Trojaner-Board - Rootkit gefunden, Malware Infektion?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Rootkit gefunden, Malware Infektion? (https://www.trojaner-board.de/99933-rootkit-gefunden-malware-infektion.html)

Rootkit gefunden, Malware Infektion?

Hallo liebe Techniker,

ich bin ratlos. Ich bekomm von meinem Avast AntiVir immer die Meldung, dass ein Rootkit gefunden wurde, eine Meldung dieser Art: MBR: \\.\PHYSICALDRIVE0
Auffällig ist, dass es auch in Windows 7 auftauchte, welches ich auf der gleichen HDD (partitioniert) installiert habe.

Ich habe dann ComboFix ausgeführt. Es wurden einige Löschungen vorgenommen, laut logfile und im Prozess. Die Wiederherstellungskonsole wurde installiert. Jetz kam ein neues Problem hinzu. ich bekam Win XP nicht mehr hochgefahren, Bluescreen und Ende. Nicht mal mehr im Abgesicherten Modus. Windows 7 geht jedoch ohne Probleme. daraufhin hab ich die Wiederherstellungskonsole genutzt, fixmbr, und siehe da, Win XP startete wieder wie gewohnt.

Allerdings wird selbst nach dem erstellen eines neuen MBR der Fehler vom Virenprogramm erneut ausgegeben. Avast kann das wohl nicht bereinigen, auch wenn ich Löschen ausführe, nach dem Neustart ist es wieder da. Ich kann jetzt aber nicht sagen, dass es meinen PC behindert, oder verlangsamt, ich meine, alles läuft wunderbar, und ich bin mir auch nicht sicher, ob es ein echter Trojaner ist, oder was auch immer. Ich hab mal gelesen, dass es auch was gefahrloses sein kann. Bin mir aber nicht sicher.

Auf jeden Fall möchte ich, dass das gefixt wird.

Der ComboFix Log sagt folgendes :

Combofix Logfile:

Code:

ComboFix 11-06-04.02 - MF 04.06.2011   2:51.1.4 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2855 [GMT 2:00]

ausgeführt von:: f:\incoming data & files\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Nemo\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf

c:\dokumente und einstellungen\Nemo\WINDOWS

c:\programme\NavExcel

c:\programme\NavExcel\NavHelper\v2.0.3\v2.0.3.cab

c:\windows\settings.reg

c:\windows\system32\crt.dat

c:\windows\system32\Data

c:\windows\system32\lsprst7.dll

c:\windows\system32\shimg.dll

c:\windows\system32\ssprs.dll

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-05-04 bis 2011-06-04  ))))))))))))))))))))))))))))))

.

.

2011-05-16 19:35 . 2011-05-10 11:59        19544        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2011-05-16 19:35 . 2011-05-10 12:03        307928        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2011-05-16 19:35 . 2011-05-10 12:03        441176        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2011-05-16 19:35 . 2011-05-10 12:02        49240        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2011-05-16 19:35 . 2011-05-10 11:59        25432        ----a-w-        c:\windows\system32\drivers\aswRdr.sys

2011-05-16 19:35 . 2011-05-10 12:02        102616        ----a-w-        c:\windows\system32\drivers\aswmon2.sys

2011-05-16 19:35 . 2011-05-10 12:02        96344        ----a-w-        c:\windows\system32\drivers\aswmon.sys

2011-05-16 19:35 . 2011-05-10 11:59        30808        ----a-w-        c:\windows\system32\drivers\aavmker4.sys

2011-05-16 19:35 . 2011-05-10 12:10        40112        ----a-w-        c:\windows\avastSS.scr

2011-05-16 19:35 . 2011-05-10 12:10        199304        ----a-w-        c:\windows\system32\aswBoot.exe

2011-05-16 19:34 . 2011-05-19 05:29        --------        d-----w-        c:\programme\Avast

2011-05-16 11:38 . 2011-05-16 11:38        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-05-16 11:28 . 2011-05-16 11:28        --------        d-----w-        c:\windows\system32\wbem\Repository

2011-05-10 17:11 . 2011-05-10 17:11        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe Systems

2011-05-10 17:10 . 2011-05-10 17:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe Systems Shared

2011-05-10 17:09 . 2011-05-10 17:10        --------        d-----w-        c:\programme\Audition 3

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-04-18 10:23 . 2010-11-13 10:08        16432        ----a-w-        c:\windows\system32\lsdelete.exe

2011-03-16 22:42 . 2008-12-20 00:28        409600        ----a-w-        c:\windows\system32\wrap_oal.dll

2011-03-16 22:42 . 2008-12-20 00:28        114688        ----a-w-        c:\windows\system32\OpenAL32.dll

2011-03-16 22:09 . 2011-03-16 22:09        4706        ----a-w-        c:\windows\system32\PerfStringBackup.TMP

