Antimalware Doctor, Adware.BHO, Malware.Packer.Gen entfernen
 

Hallo Leute,
vorgestern habe ich mir auf vermeintlich sicheren Webseiten den Antimalware Doctor eingefangen (und Adware.BHO sowie Malware.Packer.Gen, wenn die nicht ohnedies alle zusammengehören). Mein Avira hat sofort angeschlagen - hier einige Einträge aus dem Log:

In der Datei 'E:\Users\Martin\AppData\Local\Temp\xeormacswn.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.AO.3446' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'E:\Users\Martin\AppData\Local\Temp\owsnrmexac.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'E:\Users\Martin\AppData\Local\Temp\arwcmsonxe.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'E:\Users\Martin\AppData\Local\Temp\caxmewrson.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'E:\Users\Martin\AppData\Local\Temp\socranxmew.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.AO.3446' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'E:\Users\Martin\AppData\Local\Temp\nwxosaecmr.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

... ich hör mal lieber auf. Hat ausgesehen, wie bei einem Gewitter. Habe alles in stoppen bzw. in Qarantäne schieben lassen, hatte aber im Endeffekt dennoch den Antimalware Doctor am Schirm :-(. Alles abgebrochen, bei den Warnungen der FireWall immer abgelehnt.

Dann habe ich Eure tolle Anleitung - großes Kompliment!!!! - gefunden mit folgendem Ergebnis:
1) rkill läuft bei mir nicht - bekomme zwar das DOS Fenster, aber dann auch ein Dialogfenster mit: Suche Dienst für pev.rkexe starten....?!?
2) Erster Durchgang mit mbam.exe nur Adware.BHO sowie Malware.Packer.Gen gefunden und entfernt. Neustart, Antimalware Doctor meldet sich, beim 2.Dg mit mbam.exe ausradiert - yessss! Koomplette Systemprüfung mit mbam.exe attestiert weiße Weste. Einziges offensichtliches Problem ist beim Starten win Win-Fehlermeldung "Windows Explorer funktioniert nicht mehr". Außerdem brauchts ewig, bis der Desktop endlich fertig da ist samt Sidebar.
3) CCleaner ist auch schon drübergelaufen

Ich poste als nächstes mein mbam log und die RSIT Log files. Ich hoffe Ihr könnt mir helfen, sonst bin ich wieder einmal aufgschmissn. Vielen Dank schon einmal!!!!!!

Eine Bitte noch: Könnt Ihr mir nen Tipp geben, was ich tun kann um ähnliche unliebsame Events zukünftig zu vermeiden? Dachte ich hätte automat. WindowsUpdates abonniert und das würde im Hintergrund laufen. Scheinbar aber doch nicht... Und das AntivirenProgramm alleine scheint auch nicht der Weisheit letzter Schluß zu sein.....


================================================
Jetzt die Logs: Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4503

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

30.08.2010 20:10:43
mbam-log-2010-08-30 (20-10-43).txt

Scan type: Full scan (C:\|D:\|E:\|)
Objects scanned: 271309
Time elapsed: 54 minute(s), 24 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

============================

RSIT Logs habe ich attached

Nochmals vielen Dank, Martin

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Arne,
danke erst einmal für die Antwort!

Anbei die OTL Logs:
OTL Logfile:
--- --- ---

OTL Logfile:
--- --- ---

Weiter gehts mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,
mich macht das Zeug fertig. Ich komme immer erst in der Nacht dazu und dann heisst's wieder auf den nächsten Tag warten. Und dann legt sich auch noch die Software quer:
Combofix warnte mich, dass Avira antispyware noch lief. Ok, mein Fehler, hatte vergessen, dass das extra zu deaktivieren ist. Aber jetzt bekomme ich die Meldung immer noch, obwohl ich das definitiv deaktiviert habe. Mir zeigt auch das Sicherheitscenter, dass Avira Antivirus, Avira Antispyware, Windows Firewall und Windows Defender deaktiviert sind.

Was nun? Die Warnung von ComboFix vor eingeschalteter Antispyware während des Scans war ja sehr eindringlich...

Danke, Martin

Wenn der Regenschirm geschlossen ist, kannst Du CF ausführen. Ist ein AntiVir Bug.

