Internet Explorer stellt keine Verbindung her
 

Hallo,

seit einiger Zeit habe ich Probleme mit Spyware auf meinem Rechner.

Betriebssystem Windows XP home SP3, alle Windows Updates durchgeführt (Stand 11.07.2008).

Allerdings startet der Internet Explorer 7.0 trotz bestehender Verbindung nicht oder erst nach mehrfachem Versuchen.

Installiertes Virenprogramm: AntiVir, neuestes Update, Expertenmodus
Installiertes Spyware-Programm: Adaware, neuestes Update.

Letzter Fund von AntiVir: (von heute vormittag)



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 11. Juli 2008 09:39

Es wird nach 1411247 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: FRANKFUR-B568C9

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 14:34:24
ANTIVIR2.VDF : 7.0.5.86 547840 Bytes 09.07.2008 14:34:27
ANTIVIR3.VDF : 7.0.5.95 147968 Bytes 10.07.2008 14:36:34
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 10.07.2008 14:34:43
AESCN.DLL : 8.1.0.22 119157 Bytes 10.07.2008 14:34:42
AERDL.DLL : 8.1.0.20 418165 Bytes 10.07.2008 14:34:42
AEPACK.DLL : 8.1.1.6 364918 Bytes 10.07.2008 14:34:36
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 10.07.2008 14:34:35
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 10.07.2008 14:34:34
AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 14:34:31
AEGEN.DLL : 8.1.0.29 307573 Bytes 10.07.2008 14:34:31
AEEMU.DLL : 8.1.0.6 430451 Bytes 10.07.2008 14:34:30
AECORE.DLL : 8.1.0.32 168311 Bytes 10.07.2008 14:34:29
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 11. Juli 2008 09:39

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntos.exe
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48e60f11.qua erstellt ( QUARANTÄNE )
c:\windows\system32\wsnpoem\audio.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48db0f12.qua erstellt ( QUARANTÄNE )
c:\windows\system32\wsnpoem\video.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48db0f06.qua erstellt ( QUARANTÄNE )
c:\windows\system32\wsnpoem
[INFO] Das Verzeichnis ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48e50f10.qua erstellt ( QUARANTÄNE )
Es wurden '51411' Objekte überprüft, '4' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOButler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JSDAEMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'gearsec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '25' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 11. Juli 2008 10:22
Benötigte Zeit: 42:43 min

Der Suchlauf wurde vollständig durchgeführt.

5064 Verzeichnisse wurden überprüft
234325 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
234324 Dateien ohne Befall
830 Archive wurden durchsucht
1 Warnungen
4 Hinweise
51411 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden

Und hier noch die HiJack This File:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:02:00, on 11.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\GEARSec.exe
c:\jetsuite\jsdaemon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HiJack This\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{91270A0F-167F-4D75-A24F-B5A5317DE8ED}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFEE27A6-25BF-4C7E-B158-58BBD42AF761}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6227 bytes
Würde mich sehr freuen, wenn mir jemand weiter helfen könnte...

Um Rückfragen vorzubeugen. Eine Firewall ist nicht installiert, Windows Firewall wurde aufgrund eines anderen Forums deaktiviert.

Hi,

du hast einen richtig bösen Kollegen an board:
Ich kann dir nur empfehlen deinen Rechner neuaufzusetzen und vor allem so bald wie möglich alle deine Passwörter zu ändern!
Solltest du Onlinebanking betreiben, solltest du auch dein Konto in nächster Zeit in Auge behalten. Solltest du eine Webseite besitzen, überprüfe bitte ob diese nicht ebenfalls kompromittiert ist und versucht deine Besucher mit demselben Trojaner zu infizieren.

Bitte den Rechner bis zum Neuaufsetzen vom Internet getrennt lassen.

lg myrtille

Danke für die schnelle Antwort.

Ich habs befürchtet...

Danke. Bin dann mal offline...

Wichtig!

Wenn Du einen anderen Rechner zur Verfügung hast ändere dort die Zugangsdaten für:

• Webmail Account
• Spiele Accounts
• Pay Pal
• FTP Logins
• Ebay und andere Auktionshäuser
• einfach alle auf diesem Rechner genutzten Logins
• Wenn Du OnlineBanking auf dem Rechner betrieben hast, prüfe die Kontobewegung auf Unregelmäßigkeiten

Dein Befall sammelt alle Daten, die er bekommen kann!

MBR Rootkit

Lade dir mbr.exe von gmer herunter und führe ihn aus.

Poste das Log bitte hier, nur zur Sicherheit.

Danke für den Tipp.

"Gott sei Dank" habe ich kein Online Banking o.ä.

Die Passwörter für Ebay u.ä. werde ich dann vom heimischen Laptop ändern.

Ich habe noch eine Frage:

Ich habe als Sicherung eine externe Festplatte, auf der eine 1:1 Spiegelung dieser vorhanden ist. Ich vermute mal, dass dort der Fehler mit hin überspielt wurde. Kann ich diese Sicherung nutzen für eventuelle Datenverluste bei der Neuinstallation?

Sprichts Du von einem Daten- oder einem Systembackup?

