Hi!

Ich befürchte, mir gestern nach 3 Jahren zum ersten Mal einen Virus o.Ä. eingefangen zu haben, und hoffe nun auf eure Hilfe!

Nachdem ich gestern einen heruntergeladenen Ordner auf meine externe Festplatte verschob, meldete mit mein AntiVir zum ersten Mal den Fund eines Trojaners, den ich prompt löschen ließ.
Anschließend begann Google, mich falsch zu verlinken, ein Problem, mit dem ich scheinbar ja nicht alleine bin.

Als erstes entfernte ich den heruntergeladenen Ordner wieder von meiner externen Festplatte.

Anschließend ließ ich mein System von AntiVir prüfen, welches weitere vier Trojaner meldete, welche ich ebenfalls löschen ließ.

Zudem fiel mir kurze Zeit später eine Datei "autorun.inf" auf meiner externen Festplatte auf, die vorher definitiv nicht da war, während die Festplatte im Arbeitsplatz plötzlich als Icon einen gelben Ordner anstelle des üblichen Bildes einer Festplatte hatte.

Des Weiteren erkannte Nero meinen DVD Brenner plötzlich nicht mehr, nachdem ich kurze Zeit vorher noch zwei iso Images ohne Probleme gebrannt hatte.

In meiner Verzweiflung warf ich also meine vor drei Jahren erstellte Recovery DVD ein und führte eine Systemwiederherstellung durch, nachdem ich vorher alle relevanten Daten gesichert hatte.

Heute morgen bekam ich dann von AntiVir erneut Fundmeldungen, welche ich in Quarantäne verschieben ließ. Diese liegen seit einem Neustart allerdings nicht mehr dort. Ist das normal?
Die Fundmeldungen bezogen sich Ausschließlich auf mein Laufwerk C: (die interne Festplatte), allerdings lässt der Lauf der Dinge ja darauf schließen, das die Quelle des Übels auf meiner externen Festplatte F: liegen müsste.

Auf der Suche nach einer Lösung bin ich auf dieses Forum gestoßen, und habe diverse ähnliche Fälle gefunden, allerdings daraus nicht wirkllich ableiten können, was genau ich zur Heilung meines Notebooks tun müsste.

Ich bin bis jetzt so weit gekommen, dass ich CCleaner, MBAM und RSIT habe laufen lassen. Tragischerweise hat der letzte Schritt (HijackThis) dazu geführt, dass ich nun auf meine externe Festplatte nicht mehr zugreifen kann.

Ergo habe ich mir gedacht, ich fass besser mal nix mehr an und vertraue auf jemanden, der sich mit der ganzen Sache auskennt.

Anbei die entsprechenden Reports!

Herzliche Grüße und vielen Dank im Voraus,

Chris

MBAM

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2412
Windows 5.1.2600 Service Pack 3

12.07.2009 16:59:47
mbam-log-2009-07-12 (16-59-47).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 148192
Laufzeit: 34 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\RECYCLER\s-1-5-21-1256937403-4312875919-402770691-7341\rundll32.exe (Trojan.DelfInject) -> Delete on reboot.
f:\RECYCLER\help.exe (Trojan.DelfInject) -> Quarantined and deleted successfully.

