Zlob.1035 wirklich vom PC entfernt?
 

Hallo zusammen,

ich hoffe ich mache alles richtig bei meinem ersten Post.

Vor ein paar Tagen war mein Online-Banking gesperrt. Habe bei der Bank angerufen und die meinten ich hätte einen Virus oder Trojaner! Habe vorher nichts festgestellt und auch Antivir und Spybot, die regelmäßig Updates bekommen, haben nichts gefunden. Habe dann ne ganze Menge Scans mit unterschiedlichen Programmen gemacht, bis TrojanHunter fündig wurde:

C:/Programme/Asus/WirelessConsole/Cstring.dll (Zlob.1035)

Leider konnte ich ihn mit dem Programm nicht entfernen, da ich nur die Evaluationsversion habe. Habe dann die Recovery CD eingeworfen und das System neu aufgespielt. Ergebnis: Der Trojaner war immernoch da. Dann hab ich das ganze ein zweites mal durchgeführt und, ihr könnt es erraten, er war immernoch da. Habe dann manuell die Datei gelöscht. Danach habe ich wieder gescannt und nichts mehr gefunden.
Zur Sicherheit habe ich noch Trojan Remover, Panda Onlinescan, Malwarebytes und Spywareterminator zum suchen genutzt und nichts mehr gefunden.
Allerdings habe ich beim letzten Spybot scan unten bei den durchsuchten Objekten auch was von Zlob gelesen... vielleicht von einem der Scanner?

Meine Frage ist nun ob ich das Ding sicher los bin, oder ob ich irgendwas anderes machen muss um mein OBanking wieder guten gewissens freischalten zu können.

Bin völlig verunsichert undhab keinen Plan mehr...

Vielen Dank für die Hilfe im vorraus!

MfG Ohmann

Das ist ein Fehlalarm. Malwarebytes hast du nicht ausgeführt?
Betriebssystem?

Hi,
danke schonmal für die Antwort! Windows XP, alter Laptop...

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6729

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.05.2011 09:15:28
mbam-log-2011-05-31 (09-15-28).txt

Scan type: Full scan (C:\|D:\|E:\|F:\|)
Objects scanned: 183597
Time elapsed: 19 minute(s), 42 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


Habe mittlerweile x verschiedene Scans durchgeführt!
Allerdings muss ich ja einen Trojaner gehabt haben, da die Bank das Online-Banking ja nicht grundlos sperrt und die meinten ich hab nen Virus oder Trojaner aufm Rechner.
Wie gesagt hat dann Trojanhunter den oben genannten Trojaner gefunden (vor und nach dem Einsatz der Recovery-CD).
Allerdings zeigt TH beim scannen mittlerweile folgendes:

"Exception Processing Message c00000a3 Paramiters 75b0bf7c 4 75b0bf7c 75b0bf7c"

Der Scan läuft dann weiter wenn ich auf wiederholen klicke weiter.

Gruß
Ohmann

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL Logfile:
--- --- ---

Hi,
oben ist das OTL Ergebnis. Kann selbst leider nix damit anfangen, also schonmal danke für die Mühe!

Gruß

Ohmann

Wer hat dir den Rechner installiert? FAT32 für die Systempartition ist mehr als ungünstig!
Lässt sich aber zu NTFS kovertieren...

Hi,

wie du sicher gemerkt hast, halten sich meine Computerkenntnisse stark in Grenzen... installiert hat die Recovery-cd. Der Laptop ist von ca. 2005.
Aber was is nu mit dem nervigen unerwünschten Mitbewohnern? Alle weg???

Dank und Gruß!

Ohmann

Das OTL ist ansonsten unaufällig.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

OSAM Logfile:
--- --- ---
If You have questions or want to get some help, You can visit Online Solutions :: Index

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 131):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xF7ADC000 \WINDOWS\system32\KDCOM.DLL
0xF79EC000 \WINDOWS\system32\BOOTVID.dll
0xF74AC000 ACPI.sys
0xF7ADE000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF749B000 pci.sys
0xF75DC000 isapnp.sys
0xF75EC000 ohci1394.sys
0xF75FC000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF79F0000 compbatt.sys
0xF79F4000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7BA4000 pciide.sys
0xF785C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7AE0000 intelide.sys
0xF747D000 pcmcia.sys
0xF760C000 MountMgr.sys
0xF745E000 ftdisk.sys
0xF79F8000 ACPIEC.sys
0xF7BA5000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7864000 PartMgr.sys
0xF786C000 pavboot.sys
0xF761C000 VolSnap.sys
0xF7446000 atapi.sys
0xF762C000 disk.sys
0xF763C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7426000 fltmgr.sys
0xF7414000 sr.sys
0xF73F0000 Fastfat.sys
0xF73D9000 KSecDD.sys
0xF73AC000 NDIS.sys
0xF7874000 risdpntk.sys
0xF764C000 R592.sys
0xF7392000 Mup.sys
0xF7AE6000 \SystemRoot\system32\DRIVERS\ATKACPI.sys
0xF768C000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF71F4000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF71E0000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF71B8000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF788C000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF7194000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7894000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7171000 \SystemRoot\system32\DRIVERS\yukonwxp.sys
0xF769C000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF76AC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF789C000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF6F25000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AE8000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF78A4000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF76BC000 \SystemRoot\System32\Drivers\Serial.SYS
0xF78AC000 \SystemRoot\system32\DRIVERS\irsir.sys
0xF7A80000 \SystemRoot\system32\DRIVERS\irenum.sys
0xF6F11000 \SystemRoot\system32\DRIVERS\parport.sys
0xF76CC000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF76DC000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF76EC000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6EEE000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7A8C000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF7C27000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF78B4000 \SystemRoot\system32\DRIVERS\rasirda.sys
0xF78BC000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF76FC000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7A94000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6EAF000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF770C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF771C000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF6DFE000 \SystemRoot\system32\DRIVERS\psched.sys
0xF772C000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF78C4000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF78CC000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF773C000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7AEA000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6D96000 \SystemRoot\system32\DRIVERS\update.sys
0xF7AA0000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF776C000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF2A63000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xF2A3F000 \SystemRoot\system32\drivers\portcls.sys
0xF777C000 \SystemRoot\system32\drivers\drmk.sys
0xF2A17000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xF2919000 \SystemRoot\system32\DRIVERS\HSF_DP.sys
0xF286D000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xF78D4000 \SystemRoot\System32\Drivers\Modem.SYS
0xF778C000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7AEE000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF732B000 \SystemRoot\System32\Drivers\Null.SYS