Hier das mbr log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x17499f00 size 0x1e4 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Auf der externen Platte ist beides vorhanden.

Würde für eine eventuelle Rücksicherung nur das Datenbackup nutzen und das Systembackup nach Wiederherstellung meiner Platte komplett eliminieren.

Ok, mit einer Neuinstallation ist es nicht getan, erst müssen wir den MBR säubern.

Lade Dir die Datei mbr.bat.txt auf Deinen Dekstop.
Ändere die Endung in mbr.bat.
auf Deinem Desktop sollte auch die mbr.exe liegen.
Dann doppelkliche die mbr.bat.
Poste dann das mbr.log hier.

mbr.bat log:

@echo off
mbr.exe -f

Hm, hast Du die Datein in mbr.bat umbenannt und dann einen Doppelklick auf diese gemacht?

neuer Versuch:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x17499f00 size 0x1e4 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Ich hoffe so ist s korrekt...

Hi,
machts doch einfach über die Kommandozeile. :rolleyes:

Kopier die Datei mbr.exe auf den Desktop
Gib unter Start->Ausführen cmd ein
Ein schwarzes Fenster öffnet sich.
In dieses Fenster dann erstmal cd Desktop eingeben und Enter drücken
Danach mbr.exe -f eingeben und enter drücken.

Das Ergebnis abtippen/abkopieren und hier posten.

lg myrtille

Hm, mal sehen ob es so klappt.

- Lade Dir bitte das zip Archiv mbr.zip.
- Entpacke es auf Deinem Desktop.
- Doppelklicke die mbr.bat
- Poste den Inhalt des mbr.log

Here we go:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x17499f00 size 0x1e4 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

Ist glaub ich immer noch nicht das was wir suchen..

Ok, hat funktioniert.

Bitte Update Dein Antivir und stelle es wie hier beschrieben ein.
Führe dann einen Systemscan durch und poste das Log hier.
Wenn der MBR nun sauber ist, kannst Du den Rechner neu installieren.

Vermute mal es ging um eine Prüfung des Bootsektors von C: Hier der Report:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 11. Juli 2008 15:01

Es wird nach 1419754 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: FLV
Computername: FRANKFUR-B568C9

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 14:34:24
ANTIVIR2.VDF : 7.0.5.86 547840 Bytes 09.07.2008 14:34:27
ANTIVIR3.VDF : 7.0.5.103 247296 Bytes 11.07.2008 12:56:17
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 10.07.2008 14:34:43
AESCN.DLL : 8.1.0.22 119157 Bytes 10.07.2008 14:34:42
AERDL.DLL : 8.1.0.20 418165 Bytes 10.07.2008 14:34:42
AEPACK.DLL : 8.1.1.6 364918 Bytes 10.07.2008 14:34:36
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 10.07.2008 14:34:35
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 10.07.2008 14:34:34
AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 14:34:31
AEGEN.DLL : 8.1.0.29 307573 Bytes 10.07.2008 14:34:31
AEEMU.DLL : 8.1.0.6 430451 Bytes 10.07.2008 14:34:30
AECORE.DLL : 8.1.0.32 168311 Bytes 10.07.2008 14:34:29
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: BootSectorTest
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVCENTER_4877598c\c6b933c3.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 11. Juli 2008 15:01

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!


Ende des Suchlaufs: Freitag, 11. Juli 2008 15:01
Benötigte Zeit: 00:08 min

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise

Die Einstellungen bei AntiVir hatte ich bereits entsprechend eingestellt.

Komando zurück.

Antivir hat doch wieder den Trojaner gefunden:

TR/Dropper.Gen

Scan läuft aktuell, nach Abschluss werde ich den gewünschten Bericht posten.

Ok, dann sind wir jetzt an dem Punkt, an dem der Rechner neu installiert werden kann.

AntiVir Suchlauf abgeschlossen. Mache derzeit noch einmal eine Datensicherung, anschließend die Neuinstallation. Nachfolgend der Bericht zum Antivir Scan. Nach erfolgter Neuinstallation lasse ich das HiJack This noch mal durchlaufen und werde es posten, ob denn auch wirklich alles OK ist. Jedenfalls wirds ein langer Tag heute...



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 11. Juli 2008 15:05

Es wird nach 1419754 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: FRANKFUR-B568C9

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 14:34:24
ANTIVIR2.VDF : 7.0.5.86 547840 Bytes 09.07.2008 14:34:27
ANTIVIR3.VDF : 7.0.5.103 247296 Bytes 11.07.2008 12:56:17
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 10.07.2008 14:34:43
AESCN.DLL : 8.1.0.22 119157 Bytes 10.07.2008 14:34:42
AERDL.DLL : 8.1.0.20 418165 Bytes 10.07.2008 14:34:42
AEPACK.DLL : 8.1.1.6 364918 Bytes 10.07.2008 14:34:36
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 10.07.2008 14:34:35
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 10.07.2008 14:34:34
AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 14:34:31
AEGEN.DLL : 8.1.0.29 307573 Bytes 10.07.2008 14:34:31
AEEMU.DLL : 8.1.0.6 430451 Bytes 10.07.2008 14:34:30
AECORE.DLL : 8.1.0.32 168311 Bytes 10.07.2008 14:34:29
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 11. Juli 2008 15:05

