Ich erhalte ständig diese Meldung, aber trotz Funktion "Entfernen" erscheint sie wieder

Anbei diverse Log-Files (ich hoffe, ich habe alles wie gefordert anonymisiert ...)

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hallo Cosinus,

hier die Log-Datei vom Voll-Scan


________________________________________
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4554

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.09.2010 17:15:47
mbam-log-2010-09-06 (17-15-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 196714
Laufzeit: 47 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
________________________________________


Gruß rauke

P.S. Bin heute nicht mehr on, morgen früh wieder

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - (Dmlomrvnupv) --  File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.11.11:3128
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
[2010.09.01 19:55:30 | 000,046,592 | -H-- | M] () -- C:\WINDOWS\System32\expaeset.dll
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hier das Log-File von OTL

____________________________

All processes killed
========== OTL ==========
Service Dmlomrvnupv stopped successfully!
Service Dmlomrvnupv deleted successfully!
File File not found not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
File C:\WINDOWS\System32\expaeset.dll not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes

User: xxxx
->Temp folder emptied: 2918 bytes
->Java cache emptied: 226664 bytes
->FireFox cache emptied: 40565443 bytes
->Flash cache emptied: 1170589 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 109681 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 37311923 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 76,00 mb


OTL by OldTimer - Version 3.2.11.0 log created on 09072010_081526

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

________________________________________

Gruß
rauke

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

hier das neue Log-File

Gruß
rauke

Zitat:

Drive C: | 44,99 Gb Total Space | 20,72 Gb Free Space | 46,06% Space Free | Partition Type: FAT32
Drive D: | 45,21 Gb Total Space | 36,08 Gb Free Space | 79,80% Space Free | Partition Type: FAT32

Wir müssen später Deine Laufwerke von FAT32 auf NTFS umwandeln!


Bitte erstmal nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hi,

also GMER hat tatsächlich nicht funktioniert

Anbei die Logs von OSAM und bootkit

Gruß
rauke

Hallo Cosinus,

ist wegen des Virus noch was zu tun?
Und ich soll wohl noch etwas ändern, sagst Du mir noch wie?

Danke und Gruß
rauke

Sry hab Deinen Strang übersehen. Asche auf mein Haupt

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Cosinus,

na dann war es ja gut, dass ich nachgehakt habe ;-)


_________________________________________

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003c

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`bbc57e00 (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000b`fc146200 (FAT32)

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: BEA90D9A447A4AF731FA0CC4A45E68FA2DFCAE6E


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

_________________________________________

aaahhhh, ich glaube Du wolltest das hier:

_________________

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 139):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF8BB7000 \WINDOWS\system32\KDCOM.DLL
0xF8AC7000 \WINDOWS\system32\BOOTVID.dll
0xF8670000 d347bus.sys
0xF8641000 ACPI.sys
0xF8BB9000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF8630000 pci.sys
0xF86B7000 isapnp.sys
0xF86C7000 ohci1394.sys
0xF86D7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF8ACB000 compbatt.sys
0xF8ACF000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF8C7F000 pciide.sys
0xF8937000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF8BBB000 intelide.sys
0xF8612000 pcmcia.sys
0xF86E7000 MountMgr.sys
0xF85F3000 ftdisk.sys
0xF8AD3000 ACPIEC.sys
0xF8C80000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF893F000 PartMgr.sys
0xF86F7000 VolSnap.sys
0xF85DB000
0xF8BBD000 d347prt.sys
0xF85C3000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xF8707000 disk.sys
0xF8717000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF85A3000 fltmgr.sys
0xF8591000 sr.sys
0xF856D000 Fastfat.sys
0xF8556000 KSecDD.sys
0xF8529000 NDIS.sys
0xF850F000 Mup.sys
0xF8727000 agp440.sys
0xF8747000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF8331000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF831D000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF8967000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF82F9000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF896F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF8757000 \SystemRoot\system32\DRIVERS\bcm4sbxp.sys
0xF7FE9000 \SystemRoot\system32\DRIVERS\w29n51.sys
0xF8767000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF7FD8000 \SystemRoot\system32\drivers\tifm21.sys
0xF8777000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF8977000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7FAA000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF8BBF000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF897F000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF8BC1000 \SystemRoot\system32\DRIVERS\SMBHC.sys
0xF8BC3000 \SystemRoot\system32\DRIVERS\SMBCLASS.SYS
0xF8787000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF8797000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS
0xF8B5B000 \SystemRoot\system32\drivers\pfc.sys
0xF87A7000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF87B7000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF7F87000 \SystemRoot\system32\DRIVERS\ks.sys
0xF8BC5000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
0xF7F43000 \SystemRoot\system32\drivers\camchal.sys
0xF7EFB000 \SystemRoot\system32\drivers\camcaud.sys
0xF7ED7000 \SystemRoot\system32\drivers\portcls.sys
0xF87C7000 \SystemRoot\system32\drivers\drmk.sys
0xF7EA6000 \SystemRoot\system32\DRIVERS\HSFHWICH.sys
0xF7DA7000 \SystemRoot\system32\DRIVERS\HSF_DP.sys
0xF7D00000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xF8987000 \SystemRoot\System32\Drivers\Modem.SYS
0xF8461000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF898F000 \SystemRoot\system32\DRIVERS\rasirda.sys
0xF8997000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF87D7000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF8B67000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF7CC1000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF87E7000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF87F7000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF899F000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF89A7000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF8807000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF8BC7000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF7BC3000 \SystemRoot\system32\DRIVERS\update.sys
0xF8B73000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF89AF000 \SystemRoot\system32\DRIVERS\WSUSBDMAN.sys
0xF8B7B000 \SystemRoot\system32\DRIVERS\SMBBATT.sys
0xF8817000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF8847000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF8867000 \??\C:\WINDOWS\system32\drivers\SSHDRV61.sys
0xF8BCD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8436000 \SystemRoot\System32\Drivers\Null.SYS
0xF8BCF000 \SystemRoot\System32\Drivers\Beep.SYS
0xF89CF000 \SystemRoot\System32\drivers\vga.sys
0xF8BD1000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8BD3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF89D7000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF89DF000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF8B9B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xEBB08000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF8877000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xEBAAF000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xEBA87000 \SystemRoot\system32\DRIVERS\netbt.sys
0xEBA65000 \SystemRoot\System32\drivers\afd.sys
0xF8887000 \SystemRoot\system32\DRIVERS\netbios.sys
0xEB99A000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xEB92A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF88A7000 \SystemRoot\System32\Drivers\Fips.SYS
0xEB904000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF88B7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF88C7000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xBA7C4000 \SystemRoot\system32\DRIVERS\ctxusbm.sys
0xBA7A2000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF8BD7000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF89E7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF88F7000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xBA78A000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8BD9000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7CF8000 \SystemRoot\System32\drivers\Dxapi.sys
0xF89EF000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF8D40000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF049000 \SystemRoot\System32\ati2cqag.dll
0xBF081000 \SystemRoot\System32\ati3duag.dll
0xBF282000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xBA635000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xBA52F000 \SystemRoot\system32\DRIVERS\irda.sys
0xBA676000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xBA39A000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xBA2E2000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xBA2DE000 \??\C:\WINDOWS\system32\drivers\PfModNT.sys
0xBA13B000 \SystemRoot\system32\DRIVERS\srv.sys
0xB9D3E000 \SystemRoot\system32\drivers\wdmaud.sys
0xB9E1B000 \SystemRoot\system32\drivers\sysaudio.sys
0xB9FBB000 \??\C:\WINDOWS\system32\Drivers\CO_Mon.sys
0xF8C05000 \SystemRoot\System32\Drivers\hiber_WMILIB.SYS
0xBA42F000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB9BE0000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB99D4000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 38):
0 System Idle Process
4 System
412 C:\WINDOWS\System32\SMSS.EXE
656 csrss.exe
684 C:\WINDOWS\System32\winlogon.exe
728 C:\WINDOWS\System32\services.exe
740 C:\WINDOWS\System32\lsass.exe
908 C:\WINDOWS\System32\Ati2evxx.exe
928 C:\WINDOWS\System32\svchost.exe
984 svchost.exe
1060 C:\WINDOWS\System32\svchost.exe
1136 svchost.exe
1216 svchost.exe
1432 C:\WINDOWS\System32\spoolsv.exe
1468 C:\Programme\Avira\AntiVir Desktop\sched.exe
1508 svchost.exe
1564 C:\Acer\eManager\anbmServ.exe
1588 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1616 C:\WINDOWS\System32\bgsvcgen.exe
1656 svchost.exe
1676 C:\WINDOWS\System32\CTsvcCDA.EXE
1756 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
1912 C:\WINDOWS\System32\svchost.exe
1920 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1940 C:\Programme\VMware\VMware View\Client\bin\wsnm.exe
1104 ALG.EXE
888 C:\WINDOWS\EXPLORER.EXE
1040 C:\Programme\Synaptics\SynTP\SynTPLpr.exe
2072 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
2104 C:\Programme\QuickTime\QTTASK.EXE
2128 C:\WINDOWS\System32\RUNDLL32.EXE
2200 C:\Programme\Avira\AntiVir Desktop\AVGNT.EXE
2212 C:\Programme\Citrix\ICA Client\concentr.exe
2340 C:\Programme\Citrix\ICA Client\wfcrun32.exe
2548 C:\Dokumente und Einstellungen\xx\Anwendungsdaten\Juniper Networks\Setup Client\JuniperSetupClient.exe
324 C:\WINDOWS\System32\ctfmon.exe
3468 C:\Programme\Mozilla Firefox\firefox.exe
244 C:\Dokumente und Einstellungen\xxx\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`bbc57e00 (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000b`fc146200 (FAT32)

PhysicalDrive0 Model Number: ST9100823A, Rev: 3.01

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: BEA90D9A447A4AF731FA0CC4A45E68FA2DFCAE6E


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:


____________

Starte den Rechner neu und wähl im Bootmenü die Wiederherstellungskonsole. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windows MBRCheck nochmals aus und poste das neue Log.

Hier das neue Log-File

Gruß
rauke