SecurityTool / Security Tool entfernt? letzter Schritt - Überprüfung
 

Hallo liebes trojaner-board,

ich möchte erst einmal danke sagen für die super beschreibung "SecurityTool / Security Tool entfernen" und hoffe, dass ich alle eure forenregeln einhalten werde...!

nun zu meinem problem, das hoffentlich von mir behoben wurde. ich habe mir den schädling "SecurityTool" vor ca. drei stunden eingefangen. nach kurzem googlen und beten, habe ich die anleitung zur entfernung dieser malware gefunden und schritt für schritt durchgeführt (http://www.trojaner-board.de/81432-s...entfernen.html). im letzten schritt hat "da Guru" geschrieben, dass das system noch nicht sauber sein könnte und man nun ein thema erstellen soll. ja, das mach ich nun hiermit und poste mal meine RSIT Logfiles:


LOG - Editor:

RSIT Logfile:
--- --- ---


Info-Editor

info.txtRSIT Logfile:
--- --- ---



das ist der bericht von der MALWARE-Software:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5085

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.11.2010 00:38:06
mbam-log-2010-11-10 (00-38-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 261889
Laufzeit: 56 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\****\Startmenü\Programme\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.


den CCleaner habe ich vor den RSIT auch noch drüberlaufen lassen. braucht ihr noch mehr infos von mir? nochmals vielen dank. das wäre echt super, wenn mir jmd gewissheit geben könnte, dass ich den kram losgeworden bin ...

MFG Kiko12 :taenzer:

Gibt es noch weitere/ältere Logs von Malwarebytes? Wenn ja bitte alle posten.

Hey,

vielen dank für deine reaktion auf meine frage. also ich habe keine älteren Logs von Malwarebytes. habe das erste mal gestern um 00:38:06 die software ausgeführt (also das was ich schon gepostet habe im 1.post). habe jetzt heute morgen noch einen gemacht und jetzt eben, die ich jetzt beide noch einmal poste. heute morgen um 05:08:09 hatte dann die software nochmal ZWEI dateien gefunden und jetzt um 12:53:21 war nichts mehr. ist jetzt alles weg? oder reproduziert sich der schei**** immer wieder?


LOG von 05:08:09

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5086

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.11.2010 05:08:09
mbam-log-2010-11-10 (05-08-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 257373
Laufzeit: 55 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\779938591.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\6110772762.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.


LOG von 12:53:21

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5087

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.11.2010 12:53:21
mbam-log-2010-11-10 (12-53-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 257451
Laufzeit: 49 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


nun hoffe ich mal, dass das war wonach du gefragt hast und freue mich über eine hoffentlich positive nachricht. viele dank schonmal...!

MFG Kiko

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Gut, dann ist hier ....


der OTL.Txt OTL Logfile:
--- --- ---

und hier ist der Extras.TextOTL Logfile:
--- --- ---

danke ...!

Wer hat dir Windows installiert? FAT32 ist v.a. für die Systempartition ziemlich ungünstig!

Was wurde da zensiert?

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

das war ich. kannst du kurz erläutern warum das schlecht ist? bin nicht so bewandert in computerfragen. mich nimmt diese ganze sache hier auch etwas mit ... !


sorry, das war ich. wollte einfach den dateiNamen nicht vollständig anzeigen lassen. die anderen sternchen sind wegen meines namens...! war vllt etwas übertrieben von mir, das mit sternchen zu belegen ...!


also. ich warte da noch auf eine antwort. die schreiben etwas von überlastung. habe jetzt die mailVariante und die "normale" variante mit dem onlineFormular am laufen. das ergebnis werde ich dann umgehend posten...!

so gerade per MAIL gekommen:

Complete scanning result of "lakerda1967.sys", processed in VirusTotal at 11/10/2010 15:44:38 (CET).

