Trojaner-Board - Probleme mit Antimalware Doctor und ggf. weiterer malware

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Probleme mit Antimalware Doctor und ggf. weiterer malware (https://www.trojaner-board.de/92312-probleme-antimalware-doctor-ggf-weiterer-malware.html)

Probleme mit Antimalware Doctor und ggf. weiterer malware

Hallo, ich habe mir gestern den Rechner lahmgelegt. Folgendes ist geschehen:

1. Avast blockiert plötzlich verschiedene Windowsprozesse wie z.B. "svchost.exe" und verschiebt die folgenden Dateien in den Quarantäne-Ordner:

mrnwoxasec.exe C:\users\joschi\AppData\Local\Temp
omnswrxcae.exe C:\users\joschi\AppData\Local\Temp
oxmcnewrsa.exe C:\users\joschi\AppData\Local\Temp
setup.exe C:\Windows\temp\npdp
setup.exe C:\Windows\temp\ipvi
Tb1.exe C:\users\joschi\AppData\Local\Temp
Tb1.exe C:\users\joschi\AppData\Local\Temp
Tb2.exe C:\users\joschi\AppData\Local\Temp
Tb2.exe C:\users\joschi\AppData\Local\Temp

Daraufhin läuft Windows nicht mehr einwandfrei: Minianwendungen sind verschwunden und lassen sich nicht mehr starten, der Iexplorer hängt. Eine Systemüberprüfung mittels Avast zeigt allerdings keine Bedrohungen mehr an.

Während des Versuchs einen Windows Live OneCare safety Scan durchzuführen meldet sich erstmals der "Antimalware Doctor" und verlangt die Registrierung. Nach erfolglosem Deinstallationsversuch habe ich "rkill" gestartet. Danach hat nur noch ein Neustart mittels Taskmanager funktioniert, ansonsten ein toter Bildschirm.

Im nächsten Schritt habe ich die folgenden Prozesse manuell beendet

tb2.exe
tsnp2uvc.exe
postionversusfix70700.exe

und einen Scan mittels Spybot durchgeführt. Dieser hat neben dem Antimalware Doctor eine ganze Menge weiterere Bedrohungen angezeigt und angeblich bereinigt. Nach dem Neustart allerdings meldete sich der M.D. erneut.

Daraufhin habe ich einen Scan mit Malwarebytes durchgeführt. Die entsprechende Log-Datei (mbam1.txt) befindet sich im Anhang. Vermutlich dummer Weise, habe ich die gefundenen Probleme löschen lassen. Nach einem Neustart meldete sich das M.D. Programm erneut.
Lediglich der Tb2.exe Prozess war nicht mehr zu finden.

Im nächsten Schritt habe ich Spybot deinstalliert und den Avast Scanner deaktiviert.

Letztlich habe ich erneut die verbliebenen zwei Prozesse beendet, einen Scan mittels OTL durchegführt (Log: otl.txt, extras.txt) und nach einem Neustart erneut einen Scan mittels Malwarebytes durchgeführt. Malwarebytes scheint jetzt allerdingsnichts mehr zu finden (mbam2.txt), obwohl der M.D. nicht entfernt wurde

Langsam stehe ich kurz vor der Verzweiflung, weil meine Arbeitsrechner, mit lauter wichtigen Daten nicht mehr funktioniert.
Kann mir diesbezüglich jemand raten, wie ich weiter vorgehen soll?

