Avast findet Win32:Malware-gen in C:\WINDOWS\lfservice.exe
 

Hi liebe Retter!

letzte Woche hab ich mein Netbook von antivir auf avast umgerüstet.

Avast hat aber "42 Rootkits" gefunden, wo antivir vorher nie was fand.

Nachdem es diese Probleme 'lösen' sollte, konnte XP nicht mehr starten
"da folgende Datei fehlt oder beschädigt ist:
windows\System32\config\system".

Mit 2 XP-Recovery-CDs hab ich erfolglos probiert Windows zu starten
(die Original-Recovery-CD zum Rechner fand ich nicht).

Deshalb hab ich die OneStep-Recovery von lenovo benutzt
um erst vorsichtshalber nach Viren zu scannen (nichts gefunden),
dann (mp4-)Dateien zu sichern (avast findet nichts auf den dafür benutzten und auch vorher häufig angeschlossenen Festplatten),
dann den Rechner wieder auf die Werkseinstellungen zurückzusetzen -
mangels zwischenzeitlichem System-Wiederherstellungspunkt
(den mir zuletzt avast eigtl. vorm Scannen "versprochen" hatte zu machen).

Nach dem Neustart habe ich nur firefox und avast installiert,

dann sollte avast eine Startzeitüberprüfung machen,

und beim darauffolgenden Start ist die Infektionsmeldung erschienen
"Datei C:\WINDOWS\lfservice.exe ist infiziert von win32:Malware-gen".
Als ich "in Container verschieben" auswählen wollte
hat mich die Rückfrage "Datei ist im Windows-Ordner, sind Sie sicher?"
so verunsichert, dass ich erst einmal vor allen weiteren Scans
bei euch nachfragen wollte wie ich jetzt vorgehe.
Das Netbook lasse ich also erst mal so stehen bis ihr antworten könnt....

Dank sei euch gewiss... :-)

Die Datei sollte im Normalfall legitim sein => What is LFService.exe ? LFService.exe info

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Vorher erlaube mir noch die Rückfrage (s. Ende der 1. Anfrage):
Die Startzeitüberprüfung durch avast hab ich noch nicht beendet.
Was soll avast mit win32:Malware-gen machen:
löschen, "in Container verschieben", reparieren oder ignorieren?
Aus dem ersten Satz deiner Antwort verstehe ich: "Ignorieren", richtig?

Hi Arne!

Bin also erst mal auf "ignorieren" gegangen.

Beim Malwarebytes-Scan gab es folgende Schwierigkeiten:
Computer eingefroren nach 20, dann 15, dann 7 Minuten.
Beim 3. Kaltstart wurden ~130 Dateien repariert (vorher hab ich Scandisk übersprungen), dann konnte Malwarebytes auch durchlaufen.
Beim ersten nach 20' eingefroreren Scan wurde 1 infizierte Datei gefunden,
nach der Windows-Selbstreparatur nicht mehr, wie man sieht:

An meinen 2 Standrechnern (für unterschiedliche Zwecke) werden die 2 Externen Festplatten und 1 USB-Stick auch regelmäßig dran gesteckt. Bei einem von diesen verschwindet der WLAN-Stick-Treiber seit 2 Wochen regelmäßig, davon hier vorsichtshalber der Malwarebytes-Scan, 2 Infektionen:

der andere fährt seit gestern Abend nur noch in den BIOS hoch, von da aus komme ich nicht weiter, mach mir da auch nat. Sorgen.

THX weiterhin...

Vermüllte Software von Softonic scheint gerade stark in Mode zu sein! http://cosgan.de/images/midi/boese/a040.gif

Finger weg von Softonic!! :pfui:

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen


adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hier AdwCleaner-Log vom Netbook:

und hier vom zweiten (Stand-)Rechner, der die dummen Softonic-Extras hatte:

An den dritten, der nur in den BIOS hochfährt, muss ich wohl mit ner Recovery-CD ran...(?)

Was sollen jetzt hier Logs von verschiedenen Rechnern?! :stirn: Das fällt mir ja erst jetzt auf :headbang:
Pro Rechner bitte einen Strang aufmachen!