0xF7AF0000 \SystemRoot\System32\Drivers\Beep.SYS
0xF78F4000 \SystemRoot\System32\drivers\vga.sys
0xF7AF2000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7AF4000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF78FC000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7904000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7362000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF283A000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF27E1000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF27B9000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF2797000 \SystemRoot\System32\drivers\afd.sys
0xF779C000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF790C000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF2774000 \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
0xF2749000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF26B1000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF77AC000 \SystemRoot\System32\Drivers\Fips.SYS
0xF268B000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF77BC000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF77CC000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF25C5000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7AF8000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF77EC000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF2585000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7AFC000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6EC6000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7914000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7C4A000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF04D000 \SystemRoot\System32\ati2cqag.dll
0xBF07F000 \SystemRoot\System32\atikvmag.dll
0xBF0B1000 \SystemRoot\System32\ati3duag.dll
0xBF2E2000 \SystemRoot\System32\ativvaxx.dll
0xB86D3000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB85A5000 \SystemRoot\system32\DRIVERS\irda.sys
0xB86EC000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB8410000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB850D000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xB8250000 \SystemRoot\system32\DRIVERS\srv.sys
0xB8033000 \SystemRoot\system32\drivers\wdmaud.sys
0xF6E0F000 \SystemRoot\system32\drivers\sysaudio.sys
0xB7D22000 \SystemRoot\System32\Drivers\HTTP.sys
0xB7679000 \SystemRoot\system32\DRIVERS\w29n51.sys
0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 41):
0 System Idle Process
4 System
776 C:\WINDOWS\System32\SMSS.EXE
856 CSRSS.EXE
896 C:\WINDOWS\System32\WINLOGON.EXE
940 C:\WINDOWS\System32\SERVICES.EXE
952 C:\WINDOWS\System32\LSASS.EXE
1108 C:\WINDOWS\System32\ATI2EVXX.EXE
1124 C:\WINDOWS\System32\SVCHOST.EXE
1220 SVCHOST.EXE
1280 C:\WINDOWS\System32\SVCHOST.EXE
1380 SVCHOST.EXE
1508 SVCHOST.EXE
1776 C:\WINDOWS\System32\SPOOLSV.EXE
1820 C:\Programme\Avira\AntiVir Desktop\SCHED.EXE
1864 SVCHOST.EXE
1920 C:\Programme\Avira\AntiVir Desktop\AVGUARD.EXE
1972 C:\Programme\Spyware Terminator\SP_RSSER.EXE
2020 C:\Programme\Avira\AntiVir Desktop\AVSHADOW.EXE
1936 ALG.EXE
3816 C:\WINDOWS\System32\ATI2EVXX.EXE
2272 C:\WINDOWS\EXPLORER.EXE
1260 C:\WINDOWS\ATK0100\HControl.exe
2524 C:\WINDOWS\RTHDCPL.EXE
3844 C:\Programme\Asus\ASUS Live Update\ALU.EXE
2112 C:\Programme\Asus\Power4 Gear\BatteryLife.exe
3024 C:\Programme\Asus\Wireless Console\WCOURIER.EXE
2300 C:\Programme\Synaptics\SynTP\SynTPLpr.exe
3948 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
2932 C:\Programme\Avira\AntiVir Desktop\AVGNT.EXE
656 C:\Programme\TrojanHunter 5.3\THGuard.exe
3912 C:\Programme\Spyware Terminator\SpywareTerminatorShield.Exe
3580 C:\WINDOWS\System32\CTFMON.EXE
3312 C:\Programme\Mozilla Firefox\firefox.exe
3176 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
3696 C:\Programme\ICQ7.4\ICQ.exe
3996 C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe
3736 C:\Programme\Asus\Asus ChkMail\ChkMail.exe
3252 C:\WINDOWS\ATK0100\ATKOSD.EXE
3416 C:\WINDOWS\System32\NOTEPAD.EXE
1308 C:\Dokumente und Einstellungen\STEFAN\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`77226600 (FAT32)

