Hi und guten Abend.
Zu aller erst: ich verstehe nicht viel von dem Fachchinesisch hier.

Seit Sonntag habe ich anscheinend einen Virus/Trojaner/Wurm/was auch immer auf meinem PC.
Samstag früh was alles noch in Ordnung, dann war ich bis zum Abend weg. In der Zeit bis zum Abend waren meine Geschwister noch am PC.
Am Samstag Abend habe ich dann eine Meldung von Antivir bekommen (als ich auf eurosport.de gesurft habe). Habe ich garnicht weiter beachtet, ich glaube ich habe auf "Zugriff verweigern" geklickt.
Am Sonntag morgen öffnete sich auf einmal ein Fenster von einem "Antivirus-Programm", es spammte mich auf'm Desktop mit Virusmeldungen voll und forderte mich auf das Programm zu kaufen. Mir war gleich klar, dass es sich um etwas handelt, dass sich nicht auf einem PC befinden sollte. Ich versuchte Antivir zu öffnen -> ging nicht, da "beschädigt" laut dem "Anti"Virus-Programm. Gleiches bei dem Versuch Ad-Aware 2008 von Lavasoft zu öffnen.
Ansonsten wurden noch IE-Fenster zu Porno und Viagra-Seiten geöffnet, beim Öffnen des Taskmanagers wurde eben dieser direkt geschlossen und die gesamte Taskleiste wurde von diesen Windows-Sicherheitshinweisen zugemüllt (weiße X auf rotem Schild und gelbes Ausrufezeichen). Jede Sekunde kam ein neues hinzu...

Nunja, denn habe ich Malwarebytes Anti-Malware installiert (nach einem Neustart, bevor sich dieser Schund erneut gemeldet hat, ansonsten reagierts garnicht auf eine Klick). Habe allerdings kein Update durchgeführt, MWB auf'm Stand von 01.07.09. Habe den PC durchsuscht, ein Fund, irgendein Trojaner. Entfernt, dann kam eine englische Meldung auf hellblauem Grund, von wegem was kann nicht gelöscht werden oder so, hab's in meiner Hektik schnell geschlossen.

Denne habe ich erstmal meine Passwörter (auf einem sauberen PC) geändert und den befallenen PC vom Internet getrennt.

Heute Abend habe ich den PC gestartet, den Task-Manager, Antivir und Malwarebytes geöffnet bevor dieses Drecksprogramm gestartet hat.
Habe es erstmal die beiden Antiviren-Porgamme scannen lassen und nach einiger Zeit im Task-Manager bemerkt, dass ein Prozess einen unglaublich hohen Wert hat (Name: dieusysguard.exe oder so mit 50.000 K). Habe den dann beendet und Zack -> alle Meldungen etc. von dem Virus oder was auch immer sind verschwunden. Dann habe ich Antivir und Malwarbytes suchen lassen, MWB hat ein File gefunden:
HKEY_CURRENT_USER\SOFTWARE\AvScan
Anbieter: Trojan.FakeAlet
Kategoie: Registry Key

Ich habe es "entfernt", also in Quarantände geschoben.

Nun habe ich meinen PC nochmal gestartet, es hat sich bisher noch kein unerwünschtes Programm geöffnet... Allerdings gibt's im Task-Manager wieder einen Prozess namen dieusysguard.exe, Anwender HP_Administratorm verbraucht ca. 9100 K.

Ist jetzt alles wieder heile? Oder wie kann ich es noch überprüfen? Habt ihr Vermutungen? Der lange Text wirkt sicher abscheckend, aber ich hoffe ihr hilft mir, wäre echt dankbar.

Würde mich denn hier morgen Nachmittag nach der Schule melden.

Grüße aus Berlin

Hallo und

Wieso kein Update für Malwarebytes?
Bitte die Logs von dem Malwarebytes (das ohne die Updates) auch posten.

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Quatsch, sorry, Malwarebytes ist aktuell (Stand 07.01.10).

So, schlechte Nachricht: Das Drecksprogramm hat sich wieder geöffnet. Es nennt sich übrigens "Antivirus Live". Ich hatte den Taskmanager offen, also habe ich den Prozess dieusysguard.exe beendet und zack - wieder war's weg.
So, hier 2 Logfiles von Malwarebytes und eines von Hijackthis.
Hoffe du kannst was darauslesen.
http://www.file-upload.net/download-.../Logs.zip.html

Danke und Gruß

Edit: Habe Win XP SP 3 falls es was nützt.