Vielen Dank im vorraus.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [positionversusfix70700.exe] C:\Users\Joschi\AppData\Roaming\6013340234FB5E55EF4903660ABDD0DB\positionversusfix70700.exe (Корпорация Майкрософт)

O4 - HKCU..\Run: [SpeedUpMyPC] C:\Program Files\Uniblue\SpeedUpMyPC\launcher.exe File not found
[2010.10.28 15:54:17 | 000,000,000 | ---D | C] -- C:\Users\Joschi\AppData\Roaming\6013340234FB5E55EF4903660ABDD0DB
[2010.10.29 01:49:05 | 000,000,000 | ---D | C] -- C:\Windows\9EFA732347A048E28F7735DB5EED500A.TMP
[2010.10.28 15:44:24 | 000,000,000 | ---D | C] -- C:\Users\Joschi\AppData\Roaming\D9D35B1053E4AB3C3AF15AF5129E5881
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:A24211BA

:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

öffne mein computer, c:\_OTL rechtsklick auf moved files und zu moved files.rar oder zip hinzufügen.
archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

Vielen Dank für die schnelle Rückmeldung.
Im Anhang ist die OTL-Log-Datei nach dem Fix.

nun bitte den gepackten ordner _OTL hochladen wie beschrieben

Sorry, die Datei ist jetzt hochgeladen.

kein problem!
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Erstelle gerade den Combo-Fix-Log.

Eine Frage bitte. Combo Fix hat mir bereits gemeldet das das Masterboot... infiziert ist. Jetzt bekomme ich gerade folgende Meldung:
Current registry file not found: \Device\Harddisk\Volume1\Boot\BCD
Restore this file?

Soll ich das mit ja bestätigen?
Danke

Nachdem ich bestätigt habe die Registry BCD zu wiederherzustellen, hat es eine Weile gedauert und dann einen Blue-Screen gegeben. Nach dem Neustart hat sich Combofix allerdings mit der Meldung eine Log-Datei anzulegen zurückgemeldet.

Hier ist der Combofix-Log:

Combofix Logfile:

Code:

ComboFix 10-10-28.06 - Joschi 29.10.2010  14:12:41.1.2 - x86

Microsoft Windows 7 Professional N   6.1.7600.0.1252.49.1031.18.3067.2024 [GMT 2:00]

ausgeführt von:: c:\users\Joschi\Desktop\ComboFix.exe

.

  Error: Cfiles.dat
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\~.inf

c:\windows\system32\spool\prtprocs\w32x86\CNMPP9P.DLL

c:\windows\system32\Temp
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-09-28 bis 2010-10-29  ))))))))))))))))))))))))))))))

.
 

2010-10-29 12:32 . 2010-10-29 12:32        --------        d-----w-        C:\Device

2010-10-29 12:18 . 2010-10-29 12:46        --------        d-----w-        c:\users\Joschi\AppData\Local\temp

2010-10-29 12:18 . 2010-10-29 12:18        --------        d-----w-        c:\users\Default\AppData\Local\temp

2010-10-29 11:15 . 2010-10-29 11:37        --------        d-----w-        C:\_OTL

2010-10-29 00:00 . 2010-10-29 00:00        --------        d-----w-        c:\users\Joschi\AppData\Roaming\Malwarebytes

2010-10-28 23:58 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-10-28 23:58 . 2010-10-28 23:58        --------        d-----w-        c:\programdata\Malwarebytes

2010-10-28 23:58 . 2010-10-28 23:58        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2010-10-28 23:58 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-10-28 17:09 . 2010-10-28 17:09        --------        d-----w-        c:\program files\Enigma Software Group

2010-10-28 17:08 . 2010-10-28 17:08        --------        d-----w-        c:\program files\Common Files\Wise Installation Wizard

2010-10-28 15:31 . 2010-10-28 15:33        --------        d-----w-        c:\program files\Windows Live Safety Center

2010-10-28 11:04 . 2010-07-14 16:34        212240        ----a-w-        c:\windows\system32\RICHTX32.OCX

2010-10-28 11:04 . 2010-10-28 11:05        --------        d-----w-        c:\program files\QuickArticleSpinner

2010-10-28 11:04 . 1996-11-08 00:48        368912        ----a-w-        c:\windows\system32\vbar332.dll

2010-10-26 20:28 . 2010-08-04 06:18        641536        ----a-w-        c:\windows\system32\CPFilters.dll

