Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hier das combofix-log
Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

es fand kein neustart statt, da ich nicht danach gefragt wurde!

soll ich einen neustart vornehmen?

außerdem bin ich mir nicht sicher ob spybot und teatimer vorhanden sind und abgeschaltet waren...

hier das (neue) combofix-log
Combofix Logfile:
--- --- ---

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

hier das aswMBR-file

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-20 14:05:50
-----------------------------
14:05:50.722 OS Version: Windows x64 6.0.6002 Service Pack 2
14:05:50.722 Number of processors: 8 586 0x1A04
14:05:50.723 ComputerName: GOE3 UserName: GOE
14:05:51.864 Initialize success
14:07:07.440 AVAST engine defs: 11092000
14:07:14.061 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
14:07:14.064 Disk 0 Vendor: WDC_WD10 01.0 Size: 953869MB BusType: 3
14:07:14.088 Disk 0 MBR read successfully
14:07:14.091 Disk 0 MBR scan
14:07:14.095 Disk 0 unknown MBR code
14:07:14.098 Service scanning
14:07:15.498 Modules scanning
14:07:15.501 Disk 0 trace - called modules:
14:07:15.516 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
14:07:15.519 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006a98340]
14:07:15.522 3 CLASSPNP.SYS[fffffa60011d1c33] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8006587050]
14:07:16.990 AVAST engine scan C:\Windows
14:07:23.334 AVAST engine scan C:\Windows\system32
14:09:09.635 AVAST engine scan C:\Windows\system32\drivers
14:09:19.424 AVAST engine scan C:\Users\GOE
14:17:10.404 File: C:\Users\GOE\drloadwF4.dll **INFECTED** Win32:Sinowal-JE [Trj]
14:18:19.699 AVAST engine scan C:\ProgramData
14:19:30.515 Scan finished successfully
14:19:50.865 Disk 0 MBR has been saved successfully to "C:\Users\GOE\Desktop\MBR.dat"
14:19:50.869 The log file has been saved successfully to "C:\Users\GOE\Desktop\aswMBR.txt"

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

nach dem fix wurde der rechner neu gestartet.
(dauerte länger als üblich - wegen des fixes nehm ich an)

es poppte folgende meldung auf:
"RUNDLL
Fehler beim Laden von C:\Users\GOE\DRLOAD~1.DLL
Das angegebene Modul wurde nicht gefunden"

außerdem poppte die benutzersteuerung für malwarebytes auf, verschwand aber nach kurzer zeit wieder.

hier das logfile:

All processes killed
========== FILES ==========
C:\Users\GOE\drloadwF4.dll moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: GOE
->Temp folder emptied: 47673021 bytes
->Temporary Internet Files folder emptied: 47979882 bytes
->Java cache emptied: 7239122 bytes
->FireFox cache emptied: 408796436 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 5854 bytes

User: Public
->Temp folder emptied: 0 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 568 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 488,00 mb

File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.29.1 log created on 09202011_145156

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\CLDigitalHome\CLMS_AGENT_LOG1.txt scheduled to be moved on reboot.
File move failed. C:\Windows\temp\CLDigitalHome\PCMMediaServer.log scheduled to be moved on reboot.
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.
Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

nach dem fix wurde der rechner neu gestartet.

es poppte folgende meldung auf:
"RUNDLL
Fehler beim Laden von C:\Users\GOE\DRLOAD~1.DLL
Das angegebene Modul wurde nicht gefunden"

hier das log-file vor dem neustart:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-20 15:39:35
-----------------------------
15:39:35.645 OS Version: Windows x64 6.0.6002 Service Pack 2
15:39:35.645 Number of processors: 8 586 0x1A04
15:39:35.645 ComputerName: GOE3 UserName: GOE
15:39:36.919 Initialize success
15:40:19.501 AVAST engine defs: 11092000
15:40:53.261 Verifying
15:41:03.272 Disk 0 Windows 600 MBR fixed successfully
15:42:31.607 Disk 0 MBR has been saved successfully to "C:\Users\GOE\Desktop\MBR.dat"
15:42:31.608 The log file has been saved successfully to "C:\Users\GOE\Desktop\aswMBRvorneustart.txt"


hier das logfile nach dem neustart:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-20 15:47:03
-----------------------------
15:47:03.923 OS Version: Windows x64 6.0.6002 Service Pack 2
15:47:03.923 Number of processors: 8 586 0x1A04
15:47:03.923 ComputerName: GOE3 UserName: GOE
15:47:05.897 Initialize success
15:47:13.727 AVAST engine defs: 11092000
15:47:27.154 The log file has been saved successfully to "C:\Users\GOE\Desktop\aswMBRnachneustart.txt"

Naja, das letzte aswMBR Log sieht aber zu kurz aus. Bitte so machen wie am Anfang:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-20 16:30:06
-----------------------------
16:30:06.022 OS Version: Windows x64 6.0.6002 Service Pack 2
16:30:06.022 Number of processors: 8 586 0x1A04
16:30:06.022 ComputerName: GOE3 UserName: GOE
16:30:07.207 Initialize success
16:30:10.486 AVAST engine defs: 11092000
16:30:18.123 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
16:30:18.126 Disk 0 Vendor: WDC_WD10 01.0 Size: 953869MB BusType: 3
16:30:18.133 Disk 0 MBR read successfully
16:30:18.136 Disk 0 MBR scan
16:30:18.140 Disk 0 Windows VISTA default MBR code
16:30:18.142 Service scanning
16:30:21.327 Modules scanning
16:30:21.330 Disk 0 trace - called modules:
16:30:21.344 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
16:30:21.347 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006a9a790]
16:30:21.349 3 CLASSPNP.SYS[fffffa60011d2c33] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8006587050]
16:30:22.406 AVAST engine scan C:\Windows
16:30:29.617 AVAST engine scan C:\Windows\system32
16:32:32.906 AVAST engine scan C:\Windows\system32\drivers
16:32:51.582 AVAST engine scan C:\Users\GOE
16:35:20.190 Disk 0 MBR has been saved successfully to "C:\Users\GOE\Desktop\MBR.dat"
16:35:20.205 The log file has been saved successfully to "C:\Users\GOE\Desktop\aswMBR.txt"

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

malwarebytes-logfile:

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7755

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120

20.09.2011 19:18:51
mbam-log-2011-09-20 (19-18-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|L:\|)
Durchsuchte Objekte: 619717
Laufzeit: 1 Stunde(n), 57 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCplDaemonTool (Trojan.Agent.WIMP) -> Value: NvCplDaemonTool -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\Users\GOE\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\scancdiskf29.dll.vir (Trojan.Sinowal) -> Quarantined and deleted successfully.
c:\_OTL\movedfiles\09202011_145156\C_Users\GOE\drloadwf4.dll (Trojan.Sinowal) -> Quarantined and deleted successfully.

Ok, das waren noch die Überreste. Einer in der Registry, die zwei Dateien sind isoliert, die haben wir mit OTL und CF gelöscht und liegen da in der Q isoliert herum und sind damit nicht mehr aktiv. Warten wir die anderen Logs ab.