2011-04-14 16:40 . 2011-05-25 16:20        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-05-10 12:10        122512        ----a-w-        c:\programme\Avast\ashShell.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Ai Nap"="c:\programme\ASUS\AI Suite\AiNap\AiNap.exe" [2008-05-21 1423360]

"Cpu Level Up help"="c:\programme\ASUS\AI Suite\CpuLevelUpHelp.exe" [2007-11-30 881152]

"zBrowser Launcher"="c:\programme\Logitech Tastatur\iTouch\iTouch.exe" [2002-11-23 631362]

"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]

"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]

"HD Tune"="c:\progra~1\HDTUNE~1\HDTune.exe" [2008-02-09 401408]

"CTSysVol"="c:\programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]

"avast"="c:\programme\Avast\avastUI.exe" [2011-05-10 3459712]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="c:\windows\system32\logonui.exe"

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           PDBoot.exe\0autocheck autochk *\0lsdelete

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-09-20 21:07        932288        ----a-r-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2011-01-31 08:44        35760        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Apple Mobile Device"=2 (0x2)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Trillian\\trillian.exe"=

"c:\\Programme\\Soulseek\\slsk.exe"=

"c:\\Programme\\DNA\\btdna.exe"=

"c:\\WINDOWS\\system32\\regsvr32.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\DC++\\DCPlusPlus.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=

"c:\\Programme\\TeamViewer\\Version5\\TeamViewer_Service.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:Remote Desktop

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

.

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [13.11.2010 10:46 64288]

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [24.06.2008 00:21 150568]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.07.2009 17:52 717296]

R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [16.05.2011 21:35 441176]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [16.05.2011 21:35 307928]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [16.05.2011 21:35 19544]

R2 PDSched;PDScheduler;c:\programme\Raxco\PerfectDisk\PDSched.exe [01.11.2004 13:56 237635]

R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [16.03.2011 23:19 101904]

R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [22.12.2008 12:01 33792]

R3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]

R3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]

S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 2151128]

S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [12.08.2010 14:15 15232]

S3 PSTRIP;PSTRIP;\??\c:\windows\system32\DRIVERS\PSTRIP.SYS --> c:\windows\system32\DRIVERS\PSTRIP.SYS [?]

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]

2008-06-18 14:04        8192        ----a-w-        c:\programme\PixiePack Codec Pack\InstallerHelper.exe

.

Inhalt des "geplante Tasks" Ordners

.

2011-06-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 09:11]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

TCP: Interfaces\{D8CD2916-45C8-485D-8247-70263CB330AF}: NameServer = 208.67.222.222,208.67.220.220

DPF: DirectAnimation Java Classes

DPF: Microsoft XML Parser for Java

FF - ProfilePath - c:\dokumente und einstellungen\Nemo\Anwendungsdaten\Mozilla\Firefox\Profiles\8o34vhwd.default\

FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official

FF - prefs.js: network.proxy.type - 2

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-mIRC - c:\programme\mIRC\mirc.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-06-04 02:59

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

"AB141C35E9F4BF344B9FC010BB17F68A"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{53C141BA-4F9E-43FB-B4F9-0C01BB716FA8}\\Registered"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(832)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\atiadlxx.dll

.

Zeit der Fertigstellung: 2011-06-04  03:03:23

ComboFix-quarantined-files.txt  2011-06-04 01:03

.

Vor Suchlauf: 5 Verzeichnis(se), 17.338.728.448 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 29.257.920.512 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

;

;Warning: Boot.ini is used on Windows XP and earlier operating systems.

;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.

;

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /FASTDETECT /NOEXECUTE=OPTIN /TUTAG=2ZBRZ3

.

- - End Of File - - 9C4191431C8D048338DC8A165607E9EB

--- --- ---

http://www.trojaner-board.de/images/icons/icon4.gif Bitte beachten http://www.trojaner-board.de/images/icons/icon4.gif => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html

http://www.trojaner-board.de/images/icons/icon4.gif Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html http://www.trojaner-board.de/images/icons/icon4.gif

Zitat:

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

bekomme ich ja jetzt keine Hilfe, oder wie?

