Hallo,
ich bin neu im Forum und bedanke mich schon mal für alle Antworten und auch für die Hilfe, die ich durch Eure Posts schon bekommen habe Ich habe mir die Forums-Richtlinien durchgelesen und hoffe jetzt schwer, nichts verkehrt zu machen Mein Problem ist Folgendes:

Ich habe mir am Montag während einer Google-Bildersuche den Antimalware Doctor eingefangen (mein Betriebssystem ist WindowsXP). AntiVir hat sich vor Fundmeldungen überschlagen und mein Bildschirm wurde mit Pop-Up-Fenstern und der Aufforderung, irgendwas zu speichern oder installieren, überschwemmt, ich habe jedoch nichts davon gemacht, sondern ständig auf Abbrechen oder Schließen geklickt. Nach einer Google-Suche bin ich auf Euer Forum gestoßen und habe die Aktionen ausgeführt, die in den Threads empfohlen werden, nämlich:

- Malwarebytes Anti-Malware runtergeladen & ausgeführt (sowohl Quick Scan als auch Vollständige Suche)
- rkill runtergeladen & ausgeführt

Die von Malwarebytes gefundenen Dateien habe ich natürlich entfernen lassen, allerdings noch nicht aus der Quarantäne rausgelöscht, weil ich irgendwo gelesen habe, dass man das nicht sofort machen soll. (Soll ich die Dateien endgültig löschen?)
Mit den Pop-Ups war dann erst mal Ruhe, und auch die von alleine entstandenen Verknüpfungen zum Antimalware Doctor auf dem Desktop und in der Schnellstartleiste waren verschwunden. Allerdings hatte der PC danach Probleme beim Neustart, und zwar konnte er nur hochfahren, wenn ich auf "Letzte als funktionierend bekannte Einstellungen nutzen" gegangen bin. Irgendwann konnte ich nicht mehr auf meine Eigenen Dateien zugreifen und es kamen ständig vom Windows Security Alert "Critical Error"-Meldungen wie "Windows can't find hard disk", "Missing Hard Drive" etc. Seitdem kommen alle paar Minuten [EDIT: jetzt im Moment nicht mehr] folgende Meldungen:

Von AntiVir:
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\iGJIuqXxJA.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Kryptik.ET.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Vom Windows Security Alert:
Critical Error. Damaged hard drive clusters detected. Private Data is at risk.

und zusätzlich folgende Meldung:
Generic Host Process for Win32 services hat ein Problem festgestellt und muss beendet werden.

Außerdem kommt es regelmäßig vor, dass entweder alles oder nur die Windows-Taskleiste abstürzt. Wenn ich Malwarebytes scannen lasse, findet er immer wieder infizierte Dateien, obwohl ich immer auf "Auswahl entfernen" klicke. Vorhin habe ich dann noch OTL runtergeladen und einen Systemscan gemacht. Ich poste Euch mal die aktuellen Berichte von rkill, Malwarebytes und OTL. Wenn Ihr alle Berichte braucht (habe rkill und Malwarebytes bisher ca. 5-6 mal ausgeführt), bitte bescheid sagen - danke

- - -

rkill

Code: Alles auswählenAufklappen

ATTFilter

Ran as *** on 01.12.2010 at 21:54:09. 

Services Stopped:

Processes terminated by Rkill or while it was running: 

C:\DOKUME~1\***\LOKALE~1\Temp\QBYCVkPBfe.exe
D:\_***_\DOWNLO~1\RKILL(2).COM

Rkill completed on 01.12.2010  at 21:54:12.
         

- - -

Malwarebytes QuickScan
(beim QuickScan gerade eben hat er nichts gefunden, daher poste ich den letzten von heute nachmittag)

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5214

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

01.12.2010 15:39:28
mbam-log-2010-12-01 (15-39-28).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152680
Laufzeit: 5 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jdsfjsdijf.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jdsfjsdijf.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\jdsfjsdijf.exe\jdsfjsdijf.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully
         

- - -

Malwarebytes - Vollständiger Suchlauf
(vom Montagabend! Wenn Ihr einen aktuelleren braucht, bitte bescheid sagen, danke!)

