Hallo,

hatte mir gestern den 'Windows Recovery' eingefangen.
Bin nach der Anleitung aus dem Forum vorgegangen, dafür schonmal vielen Dank!
(http://www.trojaner-board.de/96741-w...entfernen.html)

Habe bisher keine weiteren Probleme gehabt und das System scheint wieder vollständig zu funktionieren. Auch treten keine Probleme mit der Sichtbarkeit von Dateien auf, welche hier im Forum beschrieben sind.

Nur eine Sache ist mir aufgefallen. Bei manchen normalen seriösen google Hits, bekomme ich eine weiterleitung zu seiten wie z.B.Dotreaders.com oder so ähnlich. Auch die Google suche dauert etwas länger als gewöhnt, ca 3-4 Sekunden.

hier meine Malwarebytes Logfile:

www.ykel.de/mbam-log-2011-04-12_22-28-45.zip

Ich hoffe ihr könnt mir sagen was dahinter steckt, vielen Dank schonmal!

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Werden OTL Scan jetzt durchführen, was mir noch aufgefallen ist, es kommen in unregelmäßigen Zeitabständen die Frage über ein Internetexplorer Fenster, ob ein Script weiter ausgeführt werden soll, die URL die dabei angegeben wird, geht über gossipcenter.com.

Poste gleich den Log, vielen Dank schonmal Markusg!

Hier die 2 OTL Logs:


hxxp://www.ykel.de/OTL_logs.zip


Im vorraus schonmal vielen Dank!

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Vielen Dank schonmal für den Link, werde alles sorgfältig heute abend durchgehen!

Auf vielen Seiten wird gewarnt dass ernstzunehmende Probleme auftauchen können, ich habe gerade einige Arbeiten zu erledigen und bin auf diesen PC angewiesen, sollte ich das scannen auf übermorgen verlegen wenn ich all diese arbeiten erledigt habe? Oder mache ich mir da zu viele Gedanken, kann das selbst als Laie nicht so recht einschätzen.

Danke für die Auskunft!

gruß

normalerweise kann nicht viel passieren, es gibt natürlich immer mal user wo es zu problemen kommt.
wenn du kein onlinebanking, shopping etc in den nächsten tagen machst, kannst du es verschieben

So habe jetzt meine Uni Sachen soweit fertig, nun geht aber die Internetverbindung nichtmehr. Mein Netzwerk zeigt mir eine eingeschränkte connectivität, werde jetzt den Combofix starten!

Combofix zeigt direkt am Anfang einen Fehler an, dass sich ein Rootkit in der volsnap.sys befindet.

Danach bleibt das Programm mit einem blauem Fenster stehen und es passiert nichts.

eine txt wurde auf dem desktop erstellt, in dieser steht.

File "C:\windows\system32\drivers\volsnap.sys"
added succesfully

File list cleared


Wie soll ich weiter vorgehen?

Gruß

Ok habe es einfach nochmal laufen lassen, wurde zum neu starten aufgefordert.
Combofix ist durchgelaufen und folgendes logfile erstellt:

www.ykel.de/ComboFix.zip

alle beschwerden sind jetzt nichtmehr vorhanden. Hoffe ich bin clean?

vielen Dank Markus!