Hallo zusammen

Meine Nachbarn haben mir ihren Notebook gegeben zum Neuaufsetzen gegeben, da das Gerät mit Malware verseucht war.
Zum Notebook hat es keine Windows Installations-DVD gegeben, offenbar sind die Installationsdateien in einer versteckten Partition abgelegt. Ein komplettes Formatieren der gesamten Harddisk war mir deswegen nicht möglich.

Ich habe also den Rechner neu aufgesetzt (Windows Vista Home), auf einem anderen Rechner das aktuelle ServicePack und den Virenscanner Avast heruntergeladen, dann auf dem neu aufgesetzten System installiert, und erst dann das erste Mal das Netzwerkkabel eingesteckt, um Windows Update zu starten. Und dort haben dann die Probleme angefangen:
Updates schlagen fehl. Fehlercode 80072EFE. Die Seite windowsupdate.microsoft.com ist per Browser ebenfalls nicht erreichbar (die Seite war zu dieser Zeit nicht down, ich habe es am anderen Rechner auch probiert, Seite war online).
Ich habe mich dann mal im Web auf die Suche gemacht, und dabei festgestellt, dass der Internet Explorer immer wieder anstelle des angeklickten Links Seiten mit Malware aufzurufen versucht. Avast blockiert dann den Zugriff auf diese Seiten.
Also habe ich auf einem neu aufgesetzten Rechner offenbar schon wieder - oder eher immer noch - Malware drauf. Meine Vermutung ist, dass sie sich auf der versteckten Partition mit den Installationsdateien eingenistet und deshalb ein Neuaufsetzen überlebt hat.
In der Datenträgerverwaltung ist die Harddisk übrigens gar nicht sichtbar (wollte dort nachschauen, ob ich die zweite Partition sehe).

Ich habe mich dann auf dieser Seite schlau gemacht, wie ich Hilfe bekomme, und deshalb Load.exe heruntergeladen, ausgeführt, und die Logs angehängt.

Jetzt hoffe ich, dass mir irgendjemand weiterhelfen kann. Ich selbst bin am Ende meines Lateins.

Besten Dank im Voraus und Gruss aus der Schweiz
Markus

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Arne

Besten Dank für deine Antwort. Habe gestern Abend bereits einen Vollscan gemacht, da ich damit gerechnet hatte, dass dies verlangt würde. Konnte dann aber meinen ersten Post nicht mehr editieren.
Auch der Vollscan hat nichts gefunden. Ich hätte noch ein Log von zwei Tage zuvor, dieser Scan hatte aber auch keine infizierten Objekte gefunden.

Konntest du in meinen anderen Logs schon einen bestimmten Schädling erkennen?

Vielen Dank im Voraus und Gruss
Markus

Log ist unauffällig.
Hast du zufällig einen Router, bei dem das Passwort nicht geändert wurde? Gibt mittlerweile Schädlinge, die schwache Routerpasswörter ausnutzen und DNS-Server-Adressen auf dem Router verändern.

Habe einen Router. Und das Passwort habe ich auch geändert.
Ich habe zwar keine grosse Ahnung von Netzwerken, aber wären dann nicht alle Clients hinter meinem Router von den manipulierten DNS-Einträgen betroffen? Weil auf meinem Notebook (mein eigener, nicht der vom Nachbar), der am gleichen Router angeschlossen ist, funktionieren die Windows Updates, und ich habe auch keine Weiterleitungen auf Werbeseiten.

Vielleicht muss ich noch ein wenig weiter ausholen. Das verseuchte Gerät hatte schon vor dem Neuaufsetzen diese Probleme (Weiterleitung auf Werbeseiten z.B. bei Klicks auf Google-Links UND Windows Update hat nicht mehr funktioniert).

Was kann ich noch liefern, damit wir dem Missetäter auf die Spur kommen?
Häufig wird man im Browser (IE7 und Firefox) auf blinkx.com umgeleitet. Vielleicht hilft dies weiter?

