Hallo Arne,

vorab möchte ich noch wissen ob irgendetwas zurückversetzt wird. Ich meine wegen der Wiederherstellungkonsole. Die Daten auf dem Rechner sind zum Teil sehr wichtig, dass muss alles so bleiben wie es ist.

Wird etwas zurückversetzt oder bleib alles so wie es ist?

Wenn alles so bleibt, dann gehe ich so vor wie Du beschrieben hast.

Im übrigen will svchost.exe keine Verbindung mehr mit einer schädlichen Seite aufbauen, vermutlich haben die ersten Virenscans das Übel beseitigt.

Danke.

Gruß
Costa

Die Daten bleiben alle so, nur der MBR und die Startdateien werden neu geschrieben.

Es klappt nicht.

Ich komme zwar in die Wiederherstellungskonstole, kann aber keine Windows-Installation anwählen.

Ich kann auch nur einen Buchstaben eingeben.

Ich habe dann nur die Eingabetaste betätigt um den Vorgang abzubrechen.

Was habe ich falsch gemacht?

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000071d

Kernel Drivers (total 143):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E4000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB7F78000 ACPI.sys
0xB85AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB7F67000 pci.sys
0xB80A8000 isapnp.sys
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xB80B8000 MountMgr.sys
0xB7F48000 ftdisk.sys
0xB85AC000 dmload.sys
0xB7F22000 dmio.sys
0xB8330000 PartMgr.sys
0xB80C8000 VolSnap.sys
0xB7F0A000 atapi.sys
0xB7EF3000 nvata.sys
0xB85AE000 a347scsi.sys
0xB7EDB000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xB80D8000 disk.sys
0xB80E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB7EBB000 fltMgr.sys
0xB7EA9000 sr.sys
0xB80F8000 PxHelp20.sys
0xB7E92000 KSecDD.sys
0xB7E05000 Ntfs.sys
0xB7DD8000 NDIS.sys
0xB7D78000 timntr.sys
0xB7D5D000 snapman.sys
0xB7D49000 sfvfs02.sys
0xB8338000 sfhlp02.sys
0xB7D37000 sfdrv01.sys
0xB7D1D000 Mup.sys
0xB82B8000 \SystemRoot\system32\DRIVERS\processr.sys
0xB8468000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB645E000 \SystemRoot\system32\DRIVERS\serial.sys
0xB6792000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB644A000 \SystemRoot\system32\DRIVERS\parport.sys
0xB82C8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xB8470000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB8478000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB6426000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB8480000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB605C000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xB6038000 \SystemRoot\system32\drivers\portcls.sys
0xB82D8000 \SystemRoot\system32\drivers\drmk.sys
0xB6015000 \SystemRoot\system32\drivers\ks.sys
0xB82E8000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB5FFE000 \SystemRoot\System32\Drivers\AnyDVD.sys
0xB82F8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xB8308000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB6786000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
0xB5FB4000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
0xB5F7D000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS
0xB55B9000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB55A5000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB85EC000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0xB86BA000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB8318000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB6782000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB558E000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB8138000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB8148000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB8488000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB557D000 \SystemRoot\system32\DRIVERS\psched.sys
0xB8158000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB8490000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB8498000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB554C000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xB8168000 \SystemRoot\system32\DRIVERS\termdd.sys
0xB8348000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB85EE000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB5518000 \SystemRoot\system32\DRIVERS\update.sys
0xB66B1000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xA902F000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAD473000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xA900F000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
0xA8FDF000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB85B0000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xA8FCF000 \??\C:\WINDOWS\system32\drivers\SSHDRV51.sys
0xA83FE000 \??\C:\WINDOWS\system32\drivers\SSHDRV76.sys
0xA4B50000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xA4769000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xA4AE4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xA4AD4000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB864E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xA42E1000 \SystemRoot\System32\Drivers\Null.SYS
0xB8650000 \SystemRoot\System32\Drivers\Beep.SYS
0xA3A83000 \??\C:\WINDOWS\system32\drivers\SBREdrv.sys
0xA4ACC000 \SystemRoot\System32\drivers\vga.sys
0xB8652000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB8654000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xA4AC4000 \SystemRoot\System32\Drivers\Msfs.SYS
0xA4ABC000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA4B48000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA3A50000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA39F8000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA39D0000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA39AE000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA398C000 \SystemRoot\System32\drivers\afd.sys
0xA4759000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xA4749000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA4AB4000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA3961000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA4196000 \SystemRoot\System32\Drivers\PQNTDrv.SYS
0xA38F2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA4739000 \SystemRoot\System32\Drivers\Fips.SYS
0xA41F4000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xA38D0000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB8658000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xA4719000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA42F5000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xA41DC000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xA3F62000 \SystemRoot\System32\Drivers\BrUsbScn.sys
0xA8E14000 \SystemRoot\System32\Drivers\Brfilt.sys
0xA408C000 \SystemRoot\system32\DRIVERS\mf.sys
0xA3F5A000 \SystemRoot\System32\Drivers\BrUsbMdm.sys
0xA38BC000 \SystemRoot\System32\Drivers\BrSerWdm.sys
0xA3DA4000 \SystemRoot\System32\Drivers\Modem.SYS
0xA38A5000 \SystemRoot\System32\Drivers\dump_nvata.sys
0xB865C000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xA3AD0000 \SystemRoot\System32\drivers\Dxapi.sys
0xA3D94000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xA86ED000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xA2F86000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA926F000 \SystemRoot\system32\DRIVERS\tifsfilt.sys
0xA5A9E000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB8298000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xA2EF9000 \SystemRoot\system32\drivers\wdmaud.sys
0xA401C000 \SystemRoot\system32\drivers\sysaudio.sys
0xA2ECD000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAD7E3000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xA2BBA000 \SystemRoot\system32\DRIVERS\atksgt.sys
0xB8390000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0xA2A23000 \SystemRoot\system32\DRIVERS\srv.sys
0xA16EC000 \SystemRoot\System32\Drivers\HTTP.sys
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA0D64000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 44):
0 System Idle Process
4 System
720 C:\WINDOWS\system32\smss.exe
768 csrss.exe
792 C:\WINDOWS\system32\winlogon.exe
836 C:\WINDOWS\system32\services.exe
848 C:\WINDOWS\system32\lsass.exe
1040 C:\WINDOWS\system32\nvsvc32.exe
1072 C:\WINDOWS\system32\svchost.exe
1120 svchost.exe
1216 C:\WINDOWS\system32\svchost.exe
1372 svchost.exe
1472 svchost.exe
1712 C:\WINDOWS\system32\spoolsv.exe
1756 C:\Programme\Avira\AntiVir Desktop\sched.exe
1872 svchost.exe
2024 C:\WINDOWS\explorer.exe
436 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
444 C:\WINDOWS\system32\rundll32.exe
452 C:\Programme\Scansoft\PaperPort\pptd40nt.exe
508 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
516 C:\Programme\Rainlendar2\Rainlendar2.exe
524 C:\WINDOWS\system32\ctfmon.exe
568 C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
636 C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
656 C:\Programme\FRITZ!DSL\StCenter.exe
744 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
760 C:\Programme\Avira\AntiVir Desktop\avguard.exe
252 C:\Programme\FRITZ!DSL\IGDCTRL.EXE
852 C:\WINDOWS\system32\Brmfrmps.exe
1452 C:\Programme\Java\jre6\bin\jqs.exe
1512 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
1908 C:\WINDOWS\system32\svchost.exe
2124 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2220 C:\WINDOWS\system32\BrmfRsmg.exe
2280 C:\Programme\Mozilla Firefox\firefox.exe
2292 C:\Programme\Outlook Express\msimn.exe
2472 C:\PROGRA~1\MESSEN~1\Msmsgs.exe
3188 alg.exe
3672 C:\WINDOWS\system32\svchost.exe
1612 C:\Programme\Mozilla Firefox\plugin-container.exe
3904 C:\Programme\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe
3932 C:\WINDOWS\system32\wisptis.exe
3216 C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\I: --> \\.\PhysicalDrive0 at offset 0x0000002b`316fb200 (NTFS)
\\.\J: --> \\.\PhysicalDrive0 at offset 0x00000043`9bd2cc00 (NTFS)
\\.\K: --> \\.\PhysicalDrive0 at offset 0x0000005c`0635e600 (NTFS)