Hallo Arne,
jetzt hat's geklappt und ComboFix ist durchgelaufen. Worüber ich allerdings gar nicht begeistert bin ist, dass alle persönlichen Einstellungen weg sind: Favoriten in Firefox, angelegte Programmshortcuts in der Startleiste, auch alle meine Daten in Outlook sind weg! Ich paste Dir mal den ComboFix-Log und starte das Ding dann neu und hoffe, dass sich wieder der Normalzustand einstellt.
Combofix Logfile:
--- --- ---

Ufff, Gott sei Dank, nach dem Neustart schaut alles wieder aus, wie gewohnt.

Bin mal neugierig, was Du zu dem Log sagst.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hallo Arne,
mit GMER habe ich nicht viel Glück gehabt: Beim 1.Versuch hat er das System neu gestartet, ich kam aber zu spät, um die Meldung zu lesen. Dann 2 Systemabstürze und schließlich nochmal ein soweit brauchbarer Versuch, bis GMER das System neu gestartet hat. Dabei kam ein DOS Bildschirm, blauer Hintergrund und eine Meldung wie: "Das Programm hat eine Infektion gefunden und Windows beendet um eine Gefährdung zu vermeiden." oder so ähnlich. Dann wurde noch 2der Schuldige" genannt: uwtyypop.sys.
Ich war leider so konzentriert diesen Filenamen zu notieren, dass ich den Rest am Schirm nicht hinlänglich lesen konnte.

Wenigstens ist OSAM wie geplant durchgelaufen. Ich habe das log file attached (ist in der Originalformatierung leichter zu lesen) und auch hier gepastet:

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 00:54:06 on 04.09.2010
OS: Windows Vista Home Premium Edition Service Pack 1 (Build 6001), 32-bit
Default Browser: Mozilla Corporation Firefox 3.5.11

Scanner Settings
Rootkits detection (hidden registry)
Rootkits detection (hidden files)
Retrieve files information
Check Microsoft signatures

Filters
Trusted entries
Empty entries
Hidden registry entries (rootkit activity)
Exclusively opened files
Not found files
Files without detailed information
Existing files
Non-startable services
Non-startable drivers
Active entries
Disabled entries