Edit: Gerade habe ich nochmals den Avast eine intensive Prüfung machen lassen. Dieser hat jetzt den Trojaner win32:Alureon-IJ im C:\Windows\MEMORY.DMP gefunden. Hier das Logfile:

* avast! Bericht
* Diese Berichtdatei wurde automatisch erstellt
*
* Prüfungsname: Intensive Prüfung
* Start: Samstag, 27. November 2010 01:22:52
* VPS: 101126-2, 26.11.2010
*

C:\Windows\MEMORY.DMP [L] Win32:Alureon-IJ [Trj] (0)
Infizierte Dateien: 1
Dateien gesamt: 387320
Ordner gesamt: 13001
Gesamtgröße: 50.8 GB

*
* Prüfung beendet: Samstag, 27. November 2010 01:49:15
* Laufzeit war 26 Minute(n), 23 Sekunde(n)

Die Datei MEMORY.DMP kann ich wohl gefahrlos löschen, da es sich m.M.n. um einen Memory-Dump handelt. Oder bist du anderer Meinung?

Das in der memory.dmp kann gut ein Fehlalarm sein. Lass die Datei erstmal.

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Okay, hab die memory.dmp nicht berührt.

Hier das Log von der MBRCheck.exe:

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows Vista Home Premium Edition
Windows Information:		Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer:	Acer
BIOS Manufacturer:		Phoenix Technologies LTD
System Manufacturer:		Acer
System Product Name:		Aspire 7735
Logical Drives Mask:		0x0000000c

