Nein, beim letzten mal hab ich nur die Bioware Spielstände wieder rüber kopiert, und die liegen in 'Eigene Dateien'....

Auch in den Eigenen Dateien können infizierte, ausführbare Dateien liegen. Beim Zurückspielen ausführbarer Dateien sollte man daher sehr vorsichtig sein...

Bevor ich mir dein OTL-Log ansehe, mach bitte einen neuen, vollständigen Scan mit Malwarebytes. Wenn du noch USB-Sticks oder externe Festplatten hast, schließe sie bitte zuvor an den Rechner an. Vergiss nicht, die Signaturen zu aktualisieren vor dem Scan!

Einen Vollständigen Scan habe ich Vorgestern gemacht, die anderen Platten waren 'sauber'.

Die Partition mit den Sicherungskopien habe ich heute noch geprüft, ebenfalls ohne Fund.

Ich kann zwar noch einen kompletten Scan machen, wenn es sein muß , der dauert aber knapp drei Stunden, das würd ich dann später machen.

Hiho!
Hier also der aktuelle Komplettscan mit MBAM (vollständiger Scan aller Laufwerke):

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4036

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

26.04.2010 15:17:57
mbam-log-2010-04-26 (15-17-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 260226
Laufzeit: 1 Stunde(n), 9 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 14
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17

Infizierte Speicherprozesse:
C:\WINDOWS\system32\PereSvc.exe (Trojan.Koblu) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\qlrl.exe (Backdoor.Bot) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\qlrl.exe (Backdoor.Bot) -> Unloaded process successfully.

Infizierte Speichermodule:
c:\WINDOWS\system32\BtwSvc.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\btwsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\peresvc (Trojan.Koblu) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syncman (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\scop (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syncman (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\buildw (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\firstinstallflag (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\ulrn (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\update (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\updatenew (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mbt (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mpe (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\wuaucldt.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\BtwSvc.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\PereSvc.exe (Trojan.Koblu) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\qlrl.exe (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\d.bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ms.bin (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\so.bin (Trojan.Koblu) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\6753,046.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\703886,449337006.exe (Backdoor.Refpron) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\973085,999488831.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\qlrl.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\VRT18.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\VRT2E.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Sonja\wuaucldt.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\w.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Sonja\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.

Die Treffer dürften die 'üblichen Verdächtigen' nach Internetzugang sein....

Hab auch GMER nochmal über alle Platten laufen lassen, hatte aber nicht das Gefühl, das er da was anders gemacht hätte. Sag bescheid, wenn Du die Log sehen möchtets.

Vielen Dank, Gruß

Che


Der MBAM-Scan ging diesmal schneller, heißt das was?

Zum Thema Datenrettung:

Spielstände enthalten doch keine ausführbaren Daeien, oder? (Konnte jedenfalls keine finden / erkennen)

Kann man davon ausgehen, das Videos / Musik / Bilder / Texte sauber sind, oder können die auch infiziert werden?

Zitat:

Zitat von Ganesha

Spielstände enthalten doch keine ausführbaren Daeien, oder? (Konnte jedenfalls keine finden / erkennen)

Kann ich dir leider nicht sagen, damit habe ich keine Erfahrung.

Zitat:

Kann man davon ausgehen, das Videos / Musik / Bilder / Texte sauber sind

Solche Dateien sollten sauber sein.

Eine Bereinigung macht in diesem Fall keinen Sinn, sondern nur ein Neuaufsetzen. Zuerst müssen wir aber die Ursache für die ständigen Neuinfektionen finden, deshalb die folgenden Fragen:

• Wie gehst du ins Netz (Modem, Router, anderer Zugang)? Wenn Router, ist er NAT-fähig (d.h. besitzt er eine "Hardware-Firewall")?
• Wann hast du deinen Rechner zuletzt neuaufgesetzt?
• Ist der Rechner in einem Netzwerk mit anderen Rechnern?

Außerdem:
Lade dir diese Datei -> mbr.exe direkt auf Laufwerk c:\ und führe sie aus.
Auf c:\ wird dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein.

