ok schauen wir mal ob wir das noch hinbekommen, dein pc war bzw ist ziemlich versäucht, die neuartigen tdss rootkits hinterlassen einige systeme ziemlich vermurkst, es könnte also passieren das du neu aufsetzen musst.
du kannst ja sicherheitshalber ne datensicherung machen befor du GMER nutzt.

Vielen Dank nochmal für die wirklich ausgiebige Hilfe. Eine Sicherung habe ich jetzt noch nicht gemacht. Hier ist erstmal der gmer.log:

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15477 - hxxp://www.gmer.net
Rootkit scan 2010-10-29 15:55:14
Windows 6.1.7600 
Running: gpunhs3t.exe; Driver: C:\Users\Joschi\AppData\Local\Temp\fxryqpog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                                                                                             82E96599 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                                      82EBAF52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           C:\Windows\system32\DRIVERS\nvlddmkm.sys                                                                                                    section is writeable [0x91A06340, 0x3EF4D7, 0xE8000020]
PAGE            spsys.sys!?SPRevision@@3PADA + 4F90                                                                                                         AC238000 221 Bytes  [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 506E                                                                                                         AC2380DE 68 Bytes  [AC, 75, 06, 09, 0D, 28, 35, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 50B3                                                                                                         AC238123 629 Bytes  [35, 23, AC, FE, 05, 34, 35, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 5329                                                                                                         AC238399 101 Bytes  [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 538F                                                                                                         AC2383FF 148 Bytes  [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE            ...                                                                                                                                         

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Alwil Software\Avast5\AvastSvc.exe[1472] kernel32.dll!SetUnhandledExceptionFilter                                          76B23162 4 Bytes  [C2, 04, 00, 90] {RET 0x4; NOP }

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\system32\msiexec.exe[2108] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                                      [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\msiexec.exe[2108] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                                        [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\msiexec.exe[2108] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                                         [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\msiexec.exe[2108] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                                       [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\msiexec.exe[2108] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                                       [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[3524] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                                       [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[3524] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                                        [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[3524] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                                      [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[3524] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                                     [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe[3776] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe[3776] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]     [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe[3776] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe[3776] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]   [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\tdx \Device\Tcp                                                                                                                     aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                      fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\00000058                                                                                                           halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                                      fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                                      fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                                                      fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\tdx \Device\Udp                                                                                                                     aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \FileSystem\fastfat \Fat                                                                                                                    fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0015affcaea9                                                                 
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Upgrade\LocalRadioSettings                                                                   
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0015affcaea9 (not active ControlSet)                                             
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Upgrade\LocalRadioSettings (not active ControlSet)                                               

---- EOF - GMER 1.0.15 ----
         

--- --- ---

hättest du denn viel zu sichern und ein problem mit dem neu aufsetzen, würde dir dann hinweise geben um in zukunft besser geschützt zu sein.
wie gesagt in meinen tests mit dem tdss rootkits hatte ich das problem auch einige male das der rechner nach bereinigung nicht grad stabiel lief.

Im Notfall würde ich ihn natürlich neu aufsetzen. Problematisch ist in erster Linie die Software neu aufzuspielen. Das dürfte alles ziemlich lange dauern. Mir fehlne auch ein paar Keywörter, für e-mail Konten und VPN Verbindungen. Wäre alles ein langieriger Umsatand das System komplett neu zu installieren.

Sowas habe ich auch wirklich noch nie gehabt zuvor.

Kann man den wohl davon ausgehen, das meine Daten jetzt sicher sind und nur das System evtl. instabil ist?

naja ich würd damit kein online banking etc machen, aber es ist in so fern sicher, das du daten retten kannst.
ok kennwörter kann man sich ja auch neu zusenden lassen das sollte nicht so ds problem sein.
normalerweise sollte man auch nen backup der daten und des gesammten systems haben, was machst du zb wenn mal die festplatte kaputt ist?

