Bei mir hat sich auch dieses ominöse Phishingfenster eingeschlichen.
MBAM und SUPERAntiSpyware haben auch was gefunden.Danach meldete MBAM
keinen Fund mehr;das Problem ist aber immer noch vorhanden.Ansonsten läuft der Rechner schnell und stabil.

Anbei die Logfiles in chronologischer Reihenfolge.

vielen Dank im voraus

das Log von SAS läßt sich nicht hochladen,deshalb hier die Kopie:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/31/2010 at 06:33 PM

Application Version : 4.32.1000

Core Rules Database Version : 5432
Trace Rules Database Version: 3244

Scan type : Complete Scan
Total Scan Time : 01:05:34

Memory items scanned : 218
Memory threats detected : 0
Registry items scanned : 4773
Registry threats detected : 0
File items scanned : 21989
File threats detected : 1

Trojan.Agent/Gen-Falleg
C:\SYSTEM VOLUME INFORMATION\_RESTORE{85D132CE-EDFE-4355-96BC-F3E37F2E439C}\RP330\A0162796.EXE

So, habe mich hier durchgearbeitet und mein Onlinebanking läuft wieder.

Leider bekomme ich vom Bootkit Remover die Meldung
>\\.\PhysicalDrive0 Unknown boot code <

wenn ich aber remover . exe .fix ausführen will ,wird mir immer angezeigt

> " remover" ist falsch geschrieben oder kann nicht gefunden werden.<

Ich habe die remover exe nach 'System32' kopiert und auch mal direkt auf C: der Befehl wird nicht angenommen.
Es wäre nett wenn mir jemand weiterhelfen würde.Danke.

Zitat:

Datenbank Version: 4513

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Hier ist er!

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4559

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

07.09.2010 10:26:56
mbam-log-2010-09-07 (10-26-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 212347
Laufzeit: 53 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Das hier unten ist mein Post von gestern,der andere teil war vom letzten Freitag.;-)

Zitat:

Zitat von 19lea96

>>>>So, habe mich hier durchgearbeitet und mein Onlinebanking läuft wieder.

Leider bekomme ich vom Bootkit Remover die Meldung
>\\.\PhysicalDrive0 Unknown boot code <

wenn ich aber remover . exe .fix ausführen will ,wird mir immer angezeigt

> " remover" ist falsch geschrieben oder kann nicht gefunden werden.<

Ich habe die remover exe nach 'System32' kopiert und auch mal direkt auf C: der Befehl wird nicht angenommen. <<<
Es wäre nett wenn mir jemand weiterhelfen würde.Danke.