Edit: CCleaner habe ich jetzt so wie in der Anleitung ausgeführt. Bin jetzt erstmal weg und komme in 2, 3 Stunden wieder.

HijackThis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat:

O4 - HKLM\..\Run: [lfamaffv] C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\yyiocj\dieusysguard.exe
O4 - HKCU\..\Run: [lfamaffv] C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\yyiocj\dieusysguard.exe

Klicke Fixed checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Avenger
1.) Lade dir das Tool Avenger2 und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Zitat:

Files to delete:
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\yyiocj

Drivers to delete:
H8SRTd.sys

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier im Thread.

Habe alles so gemacht wie du es gesagt hast. Im Task-Manager finde ich jetzt kein "diesysguard.exe"-Prozess mehr. Danke.
Hier der Log von Avenger:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: "C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\yyiocj" is a folder, not a file!
Deletion of file "C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\yyiocj" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
  --> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\H8SRTd.sys" not found!
Deletion of driver "H8SRTd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Ist jetzt alles in Ordnung?

Danke nochmal und Gruß

TFCleaner
Download TFC.exe by OldTimer zum Desktop
Schliesse alle Fenster und doppelklick TFC.exe um das Programm zu starten
Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator"
Lasse Temp File Cleaner seine Arbeit tun
Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu


ComboFix © (by sUBs)
Download ComboFix © by sUBs und speichert es auf den Desktop!
Waehrend ComboFix runter geladen wird aendere Combofix um in cofi.exe und nicht nachher wenn CF schon auf dein Rechner steht



Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut

Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte combofix.exe
Note:Vista
Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten.
Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen.

Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combo-fix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung

Danke!
Habe beides ausgeführt.
Beim ComboFix kam noch die Meldung, dass irgendwelche Drives oder was auch immer beendet werden müssen. Deshalb ist der PC neugestartet und AntiVir dann dann doch aktiv und hat bei sich einmal gemeldet, weil es Malware gefunden hat. Ich hoffe es ist nicht schlimm. Edit: Oh, wie ich sehe, war ComboFix die "Malware" und ich auf "in Quarantäne verschieben" geklickt, während CF das System gescannt hat. Nicht schlimm, hoffe ich, oder?
Und ich habe leider auch vergessen, die Datei cofix.exe zu nennen, sorry. Ich hoffe auch nicht schlimm.

Hier der Log zu Combo Fix.

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-01-26.01 - HP_Administrator 26.01.2010  20:02:35.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1633 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\HP_Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\yyiocj
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\yyiocj\dieusysguard.exe
c:\windows\jestertb.dll
c:\windows\kb913800.exe
D:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2009-12-26 bis 2010-01-26  ))))))))))))))))))))))))))))))
.