Richtig, da mir vorher noch nie was schlimmes passiert ist, habe ich mir darüber noch nicht wirklich gedanken gemacht.

Was für ein Vorgehen würdest du denn empfehlen genau?

Ich habe jetzt wieder einen Bluescreen bekommen.

eine bösartiger eintrag wurde gefunden. Ich bin auf Cure gegangen. Das Programm hat einen Neustart gemacht, dann aber nichts weiter angezeigt. Ei erneuter Scan mit dem TDSSKiller hat keine Infektionen mehr gefunden.

erst mal daten sichern. dann formatieren. dann treiber aufspielen dann windows update seite besuchen, wichtige updates aufspielen.
unter einstellungen schauen das automatische updates aktiev sind und instaliert werden.
1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

die uac sollte auf maximum stehen.
klicke auf start, ausführen (suchen) tippe
uac
enter
nachfrage bestätigen, regler auf höchste stufe.
so ist es schwiriger heimlich etwas auf dem pc zu instalieren.
Die folgenden konfigurationen als admin ausführen:
2.
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

3.
SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen
dieser tipp, gilt auch für windows 7
4.
einer der sichersten browser ist opera.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
in den letzten jahren lag er was die sicherheit angeht weit vor den großen wie dem internet explorer und dem firefox.
außerdem ist er auch noch schneller im seitenaufbau etc.
mit diesem tool lässt sich ein werbeblocker laden
Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
5. avast:
Download Free Antivirus avast! - Virenschutzsoftware gratis
anleitung:
Installation und Einstellung von Avast 5 | Sicherheit | Tipps und Tricks
bei heuristiken würde ich immer auf maximum gehen, dies könnte zwar zu einem fehlalarm führen, welcher sich wiederherstellen lässt, erhöt aber auch die treffer chance.
falls es zu große probleme gibt, kann man die heuristik verendern.
6.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
7. autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
8.
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
9.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
10. endere alle passwörter.

surfe ab sofort nur noch im standard nutzerkonto, so hätte übrigens deine infektion verhindert werden können, und dort in der sandbox, mit klick auf "sandboxed web browser"

allgemeines:
- nutze keine tuning programme wie tuneup, sie bringen wirklich nichts.
- nutze keine toolbars, sie können daten ausspähen.
- nutze keine streaming seiten wie kino.to sie sind illegal und man hohlt sich dort trojaner.
- nutze keine illegalen download quellen.

falls du mit opera nicht auskommen solltest, dann sag bescheid, dann passe ich die anleitungen für den firefox an.

OK, vielen Dank. Besteht vielleicht die Möglichkeit, das jungfreulich aufgesetzte System auf eine zusätzliche Partition zu kopieren, sodaß man es im Bedarfsfall einfach auf C: zurückkopieren kann?

dafür würde ich keine partition nutzen, sondern eine extra festplatte, denn du musst immer davon ausgehen das festplatten kaputt gehen.
du kannst unter start ausführen
sicherung
eingeben, dort siehst du, sicherung des computers erstellen oder ähnliches
dort wählst du sicherung erstellen, dann kannst du das laufwerk wählen wo hin gesichert werden soll. damit könntest du dir auch nen extra programm sparen, windows macht das ganz gut denke ich.
ich würde einen zeitplan festlegen, vllt jede 1 oder 2 wochen ne sicherung.

OK, so mache ich das. Nochmals vielen Dank für die ganze Hilfe. Ich wär sonst ziemlich aufgeschmissen gewesen.

du kannst das dann einfach zurück spielen, falls das system mal komplett abschmiert kannst du das auch mal auf ne dvd sichern und diese dann einlegen und es wird zurückgespielt. ich würde dazu wiederbeschreibbare (rws) nehmen.

da sind dann alle installierten Programmme mit inbegriffen?

ja programme dateien etc musst ein abbild erstellen dan sollte die platte sektor für sektor kopiert und gesichert werden