PhysicalDrive0 Model Number: HTS421280H9AT00, Rev: HA3OA70G

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

so, das waren die zwei, jetzt versuche ich mal das dritte Tool ans laufen zu bekommen.

GMER Logfile:
--- --- ---

Soo, hoffe du kannst was damit anfangen! Ich nämlich nicht ;-)

Dank und Gruß!

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

2011/05/31 21:02:52.0781 3052 TDSS rootkit removing tool 2.5.3.0 May 25 2011 07:09:24
2011/05/31 21:02:52.0890 3052 ================================================================================
2011/05/31 21:02:52.0890 3052 SystemInfo:
2011/05/31 21:02:52.0890 3052
2011/05/31 21:02:52.0890 3052 OS Version: 5.1.2600 ServicePack: 3.0
2011/05/31 21:02:52.0890 3052 Product type: Workstation
2011/05/31 21:02:52.0890 3052 ComputerName: NAME-C1AB6E28E8
2011/05/31 21:02:52.0890 3052 UserName: stefan
2011/05/31 21:02:52.0890 3052 Windows directory: C:\WINDOWS
2011/05/31 21:02:52.0890 3052 System windows directory: C:\WINDOWS
2011/05/31 21:02:52.0890 3052 Processor architecture: Intel x86
2011/05/31 21:02:52.0890 3052 Number of processors: 1
2011/05/31 21:02:52.0890 3052 Page size: 0x1000
2011/05/31 21:02:52.0890 3052 Boot type: Normal boot
2011/05/31 21:02:52.0890 3052 ================================================================================
2011/05/31 21:03:02.0406 3052 Initialize success
2011/05/31 21:03:06.0531 3400 ================================================================================
2011/05/31 21:03:06.0531 3400 Scan started
2011/05/31 21:03:06.0531 3400 Mode: Manual;
2011/05/31 21:03:06.0531 3400 ================================================================================
2011/05/31 21:03:07.0906 3400 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/05/31 21:03:07.0968 3400 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
2011/05/31 21:03:08.0234 3400 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/05/31 21:03:08.0421 3400 AFD (7618d5218f2a614672ec61a80d854a37) C:\WINDOWS\System32\drivers\afd.sys
2011/05/31 21:03:09.0468 3400 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/05/31 21:03:10.0156 3400 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/05/31 21:03:10.0187 3400 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/05/31 21:03:10.0593 3400 ati2mtag (2fbdfec8cd60cec3d55e615865333033) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/05/31 21:03:10.0703 3400 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/05/31 21:03:10.0875 3400 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/05/31 21:03:11.0046 3400 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/05/31 21:03:11.0218 3400 avgntflt (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/05/31 21:03:11.0375 3400 avipbb (5fedef54757b34fb611b9ec8fb399364) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/05/31 21:03:11.0437 3400 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/05/31 21:03:11.0500 3400 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/05/31 21:03:11.0781 3400 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/05/31 21:03:12.0000 3400 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/05/31 21:03:12.0218 3400 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/05/31 21:03:12.0640 3400 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/05/31 21:03:13.0031 3400 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/05/31 21:03:13.0875 3400 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/05/31 21:03:14.0156 3400 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/05/31 21:03:14.0406 3400 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/05/31 21:03:14.0468 3400 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/05/31 21:03:14.0734 3400 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/05/31 21:03:15.0156 3400 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/05/31 21:03:15.0390 3400 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/05/31 21:03:15.0578 3400 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/05/31 21:03:15.0796 3400 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/05/31 21:03:16.0000 3400 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/05/31 21:03:16.0109 3400 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/05/31 21:03:16.0156 3400 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/05/31 21:03:16.0203 3400 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/05/31 21:03:16.0390 3400 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/05/31 21:03:16.0515 3400 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/05/31 21:03:16.0890 3400 HSFHWAZL (88da551b653fce4fc56f9389a5c858b7) C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys
2011/05/31 21:03:17.0109 3400 HSF_DP (0d90b6c780156723e0991752ad94d278) C:\WINDOWS\system32\DRIVERS\HSF_DP.sys
2011/05/31 21:03:17.0250 3400 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/05/31 21:03:17.0906 3400 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/05/31 21:03:18.0109 3400 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/05/31 21:03:18.0593 3400 IntcAzAudAddService (b3ed6daa38bdffa48e453d7d6007ce1b) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/05/31 21:03:18.0937 3400 IntelIde (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/05/31 21:03:19.0031 3400 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/05/31 21:03:19.0140 3400 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/05/31 21:03:19.0203 3400 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/05/31 21:03:19.0406 3400 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/05/31 21:03:19.0640 3400 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/05/31 21:03:19.0843 3400 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/05/31 21:03:20.0046 3400 irda (aca5e7b54409f9cb5eed97ed0c81120e) C:\WINDOWS\system32\DRIVERS\irda.sys
2011/05/31 21:03:20.0281 3400 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/05/31 21:03:20.0421 3400 irsir (0501f0b9ab08425f8c0eacbdcc04aa32) C:\WINDOWS\system32\DRIVERS\irsir.sys
2011/05/31 21:03:20.0656 3400 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/05/31 21:03:20.0859 3400 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/05/31 21:03:21.0062 3400 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/05/31 21:03:21.0187 3400 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/05/31 21:03:21.0546 3400 mdmxsdk (3c318b9cd391371bed62126581ee9961) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