Sorry, Arne, wollt nicht nerven,

beim zweiten Rechner hatte ich ja keinen Verdacht, der einen Strang rechtfertigen könnte, sondern nur die Externen Festplatten ständig abwechselnd an den Rechnern dran hängen gehabt, hab gedacht ich erleichtere deine Arbeit wenn du das ganze Drumherum kennst.

Jetzt weiß ich Bescheid und wiederhol nur noch mal die Logs des *einen* Rechners, damit du wieder durchsteigst:

Malwarebytes:
ESET
AdwCleaner-Log:
OK so?

Es ist nicht nur für mich, sondern auch für dich besser, weil sonst unklar sein könnte welcher Fix sich auf welchen Rechner bezieht!

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OK.
Hier ist nur der Inhalt von OTL.Txt (nicht von dem ebenfalls ausgegebenen Extras.Txt):
(Bei den vorgegebenen und so belassenen Einstellungen von OTL gab es Unterschiede zu denen auf http://www.trojaner-board.de/85104-o...oldtimer.html, nämlich: Extra-Registrierung stand auf 'aus', 'Überspringe Microsoft-Dateien' war angekreuzt, war das OK das zu belassen?)

Äh wer hat dir den Rechner installiert?! FAT32 ist IT-Steinzeit und hat nichts auf der Systempartition von WinXP verloren! Müssen wir nachher dringend in NTFS konvertieren

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

FAT32? Hätt ich nicht absichtlich gemacht. Bei der eingangs erwähnten OneStep-Recovery konnt ich allerdings nichts ein- oder umstellen, wahrscheinlich ist das dabei passiert?

Durch den OTL-Fix hat der Rechner versucht herunterzufahren, als das nach 10 Minuten nicht beendet war, hab ich ihn ausgezwungen, beim Einschalten gabs trotzdem den Logfile und alles andere scheint auch noch OK:

Systempartition nach NTFS konvertieren

1. Start, Ausführen, cmd eintippen und ok
   
   
2. Diesen Befehl eintippen und mit der Eingabetaste ausführen => convert %systemdrive% /fs:ntfs
   
   
3. Die aktuelle Bezeichnung der Systempartition (idR ist das C: ) eintippen (siehst Du im Arbeitsplatz - wenn "Lokaler Datenträger" da nur steht hat die Systempartition keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung) - notfalls einen einfachen Namen für diese Partition vergeben im Arbeitsplatz über Rechtsklick => Eigenschaften und diesen dann eintippen bei der Abfrage
   
   
4. Bestätigen, dass das Laufwerk für den exklusiven Zugriff gesperrt werden muss mit J
   
   
5. Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neu starten, geduldig sein, denn das Konvertieren dauertn einen Moment!

Mach ein neues OTL-Log wenn Windows mit der Konvertierung durch ist.
Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Nachdem ich den Befehl eingetippt und ausgeführt hab kommt folgende Meldung

"CONVERT kann nicht ausgeführt werden, das das Volume von einem anderen Prozess verwendet wird. Die Bereitstellung des Volumes muss zuerst aufgehoben werden. ALLE OFFENEN BEZÜGE AUF DIESES VOLUME SIND DANN UNGÜLTIG. Möchten Sie die Bereitstellung des Volumes aufheben? J/N."

(C: heißt zz. tatsächlich nur 'Lokaler Datenträger')

Kann ich da jetzt sofort schon auf "J" gehen? (Ist das dein Schritt 4, und Schritt 3 kann ich also überspringen?)

Ja du musst dann J drücken
Starte Windows neu und lass den Rechner in Ruhe, NICHTS drücken oder klicken!!

Der OTL-Custom-Scan:

So nun sind wir auf NTFS

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Und hier der TDSS-Scan (jedenfalls keine 42 Rootkits {mehr}, wie avast ursprünglich vor der Systemwiederherstellung gefunden hatte....) :

Gruß! Ulf

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Haengt seit ner halben Stundeauf 'Bereite Logdatei vor'. Neustart?