RSIT INFO

info.txt logfile of random's system information tool 1.06 2009-07-12 17:10:43

======Uninstall list======

-->C:\Programme\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Reader 9.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Agere Systems HDA Modem-->agrsmdel
Application Installer 4.00.B5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E0DBC47C-ED3F-4A1B-A929-9A26DAAA14B3}\setup.exe" -l0x7
ATI Catalyst Control Center-->MsiExec.exe /I{DFEDA4ED-E67D-4E5E-8FDE-C628B4DCA01B}
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Fingerprint Sensor Minimum Install-->MsiExec.exe /I{2F0D3C9E-4FB6-4A14-B0C4-42328F570177}
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
HP Integrated Module with Bluetooth wireless technology-->MsiExec.exe /X{3F4EC965-28EF-45C3-B063-04B25D4E9679}
HP Mobile Data Protection System-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{75ECB75A-522C-4312-8DE7-597CDA9D96A3}\setup.exe" -l0x7 UNINSTALL
HP Quick Launch Buttons 6.00 D2-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{34D2AB40-150D-475D-AE32-BD23FB5EE355}\setup.exe" -l0x7 -removeonly uninst
HP Support Phone Numbers-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E7485CE5-C004-44D6-AA3E-7EE4DFE2B70E}\setup.exe" -l0x7 -removeonly
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Nero 7 Ultra Edition-->MsiExec.exe /I{235BBFC6-D863-4066-A01A-3BD504C31031}
Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe" -l0x7 -removeonly
ST Wiederherstellungs- & Sicherungsprogramme-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3F9F7336-6DF8-476F-ABF6-C70A17FAF619}\setup.exe" -l0x7 -uninst -removeonly
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Texas Instruments PCIxx21/x515/xx12 drivers.-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A} /l1031
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: ***
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.

Record Number: 5
Source Name: EventLog
Time Written: 20090712104958.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 6006
Message: Der Ereignisprotokolldienst wurde beendet.

Record Number: 4
Source Name: EventLog
Time Written: 20090711230922.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Beendet".

Record Number: 3
Source Name: Service Control Manager
Time Written: 20090711230917.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7036
Message: Dienst "Windows Installer" befindet sich jetzt im Status "Beendet".

Record Number: 2
Source Name: Service Control Manager
Time Written: 20090711230914.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7036
Message: Dienst "Ati HotKey Poller" befindet sich jetzt im Status "Beendet".

Record Number: 1
Source Name: Service Control Manager
Time Written: 20090711230914.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: ***
Event Code: 2200
Message: Die Message Queuing-Trigger wurden erfolgreich gestartet.

Record Number: 5
Source Name: MSMQTriggers
Time Written: 20090712105013.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 2028
Message: Der Message Queuing-Dienst wurde gestartet.

Record Number: 4
Source Name: MSMQ
Time Written: 20090712105013.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 0
Message:
Record Number: 3
Source Name: btwdins
Time Written: 20090712105007.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 2444
Message: MS DTC wurde mit den folgenden Einstellungen gestartet:



Sicherheitskonfiguration (AUS = 0 und EIN = 1):

Netzwerkverwaltung von Transaktionen = 0,

Netzwerkclients = 0,

Eingehende verteilte Transaktionen mithilfe des systemeigenen MSDTC-Protokolls = 0,

Ausgehende verteilte Transaktionen mithilfe des systemeigenen MSDTC-Protokolls = 0,

Transaction Internet Protocol (TIP) = 0,

XA-Transaktionen = 0
Record Number: 2
Source Name: MSDTC
Time Written: 20090712105006.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 1517
Message: Die Registrierung des Benutzers "***\Administrator" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.


Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Record Number: 1
Source Name: Userenv
Time Written: 20090711230920.000000+120
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 14 Stepping 8, GenuineIntel
"PROCESSOR_REVISION"=0e08
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------


--

Und noch die Meldungen von AntiVir:


In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NMICS6P8\bacon[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Firefox.EL' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

------------------------------------------------------------------------
In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\112.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Firefox.EL' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

------------------------------------------------------------------------
In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\901.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Firefox.EL' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

------------------------------------------------------------------------
In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D0Q0CCSO\bacon[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Firefox.EL' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben


Merci nochmal!

Kleine Aktualisierung:

Per Rechtsklick und dann über Explorer kann ich weiterhin auf meine externe Festplatte zugreifen, warum auch immer...

Ich habe mich entschlossen, die Festplatte zu formatieren und mein System neu aufzusetzen. Falls sich jemand Gedanken zu meinem Problem gemacht hatte, dennoch herzlichen Dank!