2011/05/31 21:03:21.0656 3400 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/05/31 21:03:21.0843 3400 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/05/31 21:03:22.0015 3400 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/05/31 21:03:22.0203 3400 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/05/31 21:03:22.0625 3400 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/05/31 21:03:22.0796 3400 MRxSmb (0ea4d8ed179b75f8afa7998ba22285ca) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/05/31 21:03:23.0000 3400 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/05/31 21:03:23.0203 3400 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/05/31 21:03:23.0390 3400 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/05/31 21:03:23.0703 3400 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/05/31 21:03:23.0796 3400 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/05/31 21:03:23.0921 3400 MTsensor (e333010a50bf603acc350f6019e9ce02) C:\WINDOWS\system32\DRIVERS\ATKACPI.sys
2011/05/31 21:03:24.0093 3400 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/05/31 21:03:24.0281 3400 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/05/31 21:03:24.0468 3400 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/05/31 21:03:24.0687 3400 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/05/31 21:03:24.0859 3400 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/05/31 21:03:24.0984 3400 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/05/31 21:03:25.0156 3400 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/05/31 21:03:25.0359 3400 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/05/31 21:03:25.0625 3400 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/05/31 21:03:25.0796 3400 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/05/31 21:03:26.0000 3400 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/05/31 21:03:26.0093 3400 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/05/31 21:03:26.0156 3400 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/05/31 21:03:26.0203 3400 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/05/31 21:03:26.0390 3400 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/05/31 21:03:26.0562 3400 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/05/31 21:03:26.0734 3400 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/05/31 21:03:26.0796 3400 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/05/31 21:03:26.0921 3400 pavboot (3adb8bd6154a3ef87496e8fce9c22493) C:\WINDOWS\system32\drivers\pavboot.sys
2011/05/31 21:03:27.0093 3400 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/05/31 21:03:27.0484 3400 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/05/31 21:03:27.0687 3400 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
2011/05/31 21:03:29.0093 3400 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/05/31 21:03:29.0265 3400 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/05/31 21:03:29.0312 3400 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/05/31 21:03:30.0421 3400 R592 (1f459f1c726790f6ca34a0fb3d50292d) C:\WINDOWS\system32\DRIVERS\R592.sys
2011/05/31 21:03:30.0468 3400 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/05/31 21:03:30.0640 3400 Rasirda (0207d26ddf796a193ccd9f83047bb5fc) C:\WINDOWS\system32\DRIVERS\rasirda.sys
2011/05/31 21:03:30.0796 3400 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/05/31 21:03:30.0968 3400 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/05/31 21:03:31.0000 3400 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/05/31 21:03:31.0171 3400 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/05/31 21:03:31.0218 3400 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/05/31 21:03:31.0406 3400 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/05/31 21:03:31.0625 3400 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/05/31 21:03:31.0796 3400 risdpntk (66ab0104acd972c415662941176932f5) C:\WINDOWS\system32\DRIVERS\risdpntk.sys
2011/05/31 21:03:32.0046 3400 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/05/31 21:03:32.0250 3400 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
2011/05/31 21:03:32.0406 3400 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/05/31 21:03:33.0000 3400 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/05/31 21:03:33.0171 3400 sp_rsdrv2 (8831252bcf05fcfb5abd116a22e552d8) C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2011/05/31 21:03:33.0390 3400 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/05/31 21:03:33.0531 3400 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/05/31 21:03:33.0765 3400 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/05/31 21:03:33.0937 3400 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/05/31 21:03:34.0109 3400 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/05/31 21:03:35.0062 3400 SynTP (55a7c2667ff752fabcae7e6b6df52a10) C:\WINDOWS\system32\DRIVERS\SynTP.sys
2011/05/31 21:03:35.0281 3400 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/05/31 21:03:35.0437 3400 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/05/31 21:03:35.0640 3400 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/05/31 21:03:35.0828 3400 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/05/31 21:03:36.0000 3400 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/05/31 21:03:36.0359 3400 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/05/31 21:03:36.0640 3400 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/05/31 21:03:36.0796 3400 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/05/31 21:03:36.0953 3400 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/05/31 21:03:37.0125 3400 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/05/31 21:03:37.0265 3400 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/05/31 21:03:37.0453 3400 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/05/31 21:03:37.0843 3400 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/05/31 21:03:38.0109 3400 w29n51 (f0608f3b5b6d16f4870e867f9d069b6b) C:\WINDOWS\system32\DRIVERS\w29n51.sys
2011/05/31 21:03:38.0328 3400 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/05/31 21:03:38.0718 3400 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/05/31 21:03:38.0906 3400 winachsf (448f0de9b06386a4dd605d28c0cc5feb) C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys
2011/05/31 21:03:39.0125 3400 yukonwxp (a81a1f8c2a50f72fda9c686aa85bf151) C:\WINDOWS\system32\DRIVERS\yukonwxp.sys
2011/05/31 21:03:39.0171 3400 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
2011/05/31 21:03:39.0296 3400 ================================================================================
2011/05/31 21:03:39.0296 3400 Scan finished
2011/05/31 21:03:39.0312 3400 ================================================================================
2011/05/31 21:03:39.0328 3564 Detected object count: 0
2011/05/31 21:03:39.0328 3564 Actual detected object count: 0

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:
--- --- ---

Also das lief irgendwie anders als beschrieben... cofi hat den rechner neu gestartet und jetzt zeigt mir antivir an das es maleware gefunden hat:

Datei: C:/cofi.exe/handle.cfxxe Programm: TR/CryptXPACK.Gen

Das ist ein Fehlalarm, CF ist keine Malware. Weil Virenscanner da häufig Fehlalarme in CF melden, soll man sie ja gerade deaktivieren.

Systempartition nach NTFS konvertieren:

1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!

Anschließend Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hi,

es kommt: Convert kann nicht ausgeführt werden, da das Volumen von einem anderen Prozess verwendet wird. Die Bereitstellung des Volumen muss zuerst aufgenommen werden.
Alle offenen Bezüge sind dann ungültig....

Trotzdem Ja?

Dank und Gruß

Ja, hab ich ja angedeutet:

4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit Online Solutions :: Index

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 131):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xF7ADC000 \WINDOWS\system32\KDCOM.DLL
0xF79EC000 \WINDOWS\system32\BOOTVID.dll
0xF74AC000 ACPI.sys
0xF7ADE000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF749B000 pci.sys
0xF75DC000 isapnp.sys
0xF75EC000 ohci1394.sys
0xF75FC000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF79F0000 compbatt.sys
0xF79F4000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7BA4000 pciide.sys
0xF785C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7AE0000 intelide.sys
0xF747D000 pcmcia.sys
0xF760C000 MountMgr.sys
0xF745E000 ftdisk.sys
0xF79F8000 ACPIEC.sys
0xF7BA5000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7864000 PartMgr.sys
0xF786C000 pavboot.sys
0xF761C000 VolSnap.sys
0xF7446000 atapi.sys
0xF762C000 disk.sys
0xF763C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7426000 fltmgr.sys
0xF7414000 sr.sys
0xF73FD000 KSecDD.sys
0xF7370000 Ntfs.sys
0xF7343000 NDIS.sys
0xF7874000 risdpntk.sys
0xF764C000 R592.sys
0xF7329000 Mup.sys
0xF7AE6000 \SystemRoot\system32\DRIVERS\ATKACPI.sys
0xF769C000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF71DB000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF71C7000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF719F000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7894000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF717B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF789C000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7158000 \SystemRoot\system32\DRIVERS\yukonwxp.sys
0xF76AC000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF6F3A000 \SystemRoot\system32\DRIVERS\w29n51.sys
0xF76BC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF78C4000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF6F0C000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AEA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF78D4000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF76CC000 \SystemRoot\System32\Drivers\Serial.SYS
0xF78E4000 \SystemRoot\system32\DRIVERS\irsir.sys
0xF7A88000 \SystemRoot\system32\DRIVERS\irenum.sys
0xF6EF8000 \SystemRoot\system32\DRIVERS\parport.sys
0xF76DC000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF76EC000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF76FC000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6ED5000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7AA0000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF7C4B000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF78FC000 \SystemRoot\system32\DRIVERS\rasirda.sys
0xF790C000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF770C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7AAC000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6E96000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF771C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF772C000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF6DE5000 \SystemRoot\system32\DRIVERS\psched.sys
0xF773C000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF792C000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF793C000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF774C000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7AF0000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6D87000 \SystemRoot\system32\DRIVERS\update.sys
0xF7ABC000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF777C000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF2A54000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xF2A30000 \SystemRoot\system32\drivers\portcls.sys