2010-10-26 20:28 . 2010-08-04 06:17        417792        ----a-w-        c:\windows\system32\msdri.dll

2010-10-26 20:28 . 2010-08-04 06:15        204288        ----a-w-        c:\windows\system32\MSNP.ax

2010-10-26 20:28 . 2010-08-04 06:15        199680        ----a-w-        c:\windows\system32\mpg2splt.ax

2010-10-26 20:28 . 2010-07-13 05:22        26504        ----a-w-        c:\windows\system32\drivers\Diskdump.sys

2010-10-26 12:14 . 2010-10-07 23:21        6146896        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{1B2B543A-0F90-421F-9D8E-C4582411EDBE}\mpengine.dll

2010-10-24 23:09 . 2010-10-24 23:09        42776        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll

2010-10-06 20:27 . 2010-03-04 03:57        190976        ----a-w-        c:\windows\system32\drivers\ks.sys

2010-10-06 08:59 . 2010-06-19 06:15        2048        ----a-w-        c:\windows\system32\tzres.dll

2010-10-06 08:59 . 2010-08-27 05:30        13312        ----a-w-        c:\program files\Internet Explorer\iecompat.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-24 23:09 . 2009-08-27 13:36        2300696        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\Markup.dll

2010-10-24 23:09 . 2009-08-27 13:36        1113408        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

2010-10-19 09:41 . 2009-10-03 10:10        222080        ------w-        c:\windows\system32\MpSigStub.exe

2010-09-11 09:56 . 2010-09-03 22:37        737280        ----a-w-        c:\windows\iun6002.exe

2010-09-07 15:12 . 2010-08-27 12:51        38848        ----a-w-        c:\windows\avastSS.scr

2010-09-07 15:11 . 2009-07-09 18:31        167592        ----a-w-        c:\windows\system32\aswBoot.exe

2010-09-07 14:52 . 2009-07-09 18:31        46672        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2010-09-07 14:52 . 2009-07-09 18:31        165584        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2010-09-07 14:47 . 2009-07-09 18:31        23376        ----a-w-        c:\windows\system32\drivers\aswRdr.sys

2010-09-07 14:47 . 2009-07-09 18:31        50768        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys

2010-09-07 14:47 . 2009-07-09 18:31        17744        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2010-08-21 05:32 . 2010-09-15 07:32        316928        ----a-w-        c:\windows\system32\spoolsv.exe

2010-08-01 02:09 . 2010-08-11 14:59        307200        ----a-w-        c:\windows\system32\EasyRedirect.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\users\Joschi\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\users\Joschi\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\users\Joschi\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]

"Google Update"="c:\users\Joschi\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-07-11 133104]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-08 13548064]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-08 92704]

"RtHDVCpl"="RtHDVCpl.exe" [2008-07-24 6265376]

"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-12-11 722256]

"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]

"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]

"RemoteControl"="c:\program files\HomeCinema\PowerDVD\PDVDServ.exe" [2007-02-09 71216]

"tsnp2uvc"="c:\windows\tsnp2uvc.exe" [2008-08-28 233472]

"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]

"UpdatePDRShortCut"="c:\program files\HomeCinema\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-01-04 222504]

"UpdatePPShortCut"="c:\program files\HomeCinema\PowerProducer\MUITransfer\MUIStartMenu.exe" [2008-02-21 222504]

"VitaKeyPdtWzd"="c:\program files\EgisTec\VITAKEY\PdtWzd.exe" [2008-11-04 2303272]

"VirtualCloneDrive"="c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]

"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]

"PDFPrint"="c:\program files\pdf24\pdf24.exe" [2010-03-11 208528]

"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
 

c:\users\Joschi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Dropbox.lnk - c:\users\Joschi\AppData\Roaming\Dropbox\bin\Dropbox.exe [2010-2-26 21979992]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"EnableLUA"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           PDBoot.exe\0autocheck autochk *
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]