PhysicalDrive0 Model Number: HitachiHDT725050VLA380, Rev: V56OA7EA

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Zitat:

465 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Hmkay, der sagt, Dein MBR wäre ok.
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4434

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

17.08.2010 21:39:16
mbam-log-2010-08-17 (21-39-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 227858
Laufzeit: 44 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

Datenbank Version: 4434

Äh, du solltest es vorher aktualisieren! Bitte nachholen und noch ein Vollscan machen.

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/17/2010 at 10:51 PM

Application Version : 4.41.1000

Core Rules Database Version : 5369
Trace Rules Database Version: 3181

Scan type : Complete Scan
Total Scan Time : 00:49:36

Memory items scanned : 547
Memory threats detected : 0
Registry items scanned : 7346
Registry threats detected : 0
File items scanned : 94640
File threats detected : 1

Adware.Tracking Cookie
www.mofosex.com [ C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\73MG8YT2 ]

Stimmt, Anti-Malware habe ich vergessen zu aktualisieren.

Mach ich sofort.

Zitat:

Stimmt, Anti-Malware habe ich vergessen zu aktualisieren.

Kein Problem
Muss nicht sofort sein, geht auch morgen

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4440

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

17.08.2010 23:40:54
mbam-log-2010-08-17 (23-40-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 228814
Laufzeit: 39 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{4C21B6CE-A3F2-4D22-ABE9-69BDD88928ED}\RP2\A0001721.sys (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4C21B6CE-A3F2-4D22-ABE9-69BDD88928ED}\RP2\A0001907.sys (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4C21B6CE-A3F2-4D22-ABE9-69BDD88928ED}\RP2\A0002237.sys (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

Zitat:

Infizierte Dateien:
C:\System Volume Information\_restore{4C21B6CE-A3F2-4D22-ABE9-69BDD88928ED}\RP2\A0001721.sys (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4C21B6CE-A3F2-4D22-ABE9-69BDD88928ED}\RP2\A0001907.sys (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4C21B6CE-A3F2-4D22-ABE9-69BDD88928ED}\RP2\A0002237.sys (Trojan.Agent.Gen) -> Quarantined and deleted successfully

Hm, MBAM findet da wieder was, Du hast doch vorher die Systemwiederherstellung deaktiviert oder?

Nein, die Systemwiederherstellung habe ich nicht deaktiviert.
Sollte ich sie deaktivieren?

Wenn ich das Häckchen setze, bekomme ich die Meldung das alle Wiederherstellungspunkte gelöscht werden.
Ist das in Ordnung?

Ja das ist ok. Die alten Wiederherstellungspunkte könnte alle infiziert sein. Daher vorsichtshalber weg damit bevor Du Dir die Infektion wieder holst, wenn Du einen Punkt wiederherstellst.