2010-01-26 18:17 . 2010-01-26 18:17	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2010-01-26 18:17 . 2009-12-07 14:10	2953352	-c--a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}\Ad-AwareInstallation.exe
2010-01-26 14:03 . 2010-01-26 14:03	--------	d-----w-	c:\programme\CCleaner
2010-01-26 13:38 . 2010-01-26 13:38	388096	----a-r-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-24 09:35 . 2010-01-24 09:35	--------	d-----w-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Malwarebytes
2010-01-24 09:35 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-24 09:35 . 2010-01-24 09:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-24 09:35 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-01-24 09:35 . 2010-01-24 09:35	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-01-13 16:05 . 2009-11-21 15:54	471552	------w-	c:\windows\system32\dllcache\aclayers.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-26 18:59 . 2009-11-07 16:57	--------	d-----w-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\DNA
2010-01-26 18:54 . 2009-11-07 16:57	--------	d-----w-	c:\programme\DNA
2010-01-26 18:52 . 2005-10-12 12:07	506558	----a-w-	c:\windows\system32\perfh007.dat
2010-01-26 18:52 . 2005-10-12 12:07	106220	----a-w-	c:\windows\system32\perfc007.dat
2010-01-26 18:17 . 2007-11-04 21:38	--------	d-----w-	c:\programme\Lavasoft
2010-01-26 18:17 . 2008-09-17 16:18	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-01-22 14:40 . 2008-02-13 18:09	--------	d-----w-	c:\programme\Microsoft Silverlight
2010-01-19 06:22 . 2009-04-01 09:43	1	----a-w-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-17 17:33 . 2007-02-22 16:34	--------	d-----w-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\temp
2010-01-11 15:05 . 2009-10-08 20:22	--------	d-----w-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\foobar2000
2010-01-07 16:15 . 2009-08-01 19:00	--------	d-----w-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\uTorrent
2010-01-05 09:52 . 2004-08-10 04:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-01-05 09:52 . 2004-08-10 04:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-01-05 09:52 . 2004-08-10 04:00	17408	------w-	c:\windows\system32\corpol.dll
2009-12-18 18:20 . 2009-12-18 18:20	29184	----a-r-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Microsoft\Installer\{21AE04E8-EBF6-40DB-9AA9-B7A80C5D057D}\Icon21AE04E8.exe
2009-12-18 18:20 . 2009-12-18 18:20	--------	d-----w-	c:\programme\mkv2vob
2009-12-11 16:45 . 2009-12-05 16:23	--------	d-----w-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Move Networks
2009-12-07 17:58 . 2009-04-02 17:53	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-02 13:19 . 2010-01-26 18:20	64288	----a-w-	c:\windows\system32\drivers\Lbd.sys
2009-11-21 15:54 . 2004-08-10 04:00	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-21 12:43 . 2009-11-21 12:43	10134	----a-r-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2007-01-16 18:45 . 2007-01-16 18:45	251	----a-w-	c:\programme\wt3d.ini
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"BitTorrent DNA"="c:\programme\DNA\btdna.exe" [2009-11-13 323392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="realsched.exe  -osboot" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"ftutil2"="ftutil2.dll" [2004-06-07 106496]
"AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-02 77312]
"DMAScheduler"="c:\programme\HP DigitalMedia Archive\DMAScheduler.exe" [2006-04-13 90112]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"HPBootOp"="c:\programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2006-02-15 249856]
"HP Software Update"="c:\programme\HP\HP Software Update\HPwuSchd2.exe" [2005-02-17 49152]
"SetDefPrt"="c:\programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2007-06-29 286720]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2007-05-11 2512392]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"nwiz"="nwiz.exe" [2009-02-18 1657376]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\windows\system32\logonui.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0oodbs

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\DNA\\btdna.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [26.01.2010 19:20 64288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.04.2009 18:53 108289]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [20.09.2008 15:15 33792]
R3 WN5301;LIteon Wireless PCI Network Adapter Service;c:\windows\system32\drivers\wn5301.sys [02.01.2006 16:48 468768]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27.10.2007 13:59 685816]
S2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe --> c:\programme\MAGIX\Common\Database\bin\fbserver.exe [?]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [02.12.2009 14:19 1181328]
.
Inhalt des "geplante Tasks" Ordners

2010-01-26 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 18:20]

2010-01-26 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 18:20]

2010-01-26 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 18:20]

2010-01-26 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 18:20]

2010-01-26 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 18:20]

2009-12-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
FF - ProfilePath - c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\dmjslg8g.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=vmn&type=vendio&p=
FF - plugin: c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\dmjslg8g.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\dmjslg8g.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-26 20:06
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2327356585-1122440754-34451561-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
@SACL=

[HKEY_USERS\S-1-5-21-2327356585-1122440754-34451561-1007\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:fd,b7,69,9b,ec,56,a3,bf,04,ab,76,5e,d5,54,8b,68,df,48,83,b9,10,d4,5b,
   2e,15,1c,34,4d,33,a0,4a,c9,71,8f,e0,d5,d1,f4,90,81,8b,89,68,3c,97,24,34,4d,\
"??"=hex:d0,1c,ab,56,40,ed,17,b7,6e,b1,22,d0,b6,64,ab,95

[HKEY_USERS\S-1-5-21-2327356585-1122440754-34451561-1007\Software\SecuROM\License information*]
"datasecu"=hex:5e,d4,d6,ab,53,96,ec,a7,00,ab,85,6c,8b,d0,3c,bb,08,7f,ca,72,f3,
   56,69,8f,0a,a6,02,28,03,0f,da,0a,3e,60,41,4a,97,1a,7a,ca,fb,88,ab,3b,e6,0d,\
"rkeysecu"=hex:5e,1b,46,0b,9c,39,a5,06,aa,57,b1,f0,fd,67,a4,ef

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="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"
"OODEFRAG10.00.00.01WORKSTATION"="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"
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
.
Zeit der Fertigstellung: 2010-01-26  20:07:54
ComboFix-quarantined-files.txt  2010-01-26 19:07

Vor Suchlauf: 13 Verzeichnis(se), 18.230.734.848 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 18.200.997.888 Bytes frei

- - End Of File - - 2778D5A75DF69B39B7932D1C793AD079
         

Achja, ganz komisch war, dass ich nach dem ausführen von CF ein InternetExplorer-Icon auf'm Desktio hatte, welches vorher nicht da war.