@="Service"
 

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-03-21 691696]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-07-11 133104]

R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]

R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-04-29 38224]

S1 aswSP;aswSP; [x]

S2 aswFsBlk;aswFsBlk; [x]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]

S2 FPSensor;LTT-Corp Fingerprint Reader Driver (FPSensor.sys);c:\windows\system32\Drivers\FPSensor.sys [2009-08-06 26920]

S2 IGBASVC;EgisTec Service;c:\program files\EgisTec\VITAKEY\BASVC.exe [2008-11-04 2187048]

S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]

S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-08-05 44576]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-12-19 249888]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation        REG_MULTI_SZ           SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc Mcx2Svc

.

Inhalt des "geplante Tasks" Ordners
 

2010-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-11 11:46]
 

2010-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-11 11:46]
 

2010-10-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1917809016-440483117-2577391586-1001Core.job

- c:\users\Joschi\AppData\Local\Google\Update\GoogleUpdate.exe [2009-07-27 11:46]
 

2010-10-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1917809016-440483117-2577391586-1001UA.job

- c:\users\Joschi\AppData\Local\Google\Update\GoogleUpdate.exe [2009-07-27 11:46]
 

2010-08-23 c:\windows\Tasks\NatSpeak Periodic Acoustic Optimization.job

- c:\progra~1\Nuance\NATURA~1\Program\schedmgr.exe [2009-02-13 02:21]
 

2010-10-29 c:\windows\Tasks\NatSpeak Periodic Language Model Optimization.job

- c:\progra~1\Nuance\NATURA~1\Program\schedmgr.exe [2009-02-13 02:21]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://home.mywebsearch.com/index.jhtml?n=77C09F4F&ptnrS=ZNfox000&ptb=65T5AzlIGZOZYmWBN_g6Sw

uInternet Settings,ProxyOverride = 127.0.0.1

IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\users\Joschi\AppData\Roaming\Mozilla\Firefox\Profiles\bsyrsz7f.default\

FF - prefs.js: browser.startup.homepage - www.google.de

FF - prefs.js: keyword.URL - hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZNfox000&ptb=65T5AzlIGZOZYmWBN_g6Sw&psa=&ind=2010101511&ptnrS=ZNfox000&si=&st=kwd&n=77cfb707&searchfor=

FF - prefs.js: network.proxy.ftp - 80.228.29.90

FF - prefs.js: network.proxy.ftp_port - 3128

FF - prefs.js: network.proxy.gopher - 80.228.29.90

FF - prefs.js: network.proxy.gopher_port - 3128

FF - prefs.js: network.proxy.http - 80.228.29.90

FF - prefs.js: network.proxy.http_port - 3128

FF - prefs.js: network.proxy.socks - 80.228.29.90

FF - prefs.js: network.proxy.socks_port - 3128

FF - prefs.js: network.proxy.ssl - 80.228.29.90

FF - prefs.js: network.proxy.ssl_port - 3128

FF - prefs.js: network.proxy.type - 0

FF - component: c:\users\Joschi\AppData\Roaming\Mozilla\Firefox\Profiles\bsyrsz7f.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll

FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

FF - plugin: c:\users\Joschi\AppData\Local\Google\Update\1.2.183.39\npGoogleOneClick8.dll

FF - plugin: c:\users\Joschi\AppData\Roaming\Mozilla\Firefox\Profiles\bsyrsz7f.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional

c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified

c:\users\Joschi\AppData\Local\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

WebBrowser-{FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - (no file)

AddRemove-MOBackup-DatensicherungfürOutlook - c:\program files\MOBackup\uninstall.exe
 
 
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, hxxp://www.gmer.net

Windows 6.1.7600 Disk: WDC_WD3200BEVT-22ZCT0 rev.11.01A11 -> \Device\Ide\IdePort0
 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x867E8446]<< 

_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x867ee504]; MOV EAX, [0x867ee580]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX;  }

1 ntkrnlpa!IofCallDriver[0x82E8D458] -> \Device\Harddisk0\DR0[0x867C6030]

3 CLASSPNP[0x8B9A759E] -> ntkrnlpa!IofCallDriver[0x82E8D458] -> [0x86AF28F0]

\Driver\atapi[0x867CED28] -> IRP_MJ_CREATE -> 0x867E8446

kernel: MBR read successfully

detected hooks:

\Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskWDC_WD3200BEVT-22ZCT0___________________11.01A11#5&36268ca5&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found

user != kernel MBR !!! 

sectors 625142446 (+255): user != kernel

Warning: possible TDL4 rootkit infection !
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'Explorer.exe'(2836)

c:\users\Joschi\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files\EgisTec\VITAKEY\CompPtcVUI.exe

c:\program files\Alwil Software\Avast5\AvastSvc.exe

c:\program files\Cisco Systems\VPN Client\cvpnd.exe

c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe

c:\program files\Raxco\PerfectDisk10\PDAgent.exe

c:\windows\system32\IoctlSvc.exe

c:\program files\Cyberlink\Shared files\RichVideo.exe

c:\program files\Common Files\X10\Common\X10nets.exe

c:\program files\Raxco\PerfectDisk10\PDEngine.exe

c:\windows\system32\taskhost.exe

c:\program files\Raxco\PerfectDisk10\PDAgentS1.exe

c:\windows\system32\conhost.exe

c:\windows\System32\rundll32.exe

c:\windows\RtHDVCpl.exe

c:\windows\system32\msiexec.exe

c:\program files\EgisTec\VITAKEY\PwdBank.exe

c:\windows\system32\sppsvc.exe

c:\\?\c:\windows\system32\wbem\WMIADAP.EXE

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-10-29  14:50:26 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-10-29 12:50
 

Vor Suchlauf: 11 Verzeichnis(se), 162.747.813.888 Bytes frei

Nach Suchlauf: 18 Verzeichnis(se), 162.172.809.216 Bytes frei
 

- - End Of File - - E909B35F4FD0F5C69CCE89821E59ACC1

--- --- ---

bitte nutze den kaspersky tdss killer und poste das ergebniss
Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?

eine bösartiger eintrag wurde gefunden. Ich bin auf Cure gegangen. Das Programm hat einen Neustart gemacht, dann aber nichts weiter angezeigt. Ei erneuter Scan mit dem TDSSKiller hat keine Infektionen mehr gefunden.

ok dann nutze mal bitte gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
und poste das log

Ich habe jetzt wieder einen Bluescreen bekommen.

ok schauen wir mal ob wir das noch hinbekommen, dein pc war bzw ist ziemlich versäucht, die neuartigen tdss rootkits hinterlassen einige systeme ziemlich vermurkst, es könnte also passieren das du neu aufsetzen musst.
du kannst ja sicherheitshalber ne datensicherung machen befor du gmer nutzt.

Vielen Dank nochmal für die wirklich ausgiebige Hilfe. Eine Sicherung habe ich jetzt noch nicht gemacht. Hier ist erstmal der gmer.log:

GMER Logfile:

Code:

GMER 1.0.15.15477 - hxxp://www.gmer.net

Rootkit scan 2010-10-29 15:55:14

Windows 6.1.7600 

Running: gpunhs3t.exe; Driver: C:\Users\Joschi\AppData\Local\Temp\fxryqpog.sys
 
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                                                                                             82E96599 1 Byte  [06]

.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                                      82EBAF52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

.text           C:\Windows\system32\DRIVERS\nvlddmkm.sys                                                                                                    section is writeable [0x91A06340, 0x3EF4D7, 0xE8000020]

PAGE            spsys.sys!?SPRevision@@3PADA + 4F90                                                                                                         AC238000 221 Bytes  [8B, FF, 55, 8B, EC, 33, C0, ...]

