alles klar, soweit ausgeführt. Das ist passsiert:
CFScript ausgef. -> CF wurde aktualisiert -> Wiederherstellungspunkt wurde erstellt -> Suche begann -> nach 15 min. wurden Dateien gelöscht -> Neustart -> Logdatei -> FERTIG

Hattest Du mein Post#13 und 14 gelesen, das war komisch oder war das normal ???
Habe/hatte ich mir etwas eingefangen und was war es ? Wie kam es aufs System ? Hast DU eine Idee ?
Ich bin eigentlich sehr vorsichtig und gehe nur mit eingesch. Rechten ins Internet und habe AntiVir aktiv und die Windows Firewall arbeitet auch und im Router ist die HW-Firewall aktiv. Wie kann ich was verbessern ?


hier ist sie:
Combofix Logfile:
--- --- ---

Lass uns hier erstmal auf die Logfiles konzentrieren, wenn wir durch sind, gehe ich auf die Fragen ein. Und ja, bei CF kann sowas durchaus vorkommen.

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

aswMBR-Logfile:
alles normal gelaufen, hat ca. 35min, insgesammt gedauert !

aswMBR version 0.9.8.977 Copyright(c) 2011 AVAST Software
Run date: 2011-07-26 07:56:00
-----------------------------
07:56:00.262 OS Version: Windows x64 6.1.7601 Service Pack 1
07:56:00.262 Number of processors: 4 586 0x170A
07:56:00.262 ComputerName: ZORAN-PC UserName: Zoran
07:56:04.115 Initialize success
07:59:21.715 AVAST engine defs: 11072501
07:59:35.007 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
07:59:35.007 Disk 0 Vendor: WDC_WD6400AAKS-00A7B2 01.03B01 Size: 610480MB BusType: 3
07:59:35.007 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T1L0-4
07:59:35.007 Disk 1 Vendor: WDC_WD10EADS-65L5B1 01.01A01 Size: 953869MB BusType: 3
07:59:35.007 Disk 2 \Device\Harddisk2\DR2 -> \Device\Ide\IdeDeviceP3T0L0-3
07:59:35.022 Disk 2 Vendor: SAMSUNG_HD501LJ CR100-10 Size: 476940MB BusType: 3
07:59:35.022 Disk 3 \Device\Harddisk3\DR3 -> \Device\Ide\IdeDeviceP3T1L0-8
07:59:35.022 Disk 3 Vendor: WDC_WD10EADS-65L5B1 01.01A01 Size: 953869MB BusType: 3
07:59:35.038 Disk 0 MBR read successfully
07:59:35.038 Disk 0 MBR scan
07:59:35.038 Disk 0 Windows 7 default MBR code
07:59:35.038 Service scanning
07:59:37.097 Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
07:59:38.080 Modules scanning
07:59:38.080 Disk 0 trace - called modules:
07:59:38.096 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa80073432c0]<<
07:59:38.096 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8007b6f060]
07:59:38.096 3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> [0xfffffa80078a1520]
07:59:38.111 5 ACPI.sys[fffff8800100b7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0xfffffa8007894680]
07:59:38.111 \Driver\atapi[0xfffffa80078668d0] -> IRP_MJ_CREATE -> 0xfffffa80073432c0
07:59:38.704 AVAST engine scan C:\Windows
07:59:42.495 AVAST engine scan C:\Windows\system32
08:01:00.682 AVAST engine scan C:\Windows\system32\drivers
08:01:07.749 AVAST engine scan C:\Users\Zoran
08:15:39.385 AVAST engine scan C:\ProgramData
08:18:26.882 Scan finished successfully
08:28:42.522 Disk 0 MBR has been saved successfully to "C:\Users\I n t e r n e t\Desktop\MBR.dat"
08:28:42.522 The log file has been saved successfully to "C:\Users\I n t e r n e t\Desktop\aswMBR.txt"

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

mbam-Log:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7294

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

27.07.2011 09:14:14
mbam-log-2011-07-27 (09-14-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 628278
Laufzeit: 1 Stunde(n), 26 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

