Rootkit / Trojaner auf Schwiegermutter PC

Spoki · 19.05.2013, 11:43

Hallo,
ich kämpfe gerade mit dem PC meiner Schwiegermutter.
Dieser meldete über Avira immer wieder den "tr/atraps.gen2". Avira meinte ihn zu löschen, er war aber kurze Zeit später wieder da.
Malewarebytes "Antimale ware" zeigt auch eine Infektion, bereinigte diese, aber nach einem Neustart und erneuten Scan war die Infection immer noch da.
Malewarbates "Antirootkit" hat auch mehrere Probleme gefunden und behoben und zeigt jetzt keine weitere Infektion. Danach ging auch Windows Update wieder, welches vorher nicht funktionierte.

Jetzt habe ich nach der Anleitung den defrogger eingesetzt sowie OTL und GMER laufen lassen.
Anbei die Logs.

Ich hoffe jemand kann mir helfen, damit ich ein guter Schwiegersohn bin

Schöne Pfingsten,
Mathias

t'john · 19.05.2013, 11:58

Bitte das Malwarebytes-Logfile posten, das du schon gemacht hast!
(Reiter Logdateien)

Log von Antivir erstellen: http://www.trojaner-board.de/125889-...en-posten.html

Spoki · 19.05.2013, 12:07

Wow, welche schnelle Antwort. Danke schon mal.
Hier die Logs.
Viele Grüße,
Mathias

t'john · 19.05.2013, 12:19

OK:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Spoki · 19.05.2013, 21:35

Hallo t'john,
ich konnte leider erst jetzt weitermachen.
Der Combofix lief ohne Probleme/Hinweise durch.

Hier das Log:

Code:

ATTFilter

ComboFix 13-05-18.04 - admin 19.05.2013  22:24:16.1.4 - x86
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3063.2055 [GMT 2:00]
ausgeführt von:: c:\users\edda *****\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-04-19 bis 2013-05-19  ))))))))))))))))))))))))))))))
.
.
2013-05-19 20:28 . 2013-05-19 20:28	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-05-19 09:55 . 2013-03-26 15:59	92256	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\BingDesktop\Updater\BingDesktopRestarter.exe	ERROR(0x00000005)
2013-05-19 06:34 . 2012-08-24 17:05	136560	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2013-05-19 06:34 . 2012-08-24 17:02	369856	----a-w-	c:\windows\system32\drivers\cng.sys
2013-05-19 06:34 . 2012-08-24 16:57	247808	----a-w-	c:\windows\system32\schannel.dll
2013-05-19 06:34 . 2012-08-24 16:56	1039360	----a-w-	c:\windows\system32\lsasrv.dll
2013-05-18 23:12 . 2013-05-13 06:19	7016152	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\{ED7B3F6D-05A7-4D69-BCD1-0A8CD7B99BE8}\mpengine.dll	ERROR(0x00000005)
2013-05-18 23:00 . 2013-03-19 04:53	186368	----a-w-	c:\windows\system32\wwansvc.dll
2013-05-18 23:00 . 2013-03-19 03:33	40960	----a-w-	c:\windows\system32\wwanprotdim.dll
2013-05-18 23:00 . 2013-04-10 03:14	2347520	----a-w-	c:\windows\system32\win32k.sys
2013-05-18 22:59 . 2013-04-10 05:18	728424	----a-w-	c:\windows\system32\drivers\dxgkrnl.sys
2013-05-18 22:59 . 2013-04-10 05:18	218984	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2013-05-18 22:59 . 2013-02-27 05:05	101720	----a-w-	c:\windows\system32\consent.exe
2013-05-18 22:59 . 2013-02-27 04:49	1796096	----a-w-	c:\windows\system32\authui.dll
2013-05-18 22:59 . 2013-02-27 04:49	47104	----a-w-	c:\windows\system32\appinfo.dll
2013-05-18 21:57 . 2013-05-19 10:00	--------	d-----w-	c:\users\admin
2013-05-18 11:03 . 2013-05-18 11:03	--------	d-----w-	c:\users\edda *****\AppData\Roaming\Malwarebytes
2013-05-18 11:03 . 2013-05-18 11:03	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2013-05-18 11:03 . 2013-04-04 12:50	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-05-18 11:02 . 2013-05-18 11:02	--------	d-----w-	c:\users\edda *****\AppData\Local\Programs
2013-05-02 09:54 . 2013-05-02 09:54	66656	----a-w-	c:\windows\system32\drivers\avnetflt.sys
2013-04-25 16:21 . 2013-04-12 13:45	1211752	----a-w-	c:\windows\system32\drivers\ntfs.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-02 00:06 . 2009-11-16 10:03	238872	------w-	c:\windows\system32\MpSigStub.exe
2013-04-13 04:45 . 2013-05-18 23:00	474624	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2013-04-13 04:45 . 2013-05-18 23:00	2176512	----a-w-	c:\windows\apppatch\AcGenral.dll
2013-04-10 03:08 . 2009-11-16 12:22	6906960	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll	ERROR(0x00000005)
2013-04-02 14:09 . 2013-04-02 14:09	4550656	----a-w-	c:\windows\system32\GPhotos.scr
2013-04-02 07:09 . 2013-04-02 07:09	745472	----a-w-	c:\windows\system32\MsSpellCheckingFacility.exe
2013-04-02 07:09 . 2013-04-02 07:09	523264	----a-w-	c:\windows\system32\vbscript.dll
2013-04-02 07:09 . 2013-04-02 07:09	38400	----a-w-	c:\windows\system32\imgutil.dll
2013-04-02 07:09 . 2013-04-02 07:09	185344	----a-w-	c:\windows\system32\elshyph.dll
2013-04-02 07:09 . 2013-04-02 07:09	158720	----a-w-	c:\windows\system32\msls31.dll
2013-04-02 07:09 . 2013-04-02 07:09	150528	----a-w-	c:\windows\system32\iexpress.exe
2013-04-02 07:09 . 2013-04-02 07:09	138752	----a-w-	c:\windows\system32\wextract.exe
2013-04-02 07:09 . 2013-04-02 07:09	137216	----a-w-	c:\windows\system32\ieUnatt.exe
2013-04-02 07:09 . 2013-04-02 07:09	12800	----a-w-	c:\windows\system32\mshta.exe
2013-04-02 07:09 . 2013-04-02 07:09	110592	----a-w-	c:\windows\system32\IEAdvpack.dll
2013-04-02 07:09 . 2013-04-02 07:09	73728	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2013-04-02 07:09 . 2013-04-02 07:09	719360	----a-w-	c:\windows\system32\mshtmlmedia.dll
2013-04-02 07:09 . 2013-04-02 07:09	61952	----a-w-	c:\windows\system32\tdc.ocx
2013-04-02 07:09 . 2013-04-02 07:09	48640	----a-w-	c:\windows\system32\mshtmler.dll
2013-04-02 07:09 . 2013-04-02 07:09	361984	----a-w-	c:\windows\system32\html.iec
2013-04-02 07:09 . 2013-04-02 07:09	23040	----a-w-	c:\windows\system32\licmgr10.dll
2013-04-02 07:09 . 2013-04-02 07:09	1441280	----a-w-	c:\windows\system32\inetcpl.cpl
2013-04-02 07:09 . 2013-04-02 07:09	9728	---ha-w-	c:\windows\system32\api-ms-win-downlevel-shlwapi-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09	906240	----a-w-	c:\windows\system32\FntCache.dll
2013-04-02 07:09 . 2013-04-02 07:09	604160	----a-w-	c:\windows\system32\d3d10level9.dll
2013-04-02 07:09 . 2013-04-02 07:09	5632	---ha-w-	c:\windows\system32\api-ms-win-downlevel-shlwapi-l2-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09	5632	---ha-w-	c:\windows\system32\api-ms-win-downlevel-ole32-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09	417792	----a-w-	c:\windows\system32\WMPhoto.dll