[ file data ]
* name..: lakerda1967.sys
* size..: 141
* md5...: a226e98ea7d5bfe7fcc8c1f13f0c511e
* sha1..: 57ad8615aafa051caf00a74e9d2c84082f2593ee
* peid..: -

[ scan result ]
AhnLab-V3 2010.11.10.02/20101110 found nothing
AntiVir 7.10.13.202/20101110 found nothing
Antiy-AVL 2.0.3.7/20101110 found nothing
Authentium 5.2.0.5/20101110 found nothing
Avast 4.8.1351.0/20101110 found nothing
Avast5 5.0.594.0/20101110 found nothing
AVG 9.0.0.851/20101110 found nothing
BitDefender 7.2/20101110 found nothing
CAT-QuickHeal 11.00/20101109 found nothing
ClamAV 0.96.4.0/20101110 found nothing
Comodo 6674/20101110 found nothing
DrWeb 5.0.2.03300/20101110 found nothing
Emsisoft 5.0.0.50/20101110 found nothing
eSafe 7.0.17.0/20101109 found nothing
eTrust-Vet 36.1.7966/20101110 found nothing
F-Prot 4.6.2.117/20101109 found nothing
F-Secure 9.0.16160.0/20101110 found nothing
Fortinet 4.2.249.0/20101110 found nothing
GData 21/20101110 found nothing
Ikarus T3.1.1.90.0/20101110 found nothing
Jiangmin 13.0.900/20101110 found nothing
K7AntiVirus 9.67.2940/20101109 found nothing
Kaspersky 7.0.0.125/20101110 found nothing
McAfee 5.400.0.1158/20101110 found nothing
McAfee-GW-Edition 2010.1C/20101110 found nothing
Microsoft 1.6301/20101110 found nothing
NOD32 5607/20101110 found nothing
Norman 6.06.10/20101110 found nothing
nProtect 2010-11-10.01/20101110 found nothing
Panda 10.0.2.7/20101109 found nothing
PCTools 7.0.3.5/20101110 found nothing
Prevx 3.0/20101110 found nothing
Rising 22.73.02.06/20101110 found nothing
Sophos 4.59.0/20101110 found nothing
Sunbelt 7271/20101110 found nothing
SUPERAntiSpyware 4.40.0.1006/20101110 found nothing
Symantec 20101.2.0.161/20101110 found nothing
TheHacker 6.7.0.1.081/20101110 found nothing
TrendMicro 9.120.0.1004/20101110 found nothing
TrendMicro-HouseCall 9.120.0.1004/20101110 found nothing
VBA32 3.12.14.1/20101109 found nothing
ViRobot 2010.10.30.4121/20101110 found nothing
VirusBuster 12.72.5.0/20101109 found nothing



also ich sehe ganz viel "found nothing" ... was sagen die experten bzw. was sagst du "cosinus" ... nochmals tausend dank, dass du dich meinem problem annimmst!

FAT32 hat gegenüber NTFS sehr viele Nachteile, zB kennt es kein Journaling und Dateien über 4 GB kannst du auf FAT-Partitionen auch nicht erstellen. NTFS ist robuster.

Ist das was privates oder illegales? :balla:

:lach: nein nichts illegales. es sind einfach nur dateien von meinem urlaub in Norwegen... deswegen das "No*****" das kannst du mir wirklich glauben. ich kann auch nochmal einen scan machen mit dem vollständigen namen. kein problem. war einfach übervorsichtig im unkenntlich machen. habe da null erfahrung mit sowas ...

was sagst du denn sonst zu dem system? ich habe jetzt eben nochmal malwarebytes rüberlaufen lassen und findet weiterhin nichts. nur beim vollständigen systemScan (der gerade noch läuft) von avira AntiVir ist eine datei gefudnen worden "Java/Dldr.Agent." mal gucken, ob da sonst noch was kommt ...

hier nochmal der AntiVirScan Report


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 10. November 2010 16:15

Es wird nach 3032824 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : *****
Computername : *****