Risk Name Publisher Full Path Status
Boot Execute
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
|||||| "BootExecute" C:\Windows\system32\lsdelete.exe File found, but it contains no detailed information
Common
%SystemRoot%\Tasks
|||| "GoogleUpdateTaskMachineCore.job" "Google Inc." C:\Program Files\Google\Update\GoogleUpdate.exe File exists
|||| "GoogleUpdateTaskMachineUA.job" "Google Inc." C:\Program Files\Google\Update\GoogleUpdate.exe File exists
|||| "Google Software Updater.job" "Google" C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe File exists
|||| "1-Klick-Wartung.job" "TuneUp Software GmbH" D:\TuneUp Utilities 2007\SystemOptimizer.exe File exists
Control Panel Objects
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
|||||| "QuickTime" "Apple Inc." C:\Program Files\QuickTime\QTSystem\QuickTime.cpl File exists
Drivers
HKLM\SYSTEM\CurrentControlSet\Services
|||||| "avgio" (avgio) "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\avgio.sys File exists
|||||| "avgntflt" (avgntflt) "Avira GmbH" C:\Windows\System32\DRIVERS\avgntflt.sys File exists
|||||| "avipbb" (avipbb) "Avira GmbH" C:\Windows\System32\DRIVERS\avipbb.sys File exists
"catchme" (catchme) C:\Users\Admin\AppData\Local\Temp\catchme.sys File not found
|||||| "epmntdrv" (epmntdrv) C:\Windows\system32\epmntdrv.sys File found, but it contains no detailed information
|||||| "EuGdiDrv" (EuGdiDrv) C:\Windows\system32\EuGdiDrv.sys File found, but it contains no detailed information
|| "FsUsbExDisk" (FsUsbExDisk) C:\Windows\system32\FsUsbExDisk.SYS File found, but it contains no detailed information
"IP in IP Tunnel Driver" (IpInIp) C:\Windows\System32\DRIVERS\ipinip.sys File not found
|| "iPodDrv" (iPodDrv) "Windows (R) Codename Longhorn DDK provider" C:\Windows\system32\drivers\iPodDrv.sys File exists
"IPX Traffic Filter Driver" (NwlnkFlt) C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
"IPX Traffic Forwarder Driver" (NwlnkFwd) C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
|| "MGHwCtrl" (MGHwCtrl) "Windows (R) Codename Longhorn DDK provider" C:\Windows\system32\drivers\MGHwCtrl.sys File exists
|||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\Windows\System32\DRIVERS\ssmdrv.sys File exists
Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
|||||| {BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL File exists
HKLM\Software\Classes\Folder\shellex\ColumnHandlers
|||||| {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll File exists
HKLM\Software\Classes\Protocols\Handler
|||||| {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL File exists
|||||| {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" "Skype Technologies" C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL File exists
|||||| {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" File not found | COM-object registry key not found
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" File not found | COM-object registry key not found
|||||| {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" "Igor Pavlov" D:\7-Zip\7-zip.dll File exists
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" File not found | COM-object registry key not found
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" File not found | COM-object registry key not found
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" File not found | COM-object registry key not found
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" File not found | COM-object registry key not found
|||||| {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" "Apple Inc." D:\iTunes\iTunesMiniPlayer.dll File exists
|||||| {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" "Microsoft Corporation" D:\Microsoft Office 2000\Office10\msohev.dll File exists
|||||| {00020d75-0000-0000-c000-000000000046} "Microsoft Outlook" "Microsoft Corporation" D:\Microsoft Office 2000\Office10\MLSHEXT.DLL File exists
|||||| {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" "Microsoft Corporation" D:\Microsoft Office 2000\Office10\OLKFSTUB.DLL File exists
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" File not found | COM-object registry key not found
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" File not found | COM-object registry key not found
|||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\shlext.dll File exists
|||||| {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" "TuneUp Software GmbH" D:\TuneUp Utilities 2007\SDShelEx-win32.dll File exists
|||||| {44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" "TuneUp Software GmbH" C:\Windows\System32\uxtuneup.dll File exists
|||||| {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL File exists
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" File not found | COM-object registry key not found
Internet Explorer
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
|||| "Google Toolbar" "Google Inc." C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File exists
"ITBar7Layout" File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
|||| {17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool"
hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab "Microsoft Corporation" C:\Windows\system32\LegitCheckControl.DLL File exists
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}"
hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
|||| {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "@C:\Windows\WindowsMobile\INetRepl.dll,-222" "Microsoft Corporation" C:\Windows\WindowsMobile\INetRepl.dll File exists
|||| {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" "Microsoft Corporation" C:\Windows\WindowsMobile\INetRepl.dll File exists
|||||| {53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" "Safer Networking Limited" D:\Spybot\Spybot - Search & Destroy\SDHelper.dll File exists