2013-04-02 07:09 . 2013-04-02 07:09	4096	---ha-w-	c:\windows\system32\api-ms-win-downlevel-user32-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09	364544	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2013-04-02 07:09 . 2013-04-02 07:09	3584	---ha-w-	c:\windows\system32\api-ms-win-downlevel-advapi32-l2-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09	3419136	----a-w-	c:\windows\system32\d2d1.dll
2013-04-02 07:09 . 2013-04-02 07:09	3072	---ha-w-	c:\windows\system32\api-ms-win-downlevel-version-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09	3072	---ha-w-	c:\windows\system32\api-ms-win-downlevel-shell32-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09	293376	----a-w-	c:\windows\system32\dxgi.dll
2013-04-02 07:09 . 2013-04-02 07:09	2560	---ha-w-	c:\windows\system32\api-ms-win-downlevel-normaliz-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09	249856	----a-w-	c:\windows\system32\d3d10_1core.dll
2013-04-02 07:09 . 2013-04-02 07:09	2284544	----a-w-	c:\windows\system32\msmpeg2vdec.dll
2013-04-02 07:09 . 2013-04-02 07:09	220160	----a-w-	c:\windows\system32\d3d10core.dll
2013-04-02 07:09 . 2013-04-02 07:09	207872	----a-w-	c:\windows\system32\WindowsCodecsExt.dll
2013-04-02 07:09 . 2013-04-02 07:09	1988096	----a-w-	c:\windows\system32\d3d10warp.dll
2013-04-02 07:09 . 2013-04-02 07:09	161792	----a-w-	c:\windows\system32\d3d10_1.dll
2013-04-02 07:09 . 2013-04-02 07:09	1504768	----a-w-	c:\windows\system32\d3d11.dll
2013-04-02 07:09 . 2013-04-02 07:09	1247744	----a-w-	c:\windows\system32\DWrite.dll
2013-04-02 07:09 . 2013-04-02 07:09	1230336	----a-w-	c:\windows\system32\WindowsCodecs.dll
2013-04-02 07:09 . 2013-04-02 07:09	1158144	----a-w-	c:\windows\system32\XpsPrint.dll
2013-04-02 07:09 . 2013-04-02 07:09	1080832	----a-w-	c:\windows\system32\d3d10.dll
2013-04-02 07:09 . 2013-04-02 07:09	10752	---ha-w-	c:\windows\system32\api-ms-win-downlevel-advapi32-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09	187392	----a-w-	c:\windows\system32\UIAnimation.dll
2013-04-01 17:05 . 2012-10-14 16:20	84744	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-04-01 17:05 . 2012-10-14 16:20	37352	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2013-04-01 17:05 . 2012-10-14 16:20	135136	----a-w-	c:\windows\system32\drivers\avipbb.sys
2013-03-19 05:04 . 2013-04-10 19:43	3968856	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-03-19 05:04 . 2013-04-10 19:43	3913560	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-03-19 04:48 . 2013-04-10 19:42	38912	----a-w-	c:\windows\system32\csrsrv.dll
2013-03-19 02:49 . 2013-04-10 19:43	69632	----a-w-	c:\windows\system32\smss.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2013-05-02 345312]
"BingDesktop"="c:\program files\Microsoft\BingDesktop\BingDesktop.exe" [2013-04-10 2387088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Z1"="c:\users\edda *****\Downloads\mbar\mbar.exe" [2013-05-18 1398856]
" Malwarebytes Anti-Malware  (cleanup)"="c:\users\edda *****\Downloads\mbar\Data\cleanup.dll" [2013-05-18 1093192]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [x]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [x]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
S2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [x]
S2 BingDesktopUpdate;Bing Desktop Update service;c:\program files\Microsoft\BingDesktop\BingDesktopUpdater.exe [x]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [x]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [x]
S2 TeamViewer8;TeamViewer 8;c:\program files\TeamViewer\Version8\TeamViewer_Service.exe [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc Mcx2Svc SensrSvc
GPSvcGroup	REG_MULTI_SZ   	GPSvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - LocalService
FontCache
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-19 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-02-07 20:03]
.
2013-05-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 14:01]
.
2013-05-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 14:01]
.
2013-05-19 c:\windows\Tasks\hpwebreg_CN15P2N1C505D2.job
- c:\program files\HP\HP Deskjet 1000 J110 series\Bin\hpwebreg.exe [2010-11-16 20:16]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
TCP: DhcpNameServer = 192.168.1.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
AddRemove-_{ADDBE07D-95B8-4789-9C76-187FFF9624B4} - c:\program files\Corel\CorelDRAW Essential Edition 3\Programs\MSILauncher {ADDBE07D-95B8-4789-9C76-187FFF9624B4}
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-05-19  22:30:38
ComboFix-quarantined-files.txt  2013-05-19 20:30
.
Vor Suchlauf: 5 Verzeichnis(se), 945.207.230.464 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 946.082.500.608 Bytes frei
.
- - End Of File - - 655B2156B1CF87DACDE6889E13D5E3BE