SuperAntiSpyware-Log:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/27/2011 at 01:07 PM

Application Version : 4.55.1000

Core Rules Database Version : 7468
Trace Rules Database Version: 5280

Scan type : Complete Scan
Total Scan Time : 03:10:21

Memory items scanned : 623
Memory threats detected : 0
Registry items scanned : 16093
Registry threats detected : 0
File items scanned : 486559
File threats detected : 0

ESET-Log:
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=7c0a38d2de48dd4786fd2dc39b6a659d
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-28 07:06:10
# local_time=2011-07-28 09:06:10 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 1355802 48367339 1167348 0
# compatibility_mode=5893 16776573 100 94 132769 63460368 0 0
# compatibility_mode=8192 67108863 100 0 429 429 0 0
# scanned=501049
# found=4
# cleaned=0
# scan_time=6252
C:\Program Files\x64-Components\Tools\settings64.exe Win32/Packed.Autoit.C.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\ProgramData\Win7codecs\{3C32D47E-419E-48B9-8D9F-F9C489A2D299}\Win7codecs.msi Win32/Packed.Autoit.E.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\Users\All Users\Win7codecs\{3C32D47E-419E-48B9-8D9F-F9C489A2D299}\Win7codecs.msi Win32/Packed.Autoit.E.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\Windows\Installer\2b7755.msi Win32/Packed.Autoit.E.Gen application (unable to clean) 00000000000000000000000000000000 I

Stammt aus welcher Quelle?
Sieht eher nach Fehlalarmen aus. Ist es das hier? => http://www.chip.de/downloads/x64-Com..._35450673.html

Jepp, das ist es -> x64 Components , war einfach nur ein CODEC-Pack !

Ok, dann stempeln wir es als Fehlalarm ab.
Rechner ansonsten wieder im Lot?

Ja vielen lieben Dank,
der Zeitüberschreitungsfehler komt seit 2 Tagen nicht mehr, allerdings weiß ich nicht von welchem Step das behoben wurde ?

Was war es denn schlußendlich:
Trojaner, HiJacking, Virus, anderer Schädling ? Irgendwas im MBR was sich dort eingeschlichen hatte ? Ich möchte es auch verstehen ! Bitte kläre mich auf !

Wie muß ich mich verhalten und habe ich zuwenig getan um mein System sauber zu halten ?
Win7 - surfen nur mit eingeschr. Rechten !
HW-Firewall -> falsch eingestellt, wie mache ich das richtig !
SW-Firewall Win7 -> wie soll ich es dort einstellen !
Avira ?
Mozilla mit AddOns:
Browser Moz.Firefox 5.01 mit AddOn: AdBlock Plus 1.3.9, Java Console 6.0.17 und NoScript 2.1.1.2

Was kann ich sonst noch so machen ?

Gruß Zoran

Ist das wichtig? :confused:

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?




Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Ist das wichtig? :confused:

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?




Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Vielen Herzlichen Dank, ich hoffe ich muß Deinen / Euren Dienst nicht allzu oft in Anspruch nehmen und bin dennoch begeistert von Deinem Support.

Nun fahre ich fort mit Deinen Tips:
- ich Deinstalliere Adobe Reader und nehme Alternativ-Reader
- Java Update
- MS Updates sind bei mir automatisiert
- Mozilla auch
- Moz.AddOns werden auch immer autom. aktualisiert
- autom. Wiedergabe ist bereits deaktiv
- Secunia Personal Software Inspector (PSI) mache ich mal drauf zum testen

das hier: Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Das werde ich mir mal wenn Zeit ist zu Gemüte führen.

D A N K E :daumenhoc

Gruß Zoran

eines habe ich noch, ich bekomme Combofix nicht deinstalliert ?
Er fragt immer nach einer "combofix /uninstall" ich finde sie nicht und in der Systemsteuerung unter "Programme und Funktionen" finde ich das auch nicht ?

Wie bekomme ich das nun herunter ?