Hallo Arne,

mein Rechner meldete soeben, dass Windows Systemwiederherstellung und Roxio Back on Track (war auf meinem HP mini100c installiert) nicht parallel laufen können.
Es wurde geraten, die Windows Systemwiederherstellung zu deaktivieren. Ist das richtig?

Viele Grüße,
kiki

Ja war so ok. Weiter gehts:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

Danke zunächst für Deine Hilfe & die ganzen Schritt-für-Schritt-Anweisungen!
Ich habe alles ausgeführt, wie Du es beschrieben hast. Nach dem Neustart des Computers meldete Combofix zunächst, es würde eine Logdatei erstellen.
Doch kurz darauf ist mein Rechner wieder neu gestartet. Es erschien dann die Windows-Meldung, dass "das System nach einem schwerwiegenden Fehler wieder ausgeführt" wird.
Ich poste Dir hier mal die Fehlermeldung:

Problemsignatur:
BCCode : 1000008e BCP1 : 80000004 BCP2 : 8054BDF4 BCP3 : 9B35B594
BCP4 : 00000000 OSVer : 5_1_2600 SP : 3_0 Product : 768_1

Problembericht: enthaltene Dateien
C:\DOKUME~1\Kirsten\LOKALE~1\Temp\WER00c3.dir00\Mini110910-01.dmp
C:\DOKUME~1\Kirsten\LOKALE~1\Temp\WER00c3.dir00\sysdata.xml


Das Logfile von Combofix habe ich danach unter C:\\Combofix.txt abgerufen:

ComboFix 10-11-07.01 - Kirsten 09.11.2010 10:14:40.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1015.249 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kirsten\Desktop\cofi.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Kirsten\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\service4g.exe"
"c:\windows\starter4g.exe"
"c:\windows\updater4g.exe"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\service4g.exe
c:\windows\starter4g.exe
c:\windows\updater4g.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_XS_Stick_Service
-------\Service_XS Stick Service


((((((((((((((((((((((( Dateien erstellt von 2010-10-09 bis 2010-11-09 ))))))))))))))))))))))))))))))
.

Viele Grüße,
kiki

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hi Arne,

gestern abend hat Avira leider schon wieder vor einem Virus gewarnt. Es wurde der Worm\Rbot.655092 in folgender Datei entdeckt:
C:\\Qoobox\...\updater4g.exe.vir.
Die Datei habe ich danach zunächst in Quarantäne verschoben.
Anschließend habe ich meinen Rechner ein weiteres Mal mit Malwarebytes und Antivir gescannt; beide Scans waren unauffällig.

Soll ich trotzdem mit den Schritten fortfahren? Oder nochmal Ccleaner durchlaufen lassen?

Viele Grüße,
kiki

Qoobox ist der Quarantäne/Backup Ordner von combofix. Was da gefunden wird bitte ignorieren, Schädlinge da drin sind isoliert und können so dem System nicht mehr schaden!
Mach jetzt die anderen Logs.

Okay! Danke für die Info zu Qoobox!
Ich setze mich jetzt an die nächsten Logs.

Viele Grüße,
kiki

Hi Arne,

der Scan von GMER hat ziemlich lange gedauert; hier kommen nun die Logs.

GMER:

GMER Logfile:
--- --- ---



OSAM:
OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


und MBRCheck:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 129):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7A88000 \WINDOWS\system32\KDCOM.DLL
0xF7998000 \WINDOWS\system32\BOOTVID.dll
0xF7458000 ACPI.sys
0xF7A8A000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7447000 pci.sys
0xF7588000 isapnp.sys
0xF799C000 compbatt.sys
0xF79A0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7B50000 pciide.sys
0xF7808000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7A8C000 aliide.sys
0xF7A8E000 viaide.sys
0xF7A90000 intelide.sys
0xF7598000 MountMgr.sys
0xF7428000 ftdisk.sys
0xF79A4000 ACPIEC.sys
0xF7B51000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7810000 PartMgr.sys
0xF75A8000 VolSnap.sys
0xF734E000 iaStor.sys
0xF75B8000 disk.sys
0xF75C8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF732E000 fltMgr.sys
0xF7316000 syscow32x.sys
0xF75D8000 PxHelp20.sys
0xF72FF000 KSecDD.sys
0xF7272000 Ntfs.sys
0xF7245000 NDIS.sys
0xF7818000 SaibIa32.sys
0xF75E8000 SahdIa32.sys
0xF722B000 Mup.sys
0xF77B8000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF5A74000 \SystemRoot\system32\DRIVERS\igxpmp32.sys
0xF5A60000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF5A38000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF588D000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
0xF77D8000 \SystemRoot\system32\DRIVERS\l1c51x86.sys
0xF78A8000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF5869000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF78B0000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF77E8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF78B8000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF5838000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AC2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF77F8000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xF57BC000 \SystemRoot\System32\Drivers\wdf01000.sys
0xF78C0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF715B000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF7A40000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xF7C4F000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7628000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF69C2000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF57A5000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7638000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7648000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF78C8000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF5794000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7658000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF78D0000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF78D8000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7668000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7AC4000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF5771000 \SystemRoot\system32\DRIVERS\ks.sys
0xF5713000 \SystemRoot\system32\DRIVERS\update.sys
0xF69B2000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF609A000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xA81E9000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xA24AF000 \SystemRoot\system32\drivers\sthda.sys
0xA248B000 \SystemRoot\system32\drivers\portcls.sys
0xA81D9000 \SystemRoot\system32\drivers\drmk.sys
0xA246F000 \SystemRoot\system32\drivers\AESTAud.sys
0xA80F4000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7B3E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xA39DF000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B40000 \SystemRoot\System32\Drivers\Beep.SYS
0xA4731000 \SystemRoot\System32\drivers\vga.sys
0xF7B42000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B44000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xA2239000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
0xA81B9000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xA4729000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
0xA4721000 \SystemRoot\System32\Drivers\Msfs.SYS
0xA4719000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA80F0000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA2226000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA21CD000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA21A5000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA217F000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA215D000 \SystemRoot\System32\drivers\afd.sys
0xA81A9000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA4711000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA8199000 \SystemRoot\System32\Drivers\SaibVd32.sys
0xA2132000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA20C2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA4814000 \SystemRoot\System32\Drivers\Fips.SYS
0xA20A6000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B4E000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0x9D278000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x9B71C000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0x9C5B9000 \SystemRoot\System32\drivers\Dxapi.sys
0x9D395000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0x9B980000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0x9B708000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x9C040000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x9B6CB000 \SystemRoot\system32\drivers\wdmaud.sys
0xF604A000 \SystemRoot\system32\drivers\sysaudio.sys
0x9B508000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x9B3E8000 \SystemRoot\system32\DRIVERS\srv.sys
0x9AF0D000 \SystemRoot\system32\drivers\kmixer.sys
0xF7AC8000 \SystemRoot\system32\drivers\splitter.sys
0x9AD8C000 \SystemRoot\System32\Drivers\HTTP.sys
0x9C7A5000 \SystemRoot\System32\Drivers\Cdfs.SYS
0x9B5A9000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x9A8C6000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x9A8AE000 \??\C:\DOKUME~1\Kirsten\LOKALE~1\Temp\fftorfow.sys
0x9D3A5000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x9A894000 \SystemRoot\system32\DRIVERS\cmnsusbser.sys
0xA26D9000 \SystemRoot\System32\Drivers\Modem.SYS
0xA26A9000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 50):
0 System Idle Process
4 System
768 C:\WINDOWS\system32\smss.exe
816 csrss.exe
840 C:\WINDOWS\system32\winlogon.exe
884 C:\WINDOWS\system32\services.exe
896 C:\WINDOWS\system32\lsass.exe
1068 C:\WINDOWS\system32\svchost.exe
1148 svchost.exe
1188 C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe
1200 C:\WINDOWS\system32\svchost.exe
1384 svchost.exe
1452 svchost.exe
1684 C:\WINDOWS\system32\spoolsv.exe
1728 C:\Programme\IDT\WDM\stacsv.exe
488 C:\WINDOWS\explorer.exe
584 C:\Programme\Avira\AntiVir Desktop\sched.exe
2032 svchost.exe
280 C:\Programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe
308 C:\Programme\Avira\AntiVir Desktop\avguard.exe
384 C:\Programme\Java\jre6\bin\jqs.exe
688 C:\WINDOWS\system32\svchost.exe
1012 C:\Programme\XSManager\WTGService.exe
1084 C:\WINDOWS\system32\igfxtray.exe
1360 C:\WINDOWS\system32\hkcmd.exe
1372 C:\WINDOWS\system32\igfxpers.exe
1408 C:\Programme\HP\HPBTWD.exe
1424 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1440 C:\Programme\IDT\WDM\sttray.exe
1496 C:\WINDOWS\system32\AESTFltr.exe
1540 C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
1548 C:\WINDOWS\system32\igfxsrvc.exe
1724 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1752 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2056 C:\Programme\Skype\Phone\Skype.exe
2092 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
2144 C:\WINDOWS\system32\ctfmon.exe
2268 C:\Programme\OpenOffice.org 3\program\soffice.exe
2356 C:\Programme\OpenOffice.org 3\program\soffice.bin
3048 C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
3296 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3324 wmiprvse.exe
3372 alg.exe
3508 C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
3596 C:\WINDOWS\system32\wuauclt.exe
3888 C:\Programme\XSManager\XSManager.exe
3652 C:\Programme\Mozilla Firefox\firefox.exe
3292 C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe
3492 C:\Programme\Mozilla Firefox\plugin-container.exe
752 C:\Dokumente und Einstellungen\Kirsten\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

PhysicalDrive0 Model Number: WDCWD1600BEVT-60ZCT1, Rev: 13.01A13

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!


Viele Grüße,
kiki

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi Arne,

Danke!! Wäre so froh, wenn mein Rechner wieder in Ordnung kommt- und ich keine Panik mehr vor Trojanern etc. haben muss!

Hier kommt zunächst das Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5098

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.11.2010 12:57:40
mbam-log-2010-11-12 (12-57-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 223095
Laufzeit: 1 Stunde(n), 23 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Das Log von SASW schicke ich später.

Viele Grüße,
kiki

Hi Arne,

dies ist das Log con SASW:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/12/2010 at 03:45 PM

Application Version : 4.45.1000

Core Rules Database Version : 5850
Trace Rules Database Version: 3662

Scan type : Complete Scan
Total Scan Time : 01:33:35

Memory items scanned : 644
Memory threats detected : 0
Registry items scanned : 6437
Registry threats detected : 0
File items scanned : 85811
File threats detected : 7

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kirsten\Cookies\kirsten@perf.overture[1].txt
C:\Dokumente und Einstellungen\Kirsten\Cookies\kirsten@2o7[2].txt
adserv.quality-channel.de [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]
cdn5.specificclick.net [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]
imagesrv.adition.com [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]
serving-sys.com [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]
www.ardmediathek.de [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]

Viele Grüße,
kiki

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo Arne,

Malwarebytes und Antivir haben keine Viren o.ä. mehr gefunden! Tausend Dank für Deine Hilfe!!!
Nur mein Rechner fährt immer noch langsam hoch, dabei wird der Bildschirm kurz schwarz und die Taskleiste erscheint dann ein zweites Mal. Ist dennoch alles okay? Oder kann das auch auf ein Virus hindeuten?

Schöne Grüße,
kiki

Wie kann denn die Taskleiste ein 2. Mal erscheinen? Meinst du was anderes mit Taskleiste als das was ich meine? Beschreib mal genauer.
Und natürlich könnte irgendwo immer noch was Bösartiges stecken auch wenn alle Logs nun ok sind. Das ist das Restrisiko einer jeden Bereinigung.

Hi Arne,

ich meine die Startleiste, die am Bildschirmrand unten erscheint und Startmenü sowie Batterieanzeige etc. enhält.

Gut, dann ich versuch nochmal die Probleme beim Hochfahren des Computers zu beschreiben:

Bevor AntiVir den Trojaner meldete fuhr der Computer schneller hoch und die Taskleiste erschien ohne Verzögerung.
Jetzt sieht anfangs auch alles normal aus, d.h. alle Dokumente auf dem Desktop und auch die Startleiste sind bereits auf dem Bildschirm zu sehen. Doch kurze Zeit später wird der Hintergrund für kurze Zeit komplett schwarz und anschließend wird die Startleiste quasi erneut, aber sehr langsam aufgebaut.

Viele Grüße,
kiki