Kernel Drivers (total 143):
  0x82016000 \SystemRoot\system32\ntkrnlpa.exe
  0x823CF000 \SystemRoot\system32\hal.dll
  0x86EE3000 \SystemRoot\system32\kdcom.dll
  0x80406000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
  0x80476000 \SystemRoot\system32\PSHED.dll
  0x80487000 \SystemRoot\system32\BOOTVID.dll
  0x8048F000 \SystemRoot\system32\CLFS.SYS
  0x804D0000 \SystemRoot\system32\CI.dll
  0x80609000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x80685000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x80692000 \SystemRoot\system32\drivers\acpi.sys
  0x806D8000 \SystemRoot\system32\drivers\WMILIB.SYS
  0x806E1000 \SystemRoot\system32\drivers\msisadrv.sys
  0x806E9000 \SystemRoot\system32\drivers\pci.sys
  0x80710000 \SystemRoot\System32\drivers\partmgr.sys
  0x8071F000 \SystemRoot\system32\DRIVERS\compbatt.sys
  0x80722000 \SystemRoot\system32\DRIVERS\BATTC.SYS
  0x8072C000 \SystemRoot\system32\drivers\volmgr.sys
  0x8073B000 \SystemRoot\System32\drivers\volmgrx.sys
  0x80785000 \SystemRoot\System32\drivers\mountmgr.sys
  0x80795000 \SystemRoot\system32\drivers\atapi.sys
  0x8079D000 \SystemRoot\system32\drivers\ataport.SYS
  0x807BB000 \SystemRoot\system32\drivers\msahci.sys
  0x807C5000 \SystemRoot\system32\drivers\PCIIDEX.SYS
  0x805B0000 \SystemRoot\system32\drivers\fltmgr.sys
  0x807D3000 \SystemRoot\system32\drivers\fileinfo.sys
  0x82604000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x82675000 \SystemRoot\system32\drivers\ndis.sys
  0x82780000 \SystemRoot\system32\drivers\msrpc.sys
  0x827AB000 \SystemRoot\system32\drivers\NETIO.SYS
  0x82808000 \SystemRoot\System32\drivers\tcpip.sys
  0x828F0000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x82A01000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x82B11000 \SystemRoot\system32\drivers\volsnap.sys
  0x82B4A000 \SystemRoot\System32\Drivers\spldr.sys
  0x82B52000 \SystemRoot\System32\Drivers\mup.sys
  0x82B61000 \SystemRoot\System32\drivers\ecache.sys
  0x82B88000 \SystemRoot\system32\drivers\disk.sys
  0x82B99000 \SystemRoot\system32\drivers\CLASSPNP.SYS
  0x82BBA000 \SystemRoot\system32\drivers\crcdisk.sys
  0x82BE5000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x82BF0000 \SystemRoot\system32\DRIVERS\tunmp.sys
  0x8D606000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x8DA73000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x8DB12000 \SystemRoot\System32\drivers\watchdog.sys
  0x8DB1E000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x8DBAB000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0x8DBB6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x8290B000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x8291A000 \SystemRoot\system32\DRIVERS\k57nd60x.sys
  0x8DE07000 \SystemRoot\system32\DRIVERS\athr.sys
  0x8DEF7000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0x8DEFB000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x8DF0E000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
  0x8DF18000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x8DF23000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0x8DF54000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x8DF56000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x8DF61000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8DF79000 \SystemRoot\system32\Drivers\NTIDrvr.sys
  0x8DF81000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0x8DF8A000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0x8DF99000 \SystemRoot\system32\DRIVERS\msiscsi.sys
  0x82954000 \SystemRoot\system32\DRIVERS\storport.sys
  0x8DFC8000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x8DFD3000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x8DFEA000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x82995000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x829B8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x829C7000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x829DB000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x829F0000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x8DFF5000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x8E00E000 \SystemRoot\system32\DRIVERS\ks.sys
  0x8E038000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x8E042000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x8E04F000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x8E084000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x8E095000 \SystemRoot\system32\drivers\RtHDMIV.sys
  0x8E0B9000 \SystemRoot\system32\drivers\portcls.sys
  0x8E0E6000 \SystemRoot\system32\drivers\drmk.sys
  0x8E203000 \SystemRoot\system32\drivers\RTKVHDA.sys
  0x8E43D000 \SystemRoot\system32\DRIVERS\AGRSM.sys
  0x8E538000 \SystemRoot\system32\drivers\modem.sys
  0x8E545000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0x8E54E000 \SystemRoot\System32\Drivers\Null.SYS
  0x8E555000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8E55C000 \SystemRoot\System32\drivers\vga.sys
  0x8E568000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8E589000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8E591000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x8E599000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8E5A4000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x8E5B2000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0x8E5BB000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x8E5D1000 \SystemRoot\System32\Drivers\aswTdi.SYS
  0x8E5DB000 \SystemRoot\system32\DRIVERS\smb.sys
  0x8E10B000 \SystemRoot\system32\drivers\afd.sys
  0x8E5EF000 \SystemRoot\System32\Drivers\aswRdr.SYS
  0x8E153000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x8E185000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x8E19B000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x8E1A9000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x8E1BC000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x8E5F4000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x827E6000 \SystemRoot\System32\Drivers\dfsc.sys
  0x8E80B000 \SystemRoot\System32\Drivers\aswSP.SYS
  0x8E832000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x8E85A000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0x8E871000 \SystemRoot\System32\Drivers\usbvideo.sys
  0x8E892000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x8E89F000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x8E8AA000 \SystemRoot\System32\Drivers\dump_msahci.sys
  0x946F0000 \SystemRoot\System32\win32k.sys
  0x8E8B4000 \SystemRoot\System32\drivers\Dxapi.sys
  0x8E8BE000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x94910000 \SystemRoot\System32\TSDDD.dll
  0x94930000 \SystemRoot\System32\cdd.dll
  0x8E8CD000 \SystemRoot\system32\drivers\luafv.sys
  0x8E8E8000 \??\C:\Windows\system32\drivers\aswMonFlt.sys
  0x8E91F000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
  0x8E922000 \SystemRoot\system32\drivers\spsys.sys
  0x8E9D2000 \SystemRoot\system32\DRIVERS\irda.sys
  0x8E9F0000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x9720F000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x97239000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x97243000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x97256000 \SystemRoot\system32\drivers\HTTP.sys
  0x972C1000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x972DE000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x972F7000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x9730C000 \SystemRoot\system32\drivers\mrxdav.sys
  0x9732D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x9734C000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x97385000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x9739D000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x98C00000 \SystemRoot\System32\DRIVERS\srv.sys
  0x98C64000 \SystemRoot\system32\drivers\peauth.sys
  0x98D42000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x98D4C000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x98D58000 \SystemRoot\system32\DRIVERS\cdfs.sys
  0x98D6E000 \SystemRoot\system32\DRIVERS\psi_mf.sys
  0x77B60000 \Windows\System32\ntdll.dll

