Bei mir zeigt sich genau das gleiche Problem wie gestern schon hier im Forum erfolgreich gelöst auf meinem Laptop.
Es macht sich wie folgt bemerkbar:
Der IE öffnet sich (mit Werbeinhalten) von selbst (ich benutze Mozilla)
der Wave Sound Regler stellt sich von alleine aus (nicht nur im Internet auch während ich andere Programme verwende)

Da genau das gleiche Problem gestern von "Sheherasade" gepostet wurde und von "Larusso" erfolgreich gelöst wurde, hoffe ich nun, dass man auch mir helfen kann. Da aber in den Posts von "Larusso" ausdrücklich stand, dass die Lösungen nur für "Sheherasade" gelten, hoffe ich nun, er kann auch mir helfen.

Habe zwei Festplatten. Auf C: befindet sich XP mit SP3 und auf D: lediglich meine Daten. Als Virenscanner läuft G Data (immer aktuell). Seit ich das Problem festgestellt habe, wurde von mir "AD Aware" und "SpyBot S&D" installiert und der PC geprüft. Beide fanden zwar ein paar Kleinigkeiten, aber der Plagegeist ist immer noch auf dem System. Was mich verwunderte... Spy Bot meldete, dass der Internet Explorer geöffnet sei, obwohl alle Programm geschlossen waren.
:-(

Erbitte dringend Hilfe
Danke

Hier der Inhalt der MBR-Check-Datei:

MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive1



Size Device Name MBR Status

--------------------------------------------

74 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)!

74 GB \\.\PhysicalDrive1 Known-bad MBR code detected (Whistler / Black Internet)!





Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Lösche bitte die vorhandenen MBRCheck.txt.

Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei

• Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
• Enter your choice: 2
• Enter the physical disk number to fix (0-99, -1 to cancel): x
• PLease select the MBR code to write to this drive: x

Die rot eingerahmten Zahlen aus der Anleitung entnehmen!!!

• Gib nun Yes ein und bestätige mit ENTER.
• Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

Hallo, Cosinus!
Danke für deine Antwort.
Hier nach dem ersten Mal für Laufwerk C:

MBRCheck, version 1.1.1

(c) 2010, AD

\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive1

Size Device Name MBR Status

--------------------------------------------

74 GB \\.\PhysicalDrive0 Windows XP MBR code detected

74 GB \\.\PhysicalDrive1 Known-bad MBR code detected (Whistler / Black Internet)!


Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

Please select the MBR code to write to this drive:

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!

Please reboot your computer to complete the fix.


Done! Press ENTER to exit...

und dann nach dem zweiten Mal für Laufwerk D:

MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive1



Size Device Name MBR Status

--------------------------------------------

74 GB \\.\PhysicalDrive0 Windows XP MBR code detected

74 GB \\.\PhysicalDrive1 Windows XP MBR code detected


Done! Press ENTER to exit...

Bis jetzt läuft auch alles problemlos!
War es das schon?

Danke für deine Hilfe

Zitat:

74 GB \\.\PhysicalDrive1 Known-bad MBR code detected (Whistler / Black Internet)!

Das gleiche machst Du jetzt bei der zweiten Platte oder ist da ein anderes OS drauf?

Hallo.
Habe es schon zwei Mal gemacht.
C und D sind jetzt bereinigt,wie man unten sieht:

MBRCheck, version 1.1.1

(c) 2010, AD


\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive1

Size Device Name MBR Status

--------------------------------------------

74 GB \\.\PhysicalDrive0 Windows XP MBR code detected

74 GB \\.\PhysicalDrive1 Windows XP MBR code detected

Done! Press ENTER to exit...

Gruß
Timo

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4335

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

Durchsuchte Objekte: 158817
Laufzeit: 9 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Application Version : 4.40.1002

Core Rules Database Version : 5235
Trace Rules Database Version: 3047

Scan type : Complete Scan
Total Scan Time : 02:03:13

Memory items scanned : 513
Memory threats detected : 0
Registry items scanned : 10188
Registry threats detected : 7
File items scanned : 135962
File threats detected : 1

Adware.URLBlaze
HKU\S-1-5-21-3759220298-457821941-3649277386-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CE7C3CF0-4B15-11D1-ABED-709549C10000}
HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}

Rogue.Component/Trace
HKLM\Software\Microsoft\DC6489BA
HKLM\Software\Microsoft\DC6489BA#dc6489ba
HKLM\Software\Microsoft\DC6489BA#Version
HKLM\Software\Microsoft\DC6489BA#dc64243a
HKLM\Software\Microsoft\DC6489BA#dc644ddf

Adware.Tracking Cookie
cdn5.specificclick.net [ C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\NLBGKCPX ]

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Hier hat er etwas gefunden! Befindet sich in Quarantäne.
Kann ich die Sachen löschen?
Kann der Schädling auch via LAN auf mein NAS (QNAP) gelangt sein?

Sieht ja soweit alles gut aus, oder?
Danke für Deine Hilfe

Ist das MBAM Log wirklich vollständig?
Da steht zb nicht ob Du einen Voll- oder Quickscan gemacht hast. Und ich glaub auch nicht wirklich, dass Du das Tool vor dem Scan aktualisiert hast.

Hallo, Cosinus.
Dieses Log war von vor zwei Tagen.
In der Zwischenzeit hatte ich das Notebook aus.
Aktualisiert war das Programm, zumindest wurde es angezeigt.
Mache heute mittag noch einmal einen vollständigen Scan und werde das Log posten.
Danke vorerst

Schau bitte in Malwarebytes unter Logdateien richtig nach. Ich will nur nur vollständige Logs sehen. Poste das vorherige bitte nochmal aber komplett.

Hallo, Arne!
So, hier das ältere Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4335

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

21.07.2010 17:50:34
mbam-log-2010-07-21 (17-50-34).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 158817
Laufzeit: 9 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXx

Dann das aktuellste Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4340

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

23.07.2010 18:59:28
mbam-log-2010-07-23 (18-59-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 269032
Laufzeit: 1 Stunde(n), 26 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 07/23/2010 bei 08:41 PM

Version der Applikation : 4.41.1000

Version der Kern-Datenbank : 5242
Version der Spur-Datenbank : 3054

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:35:09

Gescannte Speicherelemente : 541
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 10226
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 117447
Erfasste Datei-Elemente : 0

Bis jetzt läuft auch alles prima.
Keine Störungen mehr.

Gruß Timo

Noch eine Frage, Arne:
Mein Laptop scheint ja nun endlich sauber zu sein.
Kann der Bootkit via LAN auch mein NAS (Linux) infiziert haben?
Danke und schönes Wochenende noch
Gruß Timo

Zitat:

Kann der Bootkit via LAN auch mein NAS (Linux) infiziert haben?

Wenn liegen da "nur" Schädlinge drauf, die Windows angreifen. Dass da Schädlinge Linux angreifen ist sehr unwahrscheinlich.