PAGE            spsys.sys!?SPRevision@@3PADA + 506E                                                                                                         AC2380DE 68 Bytes  [AC, 75, 06, 09, 0D, 28, 35, ...]

PAGE            spsys.sys!?SPRevision@@3PADA + 50B3                                                                                                         AC238123 629 Bytes  [35, 23, AC, FE, 05, 34, 35, ...]

PAGE            spsys.sys!?SPRevision@@3PADA + 5329                                                                                                         AC238399 101 Bytes  [6A, 28, 59, A5, 5E, C6, 03, ...]

PAGE            spsys.sys!?SPRevision@@3PADA + 538F                                                                                                         AC2383FF 148 Bytes  [18, 5D, C2, 14, 00, 8B, FF, ...]

PAGE            ...                                                                                                                                         
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\Program Files\Alwil Software\Avast5\AvastSvc.exe[1472] kernel32.dll!SetUnhandledExceptionFilter                                          76B23162 4 Bytes  [C2, 04, 00, 90] {RET 0x4; NOP }
 

---- User IAT/EAT - GMER 1.0.15 ----
 

IAT             C:\Windows\system32\msiexec.exe[2108] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                                      [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Windows\system32\msiexec.exe[2108] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                                        [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Windows\system32\msiexec.exe[2108] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                                         [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Windows\system32\msiexec.exe[2108] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                                       [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Windows\system32\msiexec.exe[2108] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                                       [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Windows\System32\rundll32.exe[3524] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                                       [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Windows\System32\rundll32.exe[3524] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                                        [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Windows\System32\rundll32.exe[3524] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                                      [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Windows\System32\rundll32.exe[3524] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                                     [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe[3776] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe[3776] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]     [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe[3776] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe[3776] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]   [751A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\tdx \Device\Tcp                                                                                                                     aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                      fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
 

Device          \Driver\ACPI_HAL \Device\00000058                                                                                                           halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
 

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                                      fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                                      fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                                                      fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\tdx \Device\Udp                                                                                                                     aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

AttachedDevice  \FileSystem\fastfat \Fat                                                                                                                    fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0015affcaea9                                                                 

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Upgrade\LocalRadioSettings                                                                   

Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0015affcaea9 (not active ControlSet)                                             

Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Upgrade\LocalRadioSettings (not active ControlSet)                                               
 

---- EOF - GMER 1.0.15 ----

--- --- ---

hättest du denn viel zu sichern und ein problem mit dem neu aufsetzen, würde dir dann hinweise geben um in zukunft besser geschützt zu sein.
wie gesagt in meinen tests mit dem tdss rootkits hatte ich das problem auch einige male das der rechner nach bereinigung nicht grad stabiel lief.

Im Notfall würde ich ihn natürlich neu aufsetzen. Problematisch ist in erster Linie die Software neu aufzuspielen. Das dürfte alles ziemlich lange dauern. Mir fehlne auch ein paar Keywörter, für e-mail Konten und VPN Verbindungen. Wäre alles ein langieriger Umsatand das System komplett neu zu installieren.

Sowas habe ich auch wirklich noch nie gehabt zuvor.

Kann man den wohl davon ausgehen, das meine Daten jetzt sicher sind und nur das System evtl. instabil ist?

naja ich würd damit kein online banking etc machen, aber es ist in so fern sicher, das du daten retten kannst.
ok kennwörter kann man sich ja auch neu zusenden lassen das sollte nicht so ds problem sein.
normalerweise sollte man auch nen backup der daten und des gesammten systems haben, was machst du zb wenn mal die festplatte kaputt ist?

Richtig, da mir vorher noch nie was schlimmes passiert ist, habe ich mir darüber noch nicht wirklich gedanken gemacht.

Was für ein Vorgehen würdest du denn empfehlen genau?