|||| {77BF5300-1474-4EC7-9980-D32B190E9B07} "Skype" "Skype Technologies S.A." C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll File exists
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
|||| "Google Toolbar" "Google Inc." C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
|||||| {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" "Adobe Systems Incorporated" C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll File exists
|||| {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" "Google Inc." C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File exists
|| {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" "Google Inc." C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll File exists
|||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2ssv.dll File exists
|||| {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\ssv.dll File exists
{65134FDF-F8A5-4B3D-91D9-CDF273CFD578} "PodcastBHO Class" "doubleTwist Corporation" C:\Program Files\Common Files\doubleTwist\IEPodcastPlugin.dll File exists
|||| {22BF413B-C6D2-4d91-82A9-A0F997BA588C} "Skype add-on (mastermind)" "Skype Technologies S.A." C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll File exists
|||||| {53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" "Safer Networking Limited" D:\Spybot\Spybot - Search & Destroy\SDHelper.dll File exists
Logon
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
|||||| "desktop.ini" C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini File exists
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup
|||| "Adobe Gamma Loader.lnk" "Adobe Systems, Inc." C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe Shortcut exists | File exists
|||||| "desktop.ini" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini File exists
|||| "Microsoft Office.lnk" "Microsoft Corporation" D:\Microsoft Office 2000\Office10\OSA.EXE Shortcut exists | File exists
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"doubleTwist" "doubleTwist Corporation" C:\Program Files\doubleTwist 2.0\DoubleTwist.DeviceHelper.exe File exists
|||| "Skype" "Skype Technologies S.A." "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized File exists
|||||| "SpybotSD TeaTimer" "Safer-Networking Ltd." D:\Spybot\Spybot - Search & Destroy\TeaTimer.exe File exists
|||| "swg" "Google Inc." "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File exists
|||| "VisualTaskTips" "VisualTaskTips.com" D:\VisualTaskTips\VisualTaskTips.exe File exists
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd
"StartupPrograms" rdpclip File not found
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
|||| "Adobe ARM" "Adobe Systems Incorporated" "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" File exists
|||| "Adobe Reader Speed Launcher" "Adobe Systems Incorporated" "D:\Adobe\Reader 9.0\Reader\Reader_sl.exe" File exists
|||||| "avgnt" "Avira GmbH" "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min File exists
|||| "IAAnotif" "Intel Corporation" C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe File exists
|||| "IaNvSrv" "Intel Corporation" C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe File exists
|||| "iTunesHelper" "Apple Inc." "D:\iTunes\iTunesHelper.exe" File exists
"LG Intelligent Update" "BIT LEADER" "C:\Program Files\lg_swupdate\giljabistart.exe" Gilautouc File exists
|||||| "Malwarebytes Anti-Malware (reboot)" "Malwarebytes Corporation" "D:\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript File exists
"MGSysCtrl" "MSI" C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe File exists
|||| "QuickTime Task" "Apple Inc." "C:\Program Files\QuickTime\QTTask.exe" -atboottime File exists
|||| "SunJavaUpdateSched" "Sun Microsystems, Inc." "C:\Program Files\Java\jre6\bin\jusched.exe" File exists
Services
HKLM\SYSTEM\CurrentControlSet\Services
|||||| "@%SystemRoot%\System32\uxtuneup.dll,-4096" (UxTuneUp) "TuneUp Software GmbH" C:\Windows\System32\uxtuneup.dll File exists
|||||| "@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) "Microsoft Corporation" C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe File exists
|||||| "Apple Mobile Device" (Apple Mobile Device) "Apple Inc." C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe File exists
|||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\avguard.exe File exists
|||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\sched.exe File exists
|||||| "Bonjour-Dienst" (Bonjour Service) "Apple Inc." C:\Program Files\Bonjour\mDNSResponder.exe File exists
|| "Evil Driver Daemon" (NishService) C:\Program Files\LG Software\System Control Manager\edd.exe File found, but it contains no detailed information
|||| "Google Software Updater" (gusvc) "Google" C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe File exists
|||| "Google Update Service (gupdate)" (gupdate) "Google Inc." C:\Program Files\Google\Update\GoogleUpdate.exe File exists
|||||| "Intel(R) Matrix Storage Event Monitor" (IAANTMON) "Intel Corporation" C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe File exists
|||||| "iPod-Dienst" (iPod Service) "Apple Inc." C:\Program Files\iPod\bin\iPodService.exe File exists
|||||| "Lavasoft Ad-Aware Service" (aawservice) "Lavasoft" D:\Ad-Aware\aawservice.exe File exists
|||||| "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) "Microsoft Corporation" C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe File exists
|||||| "O2Micro Flash Memory Card Service" (o2flash) "O2Micro International" C:\Program Files\O2Micro Oz128 Driver\o2flash.exe File exists
|||||| "SBSD Security Center Service" (SBSDWSCService) "Safer Networking Ltd." D:\Spybot\Spybot - Search & Destroy\SDWinSec.exe File exists
|||||| "ServiceLayer" (ServiceLayer) "Nokia." C:\Program Files\PC Connectivity Solution\ServiceLayer.exe File exists
Winsock Providers
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
|||||| "mdnsNSP" "Apple Inc." C:\Program Files\Bonjour\mdnsNSP.dll File exists

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Au klasse, der Bootkit Remover sagt nur:

System volume is \\.\C:
main<>: CreateFile<> Error 5
ERROR: can`t open volume device \\.\C

... und dann verschwindet das Fenster wieder.

Arne, kannst Du dem genervten Windowsbenutzer (i.e. mir) bitte erklären, was wir bislang schon gefunden haben bzw evtl entfernt...? Obwohl ich nicht wüsste, was hier schon repariert worden wäre.
Würd halt gerne wissen, wieso wir welchen Step der Behandlung machen und was die Erwartung bei der Durchführung bestimmter Schritte ist.....

Danke!

Du musst ihn mit Adminrechten ausführen, sonst wird das nix. mach mal das hier:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes



Sieht man zB im CF-Log unter "weitere Löschungen"

Dir kann man auch gar nix vormachen .... ;-)
Hatte den Bootkit Remover wohl tatsächlich nicht als Admin gestartet gehabt.

Jetzt hat es funktioniert - am Nachmittag kann man einfach besser denken als mitten in der Nacht. Ich glaube ich habe da grües Licht bekommen. Konnte die Ausgabe nicht kopieren und hab sie daher unten als jpg attached.

Und schließlich MBRCheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer: MICRO-STAR INT'L CO.,LTD.
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: LG Electronics
System Product Name: R700-U.APCAG
Logical Drives Mask: 0x0000007c

