oh ok, ich hab deine Antwort jetzt erst gelesen.
Hab es aber nochmal probiert, ist nochmal abgestürzt, hab es nochmal probiert, dann kamen neue Fenster:
CreateFile"C:\DOKUME~1\user01\okale~1\Temp\pwldqpow.sys: Zugriff verweigert.
und
CreateFile "C:\pwldqpow.sys": Zugriff verweigert.
und
Gmer: LoadDriver ("C:\pwldqpow.sys") error 0xC0000061: Zugriff verweigert.
und
C:\WINDOWS\System32\config\system

Scheint aber nichts schlimmes zu sein. (Oder?). Danach hab ich es nochmal probiert mit GMER starten und es läuft jetzt.
Also ich stell das Log ins Forum, sobald es fertig ist! Danke für den Tipp!

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  :filefind
  atapi"
  iastor*
  ahcix86*
           

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Hi
also GMER hat nicht funktioniert. Habs noch paarmal probiert. Es lief schon länger als 2 Sekunden aber es hat sich dann gestoppt oder der PC ist wieder abgestürzt.
Das mit Ausführen hab ich auch probiert, der hat dann Combofix gestartet. Das wollten wir ja nicht(?), also hab ich es wieder abgebrochen.

Das ist jetzt von SystemLook:

Code: Alles auswählenAufklappen

ATTFilter

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 22:38 on 30/11/2009 by user01 (Administrator - Elevation successful)

========== filefind ==========

Searching for "atapi""
No files found.

Searching for "iastor*"
C:\WINDOWS\inf\iaStor.cat	--a--- 11215 bytes	[07:23 18/04/2008]	[07:23 18/04/2008] 42B89D9C3E6793A945EE86893A7F67AB
C:\WINDOWS\inf\iaStor.inf	--a--- 8114 bytes	[21:53 15/04/2008]	[21:53 15/04/2008] 21747C003ABD85B79C2DD0AF3730D140
C:\WINDOWS\inf\iastor.PNF	--a--- 13516 bytes	[09:05 12/12/2008]	[09:05 12/12/2008] 51E61287775CF0C3B94404DD7EA499B8
C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\iastor.CAT	----s- 11215 bytes	[09:05 12/12/2008]	[07:23 18/04/2008] 42B89D9C3E6793A945EE86893A7F67AB

Searching for "ahcix86*"
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ahcix86.sys.vir	--a--- 164352 bytes	[17:25 26/10/2007]	[17:25 26/10/2007] 3D5E3A9526AAB4D97AB34F6F054F9623
C:\WINDOWS\inf\ahcix86.cat	--a--- 19301 bytes	[06:09 04/12/2007]	[06:09 04/12/2007] CAAF15694D5F6A53781D5ED7C00A716F
C:\WINDOWS\inf\ahcix86.inf	--a--- 7676 bytes	[22:04 30/11/2007]	[22:04 30/11/2007] EE125510A5C00F59BB2B08C6F04EE815
C:\WINDOWS\inf\ahcix86.PNF	--a--- 17228 bytes	[09:05 12/12/2008]	[09:25 12/12/2008] 533A46535D5D2EBA3EB9F0F6E6932D7E
C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\ahcix86.CAT	----s- 19301 bytes	[09:05 12/12/2008]	[06:09 04/12/2007] CAAF15694D5F6A53781D5ED7C00A716F
C:\WINDOWS\system32\drivers\ahcix86.sys	--a--- 164352 bytes	[17:25 26/10/2007]	[17:25 26/10/2007] 65EEB9ACCFF9995C364C59CA601EAE9D

-=End Of File=-
         

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  Shadow SSDT
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

Also ich hab da wohl echt einen Problemfall! Beim starten des RootRepeal ist er mir abgestürzt - dreimal. schluchz
Hast du vielleicht noch ne Idee?