0xF778C000 \SystemRoot\system32\drivers\drmk.sys
0xF2A08000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xF290A000 \SystemRoot\system32\DRIVERS\HSF_DP.sys
0xF285E000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xF7964000 \SystemRoot\System32\Drivers\Modem.SYS
0xF779C000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7AF6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7C86000 \SystemRoot\System32\Drivers\Null.SYS
0xF7AFA000 \SystemRoot\System32\Drivers\Beep.SYS
0xF799C000 \SystemRoot\System32\drivers\vga.sys
0xF7AFE000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B02000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF79AC000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF79BC000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF6ECD000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF282B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF27D2000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF2782000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF275C000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF273A000 \SystemRoot\System32\drivers\afd.sys
0xF77AC000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF77BC000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF79D4000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF2717000 \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
0xF77CC000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF264C000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF25DC000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF77DC000 \SystemRoot\System32\Drivers\Fips.SYS
0xF25B6000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B0A000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF781C000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF2576000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B16000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7AC0000 \SystemRoot\System32\drivers\Dxapi.sys
0xF78EC000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BD6000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF04D000 \SystemRoot\System32\ati2cqag.dll
0xBF07F000 \SystemRoot\System32\atikvmag.dll
0xBF0B1000 \SystemRoot\System32\ati3duag.dll
0xBF2E2000 \SystemRoot\System32\ativvaxx.dll
0xB86AB000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB857D000 \SystemRoot\system32\DRIVERS\irda.sys
0xB86CC000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB8410000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB84DD000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xB8250000 \SystemRoot\system32\DRIVERS\srv.sys
0xB8033000 \SystemRoot\system32\drivers\wdmaud.sys
0xB8328000 \SystemRoot\system32\drivers\sysaudio.sys
0xB7BF2000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 39):
0 System Idle Process
4 System
800 C:\WINDOWS\system32\smss.exe
864 csrss.exe
900 C:\WINDOWS\system32\winlogon.exe
948 C:\WINDOWS\system32\services.exe
960 C:\WINDOWS\system32\lsass.exe
1124 C:\WINDOWS\system32\ati2evxx.exe
1148 C:\WINDOWS\system32\svchost.exe
1256 svchost.exe
1300 C:\WINDOWS\system32\svchost.exe
1484 svchost.exe
1532 svchost.exe
1808 C:\WINDOWS\system32\spoolsv.exe
1852 C:\Programme\Avira\AntiVir Desktop\sched.exe
1892 svchost.exe
1948 C:\Programme\Avira\AntiVir Desktop\avguard.exe
2000 C:\Programme\Spyware Terminator\sp_rsser.exe
184 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
512 alg.exe
444 C:\WINDOWS\system32\ati2evxx.exe
1012 C:\WINDOWS\explorer.exe
2112 C:\WINDOWS\ATK0100\HControl.exe
2196 C:\WINDOWS\RTHDCPL.exe
2244 C:\Programme\Asus\ASUS Live Update\ALU.exe
2280 C:\Programme\Asus\Power4 Gear\BatteryLife.exe
2296 C:\Programme\Asus\Wireless Console\wcourier.exe
2320 C:\Programme\Synaptics\SynTP\SynTPLpr.exe
2336 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
2360 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2492 C:\Programme\TrojanHunter 5.3\THGuard.exe
2632 C:\Programme\Spyware Terminator\SpywareTerminatorShield.Exe
2664 C:\WINDOWS\ATK0100\ATKOSD.exe
2700 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
2740 C:\Programme\ICQ7.4\ICQ.exe
2976 C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe
3116 C:\Programme\Asus\Asus ChkMail\ChkMail.exe
2080 C:\Programme\Mozilla Firefox\firefox.exe
2692 C:\Dokumente und Einstellungen\stefan\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`77226600 (NTFS)

