Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Na fein - wenn das mal gut geht

Task finished.
Ist alles gut gelaufen, sogar Alkohol lebt noch.

Kommt jetzt wieder das mit dem MBR Code? :>
MBR Code detected

Was auch immer, hier die Logfile

Du ahnst fast richtig

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Sodele, eine verdächtige Datei bei den drivern.. :0 handelt sich wohl um den Treiber zur Erstellung virtueller Laufwerke (Alk)

Log:

Zitat:

2011/03/19 17:39:38.0078 0836 Locked file(sptd) - User select action: Skip

2011/03/19 17:39:46.0171 3488 Deinitialize success

Da hat softwehr recht! Erkönnte glatt meinen Job übernehmen wenn er weiter so macht!

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Achso und CF hat mein Hamachi gekillt. Aber halb so wild ->reinstall.

Zitat:

Zitat von cosinus

Da hat softwehr recht! Erkönnte glatt meinen Job übernehmen wenn er weiter so macht!

...

Zitat:

Zitat von Softwehr

aber ich überlege nach dem Abi mich hier "mal" ausbilden zu lassen

daraufhin cad..

Zitat:

Zitat von cad

(hatetepe://www.trojaner-board.de/96184-skurrile-meldungen-bei-kaspersky.html)

Und ich weiß ja nichts von alledem, aber meine Logs sehen nicht gerade vertrauenserweckend aus..




GMER und Osam.
MBR kommt sofort.

MBR Log:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0200001c

Kernel Drivers (total 122):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB7EA6000 spiu.sys
0xB85AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xB7E8E000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xB7E5F000 ACPI.sys
0xB7E4E000 pci.sys
0xB80A8000 isapnp.sys
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xB80B8000 MountMgr.sys
0xB7E2F000 ftdisk.sys
0xB85AC000 dmload.sys
0xB7E09000 dmio.sys
0xB8330000 PartMgr.sys
0xB8671000 amdide.sys
0xB80C8000 VolSnap.sys
0xB7DF1000 atapi.sys
0xB80D8000 disk.sys
0xB80E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB7DD1000 fltMgr.sys
0xB7DBF000 sr.sys
0xB80F8000 klbg.sys
0xB8108000 PxHelp20.sys
0xB7DA8000 KSecDD.sys
0xB7D1B000 Ntfs.sys
0xB7CEE000 NDIS.sys
0xB7CD4000 Mup.sys
0xB77B4000 kl1.sys
0xB8338000 \WINDOWS\system32\drivers\TDI.SYS
0xB81E8000 \SystemRoot\system32\DRIVERS\AmdPPM.sys
0xB240F000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB23FB000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB81F8000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB8208000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xB8218000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB23B5000 \SystemRoot\system32\DRIVERS\ks.sys
0xB8380000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB2391000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB8388000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB2369000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB8228000 \SystemRoot\system32\DRIVERS\serial.sys
0xB854C000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB8238000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xB8390000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB2332000 \SystemRoot\System32\Drivers\a065j63e.SYS
0xB8564000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB8268000 \SystemRoot\system32\DRIVERS\klim5.sys
0xB8683000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB8278000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB856C000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB231B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB8288000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB8298000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB230A000 \SystemRoot\system32\DRIVERS\psched.sys
0xB82A8000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB83F8000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB8400000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB8408000 \SystemRoot\system32\DRIVERS\hamachi.sys
0xB223A000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xB82B8000 \SystemRoot\system32\DRIVERS\termdd.sys
0xB8410000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB85F8000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB21DC000 \SystemRoot\system32\DRIVERS\update.sys
0xB8580000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB82C8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB82F8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB8600000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xAFAD7000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xAFAB3000 \SystemRoot\system32\drivers\portcls.sys
0xB8308000 \SystemRoot\system32\drivers\drmk.sys
0xAFA3D000 \SystemRoot\system32\DRIVERS\klif.sys
0xB8608000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB871A000 \SystemRoot\System32\Drivers\Null.SYS
0xB860A000 \SystemRoot\System32\Drivers\Beep.SYS
0xB8470000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB8478000 \SystemRoot\System32\drivers\vga.sys
0xB860C000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB860E000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB8490000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB8480000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB21B8000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAFA0A000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAF989000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAF961000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAF93B000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAF919000 \SystemRoot\System32\drivers\afd.sys
0xB8158000 \SystemRoot\system32\DRIVERS\netbios.sys
0xAF8EE000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAF856000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB8148000 \SystemRoot\System32\Drivers\Fips.SYS
0xB8178000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xAFAAF000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB81B8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xAFAAB000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB81C8000 \SystemRoot\system32\DRIVERS\klmouflt.sys
0xAF83E000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xB8614000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xAFA97000 \SystemRoot\System32\drivers\Dxapi.sys
0xB8498000 \SystemRoot\System32\watchdog.sys
0xB8248000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB8771000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xAF3F8000 \SystemRoot\system32\DRIVERS\nwlnkipx.sys
0xAF4AE000 \SystemRoot\system32\DRIVERS\nwlnknb.sys
0xAF476000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xAF786000 \SystemRoot\system32\DRIVERS\nwlnkspx.sys
0xAF163000 \SystemRoot\system32\drivers\wdmaud.sys
0xAF2A0000 \SystemRoot\system32\drivers\sysaudio.sys
0xAEFD0000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAEEB6000 \SystemRoot\system32\DRIVERS\srv.sys
0xAEE48000 \??\C:\Programme\Sandboxie\SbieDrv.sys
0xAEA1F000 \SystemRoot\System32\Drivers\HTTP.sys
0xAE82F000 \??\C:\DOKUME~1\User\LOKALE~1\Temp\uwdiipow.sys
0xAE80C000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
0x10000000 \Alkohol 120%\Alcohol 120\Alcoholx.dll

