Moin zusammen!

Vor einigen Tagen trat bei mir das schon beschriebene Problem: "Windows wird in weniger als einer Minute heruntergefahren". Was es dann auch tat.
Außerdem habe ich die Datei "gratwain.exe", die seit gestern abend tausende Zugriffsversuche aufs I-Net hat. Brauche offenbar dringend Hilfe!!!

Anbei das Logfile von HijackThis und Malwarebytes:


Habe seit gestern abend das Programm "Comodo Internet Security PREMIUM" laufen. (Bringt das eigentlich was?) Die o.g. Datei ist übrigens bei allen mir bekannten Virenscannern unauffällig und eine Google-Suche ergibt KEINEN Treffer.

Hoffe auf eure Hilfe.

Grüße
Moin80

p.s.
fallen sonst noch Dinge auf, die bedenklich sind oder die ich ändern sollte

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

Analyse läuft, Files folgen gleich.

Habe durch meine Arbeit in der Sache übrigens aktuell eine stattliche Anzahl an Virenscannern o.ä. auf dem Rechner: Avira, Comodo, SuperAntiSpyware und MalwareBytes.
Ist das i.O. oder besser ändern?

lass erst mal so, lösche aber nichts, bzw wenns funde gibt, notieren und melden

anbei die beiden Auswertungen:

Danke schon mal!

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [Atladv] C:\Users\XXX\AppData\Roaming\Atlcom\gratwain.exe ()
[2010.11.24 18:46:40 | 000,000,000 | ---D | C] -- C:\Users\XXX\AppData\Roaming\Atlcom
[2010.11.26 15:16:24 | 000,000,000 | ---D | C] -- C:\Users\XXX\AppData\Roaming\Helper

:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.


öffne mein computer, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.

lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

anbei der Inhalt des Text-Dokuments. (weiß nicht, ob das so aussehen sollte, war mir nicht sicher, ab wo ich kopieren und einfügen sollte...)
Upload folgt gleich:

All processes killed
Error: Unable to interpret <[EMPTYFLASH]> in the current context!
Error: Unable to interpret <[emptytemp]> in the current context!
Error: Unable to interpret <[Reboot]> in the current context!

OTL by OldTimer - Version 3.2.17.3 log created on 11282010_160415

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

versuchs noch mal

:OTL
O4 - HKCU..\Run: [Atladv] C:\Users\XXX\AppData\Roaming\Atlcom\gratwain.exe ()
[2010.11.24 18:46:40 | 000,000,000 | ---D | C] -- C:\Users\XXX\AppData\Roaming\Atlcom
[2010.11.26 15:16:24 | 000,000,000 | ---D | C] -- C:\Users\XXX\AppData\Roaming\Helper
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

upload folgt, anbei die Text:
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Atladv not found.
File C:\Users\XXX\AppData\Roaming\Atlcom\gratwain.exe not found.
Folder C:\Users\XXX\AppData\Roaming\Atlcom\ not found.
Folder C:\Users\XXX\AppData\Roaming\Helper\ not found.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Public

User: Surf
->Flash cache emptied: 0 bytes

User: XXX
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Surf
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: XXX
->Temp folder emptied: 241534 bytes
->Temporary Internet Files folder emptied: 72447638 bytes
->Java cache emptied: 65500712 bytes
->FireFox cache emptied: 51331913 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2580 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 35420654 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 215,00 mb


OTL by OldTimer - Version 3.2.17.3 log created on 11282010_162631

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

machst du online banking /einkäufe?

die Datei gratwain ist aber immer noch an ihrem Platz... Soll das so???

nicht über diesen zugang. nur über die arbeit, da sollten die sicherheitssysteme ausreichen...

nein das soll nicht so, es hat immernoch nicht geklappt.
starte mal neu und poste eine neue otl.txt nach der von mir geposteten anleitung lasse den pc zwischendurch laufen ich bin sofort da und sehe es mir an.

hmm... Neustart habe ich gemacht, OTL-Auswertung läuft. Poste ich gleich, wenn er fertig ist.

so, da sindse: