sodala:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Prefs.js: "Claro Search" removed from browser.search.defaultenginename
Prefs.js: "Claro Search" removed from browser.search.order.1
Prefs.js: ffxtlbr@claro.com:1.5.0 removed from extensions.enabledAddons
Prefs.js: "hxxp://www.claro-search.com/?affID=114506&tt=3912_4&babsrc=KW_clro&mntrId=529c611a0000000000000018deaddf4d&q=" removed from keyword.URL
C:\Dokumente und Einstellungen\Katie.PC308434332191\Anwendungsdaten\Mozilla\Firefox\Profiles\ken3j9kx.default\extensions\ffxtlbr@claro.com\content\imgs\flgs folder moved successfully.
C:\Dokumente und Einstellungen\Katie.PC308434332191\Anwendungsdaten\Mozilla\Firefox\Profiles\ken3j9kx.default\extensions\ffxtlbr@claro.com\content\imgs folder moved successfully.
C:\Dokumente und Einstellungen\Katie.PC308434332191\Anwendungsdaten\Mozilla\Firefox\Profiles\ken3j9kx.default\extensions\ffxtlbr@claro.com\content folder moved successfully.
C:\Dokumente und Einstellungen\Katie.PC308434332191\Anwendungsdaten\Mozilla\Firefox\Profiles\ken3j9kx.default\extensions\ffxtlbr@claro.com\components folder moved successfully.
C:\Dokumente und Einstellungen\Katie.PC308434332191\Anwendungsdaten\Mozilla\Firefox\Profiles\ken3j9kx.default\extensions\ffxtlbr@claro.com folder moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\Katie.PC308434332191\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Katie.PC308434332191\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 4003480 bytes
 
User: Kathi
 
User: Katie
->Temp folder emptied: 9743467 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 100525961 bytes
->Flash cache emptied: 10874 bytes
 
User: Katie.PC308434332191
->Temp folder emptied: 73555790 bytes
->Temporary Internet Files folder emptied: 72895280 bytes
->Java cache emptied: 131832 bytes
->FireFox cache emptied: 123139170 bytes
->Flash cache emptied: 15909 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 16786 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1877441 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 309474 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 368,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.69.0 log created on 11302012_122045

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

untenstehend der log von mam - eset kann ich erst morgen liefern

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.30.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Katie :: PC308434332191 [limitiert]

30.11.2012 12:53:07
mbam-log-2012-11-30 (12-53-07).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 282614
Laufzeit: 28 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

lg und schönen Freitag noch

Guten Morgen,

untenstehend jetzt auch der ESET Log - wie kann es sein, dass dieses doofe Softonic immer noch da ist - hab doch bereits manuell alles gelöscht *grrrr*

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=1851d399f0c95945bc3d40c4ae41d2d5
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-12-01 12:30:56
# local_time=2012-12-01 01:30:56 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1280 16777191 100 0 2529391 2529391 0 0
# compatibility_mode=8192 67108863 100 0 3959 3959 0 0
# scanned=120880
# found=6
# cleaned=0
# scan_time=8470
C:\System Volume Information\_restore{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP108\A0033486.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP90\A0027298.exe	a variant of Win32/InstallBrain.H application (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP90\A0027316.dll	probably a variant of Win32/bProtector.A application (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP90\A0027317.exe	a variant of Win32/bProtector.A application (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP90\A0027318.exe	probably a variant of Win32/bProtector.A application (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP90\A0028335.dll	Win32/Toolbar.Funmoods application (unable to clean)	00000000000000000000000000000000	I
         

lg und schönen Samstag
Kathi

Sieht soweit ok aus, die ESET-Funde sind nur Rest in der Systemwiederherstellung

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hello,

Zitat:

Sieht soweit ok aus, die ESET-Funde sind nur Rest in der Systemwiederherstellung

muss ich irgendetwas spezielles machen, damit die funde aus der Systemwiederherstellung verschwinden? Ich will ja nicht den Teufel an die Wand malen, aber falls ich mal in den Genuss komme und die Systemwiederherstellung benötige, stelle ich dann nicht auch diese nervigen Dinger wieder her?

ich werd dann mal die Option mit dem "Browserverlauf & Cookies automatisch nach Beendigung der Sitzung" wählen.

Ansonsten rennt das Ding einwandfrei und die nervige Clarosearch Sache ist ja nun auch komplett weg.

Danke für deine tolle Unterstützung und deine Zeit

Kann ich jetzt eigentlich die ganze Programme (Combofix, OTL, MBAR, FSS, adwcleaner, tdss, GMER und aswmbr) löschen bzw. deinstallieren?

Malewarebytes werde ich mir sicherheitshalber behalten.

lg
Kathi

Zitat:

muss ich irgendetwas spezielles machen, damit die funde aus der Systemwiederherstellung verschwinden?

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
Das Deaktivieren der SWH löscht alle Wiederherstellungspunkte. Wenn das erledigt ist, sollte sie unbedingt wieder aktiviert werden.



Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallihallo,

habe so ziemlich alles entfernt / upgedatet wie von dir beschrieben.

Jetzt hab ich noch eine Frage:

Auf dem Desktop wurde eine MBR Datei erstellt (von malewarebytes oder einem anderen Tool) - kann ich das auch löschen? (siehe Screenshot anbei)

lg
Kathi

Die kann weg, aswMBR hat die Datei erstellt

achso - na guti

Danke nochmal für deine Hilfe
Wenn dann mal der Weihnachtsstress vorbei ist, werde ich mich mal unserem Desktop PC widmen - der ist nämlich (auch) nicht ganz sauber.

Wünsch dir jetzt schon mal schöne (und vor allem stressfreie) Weihnachten!

lg
Kathi