CombiFix entfernen
Start > Ausführen> Kopiere rein combofix /uninstall OK

Update Malwarebytes Anti-Malware und fuehre ein Vollstaendigen Suchlauf durch
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen

Vielen Dank für die tolle Unterstützung. Echt klasse.

Habe beides nun ausgeführt. Nach dem Update hat MBAM jetzt noch 2 Files gefunden. Hier der Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3645
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.01.2010 17:11:23
mbam-log-2010-01-27 (17-11-23).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 236245
Laufzeit: 50 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP921\A0186157.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP920\A0186056.sys (Malware.Trace) -> Quarantined and deleted successfully.
         

Ansonsten ist alles prima und bei mir öffnen sich auch keine unerwünschten Programme oder so.

Gibt's sonst noch was zu beachten oder ist jetzt alles ok?

Danke und Grüße aus Berlin

Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u18 zum Desktop
Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u18-windows-i586-iftw-rv.exe


Alles gute,Happy surfing again

Jop, habe ich auch bemerkt, habe bereits vorhin die Version aktualisiert. Adobe Reader habe ich auch aktualisiert.

Damit wäre wohl alles geklärt.

Danke vielmals für die klasse Hilfe.

Gruß aus Berlin

Schaue mal hin und wieder bei Secunia vorbei ob es noch Updates gibt fuer Programme

Sorry,
das ich mich hier zuschalte, hatte das gleiche Problem,wie von berlin1892, habe sehr viel heute auch auf US Seiten empfohlene Programme durchprobiert, wie hier:

h**p://deletemalware.blogspot.com/2010/01/how-to-remove-antivirus-soft-fake.html

hat aber alles nicht richtig geholfen. Habe auch immer versucht die jeweiligen Programme, wie "Malwarebytes' Anti-Malware" oder "Spybot - Search & Destroy" im abgesicherten Modus bei mir auf Windows XP Pro laufen zu lassen.

Was schließlich geholfen hat (bis jetzt) war die Suche in der registry, ich habe ein Programm namens: iawbsftav.exe/alert.htm

entdeckt, dies über Suchfunktion (ebenfalls im abgesicherten Modus) manuell in einem Ordner lokalisiert und dann gelöscht, seitdem ist Ruhe.

der Pfad dahin sah so aus:
C:\Documents%20and%20Settings\Benutzer\Local%20Settings\Application%20Data\nnayfv\iawbsftav.exe/alert.htm

Ich hoffe das hilft auch anderen Betroffenen, eventuell,
Gruß, B.

Hallo,

ich habe am letzten Dienstag, 2. Februar, das gleiche Problem gehabt. Antivirus Soft hat sich bei mir eingemistet. Fast alle Programme waren nicht zu öffnen (wurden sofort wieder geschlossen), nur die Browser gingen ... und alle paar Sekunden klappten Warnmeldungen auf sowie Porno- und Viagra-Seiten.

Ich habe aber eine Schwachstelle im Schadprogramm gefunden: Es startet nach dem Rebooten erst mit Verzögerung, in dieser Zeit kann man ein paar Sicherheitsprogramme starten. Ergebnis:

Malwarbytes findet nichts!
Sophos Anti-Rootkit dauert ewig und findet nichts
Super Anti-Spyware findet 13 schädliche Cookies ...

Diese habe ich gelöscht und oh Wunder, der Zauber war vorbei

Ich kann Anti Super-Spyware herzlich empfehlen! Die Gratis-Version reicht aus, würde aber gerne die Vollversion kaufen, aber nicht per Kreditkarte, ob Paypal auch geht? Weiß das jemand?

Hatte viel zu tun, sonst hätte ich Mittwoch schon geschrieben, dennoch möchte ich euch informieren.

Beste Grüße

Micha