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5214

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

30.11.2010 00:44:04
mbam-log-2010-11-30 (00-44-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 231614
Laufzeit: 55 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\jdsfjsdijf.exe\jdsfjsdijf.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
         

- - -

Während der Erstellung dieses Posts kam noch eine neue Fundmeldung von AntiVir, nämlich folgende:

Die Datei 'C:\WINDOWS\system32\hspdar1.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Gen' [trojan].
Durchgeführte Aktion(en):
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hspdar1\DllName> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hspdar1\Startup> wurde erfolgreich entfernt.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f861ccc.qua' verschoben!

- - -

Ich wollte eigentlich beide OTL-Logfiles anhängen, weil der Post zu lang war. Die Datei Extras.txt lässt sich nicht anhängen, ich weiß leider nicht warum! Beim Versuch, die Datei hochzuladen, bekomme ich immer die Meldung: Verbindung unterbrochen. OTL.txt lässt sich aber problemlos hochladen. An der Dateigröße kann es eigentlich nicht liegen, Extras.txt ist nur 12,0 KB groß und damit kleiner als OTL.txt. Auch beide Dateien zusammen sind nicht größer als 79,0 KB. Jetzt bin ich mir unsicher, ob ich auf mein eigenes Thema antworten soll, irgendwo stand ja, dass die Themen, die schon Antworten haben, nicht weiter beachtet werden. Ich lasse es jetzt erst mal und poste das zweite Logfile dann nach Aufforderung.

Das war's erst mal. Ich würde mich über jegliche Hilfe sehr freuen. Ich hoffe, vom Formellen her etc. ist alles in Ordnung mit dem Post, falls nicht, entschuldige ich mich schonmal

Danke & viele Grüße,
capsized

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system?
           

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Hallo,
erst mal ganz lieben Dank für Deine Antwort! Ich muss zugeben, dass ich jetzt etwas unsicher bin, ob ich die Bereinigung durchführen oder lieber gleich neu formatieren soll. Ich hab heute mit einem Kollegen gesprochen, der meinte, er hätte auch eine Malware auf seinem PC gehabt und nach der Bereinigung wäre trotzdem noch nicht alles in Ordnung gewesen, so dass er letzten Endes doch formatieren musste. Er hat mir geraten, mir den Aufwand zu sparen und gleich zu formatieren. Du hattest ja auch geschrieben, dass eine Formatierung auf jeden Fall sicherer und meist auch schneller ist. Ich werd da noch mal drüber nachdenken. Aber auf jeden Fall dank ich Dir ganz herzlich, dass Du mich bei meinem Problem unterstützen willst und so schnell geantwortet hast. Ich werd mich noch mal umhören und dann bescheid sagen, wie ich mich entschieden habe.
Danke und viele Grüße!
capsized

Ja es kommt immer darauf an was DU willst. Formatieren ist immer sinnvoll, aber für manche auch fast unmöglich, da viele Programme drauf sind welche man nicht mehr bekommt zum Beispiel. Gib mir einfach Bescheid.

Werd ich machen Ich tendiere eigentlich zum Formatieren, da ich die Programme alle noch habe bzw. neu runterladen könnte. Wie ist das denn, könnte ich dann vorher gefahrlos ein Backup von meinen Eigenen Dateien machen oder besteht dann die Gefahr, dass ich die Malware mit rüberziehe?

Du kannst alle Dateien welche NICHT ausführbar sind rüber ziehen. Also Textdokumente oder Fotos. Keine Programme oder dergleichen.

Super, danke für die Info. Es sind hauptsächlich Bild- und Textdateien, in den Eigenen Dateien hab ich keine Programme drin, dann passt das ja. Ich hab mich jetzt für eine Formatierung entschieden. Sorry, dass ich so unentschlossen bin Aber trotzdem vielen lieben Dank für Deine Unterstützung!
Viele Grüße,
capsized