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntos.exe
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48e65b51.qua erstellt ( QUARANTÄNE )
c:\windows\system32\wsnpoem\audio.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48db5b52.qua erstellt ( QUARANTÄNE )
c:\windows\system32\wsnpoem\video.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48db5b46.qua erstellt ( QUARANTÄNE )
c:\windows\system32\wsnpoem
[INFO] Das Verzeichnis ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48e55b50.qua erstellt ( QUARANTÄNE )
Es wurden '51845' Objekte überprüft, '4' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOButler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JSDAEMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'gearsec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '25' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 11. Juli 2008 15:51
Benötigte Zeit: 46:19 min

Der Suchlauf wurde vollständig durchgeführt.

5072 Verzeichnisse wurden überprüft
234066 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
234065 Dateien ohne Befall
831 Archive wurden durchsucht
1 Warnungen
4 Hinweise
51845 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden

So mein Backup braucht noch ca. 1 Stunde danach bin ich bis auf weiteres offline. DANKE für die Hilfe!!!

Da bin ich wieder.

Leider total verzweifelt....

Habe mein System komplett platt gemacht und neu aufgespielt.

Und der Trojaner ist immer noch da. Antivir zeigt folgende Fehlermeldung:

In der Datei 'C:\WINDOWS\system32\Isass.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.PCMM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Hier das aktuelle HiJack This. Hoffentlich kann mir jemand weiter helfen...:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke. :)
Sunny
[/edit]

Hier der Report vom Antivir: Auch die mbr Geschichte habe ich noch einmal durchgeführt, Ergebnis siehe unten!



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 11. Juli 2008 20:38

Es wird nach 1419754 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (plain) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HANNES

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 18:24:12
ANTIVIR2.VDF : 7.0.5.86 547840 Bytes 09.07.2008 18:24:16
ANTIVIR3.VDF : 7.0.5.103 247296 Bytes 11.07.2008 18:24:18
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 11.07.2008 18:24:31
AESCN.DLL : 8.1.0.22 119157 Bytes 11.07.2008 18:24:30
AERDL.DLL : 8.1.0.20 418165 Bytes 11.07.2008 18:24:29
AEPACK.DLL : 8.1.1.6 364918 Bytes 11.07.2008 18:24:28
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 11.07.2008 18:24:26
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 11.07.2008 18:24:25
AEHELP.DLL : 8.1.0.15 115063 Bytes 11.07.2008 18:24:22
AEGEN.DLL : 8.1.0.29 307573 Bytes 11.07.2008 18:24:21
AEEMU.DLL : 8.1.0.6 430451 Bytes 11.07.2008 18:24:20
AECORE.DLL : 8.1.0.32 168311 Bytes 11.07.2008 18:24:19
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 11. Juli 2008 20:38

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '21476' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpabaln.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOButler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Isass.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\System32\Isass.exe'
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'Isass.exe' wird beendet
C:\WINDOWS\System32\Isass.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.PCMM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d8a925.qua' verschoben!

Es wurden '29' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '22' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{381A50FF-7FD4-48BF-A8A4-0C6742A576B9}\RP4\A0000033.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.PCMM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48a7a90a.qua' verschoben!
C:\System Volume Information\_restore{381A50FF-7FD4-48BF-A8A4-0C6742A576B9}\RP9\A0000495.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.PCMM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48a7a91c.qua' verschoben!


Ende des Suchlaufs: Freitag, 11. Juli 2008 20:43
Benötigte Zeit: 05:06 min

Der Suchlauf wurde vollständig durchgeführt.

683 Verzeichnisse wurden überprüft
28988 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
28984 Dateien ohne Befall
298 Archive wurden durchsucht
1 Warnungen
3 Hinweise
21476 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Hier die mbr Textdatei:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Ich spring mal kurz für BataAlexander ein. Hast Du beim Neuaufsetzen ausführbare Daten gesichert ? Dies bitte nicht tun ! Diese Dateien können infiziert sein. Musik und Bilder dürfen gesichert werden. Hast Du deine USB-Sticks formatiert ? Schädlinge speichern sich gerne auf USB-Sticks und verbreiten sich so. Vielleicht wurde auch der MBR nicht richtig gesäubert. Sollte dies der Fall sein , würde ich BateAlexander bitten sich um dieses Problem zu kümmern...An den MBR trau ich mich nicht ran:D

[EDIT]BataAlexander: Hallo!:party:

Du hast leider einen Fehler gemacht, Du musst vor der ersten Fahrt ins Internet den Rechner aktualisieren.

Lade Dir jetzt das Service Pack 3. Brenne es dann auf CD oder kopiere es auf eine externe Festplatte.

Dann installiere Dein Windows bitte noch einmal neu, spiele das SP3 ein und besuche dann mit dem Internet Explorer windowsupdates5.

Erst dann kannst Du wieder im Web surfen und ein neues HijackThis Log für uns erstellen.

Hat mytrille noch Anmerkungen?