_____________

23h: Mist, hatte alle angesagten Vorsichtsmaßnahmen durchgeführt, trotzdem ist was derbe schief gegangen :heulen::
Avast hatte beim Start vom ComboFix plötzlich unerwartet ein Rootkit gemeldet (ComboFix war wohl gemeint?), obwohl ich es eindeutig vorher deaktiviert hatte (war auch in der Taskleiste als deaktiviert angezeigt). Diese Avast-Meldung hab ich dann weggeklickt, damit sie ComboFix nicht weiter stört, und weil ComboFix noch gar nicht richtig losgelegt hatte, wie ich meinte.
Nach problemlosem Durchlauf ist ComboFix dann während der Erstellung des Logfiles wie gesagt stundenlang eingefroren.
Als ich jetzt schließlich versucht hab mit der Maus etwas zu erreichen, ist diese auch noch eingefroren als ich das CombiFix-Fenster wegklicken wollte.
Ausschalten und Neustart ging also nur 'kalt'.
Das Startmenü lässt sich seitdem trotz mehrerer Neustarts nicht mehr anzeigen. Nur noch 1mm der Taskleiste ist sichtbar, Rechtsklick auf diesen Rand geht allerdings, FWIW. Exemplarisch hab ich versucht Firefox über den Windows Explorer ("Arbeitsplatz: C: Programme") zu starten, ging auch, allerdings Internet nicht.
Es gibt direkt auf C: keine CombiFix.txt, wohl aber im Unterordner "CombiFix". Da ein eingesteckter USB-Stick nur zum Teil erkannt wurde (Anzeige möglich nach sonst unnötiger manueller Installation) konnte ich die Datei nicht auf Stick kopieren, wohl aber den Inhalt in eine neue Textdatei hineinkopieren:

Wenn Avast aber fündig wurde, hast du nicht alles richtig deaktiviert davon

Funktioniert noch der abgesicherte Modus?

Taskleiste ist komplett nicht mehr sichtbar? Ist sie nur fixiert und man kann evtl. nach Deaktivierierung der Fixierung die Taskleiste größer ziehen?

Scheint mir auch, also scheint bei avast deaktiviert nicht gleich deaktiviert. :balla:

Im Abgesicherten Modus als Administrator verbessert sich nichts.

Auch die unfixierte Taskleiste lässt sich nicht mehr sichtbarer machen (obwohl der Ziehdoppelpfeil erscheint), auch nicht im abgesicherten Modus.

Lade combofix bitte neu runter.
Starte dann in den abgesicherten Modus und führ combofix nach o.g. Anleitung bitte nochmal aus

Hi Arne,

weil ich bei avast jetzt sicher gehen wollte, hab ichs angeklickt, ging sogar, dadurch wurde es im abgesicherten Modus installiert und meldet "Manuelle Suche ist verfügbar, der Echtzeitschutz ist allerdings deaktiviert". Das erklärt was daran beim letzten Versuch deaktiviert war: nur der Echtzeitschutz. Dies mal hab ich im Taskmanager den avast-Task beendet, unter Prozesse ist der avast-Prozess dann auch verschwunden, also hoffe ich dass es jetzt ganz deaktiviert ist (in der Taskleiste ist ja nach wie vor nichts zu erkennen).

Da man bei Rechtsklick ComboFix scheinbar "Kopieren" kann, aber nicht irgendwo (geschweige denn auf dem Desktop) "einfügen", starte ich ComboFix (aktuelle Version 12-08-07.05) direkt vom Stick, auf den ich es auf einem internetfähigen Rechner heruntergeladen hatte.

Alle Bedingungen sind erfüllt, aber ComboFix läuft jetzt seit 19:35 ohne dass die Anzeige sich ändert. Nur der Cursor blinkt nach den einleitenden 3 Zeilen "Suche nach... sich leicht verdoppeln". Ich meld mich zwischendurch sobald sich was tut.... O.o Sag also Bescheid wenn ich abbrechen soll, irgend etwas scheint ja nicht zu stimmen, sei denn das ist im Abgesicherten Modus normal.

___________
20:42h - Tut sich leider nix...

Deinstalliere Avast mal testweise/temporär
Lade dann combofix wieder neu runter und probier es nochmal, wenn das dann immer noch nicht geht, überspringen wir es

Hab deinstalliert, hat leider nix geaendert wenn ich versuche ComboFix durchlaufen zu lassen...

Auch im abgesicherten Modus geht nix? Du hast die combofix.exe auch neu runtergeladen?

