\USB Drivers\15_Symbian_Samsung_PC_DLC_Driver\Uninstall.exe
AddRemove-16_Shrewsbury - C:\Program Files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-24_flashusbdriver - C:\Program Files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - C:\Program Files\Samsung\USB Drivers\25_escape\Uninstall.exe
         

Danke!

Ergänzung: vor Abschluss Combofix und war nochmals ein BlueScreen und ein Neustart. Dann startete nochmals das Combofix-Fenster mit den letzten Aktionen (z.B. Hinweis darauf jetzt keine Programme zu starten bis Combofix fertig ist...)

Kein Problem, nur ist das Logfile nicht vollständig. War das nur so lange oder hast du einen Teil vergessen?

Zudem möchte ich dir dringend nahelegen, dieses System nicht weiter für sicherheitsrelevante Zwecke zu verwenden und empfehle dir eine Neuinstallation. Wir machen aber gerne mit Bereinigen weiter, wenn du das möchtest.

Hallo,

hab das Logfile nochmals verglichen. Ist vollständig kopiert worden, zumindest sind die ersten und letzten Zeilen jeweils identisch.

Aus Deiner Empfehlung in Richtung Neuinstallation schließe ich, daß eine vollständige Bereinigung nicht sicher gestellt werden kann. Sicherheitsrelevante Infos oder Daten sollen zukünftig aber auch bearbeitet werden können, weil das Gerät auch geschäftlich genutzt wird.

Anstelle der Neuinstallation würde ich dann fast vorschlagen ein neues Gerät anzuschaffen, weil das Notebook über das wir sprechen bereits in die Jahre gekommen ist.

Kann ich dann die Daten einfach vom "infizierten" alten Notebook über eine externe Festplatte aufs Neue kopieren oder besteht die Gefahr Malware mit rüber zu ziehen?
Würde einfach die relevanten Daten auf die Platte schieben und am neuen Rechner mit Malware scannen lassen. (Autorun ist dort bereits deaktiviert)

Gewerblich genutzte Rechner bereinigen wir hier eigentlich ohnehin nicht, eben genau aus diesen Gründen.

Ja die Daten kannst du so retten. Scanne die externe Platte aber vor dem überspielen auf den neuen Rechner z.b. mit Eset

ESET Online Scanner

Zitat:

Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Bitte hier klicken --->
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.
• drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern!

Wenn der Scan beendet wurde

• Klicke und dann
• Speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Wie gesagt, ich vermute stark, dass das System so sehr infiziert ist, dass wir nicht Sicher stellen können, dass wirklich alles weg ist ( und das kann man ohnehin nie so wirklich ).

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo Ryder,

hab gestern begonnen die Daten auf eine externe Platte zu sichern. Würde jetzt erstmal um neue Hardware schauen. Wenn Du den beschriebenen Weg zum Datentransfer als sinnvoll ansiehst dann denke ich, daß ich es schaffen werde!

Damit für Dein Engagement das alte System weitgehend zu cleanen herzlichen Dank!!

Schön, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/