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

So, hier ist der MBR-Check

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000001d

Kernel Drivers (total 128):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x80700000 \WINDOWS\system32\hal.dll
  0xF7AEF000 \WINDOWS\system32\KDCOM.DLL
  0xF79FF000 \WINDOWS\system32\BOOTVID.dll
  0xF74CD000 spmn.sys
  0xF7AF1000 \WINDOWS\System32\Drivers\WMILIB.SYS
  0xF74B5000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
  0xF7486000 ACPI.sys
  0xF7475000 pci.sys
  0xF75EF000 isapnp.sys
  0xF7BB7000 pciide.sys
  0xF786F000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF75FF000 MountMgr.sys
  0xF7456000 ftdisk.sys
  0xF7AF3000 dmload.sys
  0xF7430000 dmio.sys
  0xF7877000 PartMgr.sys
  0xF760F000 VolSnap.sys
  0xF7418000 atapi.sys
  0xF761F000 disk.sys
  0xF762F000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF73F8000 fltmgr.sys
  0xF73E6000 sr.sys
  0xF763F000 PxHelp20.sys
  0xF73CF000 KSecDD.sys
  0xF7342000 Ntfs.sys
  0xF7315000 NDIS.sys
  0xF72FB000 Mup.sys
  0xF783F000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF6B5A000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF6B46000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF7917000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xF6B22000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF791F000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF6AC5000 \SystemRoot\system32\drivers\cmaudio.sys
  0xF6AA1000 \SystemRoot\system32\drivers\portcls.sys
  0xF785F000 \SystemRoot\system32\drivers\drmk.sys
  0xF6A7E000 \SystemRoot\system32\drivers\ks.sys
  0xF7927000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xF6A6A000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF768F000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF792F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7937000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF769F000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF7AD3000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF7B1B000 \SystemRoot\system32\DRIVERS\ASACPI.sys
  0xF76AF000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF76BF000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF76CF000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF793F000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xF7CB0000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF772F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7ADF000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF6A53000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF773F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF774F000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF794F000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF6A42000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF775F000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7957000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF795F000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF6972000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF776F000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7B31000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF6914000 \SystemRoot\system32\DRIVERS\update.sys
  0xF72CB000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF777F000 \SystemRoot\system32\DRIVERS\WinDSL.sys
  0xF778F000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF77BF000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7B35000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF6CC8000 \SystemRoot\system32\DRIVERS\gameenum.sys
  0xF7967000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0xF7B39000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7C54000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7B3B000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7977000 \SystemRoot\System32\drivers\vga.sys
  0xF7B3D000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7B3F000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF797F000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7987000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF6CB8000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xEE899000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xEE840000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xEE7F0000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xF77EF000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xEE7CA000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF7A8B000 \SystemRoot\System32\drivers\ws2ifsl.sys
  0xEE7A8000 \SystemRoot\System32\drivers\afd.sys
  0xF77FF000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF798F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xEE783000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys
  0xF7997000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
  0xEE758000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xEE6E8000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF780F000 \SystemRoot\System32\Drivers\Fips.SYS
  0xEE62C000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7B43000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF784F000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xF79A7000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xEE5C3000 \SystemRoot\system32\DRIVERS\fwlanusb.sys
  0xF76DF000 \SystemRoot\system32\drivers\LVUSBSta.sys
  0xEE282000 \SystemRoot\system32\DRIVERS\LV302V32.SYS
  0xF7B4D000 \SystemRoot\system32\DRIVERS\lv302af.sys
  0xF76EF000 \SystemRoot\system32\drivers\usbaudio.sys
  0xEE080000 \SystemRoot\system32\DRIVERS\LVcKap.sys
  0xEE068000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7B55000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF6908000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF79AF000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7D1C000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF051000 \SystemRoot\System32\ati2cqag.dll
  0xBF08A000 \SystemRoot\System32\atikvmag.dll
  0xBF0BF000 \SystemRoot\System32\ati3duag.dll
  0xBF311000 \SystemRoot\System32\ativvaxx.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xEBEC6000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xEBC91000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF79E7000 \SystemRoot\System32\Drivers\drhard.SYS
  0xF7B7F000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xEBA74000 \SystemRoot\system32\drivers\wdmaud.sys
  0xEBBC9000 \SystemRoot\system32\drivers\sysaudio.sys
  0xEB80D000 \SystemRoot\system32\DRIVERS\srv.sys
  0xF78EF000 \SystemRoot\system32\DRIVERS\LVPr2Mon.sys
  0xF71C6000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 51):
       0 System Idle Process
       4 System
     408 C:\WINDOWS\system32\smss.exe
     668 csrss.exe
     700 C:\WINDOWS\system32\winlogon.exe
     744 C:\WINDOWS\system32\services.exe
     756 C:\WINDOWS\system32\lsass.exe
     948 C:\WINDOWS\system32\ati2evxx.exe
     964 C:\WINDOWS\system32\svchost.exe
    1020 svchost.exe
    1060 C:\WINDOWS\system32\svchost.exe
    1112 svchost.exe
    1144 svchost.exe
    1188 C:\WINDOWS\system32\spoolsv.exe
    1232 C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
    1248 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1288 svchost.exe
    1480 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1492 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    1520 C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    1544 C:\Programme\avmwlanstick\WLanNetService.exe
    1816 C:\Programme\Bonjour\mDNSResponder.exe
    1880 C:\Programme\Java\jre6\bin\jqs.exe
    1940 C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
    1988 C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
    2012 C:\WINDOWS\system32\ati2evxx.exe
     296 C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
     504 C:\WINDOWS\explorer.exe
     560 C:\WINDOWS\system32\svchost.exe
    2040 C:\WINDOWS\mixer.exe
    2056 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    2084 C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
    2100 C:\Programme\Logitech\QuickCam\Quickcam.exe
    2108 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    2116 C:\Programme\avmwlanstick\WLanGUI.exe
    2124 C:\Programme\iTunes\iTunesHelper.exe
    2168 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    2200 C:\WINDOWS\system32\ctfmon.exe
    2356 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    2384 C:\Programme\FRITZ!DSL\FwebProt.exe
    2444 C:\Programme\Secunia\PSI\psi.exe
    2556 C:\Programme\FRITZ!DSL\StCenter.exe
     216 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    2412 C:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
    3316 C:\Programme\iPod\bin\iPodService.exe
    3904 C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
    3624 alg.exe
    1844 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    3108 C:\WINDOWS\system32\svchost.exe
    1764 C:\Programme\Mozilla Firefox\firefox.exe
    2288 C:\Dokumente und Einstellungen\Administrator\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD161HJ, Rev: JF100-19

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!
         

Vielen Dank für die schnelle Hilfe!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hier sind die Logfiles;keine Vorkommnisse.

Aber was ist mit dem Bootkit Remover ? Ist das eine Falschmeldung?

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 09/07/2010 bei 06:29 PM

Version der Applikation : 4.32.1000

Version der Kern-Datenbank : 5462
Version der Spur-Datenbank : 3274

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:58:59

Gescannte Speicherelemente  : 218
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 4786
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 20051
Erfasste Datei-Elemente   : 0
                                                                                                                                   Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4562
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

07.09.2010 19:26:15
mbam-log-2010-09-07 (19-26-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 212371
Laufzeit: 53 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Zitat:

Aber was ist mit dem Bootkit Remover ? Ist das eine Falschmeldung?

Wo soll eine Falschmeldung sein?

Zitat:

Zitat von 19lea96

Das hier unten ist mein Post von gestern,der andere teil war vom letzten Freitag.;-)

>>> Zitat von 19lea96 Beitrag anzeigen
>>>>So, habe mich hier durchgearbeitet und mein Onlinebanking läuft wieder.

Leider bekomme ich vom Bootkit Remover die Meldung
>\\.\PhysicalDrive0 Unknown boot code <

wenn ich aber remover . exe .fix ausführen will ,wird mir immer angezeigt

> " remover" ist falsch geschrieben oder kann nicht gefunden werden.<

Ich habe die remover exe nach 'System32' kopiert und auch mal direkt auf C: der Befehl wird nicht angenommen. <<<
Es wäre nett wenn mir jemand weiterhelfen würde.Danke.<<<

Das kannst Du ignorieren weil der MBR ok ist!!

Noch Probleme oder weitere Funde in der Zwischenzeit?

Zitat:

Zitat von cosinus

Das kannst Du ignorieren weil der MBR ok ist!!

Noch Probleme oder weitere Funde in der Zwischenzeit?

Alles läuft rund; die Kohle ist noch auf dem Konto :-)

Vielen Dank für deine Hilfe

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.