Versionsinformationen:
BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 02.11.2010 11:42:16
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:18
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 18:33:00
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:48
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:27:50
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:37:44
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 16:37:44
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 11:29:04
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:00:52
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 19:01:16
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 19:02:00
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 20:20:00
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 11:43:32
VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 11:43:32
VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 11:43:32
VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 11:43:32
VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 12:30:36
VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 00:03:14
VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 00:03:14
VBASE016.VDF : 7.10.13.181 2048 Bytes 09.11.2010 00:03:14
VBASE017.VDF : 7.10.13.182 2048 Bytes 09.11.2010 00:03:14
VBASE018.VDF : 7.10.13.183 2048 Bytes 09.11.2010 00:03:14
VBASE019.VDF : 7.10.13.184 2048 Bytes 09.11.2010 00:03:14
VBASE020.VDF : 7.10.13.185 2048 Bytes 09.11.2010 00:03:14
VBASE021.VDF : 7.10.13.186 2048 Bytes 09.11.2010 00:03:14
VBASE022.VDF : 7.10.13.187 2048 Bytes 09.11.2010 00:03:14
VBASE023.VDF : 7.10.13.188 2048 Bytes 09.11.2010 00:03:14
VBASE024.VDF : 7.10.13.189 2048 Bytes 09.11.2010 00:03:14
VBASE025.VDF : 7.10.13.190 2048 Bytes 09.11.2010 00:03:14
VBASE026.VDF : 7.10.13.191 2048 Bytes 09.11.2010 00:03:14
VBASE027.VDF : 7.10.13.192 2048 Bytes 09.11.2010 00:03:14
VBASE028.VDF : 7.10.13.193 2048 Bytes 09.11.2010 00:03:14
VBASE029.VDF : 7.10.13.194 2048 Bytes 09.11.2010 00:03:14
VBASE030.VDF : 7.10.13.195 2048 Bytes 09.11.2010 00:03:16
VBASE031.VDF : 7.10.13.201 32768 Bytes 10.11.2010 13:23:38
Engineversion : 8.2.4.92
AEVDF.DLL : 8.1.2.1 106868 Bytes 06.08.2010 19:02:48
AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 03.11.2010 11:43:42
AESCN.DLL : 8.1.6.1 127347 Bytes 06.08.2010 19:02:44
AESBX.DLL : 8.1.3.1 254324 Bytes 06.08.2010 19:02:50
AERDL.DLL : 8.1.9.2 635252 Bytes 22.09.2010 13:55:10
AEPACK.DLL : 8.2.3.11 471416 Bytes 12.10.2010 11:58:52
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 06.08.2010 19:02:38
AEHEUR.DLL : 8.1.2.38 2990455 Bytes 03.11.2010 11:43:40
AEHELP.DLL : 8.1.14.0 246134 Bytes 12.10.2010 11:58:48
AEGEN.DLL : 8.1.3.24 401781 Bytes 03.11.2010 11:43:34
AEEMU.DLL : 8.1.2.0 393588 Bytes 06.08.2010 19:02:26
AECORE.DLL : 8.1.17.0 196982 Bytes 25.09.2010 23:02:06
AEBB.DLL : 8.1.1.0 53618 Bytes 06.08.2010 19:02:24
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:12
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:08
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:42
AVREG.DLL : 10.0.3.2 53096 Bytes 02.11.2010 11:42:16
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 02.11.2010 11:42:16
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 12:22:12
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:26
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:54
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:56
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:10
RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.11.2010 11:42:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 10. November 2010 16:15

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-2613505610-3103029845-2545043798-1005\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-2613505610-3103029845-2545043798-1005\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\verschiedenes\adobe\reader\acrord32.exe
c:\VERSCHIEDENES\Adobe\Reader\AcroRd32.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'dllhost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'POWERPNT.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '152' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHsp.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHid.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosA2dp.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtMng.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACEngSvr.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'ifrmewrk.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryLife.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMEDIA.EXE' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACMON.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'PowerForPhone.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpTna.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSDrt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsGHost.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSDsrvc.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'IFXTCS.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'IFXSPMGT.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1746' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WINDOWS>
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\jar_cache4839364490056151149.tmp
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent
Beginne mit der Suche in 'D:\' <MUSIK>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\jar_cache4839364490056151149.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4eae638e.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 10. November 2010 17:22
Benötigte Zeit: 1:05:34 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

11990 Verzeichnisse wurden überprüft
586174 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
586173 Dateien ohne Befall
9281 Archive wurden durchsucht
0 Warnungen
1 Hinweise
461863 Objekte wurden beim Rootkitscan durchsucht
3 Versteckte Objekte wurden gefunden

Nagut, dann führ mal jetzt CF aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

so hier ist der LOG von ComboFix


Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

komischerweise hat er mich nicht nach einem neustart gefragt ...
naja, hier ist der LOG



Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

so.

das ist der GMER LOG:

GMER Logfile:
--- --- ---


(nur die letzten beiden zeilen habe ich "unkenntlich" gemacht wegen namen bei ICQ)



das ist der OSAM LOG

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru



und zum schluss der MBR Check:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 137):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7B1C000 \WINDOWS\system32\KDCOM.DLL
0xF7A2C000 \WINDOWS\system32\BOOTVID.dll
0xF7441000 sptd.sys
0xF7B1E000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xF7429000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xF73FA000 ACPI.sys
0xF73E9000 pci.sys
0xF761C000 ohci1394.sys
0xF762C000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF763C000 isapnp.sys
0xF7A30000 compbatt.sys
0xF7A34000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7BE4000 pciide.sys
0xF789C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF764C000 MountMgr.sys
0xF73CA000 ftdisk.sys
0xF7A38000 ACPIEC.sys
0xF7BE5000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF78A4000 PartMgr.sys
0xF765C000 VolSnap.sys
0xF73B2000 atapi.sys
0xF766C000 disk.sys
0xF767C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7392000 fltmgr.sys
0xF7380000 sr.sys
0xF768C000 PxHelp20.sys
0xF735C000 Fastfat.sys
0xF7345000 KSecDD.sys
0xF7332000 WudfPf.sys
0xF7305000 NDIS.sys
0xF72EB000 Mup.sys
0xF7B20000 \SystemRoot\system32\DRIVERS\ATKACPI.sys
0xF76CC000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6EF7000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF6EE3000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6E93000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF6E7F000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xF6CDE000 \SystemRoot\system32\DRIVERS\NETw3x32.sys
0xF78CC000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6CBA000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF78D4000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF76DC000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF6CA6000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xF78DC000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
0xF76EC000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0xF76FC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF78E4000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF6C76000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7B22000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF78EC000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF770C000 \SystemRoot\system32\DRIVERS\IFXTPM.SYS
0xF771C000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF772C000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF773C000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6C53000 \SystemRoot\system32\DRIVERS\ks.sys
0xF78F4000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0xF7B0C000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF774C000 \SystemRoot\System32\Drivers\tosrfcom.sys
0xF7C8B000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF775C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7B10000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6B9C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF776C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF777C000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF78FC000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6B8B000 \SystemRoot\system32\DRIVERS\psched.sys
0xF778C000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7904000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF790C000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF779C000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7B24000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6B2D000 \SystemRoot\system32\DRIVERS\update.sys
0xF72C7000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF77AC000 \SystemRoot\system32\DRIVERS\tosporte.sys
0xF77BC000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF46B7000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xF4693000 \SystemRoot\system32\drivers\portcls.sys
0xF77CC000 \SystemRoot\system32\drivers\drmk.sys
0xF77DC000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7924000 \SystemRoot\System32\drivers\psd.sys
0xF7B28000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7CC3000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B2A000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7934000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF793C000 \SystemRoot\System32\drivers\vga.sys
0xF7B2C000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B2E000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7944000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF794C000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF6ECF000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF4610000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF45B7000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF458F000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF4569000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF4547000 \SystemRoot\System32\drivers\afd.sys