Processes (total 57):
       0 System Idle Process
       4 System
     416 C:\Windows\System32\smss.exe
     488 csrss.exe
     552 C:\Windows\System32\wininit.exe
     560 csrss.exe
     596 C:\Windows\System32\services.exe
     624 C:\Windows\System32\winlogon.exe
     636 C:\Windows\System32\lsass.exe
     644 C:\Windows\System32\lsm.exe
     808 C:\Windows\System32\svchost.exe
     880 C:\Windows\System32\svchost.exe
     924 C:\Windows\System32\svchost.exe
    1008 C:\Windows\System32\Ati2evxx.exe
    1040 C:\Windows\System32\svchost.exe
    1076 C:\Windows\System32\svchost.exe
    1144 C:\Windows\System32\svchost.exe
    1204 C:\Windows\System32\audiodg.exe
    1276 C:\Windows\System32\SLsvc.exe
    1380 C:\Windows\System32\svchost.exe
    1408 C:\Windows\System32\Ati2evxx.exe
    1524 C:\Windows\System32\svchost.exe
    1644 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    1944 C:\Windows\System32\spoolsv.exe
    1968 C:\Windows\System32\svchost.exe
     468 C:\Program Files\Acer\Acer PowerSmart Manager\ePowerSvc.exe
    1364 C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
     436 C:\Windows\System32\svchost.exe
    2060 C:\Windows\System32\svchost.exe
    2116 C:\Windows\System32\svchost.exe
    2244 C:\Windows\System32\dwm.exe
    2276 C:\Windows\System32\taskeng.exe
    2304 C:\Windows\System32\SearchIndexer.exe
    2340 C:\Windows\explorer.exe
    2684 C:\Program Files\Windows Defender\MSASCui.exe
    2752 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    2768 C:\Windows\System32\taskeng.exe
    2788 C:\Windows\PLFSetI.exe
    2796 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    2960 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    3260 C:\Program Files\Launch Manager\LManager.exe
    3280 C:\Program Files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe
    3316 C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTray.exe
    3344 C:\Program Files\Alwil Software\Avast5\AvastUI.exe
    3604 C:\Windows\System32\wbem\unsecapp.exe
    3772 WmiPrvSE.exe
    3940 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    3960 C:\Users\Admin\AppData\Local\Temp\RtkBtMnt.exe
     476 C:\Windows\System32\taskeng.exe
    1428 C:\Program Files\Secunia\PSI\psi.exe
    3048 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
    1312 C:\Windows\System32\wsqmcons.exe
    3768 taskeng.exe
    3860 C:\Windows\System32\SearchProtocolHost.exe
    2664 C:\Windows\System32\SearchFilterHost.exe
    3600 C:\Windows\System32\wbem\WMIADAP.exe
    2544 C:\Users\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`71100000  (NTFS)

PhysicalDrive0 Model Number: HitachiHTS545050B9A300, Rev: PB4OC60F

      Size  Device Name          MBR Status
  --------------------------------------------
    465 GB  \\.\PhysicalDrive0   MBR Code Faked!
            SHA1: CCF356FEC6D9BBB29EF3EF1E4270A2B799955EA4


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice:
         

Ich habe ohne deine Anweisung mal 'Y' gedrückt für 'more options', jetzt wartet das Programm auf 1, 2 oder 3.

Hast Du noch andere Betriebssysteme außer Vista installiert?

Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).

Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen.

Nein, nur Vista ist installiert.

Habe das Image heruntergeladen, gebrannt, den Notebook ab CD gestartet, Eingabeaufforderung gestartet, die zwei Kommandos eingegeben (beide Male kam 'Der Vorgang wurde erfolgreich beendet'), dann den Rechner neu gestartet (CD zuvor entfernt). Und siehe da, nach dem Login meldet sich Windows mit 'Installieren von Gerätetreibersoftware'. 'Hitachi HTS545050B9A300 ATA Device installiert' -> Neustart erforderlich. Rechner neu gestartet, jetzt ist die Harddisk in der Datenträgerverwaltung sichtbar! Sie hat zwei Partitionen, eine 9.77 GB grosse EISA-Konfiguration, und eine 455.99 GB grosse Systempartition.

Was jetzt? Nochmals MBRCheck?

Ich möchte zwischendurch wieder mal sagen für deine Hilfe! Hier werde ich wirklich geholfen.

Edit: Sorry, was ich noch vergessen hatte zu erwähnen: Ich habe vor dem Reboot ab CD die MBRCheck.exe ohne weitere Eingabe geschlossen.