Kurz reinspring. Lösche die vorhandene Version von Gmer


schritt 1

Kontrolle, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

• Downloade die MBR.exe von Gmer und
• speichere es auf Deinem Desktop.
• Mache einen Doppelklick auf das Programm, um es zu starten.
• Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
• Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
• Poste mir den Inhalt dieser Logdatei hier in den Thread.

schritt 2

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.


schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.exe
%SYSTEMDRIVE%\eventlog.dll /s /md5
%SYSTEMDRIVE%\scecli.dll /s /md5
%SYSTEMDRIVE%\netlogon.dll /s /md5
%SYSTEMDRIVE%\cngaudit.dll /s /md5
%SYSTEMDRIVE%\sceclt.dll /s /md5
%SYSTEMDRIVE%\ntelogon.dll /s /md5
%SYSTEMDRIVE%\logevent.dll /s /md5
%SYSTEMDRIVE%\iaStor.sys /s /md5
%SYSTEMDRIVE%\nvstor.sys /s /md5
%SYSTEMDRIVE%\atapi.sys /s /md5
%SYSTEMDRIVE%\IdeChnDr.sys /s /md5
%SYSTEMDRIVE%\viasraid.sys /s /md5
%SYSTEMDRIVE%\AGP440.sys /s /md5
%SYSTEMDRIVE%\vaxscsi.sys /s /md5
%SYSTEMDRIVE%\nvatabus.sys /s /md5
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Code-Tags in Deinen Thread

rausspring

Hi Larusso,
hier ist das Logfile von dem MBR, ist aber sehr kurz!
Das andere mache ich morgen! Aber danke sehr für die Hilfe!

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Gmer hat funktioniert!! Juchu!
Hier ist das Logfile davon.

Ähm. Es war zu groß. Ich hab es jetzt anghängt.
viele Grüße!

Arbeite bitte noch den Custom Scan von Larusso ab.

Hi
also hier ist das von OTL im Anhang. Vielleicht hab ich aber was falsch gemacht, ich hab nämlich den PC vom Internet getrennt. War das ok? oder soll ich es nochmal wiederholen?

Hier ist nochmal das OTL.txt (plus Internetstecker, Firewall und Antivirus an, aber alle anderen Programme zu), ein neues Extras.txt konnte ich leider nicht erstellen.
Wie soll ich weiter vorgehen?

Starte SUPERAntiSpyware und lass es laufen. Poste dessen Logfile hier her in deinen Thread

Superantispyware hat sogar was gefunden und in die Quarantäne verschoben!
Soll ich noch Schritt 4 aus der SASW-Anleitung durchführen (Restore oder Remove, abschließende Überprüfung)?
viele Grüße!

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/01/2009 at 11:33 PM

Application Version : 4.31.1000

Core Rules Database Version : 4326
Trace Rules Database Version: 2181

Scan type       : Complete Scan
Total Scan Time : 01:44:42

Memory items scanned      : 739
Memory threats detected   : 0
Registry items scanned    : 5029
Registry threats detected : 0
File items scanned        : 66128
File threats detected     : 2

Trojan.Agent/Gen-Nullo[Short]
	C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\ACBSI21V.EXE.VIR
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{9073CCAE-D115-4A0A-9F00-7FCD4B13A769}\RP261\A0026113.EXE
         

Hi Angel21
könntest du mir noch bitte ein paar Fragen beantworten?
- Ist jetzt der Trojaner von meinem Laptop runter? (könnte ich z. B. wieder online-Banking machen etc.?)
-Besser alle Passwörter ändern, oder?
- Ist die Sicherheitslücke jetzt wieder zu? Kann jetzt kein Virus mehr rein, wenn ich keine Filme mehr gucke, die es in Deutschland noch nicht gibt (schäm)?
- Beim Hochfahren des PCs kommt immer noch dieses Fenster von Combofix:

Code: Alles auswählenAufklappen

ATTFilter

"C:\ComboFix\CF21150.cfxxe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen. -> OK
         

Reicht es wenn ich Combofix lösche? Geht das Fenster dann weg?

- Kann ich alle Analyse-und Antispyware-Programme wieder löschen (außer CCleaner und Malwarebytes, die wollte ich behalten)?
- Soll ich noch bei SUPERAntiSpyware Schritt 4 ausführen?
- Kann ich Meldungen/Viren, die in der Quarantäne (z.B. bei Avira) sind löschen? Oder ist es dann nur in dem Verzeichnis gelöscht und eigentlich sind sie noch auf dem PC? Oder sind sie dann vom Computer runtergelöscht? (Ich hab sie immer drin gelassen bis jetzt, weil ich mir darüber nicht sicher war.)

Auf alle Fälle: Vielen Dank für deine Hilfe! Das war sooo nett von dir, dass du dir so viel Zeit dafür genommen hast! Danke!!
viele liebe Grüße!

Mir sind noch lange nicht fertig

• ESET Online Scanner
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Button "ESET Online Scanner" drücken.
  • Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
  • Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Einen Haken bei "Remove found threads" und "Scan archives" machen.
  • Start drücken.
  • Der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
  • IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
  • O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)