0xF77EC000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF77FC000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7954000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF447C000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF780C000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF43E4000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF6B19000 \SystemRoot\System32\Drivers\ItSDisk.sys
0xF781C000 \SystemRoot\System32\Drivers\Fips.SYS
0xF43C1000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B32000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF6B11000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF783C000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF42B0000 \SystemRoot\System32\Drivers\SynMini.sys
0xF784C000 \SystemRoot\System32\Drivers\STREAM.SYS
0xF6B09000 \SystemRoot\System32\Drivers\SYNSAM.SYS
0xF795C000 \SystemRoot\System32\Drivers\SynCamd.sys
0xF4236000 \SystemRoot\System32\Drivers\SynPin.sys
0xF3670000 \SystemRoot\System32\Drivers\SynPipe.sys
0xF7B34000 \SystemRoot\System32\Drivers\SynScan.sys
0xF468F000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF785C000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF3658000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B36000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF467B000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7964000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7D1E000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xF2B92000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF796C000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xF2B82000 \SystemRoot\system32\DRIVERS\s24trans.sys
0xF2B2E000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xF1E8D000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF1600000 \SystemRoot\system32\drivers\wdmaud.sys
0xF1EEA000 \SystemRoot\system32\drivers\sysaudio.sys
0xEEA7B000 \SystemRoot\system32\DRIVERS\secdrv.sys
0xEE45F000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 74):
0 System Idle Process
4 System
852 C:\WINDOWS\System32\SMSS.EXE
920 CSRSS.EXE
952 C:\WINDOWS\System32\WINLOGON.EXE
996 C:\WINDOWS\System32\SERVICES.EXE
1008 C:\WINDOWS\System32\LSASS.EXE
1192 C:\WINDOWS\System32\SVCHOST.EXE
1228 C:\WINDOWS\System32\SVCHOST.EXE
1296 SVCHOST.EXE
1440 C:\WINDOWS\System32\SVCHOST.EXE
1480 C:\WINDOWS\System32\SVCHOST.EXE
1516 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
1636 DLLHOST.EXE
1760 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
1896 SVCHOST.EXE
1968 C:\WINDOWS\System32\SVCHOST.EXE
2012 SVCHOST.EXE
2036 C:\WINDOWS\System32\SVCHOST.EXE
532 C:\WINDOWS\System32\SPOOLSV.EXE
572 C:\Programme\Avira\AntiVir Desktop\SCHED.EXE
648 SVCHOST.EXE
1128 C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASGHOST.EXE
844 C:\WINDOWS\EXPLORER.EXE
1532 C:\WINDOWS\ATK0100\HControl.exe
1596 C:\WINDOWS\RTHDCPL.EXE
1668 C:\Program Files\PowerForPhone\PowerForPhone\PowerForPhone.exe
1728 C:\Programme\Asus\Splendid\ACMON.EXE
1796 C:\Programme\Wireless Console 2\WCOURIER.EXE
1824 C:\Programme\Asus\ATK Media\DMedia.exe
1844 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1864 C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
1788 C:\Programme\Asus\Power4 Gear\BatteryLife.exe
1944 C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe
1708 C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
1916 C:\Programme\FreePDF_XP\FPASSIST.EXE
2072 C:\VERSCHIEDENES\HP\HP Software Update\hpwuSchd2.exe
2100 C:\Programme\Java\JRE6\BIN\JUSCHED.EXE
2112 C:\Programme\Avira\AntiVir Desktop\AVGNT.EXE
2160 C:\Programme\iTunes\iTunesHelper.exe
2204 C:\WINDOWS\System32\ACEngSvr.exe
2236 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
2296 C:\VERSCHIEDENES\HP\Digital Imaging\BIN\HPQTRA08.EXE
2904 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
2976 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
3040 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
3108 C:\WINDOWS\ATK0100\ATKOSD.exe
3408 C:\Programme\Avira\AntiVir Desktop\avguard.exe
3456 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
3648 C:\Programme\Bonjour\mDNSResponder.exe
3660 C:\Programme\Avira\AntiVir Desktop\AVSHADOW.EXE
3924 C:\WINDOWS\System32\SVCHOST.EXE
3956 C:\WINDOWS\System32\IFXSPMGT.EXE
4012 C:\WINDOWS\System32\IFXTCS.exe
248 C:\Programme\Java\JRE6\BIN\jqs.exe
564 C:\WINDOWS\System32\SVCHOST.EXE
696 C:\WINDOWS\System32\nvsvc32.exe
776 C:\Programme\Infineon\Security Platform Software\PSDsrvc.EXE
212 C:\WINDOWS\System32\SVCHOST.EXE
972 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
3508 C:\WINDOWS\System32\SVCHOST.EXE
3092 C:\WINDOWS\System32\wuauclt.exe
3540 SCardSvr.exe
3576 C:\Programme\Infineon\Security Platform Software\PSDrt.exe
1120 C:\Programme\Infineon\Security Platform Software\SpTNA.exe
3752 C:\Programme\iPod\bin\iPodService.exe
2768 C:\WINDOWS\System32\WBEM\wmiapsrv.exe
2736 ALG.EXE
3240 C:\VERSCHIEDENES\HP\Digital Imaging\BIN\hpqste08.exe
3320 C:\VERSCHIEDENES\HP\Digital Imaging\BIN\hpqbam08.exe
4024 C:\VERSCHIEDENES\HP\Digital Imaging\BIN\HPQGPC01.EXE
2940 C:\Programme\Mozilla Firefox\firefox.exe
1620 C:\WINDOWS\System32\NOTEPAD.EXE
912 C:\Dokumente und Einstellungen\Matti\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`77226600 (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000010`f9383c00 (FAT32)