Ich habe jetzt wieder einen Bluescreen bekommen.

erst mal daten sichern. dann formatieren. dann treiber aufspielen dann windows update seite besuchen, wichtige updates aufspielen.
unter einstellungen schauen das automatische updates aktiev sind und instaliert werden.
1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

die uac sollte auf maximum stehen.
klicke auf start, ausführen (suchen) tippe
uac
enter
nachfrage bestätigen, regler auf höchste stufe.
so ist es schwiriger heimlich etwas auf dem pc zu instalieren.
Die folgenden konfigurationen als admin ausführen:
2.
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

3.
SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen
dieser tipp, gilt auch für windows 7
4.
einer der sichersten browser ist opera.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
in den letzten jahren lag er was die sicherheit angeht weit vor den großen wie dem internet explorer und dem firefox.
außerdem ist er auch noch schneller im seitenaufbau etc.
mit diesem tool lässt sich ein werbeblocker laden
Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
5. avast:
Download Free Antivirus avast! - Virenschutzsoftware gratis
anleitung:
Installation und Einstellung von Avast 5 | Sicherheit | Tipps und Tricks
bei heuristiken würde ich immer auf maximum gehen, dies könnte zwar zu einem fehlalarm führen, welcher sich wiederherstellen lässt, erhöt aber auch die treffer chance.
falls es zu große probleme gibt, kann man die heuristik verendern.
6.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
Sandboxie Download
anleitung:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
7. autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
8.
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
9.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
10. endere alle passwörter.

surfe ab sofort nur noch im standard nutzerkonto, so hätte übrigens deine infektion verhindert werden können, und dort in der sandbox, mit klick auf "sandboxed web browser"

allgemeines:
- nutze keine tuning programme wie tuneup, sie bringen wirklich nichts.
- nutze keine toolbars, sie können daten ausspähen.
- nutze keine streaming seiten wie kino.to sie sind illegal und man hohlt sich dort trojaner.
- nutze keine illegalen download quellen.

falls du mit opera nicht auskommen solltest, dann sag bescheid, dann passe ich die anleitungen für den firefox an.

OK, vielen Dank. Besteht vielleicht die Möglichkeit, das jungfreulich aufgesetzte System auf eine zusätzliche Partition zu kopieren, sodaß man es im Bedarfsfall einfach auf C: zurückkopieren kann?

dafür würde ich keine partition nutzen, sondern eine extra festplatte, denn du musst immer davon ausgehen das festplatten kaputt gehen.
du kannst unter start ausführen
sicherung
eingeben, dort siehst du, sicherung des computers erstellen oder ähnliches
dort wählst du sicherung erstellen, dann kannst du das laufwerk wählen wo hin gesichert werden soll. damit könntest du dir auch nen extra programm sparen, windows macht das ganz gut denke ich.
ich würde einen zeitplan festlegen, vllt jede 1 oder 2 wochen ne sicherung.

OK, so mache ich das. Nochmals vielen Dank für die ganze Hilfe. Ich wär sonst ziemlich aufgeschmissen gewesen.

du kannst das dann einfach zurück spielen, falls das system mal komplett abschmiert kannst du das auch mal auf ne dvd sichern und diese dann einlegen und es wird zurückgespielt. ich würde dazu wiederbeschreibbare (rws) nehmen.

da sind dann alle installierten Programmme mit inbegriffen?

ja programme dateien etc musst ein abbild erstellen dan sollte die platte sektor für sektor kopiert und gesichert werden

Super nochgmals vielen Dank und einen schönen Feierabend noch.

meld dich doch dann wenn alles geklappt hatt, oder wenn es zu problemen kommen sollte

Hallo Markus, ich wollte gerne auf dein freundliches Angebot zurückkommen und dir berichten, wie ich weiterverfahren bin. In der Tat, habe ich noch ein paar Fragen.
Zuerst wollte ich C: mit der Win7 Installations CD formatieren und Win 7 installieren. Ich habe dabei bemerkt, dass Windows, obwohl ich formatieren angegeben habe nicht wirklich formatiert hat, sondern nach ca. 30 Sekunden angefangen hat Daten auf die Festplatte zu kopieren. Daraufhin habe ich mit "Active Kill Disk" C: "genullt" und dann Windows installiert. Die Partitoin D: habe ich lediglich mit Malwarebytes geprüft. Dort wurde nichts gefunden.
Reicht das wohl so aus, oder sollte ich alle Partitionen löschen?