Hi Franz,

nochmal vielen Dank bis hier hin! Ich werde mich in den nächsten Tagen wohl nicht oder nur sporadisch um meinen Rechner kümmern können... Werde mich also erst nächste Woche wieder melden.

Ist es für unsere Fehlersuche schädlich, wenn ich den Rechner schonmal neu aufsetze? Mir ist klar, dass ich das, wenn wir fündig werden, wiederholen muss, aber dann wäre mein System solange wenigstens wieder etwas stabiler.

Dann komm mal gut in den Mai und bis die Tage ;-)

Grüße

Che

Zitat:

Zitat von Ganesha

Ist es für unsere Fehlersuche schädlich, wenn ich den Rechner schonmal neu aufsetze? Mir ist klar, dass ich das, wenn wir fündig werden, wiederholen muss, aber dann wäre mein System solange wenigstens wieder etwas stabiler.

Das ist nicht schädlich, aber es wäre hilfreich, wenn du zuvor kurz die Fragen aus meinem letzten Post beantworten würdest.
Wenn du neuaufsetzt, dann halte dich bitte streng an unsere Anleitung und arbeite zuvor den Schritt mit der mbr.exe ab (steht auch in meinem letzten Posting).

Hi Franz,

da in ich wieder....

zunächst zu Deinen Fragen:

1. Ich benutze den WLAN-Router des meines Telefonanbieters, gehe aber über eine LAN-Verbindung in's Internet.
Ob es eine Hardwarefirewall gibt weiß ich nicht, sieht nicht so aus (zumindest finde ich hierfür keine Einstellungen / Hinweise im Handbuch)
Die Tybezeichnung lautet: IAD WLAN 3231

2. Der Rechner wurde zuletzt vor ca. 4 Wochen neu aufgesetzt, zu diesem Zeitpunkt allerdings mehrfach in kurzer folge (ich glaub 3 oder 4mal). Siehe meinen ersten Eintrag....

3. Nein, hier steht der Rechner ganz alleine....

Das mbr-Log folgt...

Aktuell scheint sich die Anzahl der Infektionen pro Internetbesuch erhöht zu haben....

Zur Neuinstallation:

Ich habe drei Festplatten, eine ist in Betriebssystem und 'Back UP' aufgeteilt, letztere möchte ich nur ungern löschen.

Auf den Anderen Festplatten liegen überwiegend Daten (Musik, Filme, Bilder ect.). Möchte ich auch nicht Löschen ;-)

Auf D: liegen zudem die Installationen der Spiele.... könnte ich drauf verzichten....

Prinzipiell möchte ich also nach Möglichkeit nur c: formatieren. Kann das reichen, oder muß ich in den sauren Apfel beißen?

MfG

Che

So, hier die Logfile:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x02E937CC1
malicious code @ sector 0x02E937CC4 !
PE file found in sector at 0x02E937CDA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.


Gibt zwei neue Meldungen bei MBAM, die es nicht gelöscht bekommt, Installier Windows jetzt neu, bis später....

System ist neu aufgesetzt und läuft bisher ohne Probleme oder Neuinfektionen...

What's next?

Zitat:

Zitat von Ganesha

System ist neu aufgesetzt und läuft bisher ohne Probleme oder Neuinfektionen...

Hast du denn wenigstens c: formatiert und dich an die verlinkte Anleitung gehalten?

Ich hatte ja schon beschrieben, wie ich bei einer Neuinstallation vorgehe. Ja, c: wurde zuvor formatiert, abgesehen von einem Spielstand habe ich diesmal auch nichts zurück-kopiert. Den Ordner mit dem Spielstand habe ich vorher mit MBAM und Norton geprüft, scheint sauber zu sein.
Danach Motherboardtreiber und Windows-Updates installiert, dann Norton. Komplettscan mit Norton und MBAM, wobei Norton noch einige Funde auf d: hatte (konnten entfernt werden).
Dann Download einiger von mir genutzter Programme, vornehmlich Firefox, Videoplayer, Acrobat und DivX.
Erneuter Scan, keine Funde.
Wie gesagt bisher auch keine weiteren Ausfälle, ich hoffe, es bleibt dabei...