Hallo nochmal,

der Virus hat sich eine Woche lang nicht bemerkbar gemacht, aber nun habe ich dasselbe Problem wie vorher. Es läuft ein Werbeton im Hintergrund, der Wave-Regler stellt sich auf 0 und im Task-Manager laufen mind. 3 Prozesse: iexplore.exe...Also falls mir jemand helfen könnte...ich wäre sehr dankbar. (CCleaner,Anti-Malwarebytes,McAfee hatten bisher keinen Erfolg).

Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hallo Arne,

danke für die schnelle Antwort, hier das Ergebnis:



Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 3e01b1df25d85e1dbe804df0324d13a2
\\.\D: -> \\.\PhysicalDrive0

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...

Bitte mal die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:

Code: Alles auswählenAufklappen

ATTFilter

remover.exe fix \\.\PhysicalDrive0
         

Falls der den Befehl remover.exe nicht findet, die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!

Hallo nochmal,

danke für den Tipp, hatte es vorher auch so probiert, aber ohne die Datei in den Ordner rüberzukopieren, ging es nicht. So, und nun? Was habe ich jetzt eigentlich genau gemacht? Achja, das Ergebnis ist dies hier:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\***>START remover.exe fix \\.\PhysicalDrive0

C:\Dokumente und Einstellungen\***>remover.exe fix \\.\PhysicalDrive0
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

Restoring boot code at \\.\PhysicalDrive0...
OK

Press any key to quit...


GRUß!

Kannst die remover.exe nochmal ausführen (doppelklicken) und schauen, ob da ne grüne Schrift ist mit "DOS/Win32 Bootcode found" (sinngemäß)

Japp.Steht da genauso!

Gut. Dann mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Ergebnis Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4306

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.07.2010 02:14:03
mbam-log-2010-07-13 (02-14-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 288883
Laufzeit: 2 Stunde(n), 55 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ergebnis SASW:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/13/2010 at 02:07 PM

Application Version : 4.40.1002

Core Rules Database Version : 5190
Trace Rules Database Version: 3002

Scan type : Complete Scan
Total Scan Time : 03:23:46

Memory items scanned : 613
Memory threats detected : 0
Registry items scanned : 8093
Registry threats detected : 0
File items scanned : 159967
File threats detected : 9

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tradedoubler[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atwola[1].txt
C:\Dokumente und Einstellungen\***\Cookies\l***@cdn.at.atwola[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@xm.xtendmedia[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tacoda[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ar.atwola[1].txt

Nun wird allerdings eine neue Hardware, die ich natürlich nicht installiert habe, angezeigt: StandardVolume...

Zitat:

Zitat von Hylia17

Nun wird allerdings eine neue Hardware, die ich natürlich nicht installiert habe, angezeigt: StandardVolume...

Und inwiefern soll das ein Problem sein?

Wenn man doch keine neue Hardware installiert hat und man dann die Meldung bekommt, dass sie installiert wurde, finde ich das eigentümlich. Aber das ist dann wahrscheinlich für einen anderen Thread bestimmt...Danke erstmal für deine Hilfe