Viele Grüße
Mathias

t'john · 20.05.2013, 06:11

Sehr gut!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Spoki · 20.05.2013, 09:56

Moin t'john,
alle Programme liefen ohne besondere Hinweise durch.
Hier die drei neuen Logs.
Bin gespannt was jetzt noch kommt ;-), wahrscheinlich Java/Flash/Adobe Updates; die sehen nicht so aktuell aus.
Gruß
Mathias

aswMBR.txt:

Code:

ATTFilter

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-20 08:59:52
-----------------------------
08:59:52.610    OS Version: Windows 6.1.7601 Service Pack 1
08:59:52.610    Number of processors: 4 586 0x2502
08:59:52.610    ComputerName: EDDA*****-PC  UserName: admin
08:59:54.180    Initialize success
09:12:29.368    AVAST engine defs: 13051901
09:13:07.129    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
09:13:07.129    Disk 0 Vendor: WDC_WD10 80.0 Size: 953869MB BusType: 3
09:13:07.249    Disk 0 MBR read successfully
09:13:07.254    Disk 0 MBR scan
09:13:07.304    Disk 0 Windows 7 default MBR code
09:13:07.309    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
09:13:07.324    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       932262 MB offset 206848
09:13:07.369    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        20480 MB offset 1909479424
09:13:07.404    Disk 0 Partition 4 00     12  Compaq diag NTFS         1025 MB offset 1951422464
09:13:07.444    Disk 0 scanning sectors +1953521664
09:13:07.514    Disk 0 scanning C:\Windows\system32\drivers
09:13:18.824    Service scanning
09:13:38.444    Modules scanning
09:13:45.654    Disk 0 trace - called modules:
09:13:45.674    ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys halmacpi.dll 
09:13:45.679    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x88a3e460]
09:13:45.684    3 CLASSPNP.SYS[8c5ac59e] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x86ec3028]
09:13:47.344    AVAST engine scan C:\Windows
09:13:50.714    AVAST engine scan C:\Windows\system32
09:17:02.044    AVAST engine scan C:\Windows\system32\drivers
09:17:14.034    AVAST engine scan C:\Users\admin
09:17:28.179    AVAST engine scan C:\ProgramData
09:18:11.519    Scan finished successfully
09:18:49.579    Disk 0 MBR has been saved successfully to "C:\Users\edda *****\Downloads\MBR.dat"
09:18:49.584    The log file has been saved successfully to "C:\Users\edda *****\Downloads\aswMBR.txt"

EST:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=9c56449c20a23742a6da8a98b1f225e5
# engine=13867
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-20 08:35:27
# local_time=2013-05-20 10:35:27 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 97 57417 234462217 6956 0
# compatibility_mode=5893 16776573 100 94 43527 120670118 0 0
# scanned=141680
# found=0
# cleaned=0
# scan_time=4156

SecurityCheck:

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.63  
 Windows 7 Service Pack 1 x86 (UAC is enabled)  
 Internet Explorer 9  
``````````````Antivirus/Firewall Check:`````````````` 
Avira Desktop   
 Antivirus up to date!  (On Access scanning disabled!) 
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 Java(TM) 6 Update 17  
 Java version out of Date! 
 Adobe Flash Player 10 Flash Player out of Date! 
 Adobe Reader 9 Adobe Reader out of Date! 
 Mozilla Thunderbird (17.0.6) 
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````

Hi,
ich habe mal Flash, Java und Reader deinstalliert und von den offiziellen Seiten neu geladen/installiert.
Jetzt sieht der Security Check so aus:

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.63  
 Windows 7 Service Pack 1 x86 (UAC is enabled)  
 Internet Explorer 9  
``````````````Antivirus/Firewall Check:`````````````` 
Avira Desktop   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 Java 7 Update 21  
 Adobe Reader 9  
 Adobe Reader XI  
 Mozilla Thunderbird (17.0.6) 
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````

Sieht schon besser aus, oder?
Ist noch etwas zu tun?
Viele Grüße
Mathias

t'john · 20.05.2013, 12:54

Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Spoki · 21.05.2013, 21:00

Hallo t'john,
vielen Dank für Deine Unterstützung/Hilfe.

Meine Schwiegermutter ist glücklich und ich froh, dass ich den Rechner nicht komplett neu aufsetzen musste.
Da ich fast alles per Teamviewer remote gemacht habe, musste ich noch nicht mal aus dem Haus.

Die weiteren Sicherheitsmaßnahmen habe ich auch ergriffen und hoffe nun, dass das nicht so schnell noch einmal passiert.

Eine kleine Spende habe ich auch schon getätigt und bei Bedarf empfehle ich Euch weiter.
Vielen Dank noch einmal und viele Grüße
Mathias

t'john · 22.05.2013, 13:39

Danke.

wir wuenschen eine virenfreie Zeit

19.05.2013, 11:58	#2
t'john /// Helfer-Team	Rootkit / Trojaner auf Schwiegermutter PC Bitte das Malwarebytes-Logfile posten, das du schon gemacht hast! (Reiter Logdateien) Log von Antivir erstellen: http://www.trojaner-board.de/125889-...en-posten.html __________________ __________________

22.05.2013, 13:39	#10
t'john /// Helfer-Team	Rootkit / Trojaner auf Schwiegermutter PC Danke. wir wuenschen eine virenfreie Zeit __________________ Mfg, t'john Das TB unterstützen

Rootkit / Trojaner auf Schwiegermutter PC

Log-Analyse und Auswertung: Rootkit / Trojaner auf Schwiegermutter PC