PhysicalDrive0 Model Number: HTS421280H9AT00, Rev: HA3OA70G

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Sieht ok aus. GMER ging nicht? Hat das Konvertieren geklappt?

Hi,
GMER will irgendwie nicht... das Konvertieren scheint funktioniert zu haben.
Ist der Rechner jetzt also frei von Maleware? War jetzt überhaupt was drauf? Durch den Neustart von Combofix hat sich antivir automatisch gestartet! Sicher, dass die drei Funde tatsächlich Fehlalarme waren?

Vielen Dank für deine Mühe!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6729

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.06.2011 13:46:37
mbam-log-2011-06-01 (13-46-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 157478
Laufzeit: 13 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/01/2011 at 02:57 PM

Application Version : 4.53.1000

Core Rules Database Version : 7174
Trace Rules Database Version: 4986

Scan type : Complete Scan
Total Scan Time : 01:00:41

Memory items scanned : 437
Memory threats detected : 0
Registry items scanned : 3798
Registry threats detected : 0
File items scanned : 45757
File threats detected : 7

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\stefan\Cookies\stefan@ar.atwola[1].txt
C:\Dokumente und Einstellungen\stefan\Cookies\stefan@atwola[1].txt
C:\Dokumente und Einstellungen\stefan\Cookies\stefan@at.atwola[2].txt
C:\Dokumente und Einstellungen\stefan\Cookies\stefan@tacoda.at.atwola[1].txt
C:\Dokumente und Einstellungen\stefan\Cookies\stefan@atdmt[1].txt
C:\Dokumente und Einstellungen\stefan\Cookies\stefan@cdn.at.atwola[1].txt
C:\Dokumente und Einstellungen\Stefan_2\Cookies\stefan_2@doubleclick[2].txt

Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6743

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.06.2011 15:16:00
mbam-log-2011-06-01 (15-16-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 154849
Laufzeit: 9 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sieht schonmal gut aus. Das von ESET kommt noch?

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=fb4e3e5da37c774e88453faf54667392
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-01 02:08:23
# local_time=2011-06-01 04:08:23 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 93 362798 43475158 250646 0
# compatibility_mode=7937 16777213 100 100 176102 16298548 0 0
# compatibility_mode=8192 67108863 100 0 220 220 0 0
# scanned=37626
# found=0
# cleaned=0
# scan_time=2622

Hier ist es. Hat etwas gedauert bis der Scan durchgelaufen ist.

Ja, es wurden nur Coookies gefunden.
Rechner wieder im Lot?

Hi,

vielen Dank für deine Mühe!Der Rechner läuft wie immer! War ja auch nie das Problem, sondern der gesperrte Bank Account durch Trojaner die angeblich auf meinem PC waren war das Problem. Gefunden hab ich im Endeffect nichts, aber ich denke so kann ich die Reaktivierung jetzt in Angriff nehmen, oder was meinst du?

Gruß und Dank!

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Vielen Dank für deine Hilfe!

Gruß
Ohmann