PhysicalDrive0 Model Number: HitachiHTS541612J9SA00, Rev: SBDOC70P

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!



so. vielen lieben dank nochmal für deine hilfe ...!!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

so, der SuperAntiSpyware LOG

da wurde noch einiges gefunden, was hoffentlich "harmlos" ist?! --> habe alles unter quarantäne gestellt und dann gelöscht

Malwarebytes LOG kommt gleich ....




SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/10/2010 at 11:51 PM

Application Version : 4.45.1000

Core Rules Database Version : 5841
Trace Rules Database Version: 3653

Scan type : Complete Scan
Total Scan Time : 02:25:38

Memory items scanned : 719
Memory threats detected : 0
Registry items scanned : 7147
Registry threats detected : 2
File items scanned : 113476
File threats detected : 45

Adware.WhenU
HKCR\WUSE.1
HKCR\WUSE.1#WUSE_Id

Adware.Tracking Cookie
.doubleclick.net [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.collective-media.net [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.collective-media.net [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.collective-media.net [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.collective-media.net [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.collective-media.net [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.collective-media.net [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.tribalfusion.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.smartadserver.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
ww251.smartadserver.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.smartadserver.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.smartadserver.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.smartadserver.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.smartadserver.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.atdmt.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.atdmt.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.apmebf.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.mediaplex.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.mediaplex.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.bs.serving-sys.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.adfarm1.adition.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
ad2.adfarm1.adition.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.imrworldwide.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.imrworldwide.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.deutschepostag.112.2o7.net [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
track.adform.net [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
track.adform.net [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
ad4.adfarm1.adition.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
de.sitestat.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
de.sitestat.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.tradedoubler.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.tradedoubler.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.tradedoubler.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
adfarm1.adition.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.zanox.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.traffictrack.de [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
.traffictrack.de [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]
ad3.adfarm1.adition.com [ C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lzc7lfi4.default\cookies.sqlite ]

zu guter letzt der Malwarebytes LOG

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 5092

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

11.11.2010 01:00:29
mbam-log-2010-11-11 (01-00-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 255643
Laufzeit: 55 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sieht ok aus, da wurden nur Cookies und zwei Reste in der Registry gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo,

also es läuft alles wie vorher. keine störungen etc. ich mache heute abend nochmal einen durchlauf mit beiden programm "Malwarebytes" und "superAntispyware" und wenn da noch was auffälliges gefunden wird, melde ich mich nochmal. aber ich hoffe nun, dass das ding weg ist und keine reste hinterlassen hat.

dir nochmal TAUSEND DANK für deine unterstützung. wirklich eine super sache hier...! :Boogie: selten so viel (und vor allem schnelle) hilfsbereitschaft erlebt...!
danke!

besten gruß

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

das habe ich jetzt auch noch alles gemacht (sumatraPDF gefällt mir ziemlich gut) und es müsste nun alles auf dem neuesten stand sein ... vielen dank für die tipps!

eine frage habe ich aber noch: wie kann das sein, dass kurz nach dem hochfahren des rechners eine windowsSicherheitswarnung auf"poppt" in der taskleiste (so ein rotes schutzschild) und mir dann gesagt wird, dass eine sicherheitsgefährdung vorliegt, weil meine firewall angeblich deaktiviert ist. wenn ich das dann prüfe bei windows ist alles auf "grün" und aktiv. und dieser hinweis verschwindet dann auch wieder ... muss ich mir jetzt noch gedanken machen?

gruß

Kannst du erstmal ignorieren. Die Firewall ist ja aktiv.

Nun müssen wir da dran:

Systempartition nach NTFS konvertieren

1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!