Also im abgesicherten Modus bin ich nur noch, ging nicht.
Aber ich war mir nicht sicher wie aktuell die ComboFix-Datei war,
deswegen hab ich es noch mal nachmittags ganz frisch runtergeladen.
Tatsächlich lief es dann gestern Abend auch durch, bis 50 oder so,
dann musste ich weg, als ich wieder kam, war der Laptop (überraschend) mangels Saft aus :headbang:.
Ein zweiter Durchlauf abends mit der gleichen Datei war dann wieder erfolglos (ist ein 2. Durchlauf mit derselben Datei eigentlich sinnlos?), und auch eine dann heute morgen erneut heruntergeladene ComboFix hat (wieder im abgesicherten Modus) nix gebracht.
Auf der erfolglosen Suche nach der txt-Datei auf Laufwerk C bin ich darauf gestoßen, dass es auf Laufwerk C einen eigenen neuen ComboFix-Arbeitsplatz-Ordner gibt (inkl. Arbeitsplatzsymbol), unter dem man wieder Laufwerk C findet, auf dem man u.a. wieder den ComboFix-Ordner findet, usw. Das ist wohl OK so?!
(Ich hab im Explorer keine automatische Suche zur Verfügung, aber ich geh davon aus, dass die txt-Datei nur auf C sein kann, wie die anderen vom OTL usw. ja auch...)
Wenn es gestern Abend wohl mindestens halb geklappt hat - heisst das: hartnäckig mehrmals oder täglich wiederholen??

Du hast jetzt Combofix aber nicht die ganze Zeit nur mit reinem Akkubetrieb versucht auszuführen...Analysen nur rein auf Akku sind eine ganz schlechte Idee...

Nee, nee, ist dann grundsätzlich immer am Netz, auch gerade aus solchen Gründen, zwischendurch war das Netz dies Mal ausnahmsweise versehentlich/unerwartet aus gewesen.

Da das mit CF wohl ncihts wird, müssen wir es erstmal sein lassen

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Moin!: GMER und OSAM schienen unproblematisch.
Bei aswMBR bräuchte ich ja normalerweise Internet, hier also erst mal ohne. Ich werde die Avast-Virendefinitionen jetzt von hxxp://www.avast.com/download-update runterladen, gleich offline reinladen und den erneuten log dann hier heute Abend einstellen, OK?

GMER
OSAM
aswMBR
OK, musste avast neu installieren um die Virendefinitionen zu laden,
da ich es ja vorher deinstallieren sollte.
Nun weiß ich nicht ob aswMBR tatsächlich darauf zugreifen konnte,
aber zumindest hat es bei diesem 2. Durchlauf weder gemeldet, dass es auf die online-Virendefinitionen zugreifen möchte, noch, dass das nicht klappt...

Also hier der erneute aswMBR-log.
Zum Schluss hatte ich erst die alte log-Datei umbenannt, wie man sieht,
ich hoffe das ist so richtig gelaufen, hätte wahrscheinlich besser überschrieben.

Hm, aswMBR bemängelt diese Dateien, aber ich bin mir fast sicher, dass die ok sind.

Bitte diese Dateien bei Virustotal auswerten lassen und von jeder den Ergebnislink posten. Falls Du die Dateien nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn eine Datei schon ausgewerte sein sollte, bitte eine weitere Auswertung starten.

Moin, ich kann ja weder direkt ins Internet, noch leider immer noch nicht Dateien/Ordner auf dem Netbook einfügen, in diesem Fall vom PC auf den Stick (auch nicht vom Stick auf den Stick selbst). Hab schon einiges versucht: Rechtsklick, Tasten, Drag'n'Drop, vorher einzippen, Eigenschaften anschauen/freigeben, als Benutzer statt Admin, im Normalmodus statt Abgesicherten. Total Commander könnt ich noch installieren und ausprobieren...

Wir könnten bzw. müssten dein System dann mal "von außen" abklopfen - evtl versteckt sich da noch was, etwas, das man nicht sieht, wenn diese Windows-Installation geladen ist

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Meine Idee hat geklappt: Mit Total Commander kann ich Verschieben/Kopieren.

Virustotal-Analyse von dxgthk:
https://www.virustotal.com/file/c36486504c3a596fdca487143f6d3b43c0bee01321f6f1f3071976556533c419/analysis/1345122069/

Virustotal-Analyse von ntdll.dll:
https://www.virustotal.com/file/df11732f36332c1f2374bee1788b0ab512cde55cd74a904b0257502296780106/analysis/1345122233/

Mit CDs zu operieren ist kompliziert diese Woche, booten von Stick geht nicht?