Nach der Windows Installation habe ich meine externe Festplatte, auf der ich meine Daten gesichert habe angeschlossen. Dummer Weise sagt mir Windows jedes mal: "Der Datenträger in Laufwerk xy muss formatioert werden bevor sie ihn verwenden können". An jedem anderen Rechner, egal opb xp Vista oder Win 7 funktioniert die Platte. Ich habe mir auch volle Rechte für die Platte eingeräumt bzw. diese in Besitz genommen. Seit zwei Tagen versuche ich die Platte zum laufen zu bekommen, ohne Erfolg. Kann das evtl. noch mit dem Virus zusammenhängen?
Ich wäre dir für weiteren Ratschlag sehr dankbar.

Sorry für das Durcheinander gerade. Es sollte folgendermaßen heißen:
An jedem anderen Rechner, egal ob XP, Vista oder Win7 funktioniert die Platte. Seit zwei Tagen versuche ich die Platte erfolglos zum laufen zu bringen. Kann das evtl noch mit der Virusinfektion zusammenhängen?

du kannst also alles kopieren etc.?
kannst du die platte leer machen, und dann formatieren? und dann die daten wieder zurück spielen?

du meinst die externe Platte zu kopieren und zu formatieren? Die xterne Platte enthält 4GB Daten und sie ist in Ordnung. Habe chkdsk und testdisk laufen lassen. Keine Fehler drauf. In der Datenträgerverwaltung wird sie auch richtig als NTFS-Platte angezeigt. Nur drauf zugreifen kann ich nicht.

aber von nem andern rechner kannst du zugreifen? dann würd ich sie auf nen zweit pc kopieren, formatieren, daten zurück kopieren und dann erneut anschließen an den pc wo sie nicht lief.
ist die einzige idee die mir dazu erst mal einfällt.

mir wurde gerade gesagt ich sollte doch am besten alle Partitionen löschen. Hälst du das für nötig? Dann müsste ich das ganze jetzt nochmal machen ganz unabhängig von meiner Problematik mit der externen Platte. Ich denke dieses Problem dürfte dadurch nicht gelöst werden, oder?
Danke übrigens für die echt schnelle Rückmeldung.

es reicht die c partition zu formatieren, und enin das problem wird das auch nicht lösen

OK. Ich würde übrigens lieber den Firefox weiterverwenden, als auf den Opera Browser umzusteigen, da ich einige Plugins verwende. Könntest du mir diesbezüglich noch die adjustierten Einstellungen zuschicken? Danke

ja sicher.
übrigens wird ab opera 11 das importieren von plugins möglich sein, vllt willst du dann ja noch mal nen blick drauf werfen.
firefox:
als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-noscript//
adblock+ um werbung zu blockieren:
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten für Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.

sandboxie konfiguration:
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.

fertig :-)

Super. Ich werde mir die Opera Option auch nochmal snschauen.
Ich kann mit Opera 11 Firefox-Plugins importieren?

der ist aber noch nicht raus, opera 11 soll die möglichkeit besitzen das man, wie im firefox, plugins einbinden kann, der opera bringt aber von haus aus viele funktionen mit, die beim firefox erst nachgerüstet werden müssen.
und schau mal ob hier nicht vllt das dabei ist was du brauchst, opera widgets
Opera-Hilfe: Widgets

Hey, nochmal vielen Dank für die fachkundige Beratung und Hilfestellung. Ich werde alles wie beschrieben umsetzen. Viel Erfolg wünsche ich noch.