Kernel Drivers (total 162):
0x8200B000 \SystemRoot\system32\ntkrnlpa.exe
0x823C4000 \SystemRoot\system32\hal.dll
0x80404000 \SystemRoot\system32\kdcom.dll
0x8040C000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8046C000 \SystemRoot\system32\PSHED.dll
0x8047D000 \SystemRoot\system32\BOOTVID.dll
0x80485000 \SystemRoot\system32\CLFS.SYS
0x804C6000 \SystemRoot\system32\CI.dll
0x80600000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8067C000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x80689000 \SystemRoot\system32\drivers\acpi.sys
0x806CF000 \SystemRoot\system32\drivers\WMILIB.SYS
0x806D8000 \SystemRoot\system32\drivers\msisadrv.sys
0x806E0000 \SystemRoot\system32\drivers\pci.sys
0x80707000 \SystemRoot\System32\drivers\partmgr.sys
0x80716000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x80719000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x80723000 \SystemRoot\system32\drivers\volmgr.sys
0x80732000 \SystemRoot\System32\drivers\volmgrx.sys
0x8077C000 \SystemRoot\system32\drivers\intelide.sys
0x80783000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x80791000 \SystemRoot\System32\drivers\mountmgr.sys
0x82601000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x826BF000 \SystemRoot\system32\DRIVERS\iaNvStor.sys
0x826FB000 \SystemRoot\system32\drivers\atapi.sys
0x82703000 \SystemRoot\system32\drivers\ataport.SYS
0x82721000 \SystemRoot\system32\drivers\msahci.sys
0x8272A000 \SystemRoot\system32\DRIVERS\o2media.sys
0x82734000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS
0x8275A000 \SystemRoot\system32\DRIVERS\o2sd.sys
0x82763000 \SystemRoot\system32\drivers\fltmgr.sys
0x82795000 \SystemRoot\system32\drivers\fileinfo.sys
0x82C0F000 \SystemRoot\System32\Drivers\ksecdd.sys
0x82C80000 \SystemRoot\system32\drivers\ndis.sys
0x82D8B000 \SystemRoot\system32\drivers\msrpc.sys
0x82DB6000 \SystemRoot\system32\drivers\NETIO.SYS
0x82E0B000 \SystemRoot\System32\drivers\tcpip.sys
0x82EF4000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x88206000 \SystemRoot\System32\Drivers\Ntfs.sys
0x88315000 \SystemRoot\system32\drivers\volsnap.sys
0x8834E000 \SystemRoot\System32\Drivers\spldr.sys
0x88356000 \SystemRoot\System32\Drivers\mup.sys
0x88365000 \SystemRoot\System32\drivers\ecache.sys
0x8838C000 \SystemRoot\system32\drivers\disk.sys
0x8839D000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x883BE000 \SystemRoot\system32\drivers\crcdisk.sys
0x883D4000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x883DF000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x883E8000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8CC04000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8D34B000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8D3EA000 \SystemRoot\System32\drivers\watchdog.sys
0x82FCD000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x827A5000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x82FD8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x82FE7000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8C403000 \SystemRoot\system32\DRIVERS\NETw5v32.sys
0x8C78C000 \SystemRoot\system32\DRIVERS\Rtlh86.sys
0x8C7A4000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x8C7B4000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x8C7C2000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8C7D5000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x807A1000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x8C7E0000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8C7E2000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8C7ED000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x827E3000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8C7F1000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0x807CC000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x805A6000 \SystemRoot\system32\DRIVERS\storport.sys
0x82E00000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x805E7000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x82DF0000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8D608000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8D62B000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8D63A000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8D64E000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8D663000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8D673000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8D675000 \SystemRoot\system32\DRIVERS\ks.sys
0x8D69F000 \SystemRoot\system32\DRIVERS\circlass.sys
0x8D6AD000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8D6B7000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8D6C4000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8D6F8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x9040C000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x8D709000 \SystemRoot\system32\drivers\portcls.sys
0x8D736000 \SystemRoot\system32\drivers\drmk.sys
0x90206000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0x90322000 \SystemRoot\system32\drivers\modem.sys
0x9032F000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x90338000 \SystemRoot\System32\Drivers\Null.SYS
0x9033F000 \SystemRoot\System32\Drivers\Beep.SYS
0x9034F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x90356000 \SystemRoot\System32\drivers\vga.sys
0x90362000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x90383000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x9038B000 \SystemRoot\system32\drivers\rdpencdd.sys
0x90393000 \SystemRoot\System32\Drivers\Msfs.SYS
0x9039E000 \SystemRoot\System32\Drivers\Npfs.SYS
0x903AC000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x903B5000 \SystemRoot\system32\DRIVERS\tdx.sys
0x903CB000 \SystemRoot\system32\DRIVERS\smb.sys
0x8D75B000 \SystemRoot\system32\drivers\afd.sys
0x8D7A3000 \SystemRoot\System32\DRIVERS\netbt.sys
0x903DF000 \SystemRoot\system32\DRIVERS\pacer.sys
0x905E9000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8D7D5000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x903F5000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x9060E000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x9064A000 \SystemRoot\system32\drivers\nsiproxy.sys
0x90654000 \SystemRoot\System32\Drivers\dfsc.sys
0x9066B000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x90687000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x90689000 \SystemRoot\System32\Drivers\fastfat.SYS
0x9077D000 \SystemRoot\system32\DRIVERS\usbcir.sys
0x90793000 \SystemRoot\system32\DRIVERS\emOEM.sys
0x82F0F000 \SystemRoot\system32\DRIVERS\emBDA.sys
0x9079D000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
0x907A0000 \SystemRoot\system32\DRIVERS\hidir.sys
0x907AB000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x907BB000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x907C4000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x907CC000 \SystemRoot\System32\Drivers\crashdmp.sys
0x93400000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x990A0000 \SystemRoot\System32\win32k.sys
0x934BE000 \SystemRoot\System32\drivers\Dxapi.sys
0x934C8000 \SystemRoot\system32\DRIVERS\monitor.sys
0x992C0000 \SystemRoot\System32\TSDDD.dll
0x992E0000 \SystemRoot\System32\cdd.dll
0x934D7000 \SystemRoot\system32\drivers\luafv.sys
0x934F2000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x9350E000 \SystemRoot\system32\drivers\spsys.sys
0x935BD000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x935CD000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x907D9000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x907E3000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xA1A01000 \SystemRoot\system32\drivers\HTTP.sys
0xA1A6E000 \SystemRoot\System32\DRIVERS\srvnet.sys
0xA1A8B000 \SystemRoot\system32\DRIVERS\bowser.sys
0xA1AA4000 \SystemRoot\System32\drivers\mpsdrv.sys
0xA1AB9000 \SystemRoot\system32\drivers\mrxdav.sys
0xA1AD9000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA1AF8000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0xA1B31000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0xA1B49000 \SystemRoot\System32\DRIVERS\srv2.sys
0xA1B70000 \SystemRoot\System32\DRIVERS\srv.sys
0xA1BBE000 \??\C:\Windows\system32\drivers\iPodDrv.sys
0xA360E000 \SystemRoot\system32\drivers\peauth.sys
0xA36EC000 \SystemRoot\System32\Drivers\secdrv.SYS
0xA36F6000 \SystemRoot\System32\drivers\tcpipreg.sys
0xA3702000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0xA3717000 \SystemRoot\system32\DRIVERS\WUDFPf.sys
0xA3729000 \SystemRoot\system32\DRIVERS\cdfs.sys
0xA373F000 \??\C:\Windows\system32\drivers\MGHwCtrl.sys
0xA3749000 \SystemRoot\system32\drivers\MSPQM.sys
0xA374B000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xA3762000 \SystemRoot\system32\DRIVERS\etFilter.sys
0x906B1000 \SystemRoot\system32\DRIVERS\etDevice.sys
0xA3794000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xA37A1000 \SystemRoot\system32\DRIVERS\etScan.sys
0x76DE0000 \Windows\System32\ntdll.dll