Vorher muss die Platte auch sichtbar gewesen sein...
Mach bitte ein neues Log mit mbrcheck.

Die Harddisk war aber vorher ganz ehrlich nicht sichtbar. Nur das DVD-Laufwerk wurde angezeigt.

Hier der Inhalt von MBRCheck_11.27.10_20.11.14.txt:

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows Vista Home Premium Edition
Windows Information:		Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer:	Acer
BIOS Manufacturer:		Phoenix Technologies LTD
System Manufacturer:		Acer
System Product Name:		Aspire 7735
Logical Drives Mask:		0x0000000c

Kernel Drivers (total 142):
  0x82048000 \SystemRoot\system32\ntkrnlpa.exe
  0x82015000 \SystemRoot\system32\hal.dll
  0x8040C000 \SystemRoot\system32\kdcom.dll
  0x80413000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
  0x80483000 \SystemRoot\system32\PSHED.dll
  0x80494000 \SystemRoot\system32\BOOTVID.dll
  0x8049C000 \SystemRoot\system32\CLFS.SYS
  0x804DD000 \SystemRoot\system32\CI.dll
  0x8060F000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x8068B000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x80698000 \SystemRoot\system32\drivers\acpi.sys
  0x806DE000 \SystemRoot\system32\drivers\WMILIB.SYS
  0x806E7000 \SystemRoot\system32\drivers\msisadrv.sys
  0x806EF000 \SystemRoot\system32\drivers\pci.sys
  0x80716000 \SystemRoot\System32\drivers\partmgr.sys
  0x80725000 \SystemRoot\system32\DRIVERS\compbatt.sys
  0x80728000 \SystemRoot\system32\DRIVERS\BATTC.SYS
  0x80732000 \SystemRoot\system32\drivers\volmgr.sys
  0x80741000 \SystemRoot\System32\drivers\volmgrx.sys
  0x8078B000 \SystemRoot\System32\drivers\mountmgr.sys
  0x8079B000 \SystemRoot\system32\drivers\atapi.sys
  0x807A3000 \SystemRoot\system32\drivers\ataport.SYS
  0x807C1000 \SystemRoot\system32\drivers\msahci.sys
  0x807CB000 \SystemRoot\system32\drivers\PCIIDEX.SYS
  0x805BD000 \SystemRoot\system32\drivers\fltmgr.sys
  0x807D9000 \SystemRoot\system32\drivers\fileinfo.sys
  0x82607000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x82678000 \SystemRoot\system32\drivers\ndis.sys
  0x82783000 \SystemRoot\system32\drivers\msrpc.sys
  0x827AE000 \SystemRoot\system32\drivers\NETIO.SYS
  0x8A00C000 \SystemRoot\System32\drivers\tcpip.sys
  0x8A0F4000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8A206000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x8A316000 \SystemRoot\system32\drivers\volsnap.sys
  0x8A34F000 \SystemRoot\System32\Drivers\spldr.sys
  0x8A357000 \SystemRoot\System32\Drivers\mup.sys
  0x8A366000 \SystemRoot\System32\drivers\ecache.sys
  0x8A38D000 \SystemRoot\system32\drivers\disk.sys
  0x8A39E000 \SystemRoot\system32\drivers\CLASSPNP.SYS
  0x8A3BF000 \SystemRoot\system32\drivers\crcdisk.sys
  0x8A3EA000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x8A3F5000 \SystemRoot\system32\DRIVERS\tunmp.sys
  0x8DA0D000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x8DE7A000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x8DF19000 \SystemRoot\System32\drivers\watchdog.sys
  0x8DF25000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x8DFB2000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0x8DFBD000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x8A10F000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x8A11E000 \SystemRoot\system32\DRIVERS\k57nd60x.sys
  0x8D404000 \SystemRoot\system32\DRIVERS\athr.sys
  0x8D4F4000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0x8D4F8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x8D50B000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
  0x8D515000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x8D520000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0x8D551000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x8D553000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x8D55E000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8D576000 \SystemRoot\system32\Drivers\NTIDrvr.sys
  0x8D57E000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0x8D587000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0x8D596000 \SystemRoot\system32\DRIVERS\msiscsi.sys
  0x8A158000 \SystemRoot\system32\DRIVERS\storport.sys
  0x8D5C5000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x8D5D0000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x8D5E7000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x8A199000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x8A1BC000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x8A1CB000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x8A1DF000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x827E9000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x8D5F2000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x8E20F000 \SystemRoot\system32\DRIVERS\ks.sys
  0x8E239000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x8E243000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x8E250000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x8E285000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x8E296000 \SystemRoot\system32\drivers\RtHDMIV.sys
  0x8E2BA000 \SystemRoot\system32\drivers\portcls.sys
  0x8E2E7000 \SystemRoot\system32\drivers\drmk.sys
  0x8E406000 \SystemRoot\system32\drivers\RTKVHDA.sys
  0x8E640000 \SystemRoot\system32\DRIVERS\AGRSM.sys
  0x8E73B000 \SystemRoot\system32\drivers\modem.sys
  0x8E748000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0x8E751000 \SystemRoot\System32\Drivers\Null.SYS
  0x8E758000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8E75F000 \SystemRoot\System32\drivers\vga.sys
  0x8E76B000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8E78C000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8E794000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x8E79C000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8E7A7000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x8E7B5000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0x8E7BE000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x8E7D4000 \SystemRoot\System32\Drivers\aswTdi.SYS
  0x8E7DE000 \SystemRoot\system32\DRIVERS\smb.sys
  0x8E30C000 \SystemRoot\system32\drivers\afd.sys
  0x8E7F2000 \SystemRoot\System32\Drivers\aswRdr.SYS
  0x8E354000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x8E386000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x8E39C000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x8E3AA000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x8E3BD000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x8E200000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x807E9000 \SystemRoot\System32\Drivers\dfsc.sys
  0x8EA0C000 \SystemRoot\System32\Drivers\aswSP.SYS
  0x8EA33000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x8EA5B000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x8EA68000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x8EA73000 \SystemRoot\System32\Drivers\dump_msahci.sys
  0x8EA7D000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0x8EA94000 \SystemRoot\System32\Drivers\usbvideo.sys
  0x94690000 \SystemRoot\System32\win32k.sys
  0x8EAB5000 \SystemRoot\System32\drivers\Dxapi.sys
  0x8EABF000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x948B0000 \SystemRoot\System32\TSDDD.dll
  0x948D0000 \SystemRoot\System32\cdd.dll
  0x8EACE000 \SystemRoot\system32\drivers\luafv.sys
  0x8EAE9000 \??\C:\Windows\system32\drivers\aswMonFlt.sys
  0x8EB20000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
  0x8EB23000 \SystemRoot\system32\drivers\spsys.sys
  0x8EBD3000 \SystemRoot\system32\DRIVERS\irda.sys
  0x8A3C8000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x81A08000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x81A32000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x81A3C000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x81A4F000 \SystemRoot\system32\drivers\HTTP.sys
  0x81ABA000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x81AD7000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x81AF0000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x81B05000 \SystemRoot\system32\drivers\mrxdav.sys
  0x81B26000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x81B45000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x81B7E000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x81B96000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x98209000 \SystemRoot\System32\DRIVERS\srv.sys
  0x9826D000 \SystemRoot\system32\drivers\peauth.sys
  0x9834B000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x98355000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x98361000 \SystemRoot\system32\DRIVERS\cdfs.sys
  0x77CF0000 \Windows\System32\ntdll.dll