____________
17.8. 12:20 OK, CD geht doch, bin dabei....

_________
17:10 Geschafft:

20:50 Ich vergaß anzumerken:
1) Es wurde nicht gefragt "Do you wish to load the remote registry?"
2) Es öffnete sich keine Datei C:\Extras.Txt.

Sieht für mich völlig unauffällig aus
Aber dein Windows-Installation spinnt immer noch rum oder?
Notfalls muss eine Reparatur oder gar Neuinstallation her, man kann einfach nicht jede Windows-Installation retten/heilen

Ja, weiterhin bleiben alle genannten Spinnereien
wie fehlende Taskleiste, Startmenü usw.
(plus seltsame Sachen wie dass im Abgesicherten Modus als Admin
das Arbeitsplatz-Icon auf dem Desktop nicht angezeigt wird,
wohl aber als Benutzer).
Ich kann ja die Windows-Recovery-CD noch mal reinschmeissen, mal sehen.
Letztes Mal hats ja nix geholfen.

Probier ein letztes Mal combofix bitte aus, wieder neu runterladen und probieren

Hilft das alle nicht mehr, sollte man aufhören und lieber noch etwaig noch zu sichernde Daten per Linux Live CD sichern und dann die Kiste sauber neu installieren mir formatieren und so

Hi Arne, hast dich hoffentlich gut erholt!
Ich hab alleine auch genug zu tun gehabt:
Aufgrund deiner vorletzten Post hatte ich noch mal eine Recovery versucht.
Die spinnenden Windowsfunktionen (kein Startmenü oder Taskleiste usw.) gingen dann alle wieder (allerdings war das Dateisystem schon wieder als FAT32 eingerichtet, erklärt die frühere befremdliche Beobachtung). Vorher hatte ich auch schon Total Commander fürs Verschieben von Dateien erfolgreich ausprobiert, mit dem Windows Explorer gings ja nicht.
Aber ein frisch runtergeladenes ComboFix ging immer noch nicht, fror das Netbook immer beim Erstellen der Logdatei ein, auch wenn ich es jetzt vom Stick auf den Desktop verschieben und von dort starten konnte.
Auch jetzt hat erst avast immer noch Win32:Malware-gen, bei avira in der gleichen Datei C:\System Volume Information\_restore{41490380-0DA4-4E9A-8680-224945C69265}\RP1\A0000364.exe hieß der [FUND] : Ist das Trojanische Pferd TR/Scar.yjg. (Die Virenprogrammen nacheinander komplett installiert und deinstalliert, Datei bei avast erst mal belassen, von avira dann sinnloserweise in Quarantäne stellen lassen.)
Eine dann folgende Reparatur mit einer Recovery-CD im Externen Laufwerk endete immer in Bluescreen=BSOD mit STOP 0x0000007B (0xF7A56524, 0xC00000034..). Es gab zu Beginn der Reparatur noch die Option mit F6 andere Treiber für das Ext. Lfw. zu installieren, war aber mangels Floppy-Laufwerk dann doch nicht möglich. (Beim zwischenzeitlicher Versuch chkdsk laufen zu lassen, ließen sich Dateisystemfehler nicht 'automatisch korrigieren', die Datenträgerüberprüfung beim nächsten Neustart wurde gleich zu Beginn abgebrochen.) Die Lösung für den STOP-7B-Fehler war dann aber im BIOS den SATA-Modus in IDE-Modus umzustellen, vgl. Nr. 8 auf hxxp://pcsupport.about.com/od/findbyerrormessage/a/stop0x0000007b.htm. Dazu musste ich aber auch rauskriegen, dass SATA auch AHCI heißen kann, IDE auch Legacy, ATA oder Compatibility, bei meinem lenovo musste ich dann also SATA in Compatibility Mode umstellen.
Diese Reparatur fror aber auch ständig an unterschiedlichen, abwechselnden Punkten ein, entweder bei "noch 34", "noch 33" (Geräteinstallation), oder "noch 25" Minuten (Netzwerkinstallation, oder sogar bei "Installation wird abgeschlossen").