Processes (total 28):
0 System Idle Process
4 System
764 C:\WINDOWS\system32\smss.exe
1060 csrss.exe
1128 C:\WINDOWS\system32\winlogon.exe
1172 C:\WINDOWS\system32\services.exe
1184 C:\WINDOWS\system32\lsass.exe
1364 C:\WINDOWS\system32\nvsvc32.exe
1404 C:\WINDOWS\system32\svchost.exe
1492 svchost.exe
1948 C:\WINDOWS\system32\svchost.exe
220 svchost.exe
424 svchost.exe
664 C:\WINDOWS\system32\spoolsv.exe
1556 C:\WINDOWS\explorer.exe
1608 C:\WINDOWS\RTHDCPL.EXE
1656 C:\WINDOWS\system32\rundll32.exe
1696 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1968 C:\Programme\Java\jre6\bin\jqs.exe
184 C:\Programme\Sandboxie\SbieSvc.exe
140 C:\WINDOWS\system32\svchost.exe
268 wdfmgr.exe
2440 C:\WINDOWS\system32\wscntfy.exe
2564 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3052 alg.exe
2664 C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
3528 C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
3704 C:\Dokumente und Einstellungen\User\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\Z: --> \\.\PhysicalDrive0 at offset 0x00000018`69e59800 (NTFS)

PhysicalDrive0 Model Number: ST3320418AS, Rev: CC38

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Für GMER und Osam siehe vorherigen Post.

Nur mal kurz zwischenrede, dann bin ich wieder weg:
OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.5512

IE6 geht eigentlich garnicht mehr, Standard unter XP SP3 sollte schon der IE8 sein.

LG

Felix

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Zitat:

Zitat von felix1

Nur mal kurz zwischenrede, dann bin ich wieder weg:
OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.5512

IE6 geht eigentlich garnicht mehr, Standard unter XP SP3 sollte schon der IE8 sein.

LG

Felix

Meine "Automatischen Updates" sind deaktiviert, vielleicht hängt es damit zusammen?
Das Programm hat schon recht, mein IE ist der angegebene.

Zitat:

Zitat von Softwehr

Meine "Automatischen Updates" sind deaktiviert, vielleicht hängt es damit zusammen?
Das Programm hat schon recht, mein IE ist der angegebene.

Folge erst mal den Hinweisen von Cosinus zur Bereinigung Deines Systems. Natürlich kann ein ungepatchtes und ungewartetes System anfälliger für Infektionen sein, als ein aktuell gehaltenes.
Besuche MS bezüglich notwendiger Updates.

LG

Der Felix

@felix1 Hm, ich habe die mir empfohlenen Sicherheitsupdates ausgeführt, aber ich habe keine Lust dass MS Upgrades macht, die im Prinzip nur "Downgrades" sind. Das merkt man ja manchmal bei Interfaces von manchen Programmen: Hauptsache die Grafik wird schöner, aber bloß keine übersichtliche Benutzeroberfläche . Keine Ahnung, meint ihr ich sollte die Automatischen Updates angeschaltet haben?

Logs:

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Gesagt, getan. Jetzt weiß ich auch wieder was das war. Ich wollte mit Freunden so richtig nostalgisch ROMs editieren.. dazu haben wir uns über irgendeine Seite einen entsprechenden Editor runtergeladen... alles Sandboxxed betrieben. Irgendwann hatten wir kein Lust mehr und habens gelöscht. Scheint sich dann wohl in der SysVolInfo eingeschlichen zu haben. Vielleicht den Sektor nochmal mit SAS scannen?

Nö, da waren eigentlich nur Überreste in der SWH. Sind jetzt noch Probleme offen oder gabs weitere Funde?