Total verseucht: Rootkits, Trojaner und Viren auf Laptop, PC und ext. Festplatten

SeineFrau

Hallo,

ich bin ganz neu hier im Forum und ich hoffe ich mache alles nach Regeln ^.^

In letzter Zeit bin ich immer wieder von Viren, Trojaner und sogar Rootkits
gepeinigt worden , u.a.

TR/VB.Agent.49152
TR/Disabler.I
TR/Agent.VB.AO.1
GEN/PwdZIP
TR/Spy.VB.QU
GEN/PwdZIP
HTML/Infected.WebPage.Gen
HTML/Malicious.ActiveX.Gen
HTML/Shellcode.Gen
TR/Crypt.CFI.Gen

den Namen des Rootkits habe ich mir leider nicht notiert.

Virenscanner nutze ich:

Avira AntiVir Personal
und
Spybot-SD Resident

Mit online Scanner gehe ich manchmal auch noch drüber.

Ich nutze folgenden/s Laptop/Betriebssystem:

MS WINDOWS MICRO XP Professional SP3
Intel Core 2 CPU T5500 @ 1.66GHz, 1.5GB RAM, Mobile Intel 945 Express Chipset Family.

sowie eine externe Multimedia Festplatte von 500 GB
WDC WD50 00AAVS-00ZTB0 USB Device,
die ich unter gar keinen Umständen Platt machen will und kann, da darauf Daten von persönlichen unersetzbaren Wert drauf sind,
an die ich auch nie wieder dran kommen könnte.

Ob ich den Laptop neu machen muss, ist mir eigentlich egal, denn an diese Filme und Dateien komme ich jederzeit wieder dran.

Das Ding ist,dass mein Laptop eigentlich seit 1 Monat oder so, bereits wieder neu aufgesetzt wurde und seitdem eigentlich
clean zu sein schien.

ABER: Seit 1 Woche bin ich bei Freunden zu Besuch und wir haben uns ein Netzwerk gemacht um Daten untereinander auszutauschen und
auch wegen den Internet. Haben natürlich immer wieder beim anderen die externen Festplatten angestöpselt und sogar die Digitalcameras
(auf der doch auch tatsächlich ein Virus gefunden wurde).

Meine Freunde haben auch ein großes Virusproblem und irgendwie sind jetzt
2 Laptops, 2 externe Festplatten, 2 Baugleiche Digitalcameras, 1 Computer und sogar der Computer der Kinder infiziert.

Wir sind wirklich ratlos, was wir jetzt tun können und wo wir überhaupt ansetzen müssen, damit wir alles sauber bekommen.

Ich möchte mal den Anfang machen und poste Euch hier, nach Euren Regeln mal die Infos die Ihr scheinbar benötigt.
Ich hoffe ich mache alles richtig, ich garantiere für nichts, denn so ein Ass auf den Gebiet bin ich nun wirklich nicht.
Aber ich habe jetzt mal meine externe Festplatte mit angeschlossen und poste hiermit folgende Logs:

Also:

a.) CCleaner hatte ich bereits und habe ich auch laufen lassen.

b.) Malwarebytes-Anti-Malware ausgeführt

Ergebniss 1: Schnell-Scan

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1902
Windows 5.1.2600 Service Pack 3

26.03.2009 17:51:57
mbam-log-2009-03-26 (17-51-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49078
Laufzeit: 2 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ergebniss 2: Komplett-Scan

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1902
Windows 5.1.2600 Service Pack 3

26.03.2009 18:33:38
mbam-log-2009-03-26 (18-33-38).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 118849
Laufzeit: 37 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Während das Malware Programm gelaufen ist, hat der Avira folgenden Virus in der externen Festplatte gefunden:
Virus or unwanted program 'TR/Crypt.CFI.Gen [trojan]'
detected in file 'F:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP383\A0107615.exe.
Action performed: Move file to quarantine


c.) HijackThis heruntergealden und genutzt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:49, on 26.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Documents and Settings\Administrator\My Documents\Rapget\rapget.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\DeskPins\DeskPins.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neopets.com/portal
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - C:\PROGRA~1\Neopets\Toolbar\Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - C:\PROGRA~1\Neopets\Toolbar\Toolbar.dll
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Rapget] C:\Documents and Settings\Administrator\My Documents\Rapget\rapget.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-57989841-1682526488-839522115-500\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O4 - S-1-5-21-57989841-1682526488-839522115-500 Startup: DeskPins.lnk = ? (User '?')
O4 - S-1-5-21-57989841-1682526488-839522115-500 Startup: OpenOffice.org 2.3.lnk = ? (User '?')
O4 - Startup: DeskPins.lnk = ?
O4 - Startup: OpenOffice.org 2.3.lnk = ?
O4 - Global Startup: Post-it® Software Notes Lite.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Download with Rapget - C:\Documents and Settings\Administrator\My Documents\Rapget\rapget.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\rsvpsp.dll' missing
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD2E8927-665C-4031-B7A3-50D253C8B873}: NameServer = 200.40.220.245 200.40.30.245
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 7126 bytes

d.) Liste installierter Software

7-Zip 4.57
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 8.1.3 - Deutsch
Adobe Shockwave Player 11
Ashampoo Burning Studio 2009
Avira AntiVir Personal - Free Antivirus
Broadcom 440x 10/100 Integrated Controller
Broadcom 802.11 Wireless LAN Adapter
CCleaner (remove only)
DeskPins (remove only)
HijackThis 2.0.2
HP Wireless Assistant
Intel(R) Graphics Media Accelerator Driver
Intel(R) PROSet/Wireless Software
Java(TM) 6 Update 11
Java(TM) 6 Update 3
K-Lite Codec Pack 3.7.0 Full
Malwarebytes' Anti-Malware
mCore
mDrWiFi
mHelp
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.0
mIWA
mLogView
mMHouse
Mozilla Firefox (3.0.7)
mPfMgr
mPfWiz
mProSafe
mSCfg
MSXML 6.0 Parser
mWlsSafe
mZConfig
Neopets
OpenOffice.org 2.3
Opera 9.63
PhotoScape
Post-it® Software Notes Lite
RealPlayer
Skype™ 3.5
Sonic Data Module
SoundMAX
Spybot - Search & Destroy
Synaptics Pointing Device Driver
VLC media player 0.9.8a
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Yahoo! Messenger


So das wars erstmal. Jetzt habe ich noch ein paar Klitzekleine Fragen:
Wie sieht es denn jetzt aber mit meiner Externen Festplatte aus.
Wurde diese auch mituntersucht??
Geht das überhaupt das ich ohne meine Festplatte neu zu machen, einen sauberen Laptop
behalte oder wird dieser beim erneuten anstöpseln wieder neu infiziert?
Und was ist mit den Digital Cameras???
Wir prüfe und reinigie ich diese???


Ich poste gleich die Daten von den Laptop und PC meiner Freunde, wenns Euch recht ist

Vielen Dank schon soweit.