Processes (total 71):
0 System Idle Process
4 System
460 C:\Windows\System32\smss.exe
612 csrss.exe
664 C:\Windows\System32\wininit.exe
676 csrss.exe
708 C:\Windows\System32\services.exe
744 C:\Windows\System32\lsass.exe
752 C:\Windows\System32\lsm.exe
860 C:\Windows\System32\winlogon.exe
928 C:\Windows\System32\svchost.exe
1008 C:\Windows\System32\svchost.exe
1044 C:\Windows\System32\svchost.exe
1096 C:\Windows\System32\svchost.exe
1128 C:\Windows\System32\svchost.exe
1140 C:\Windows\System32\svchost.exe
1208 C:\Windows\System32\audiodg.exe
1236 C:\Windows\System32\SLsvc.exe
1272 C:\Windows\System32\svchost.exe
1384 C:\Windows\System32\svchost.exe
1516 D:\Ad-Aware\aawservice.exe
1784 C:\Windows\System32\spoolsv.exe
1808 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1820 C:\Windows\System32\svchost.exe
496 C:\Windows\System32\agrsmsvc.exe
584 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
588 C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
620 C:\Program Files\Bonjour\mDNSResponder.exe
736 C:\Windows\System32\svchost.exe
1156 C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
836 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMON.EXE
2060 C:\Program Files\LG Software\System Control Manager\edd.exe
2084 C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
2216 C:\Windows\System32\svchost.exe
2240 C:\Windows\System32\svchost.exe
2312 C:\Windows\System32\svchost.exe
2340 C:\Windows\System32\SearchIndexer.exe
2576 WUDFHost.exe
2756 C:\Windows\System32\dwm.exe
2780 C:\Windows\explorer.exe
2852 C:\Program Files\Windows Defender\MSASCui.exe
2860 C:\Program Files\lg_swupdate\GiljabiStart.exe
2868 C:\Windows\RtHDVCpl.exe
2884 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
2892 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANOTIF.EXE
2908 C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
2944 C:\Program Files\Java\jre6\bin\jusched.exe
2960 D:\iTunes\iTunesHelper.exe
2968 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
2976 C:\Windows\WindowsMobile\wmdc.exe
3024 C:\Program Files\Windows Sidebar\sidebar.exe
3048 C:\Windows\ehome\ehtray.exe
3092 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
3112 C:\Program Files\Windows Media Player\wmpnscfg.exe
3208 ehmsas.exe
3504 C:\Windows\System32\taskeng.exe
3572 C:\Windows\System32\taskeng.exe
3848 C:\Windows\System32\rundll32.exe
4060 WmiPrvSE.exe
308 mobsync.exe
2436 C:\Program Files\Windows Sidebar\sidebar.exe
2148 C:\Windows\ehome\ehsched.exe
892 C:\Program Files\Windows Media Player\wmpnetwk.exe
3236 C:\Windows\System32\svchost.exe
4020 C:\Program Files\iPod\bin\iPodService.exe
3296 unsecapp.exe
4168 C:\Windows\ehome\ehrecvr.exe
5136 C:\Program Files\lg_swupdate\pnp.exe
3388 D:\Mozilla Firefox\firefox.exe
4988 C:\Windows\explorer.exe
5312 E:\Users\Martin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`40100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000c`c0038000 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000011`c00b0000 (NTFS)

PhysicalDrive0 Model Number: FUJITSUMHY2250BH, Rev: 0000000B

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!