Guten Morgen.
Seit einiger Zeit habe ich folgende Probleme:
Beim Öffnen einer beliebigen Internetseite in IE8 ofer Firefox bringt AVAST5 die Meldung: Bösartige Website blockiert. Die Seite wird dann aber angezeigt. Offne ich jedoch einen Link im neuen Tab werde ich auf irgendwelche dubiosen Suchseiten weitergeleitet (irgendwas mit Conduit habe ich mal gelesen).
Des Weiteren nutze ich eine VPN-Verbindung mit dem SHREW-Client zur Fritz!Box, welche nicht mehr funktioniert (Tunnel wird zwar aufgebaut, jedoch keine Kommunikation zu entferntem Netz möglich).
Folgendes habe ich bereits unternommen: Scans mit diversen Programmen (AVAST, Trendmicro Sysclean, AdAware, Spybot,...)
Leider bekkomme ich Malwarebytes trotz Anleitung nicht zum Laufen, daher hänge ich fürs erste die Logs von HijackThis und Sysclean an.

Ich hoffe hier kann mir geholfen werden.
MfG
PetriSystems

Ach ja, OS ist Win XP Prof SP3, Updates werden automatisch installiert

Sorry, hier kommen jetzt die Logs:
Anhang 11637

Zitat:

Leider bekkomme ich Malwarebytes trotz Anleitung nicht zum Laufen

Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

So, hat doch funktioniert.
Hier das (eher unauffällige) Logfile:

Malwarebytes' Anti-Malware 1.50
Malwarebytes

Datenbank Version: 5342

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.12.2010 11:04:57
mbam-log-2010-12-17 (11-04-57).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 191106
Laufzeit: 9 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

MfG
PetriSystems

Zitat:

Art des Suchlaufs: Quick-Scan

Mach bitte einen Vollscan!

Sorry dass es so lange gedauert hat, ich kam nicht früher an den PC. Hie der LOG vom vollständigen Scan:


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5365

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.12.2010 10:34:46
mbam-log-2010-12-21 (10-34-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 250241
Laufzeit: 32 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

MfG PetriSystems

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hier die Logs, Bitteschön:

Sieht unauffällig aus
Mach mal ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hier das Combofix-Logfile.
...hat immerhin mal was gefunden...

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hier die nächsten Logfiles

Wir müssen eine Datei ersetzen, bitte runterladen direkt nach c: ins Hauptverzeichnis => c:\mouclass.sys

Dann gehts so weiter:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein
2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol Mount Devices finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:

Code: Alles auswählenAufklappen

ATTFilter

/windows/system32/drivers/mouclass.vir
         

7. Kopiere die saubere Datei mouclass.sys von mir in den Systempfad:

Code: Alles auswählenAufklappen

ATTFilter

mouclass.sys => /windows/system32/drivers/mouclass.sys
         

(müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)


8. Starte den Rechner neu und boote Windows

9. Die in Linux umbenannt Datei (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

10. Wenn alles geschafft ist Beischeid geben, führ auch nochmal GMER auch und poste das neue Log!

Alle Schritte durchgeführt!
Die Fehler bezüglich des Browsers scheinen weg zu sein, auch AVAST meldet sich mehr. Meine Fritz Box kann ich per VPN leider noch nicht erreichen, da muss ich noch dranbleiben...
Trotzdem denke ich man kann diesen Fall als gelöst betrachten.

Vielen Dank für die schnelle Hilfe!!!
Die Datei hab ich hochgeladen und das GMER-Log angehängt.

MfG
PetriSystems

Den hattest du => VirusTotal - Free Online Virus, Malware and URL Scanner

Kein Wunder, dass dein Windows rumsponn
GMER zeigt nun auch keine verdächtigen Manipulationen mehr

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!