Processes (total 54):
       0 System Idle Process
       4 System
     416 C:\Windows\System32\smss.exe
     488 csrss.exe
     552 C:\Windows\System32\wininit.exe
     564 csrss.exe
     596 C:\Windows\System32\services.exe
     608 C:\Windows\System32\lsass.exe
     616 C:\Windows\System32\lsm.exe
     696 C:\Windows\System32\winlogon.exe
     812 C:\Windows\System32\svchost.exe
     888 C:\Windows\System32\svchost.exe
     928 C:\Windows\System32\svchost.exe
    1020 C:\Windows\System32\Ati2evxx.exe
    1040 C:\Windows\System32\svchost.exe
    1104 C:\Windows\System32\svchost.exe
    1124 C:\Windows\System32\svchost.exe
    1196 C:\Windows\System32\audiodg.exe
    1236 C:\Windows\System32\SLsvc.exe
    1284 C:\Windows\System32\svchost.exe
    1476 C:\Windows\System32\svchost.exe
    1548 C:\Windows\System32\Ati2evxx.exe
    1624 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    1952 C:\Windows\System32\spoolsv.exe
    1976 C:\Windows\System32\svchost.exe
     452 C:\Program Files\Acer\Acer PowerSmart Manager\ePowerSvc.exe
    1428 C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
    1412 C:\Windows\System32\svchost.exe
    2112 C:\Windows\System32\dwm.exe
    2144 C:\Windows\System32\svchost.exe
    2152 C:\Windows\System32\taskeng.exe
    2188 C:\Windows\System32\svchost.exe
    2212 C:\Windows\System32\SearchIndexer.exe
    2232 C:\Windows\explorer.exe
    2620 C:\Program Files\Windows Defender\MSASCui.exe
    2720 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    2780 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    2868 C:\Windows\PLFSetI.exe
    2944 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    3240 C:\Program Files\Launch Manager\LManager.exe
    3276 C:\Program Files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe
    3376 C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTray.exe
    3384 C:\Program Files\Alwil Software\Avast5\AvastUI.exe
    3496 C:\Users\Admin\AppData\Local\Temp\RtkBtMnt.exe
    3528 C:\Windows\System32\wbem\unsecapp.exe
    3644 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    3792 WmiPrvSE.exe
    2176 C:\Windows\System32\taskeng.exe
    1860 C:\Program Files\Secunia\PSI\psi.exe
    2132 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
    1392 C:\Windows\System32\wsqmcons.exe
    3468 taskeng.exe
    2276 C:\Windows\System32\taskeng.exe
    2964 C:\Users\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`71100000  (NTFS)