Jetzt hab ich also ohne noch mal ComboFix zu probieren gleich eine komplette XP-SP2-Neuinstallation inkl. Formatierung mit der Recovery-CD durchgeführt, dann SP3 von chip (die von der Microsoft-Seite gingen nicht), dann den SP3-update-pack von WinFuture, schließlich noch fast alle passenden Treiber von der lenovo-Treiber-Seite hxxp://support.lenovo.com/en_US/research/hints-or-tips/detail.page?&DocID=HT073052, erst dann funktionierten alle Geräte (Audio Device on High Definition Audio Bus, SM-Bus-Controller, 2 Video-Controller) und Funktionen (kein Standby, überhaupt keine Netzwerkverbindungen angezeigt). (Statt jedes Problem einzeln zu recherchieren hätt ich also wohl auch einfach jeden Treiber installieren können, so hab ich bisher alle außer Camera, Card und Touchpad-Treiber drauf.)

Lästiges product key-Nebenproblem übrigens bei der Windows-Aktivierung: Die Recovery-CD ist von einem anderen Rechner, dieser hatte keine. Dessen product key ist noch lesbar, obwohl alt. Den lenovo hatte ich aber öfter mal mit, der product key ist an 5-6 Stellen nicht eindeutig lesbar. Voreilig hab ich den product key des anderen Rechners "ausprobiert", erfolgreich. Leider hab ich dann erst recherchiert, dass das nicht in Ordnung ist bzw. ich Update-Probleme mit dem anderen Rechner bekomme, dass ich den eingegebenen product key auch nicht einfach mehr ändern kann. Anrufe bei der Microsoft-Produktaktivierung-Hotline (fließend gut verständliches deutsch, mit deutscher Betonung, aber mit deutlichem indischem Akzent, 0800-2848283 oder vom Handy 069-22225494, 8-18h, sei denn man hätte gern englisch mit indischem Akzent ;-) ) ergab, dass ich um den product key zu deaktivieren komplett neuformatieren müsse, und einen neuen product key nicht von denen, sondern kostenlos vom Händler bekäme (irgendwas mit OEM...), da xp vorinstalliert war. Den Händler kontaktieren wird schwer.
Also hab ich jetzt vorsichtshalber alles noch ein 2. Mal neu installiert *seufz* - beim 2. Mal gehts ja schneller, man hat die Dateien, weiß welche gehen. Jetzt bin ich dabei die Varianten-Möglichkeiten des eigentlichen product keys auszuprobieren (man hat lt. der Hotline unendlich viel Versuche, aber dauert, bisher erfolglos; auch wenns hilft zu merken, dass man die Zeichen 1 5 0 E Z U I O A S L und N nicht eingeben kann, diese also nicht dazu gehören können).

Daraus hab ich 1. gelernt, dass man den product key von laptops in der Anfangszeit noch mal woanders aufschreiben sollte...
2. sollte man vor Neuinstallation den product key eindeutig entziffern oder vom PC auslesen (auf der CD ist sie nicht drauf, und ich hatte ja auch eine fremde CD), wobei ich unsicher bin ob die entsprechenden Progs wirklich dann den richtigen key melden, oder doch den OEM-key.

Jedenfalls: Jetzt funktioniert alles und avast findet nix mehr. Die zweite Partition der Festplatte (ich meine nicht die versteckte) ist durch die Neuinstallation komplett mit Daten unberührt geblieben, darf das so bleiben? Ist jetzt noch irgend etwas zu tun? Oder ist der Rechner wirklich sauber?

Da du alles komplett neu gemacht hast wären wir durch, abschließend poste ich noch meinen Updateleitfaden! :)

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Na dann herzlichen Dank auch - eine Unterstützung folgt (wieder)... :party:
Der PDF Xchange Viewer hat mich als Adobe-Alternative überzeugt, auch im Gebrauch, und deine Update-Links leg ich mir für demnächst zurecht.

Übrigens: Beim ca. 40. Versuch hab ich den product key des lenovo tatsächlich rausgekriegt. Hilfreich waren eine Lupe (besser als die Vergrößerung eines Makro-Bilds meiner Handykamera), mehrere Leute (man wird mit der Zeit "blind" für Alternativen), die versucht haben herauszukriegen, was jedes Zeichen noch sein könnte; davon wiederum die Wahrscheinlichsten waren es dann auch.