Vllt nimmst du erstmal die Hinweise zur Kenntnis??
Lies doch einfach mal was da steht und setz alles um, bevor du voreilig falsche Schlussfolgerungen ziehst.

die Hinweise hab ich zur Kenntnis genommen, noch bevor ich gepostet habe. die waren ja nicht zu übersehen.

zuerst hab ich alles über Windows und mein AntiVir programm versucht zu lösen. hab sogar bald 2h eine Analyse laufen lassen, und eine Startzeitprüfung vor dem Windowsstart ausgeführt, wo ich jede Menge Malware entfernt und in den Container verschoben habe. danach kam ich über google auf die Combo Fix Seite. auf der Seite gab es eine eindeutige, klare Anleitung in vielen Schritten, die ich so ausgeführt habe.

danach hab ich den Master Boot Record neu geschrieben, für die Win XP Installation, weil Windows nicht mehr hochfuhr. danach ging das aber wieder - aber der Fehler blieb.

ich kann also nicht sagen, dass ich dumm oder voreilig gehandelt habe.

und jetz brauch ich Hilfe und keine Diskussionen um Rechtfertigungen und Hinweise in Foren, denn Foren nutze ich schon lange, und kenne die Netiquette.

Zitat:

die Hinweise hab ich zur Kenntnis genommen, noch bevor ich gepostet habe. die waren ja nicht zu übersehen.

Zur Kenntnis genommen aber dann nicht richtig umgesetzt? Was ist zB mit den anderen Logs die du lt. dem Artikel für Hilfesuchende erstellen und posten sollst?

Zitat:

wo ich jede Menge Malware entfernt und in den Container verschoben habe

Und wo sind die Logs dazu?

Zitat:

ich kann also nicht sagen, dass ich dumm oder voreilig gehandelt habe.

Doch du hast voreilig Combofix ausgeführt, obwohl wir hier einen fetten unüberlesbaren Hinweis dazu haben.

Zitat:

und jetz brauch ich Hilfe und keine Diskussionen um Rechtfertigungen und Hinweise in Foren

Und ich möchte, dass du erstmal dich an die Regeln und Hinweise hälst.

Ok, tut mir leid. dann hab ich diesen speziellen Thread nicht gelesen, sondern nur auf deine Signatur geachtet. Das meinte ich nochmals mit "ich habs gelesen".

nun denn : ich hab hier in den Anhang die Logfiles hochgeladen.

zum einen mein Antivir Log.
zum zweiten das Log der ComboFix.
zum dritten das defogger.
und zum vierten die OTL Logs.

dann hab ich das GMER ausgeführt. hier trat jetzt eine Besonderheit auf. als ich es ausgeführt habe, wurde fast am Ende eine Meldung aufgezeigt, dass eine Rootkit-Aktion aufgedeckt wurde, in der ihr auch im Thread der Beachtung gewarnt habt. da steht, ich solle auf jeden Fall auf NO klicken. bei der Meldung gabs das allerdings nicht. dort ging nur auf OK zu klicken. stattdessen hab ich die Fenstermeldung über das Kreuz geschlossen.

danach kamen Fehlermeldungen und das System war total ausgebremst. die Fehlermeldung beinhalteten irgendwas mit SYS32 oder sowas. ich konnte nich mal mehr ein Notepad öffnen, diese Meldung kam immer wieder, irgendeine Zugriffsverletzung mit 0x.... bezog sich aber nicht auf den RAM.
danach hab ich den PC neugestartet. den Scan nochmal durchführen wollen, und erhielt einen Bluescreen, der von der Datei"pgloqkob.sys" ausgelöst wurde.

In der Folge hab ich dann einen Neustart probiert, vor den sich CHKDSK eingeschaltet hat. seit 14.30 Uhr bis grade eben lief mein System eine intensive Prüfung durch. das ist ziemlich happig. (gibts von chkdsk irgendwo abgelegt logfiles?)

So, und jetzt bin ich erstmal damit hier.
wenn ich den GMER nochmal ausführen soll, und ihr das wollt, müsst ihr mir das sagen. aber ich weiß nicht, ob ich den PC da wieder zum Absturz bringe.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2008.12.20 00:44:47 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

DRV - [2005.05.09 21:08:40 | 000,033,792 | ---- | M] (Team H2O) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cledx.sys -- (CLEDX)

[2010.04.09 18:58:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

[2011.06.05 02:52:29 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}

[2010.11.13 10:41:24 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}

@Alternate Data Stream - 141 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Sehr gern.
Hier ist das logfile dazu.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

was mir noch aufgefallen ist : der PC is jetz übelst langsam. wenn ich z.B. was aus einem Ordner auf den Desktop kopiere, dauert das über 10 sekunden! auch der Explorer öffnet sich nicht gleich und Programme, die ich starte, brauchen jetzt länger.

ich habe TuneUp durchlaufen lassen, CCleaner.. keine Verbesserung :(

TuneUp kannst du vergessen.
Starte bitte den Rechner neu. Dann bitte CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ok. dauert jetz ein bischen.

tut mir leid, hier geht nix mehr. ich bekomme beim Anmelden von Win XP nur noch Bluescreens. daraufhin wollte ich eine Reparaturinst. durchführen, auch das bringt nichts. selbst die Wiederherstellungskonsole nicht.

ich installiere jetzt Win XP neu.