PhysicalDrive0 Model Number: HitachiHTS545050B9A300, Rev: PB4OC60F

      Size  Device Name          MBR Status
  --------------------------------------------
    465 GB  \\.\PhysicalDrive0   Windows 2008 MBR code detected
            SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!
         

Sieht doch wesentlich besser aus, oder was meinst du?

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

mbam-log-2010-11-27 (21-11-55).txt:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5199

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

27.11.2010 21:11:55
mbam-log-2010-11-27 (21-11-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 217879
Laufzeit: 37 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

SUPERAntiSpyware Scan Log - 11-27-2010 - 23-38-44.log:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/27/2010 at 11:38 PM

Application Version : 4.46.1000

Core Rules Database Version : 5920
Trace Rules Database Version: 3732

Scan type       : Complete Scan
Total Scan Time : 00:36:46

Memory items scanned      : 712
Memory threats detected   : 0
Registry items scanned    : 6638
Registry threats detected : 0
File items scanned        : 66294
File threats detected     : 0
         

Scheint von mir aus gesehen sauber zu sein. Soll ich jetzt mal testen, ob die Windows Updates wieder funktionieren, und ob die unerwünschten Weiterleitungen beim Surfen nicht mehr auftreten? Oder sind wir mit der Überprüfung noch nicht durch?

Sieht alles ok aus. Noch Probleme?

Sieht sehr gut aus! Windows Update funktioniert wieder wie gewünscht, und auch beim Surfen kommen die Werbe- und Malware-Seiten nicht mehr.

Problem gelöst! Vielen herzlichen Dank!

Was empfiehlst du, soll ich den Rechner nochmal neu aufsetzen? Oder ist er jetzt wirklich sauber?
Falls nicht neu aufsetzen; was mache ich jetzt mit den Programmen, die ich zur Schädlingsbekämpfung heruntergeladen/installiert habe?
- load.exe
- Ordner MFtools
- defogger.exe (sollte ich die CD Emulator Drivers wieder aktivieren?)
- erunt.exe
- gmer.exe
- MBRCheck.exe
Malwarebytes und SUPERAntiSpyware lasse ich sicher drauf.

Und was war eigentlich das Problem, weisst du das? War es ein Rootkit, das sich im MBR eingenistet hat, und deshalb auch das Neuaufsetzen unbeschadet überlebt hat? Oder was kann es gewesen sein?

Wie auch immer, nochmals ein recht herzliches
Markus