Hallo!

OTL:

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Recovery\ deleted successfully.
========== COMMANDS ==========
 
OTL by OldTimer - Version 3.2.24.1 log created on 07032011_092609
         

MBAM:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 7010

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

03.07.2011 09:34:43
mbam-log-2011-07-03 (09-34-43).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 201692
Laufzeit: 4 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

SAS:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 07/03/2011 bei 10:31 AM

Version der Applikation : 4.55.1000

Version der Kern-Datenbank : 7368
Version der Spur-Datenbank : 5180

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:50:20

Gescannte Speicherelemente  : 608
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 10014
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 39446
Erfasste Datei-Elemente   : 0
         

Ergebnis Virus Total: hxxp://www.virustotal.com/file-scan/report.html?id=b28dda912427d049a9d8b05ab522f653f7f7dd5c30fd07493c62aea1251baaf8-1309696253# (Was sind das für Angaben?)

Fragen:
- Inwiefern "umgeleitet"? Ich werde auf keine merkwürdigen Seiten geleitet, es öffnet sich auch nichts.
- Allerdings sind nach dem OTL-Fix die versteckten Dateien wieder sichtbar.
- Den CTFMON-Remover habe ich vor Ewigkeiten mal eingesetzt, weil die ctfom.exe mir beim Programmstart mal Probleme gemacht hat und irgendwie zweimal vorhanden war oder so. Ist aber, wie gesagt, schon ewig her. Auf jeden Fall ist die EXE nicht mehr im Autostart - wenn dies aber sein MUSS oder ohne Probleme sein KANN, darfs natürlich auch behoben werden.

Beste Grüße!

Hallo deckbett,

Zitat:

Zitat von deckbett

(Was sind das für Angaben?)

VirusTotal prüft eine Datei mit über 40 Scannern hintereinander. Dies wird oft bei Dateien eingesetzt, bei denen man nicht sicher sagen kann, ob sie schädlich sind oder nicht. VT hilft manchmal bei solchen Entscheidungen.

Zitat:

Zitat von deckbett

- Inwiefern "umgeleitet"? Ich werde auf keine merkwürdigen Seiten geleitet, es öffnet sich auch nichts.

Mein Fehler, du wurdest ja auf keine Seiten umgeleitet. Das ist jedoch typisch für das TDSS Rootkit, mit dem du infiziert warst.
Die beiden IE-Prozesse, von denen du gesprochen hast, sollten nun allerdings nicht mehr im Taskmanager zu sehen sein (bei geschlossenem IE).

Zitat:

Zitat von deckbett

- Allerdings sind nach dem OTL-Fix die versteckten Dateien wieder sichtbar.

Ok, muss ich mir nochmal genauer ansehen. Bitte die verscheckten Dateien wieder "unsichtbar" machen, siehe dazu Schritt # 1.

Zitat:

Zitat von deckbett

- Den CTFMON-Remover habe ich vor Ewigkeiten mal eingesetzt, weil die ctfom.exe mir beim Programmstart mal Probleme gemacht hat und irgendwie zweimal vorhanden war oder so. Ist aber, wie gesagt, schon ewig her. Auf jeden Fall ist die EXE nicht mehr im Autostart - wenn dies aber sein MUSS oder ohne Probleme sein KANN, darfs natürlich auch behoben werden.

Vielen Dank für die Informationen.




Schritt # 1: Systemdateien verstecken
Gehe bitte auf Start -> Computer --> Organisieren --> Ordner und Suchoptionen.
Wechsle auf den Reiter Ansicht.

• Setze den Hacken bei Geschützte Systemdateien ausblenden ( empfohlen )
• Setze den Hacken bei Erweiterungen bei bekannten Dateitypen ausblenden
• Aktiviere Alle Dateien und Ordner nicht anzeigen

Drücke auf Übernehmen und OK

Lösche keinesfalls Ordner oder Dateien ohne Anweisung





Schritt # 2: Java deinstallieren/neu installieren

• Schließe alle Internet Browser.
• Folge dem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
• Deinstalliere bitte Java(TM) 6 Update 23
• Lade dir anschließend Java(TM) 6 Update 26 von hier auf deinen Desktop.
• Installiere anschließend die neue Version mit Rechtsklick -> Als Administrator ausführen

Schritt # 3: Wichtige Updates

• Deinstalliere bitte deine aktuelle Version von Adobe Reader:
  Start --> Systemsteuerung --> Programme deinstallieren --> Adobe Reader
  und lade dir die neue Version von Hier herunter.
• Entferne den Hacken für den McAfee SecurityScan.

Schritt # 4: ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code: Alles auswählenAufklappen

ATTFilter

"%ProgramFiles%\Eset\Eset Online Scanner\log.txt"
         

Poste nun den Inhalt der log.txt.





Schritt # 5: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
• Poste den Inhalt bitte hier.

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des ESET Online Scanners und
• das Logfile von SecurityCheck.

Hallo!

ESET:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=0474a9054f5ffb4fb13e986cbea44e29
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-05 11:40:04
# local_time=2011-07-05 01:40:04 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 94 350361 46394871 343137 0
# compatibility_mode=5892 16776573 100 100 2054 147390743 0 0
# compatibility_mode=8192 67108863 100 0 109 109 0 0
# scanned=185090
# found=0
# cleaned=0
# scan_time=7989
         

Security Check:

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 0.99.17  
 Windows Vista Service Pack 2 (UAC is enabled) 
 Internet Explorer 8  
`````````````````````````````` 
Antivirus/Firewall Check: 
 Avira AntiVir Personal - Free Antivirus 
 ESET Online Scanner v3   
 WMI entry may not exist for antivirus; attempting automatic update. 
 Avira successfully updated! 
``````````````````````````````` 
Anti-malware/Other Utilities Check: 
 Malwarebytes' Anti-Malware    
 Java(TM) 6 Update 26  
Flash Player Out of Date! 
 Adobe Flash Player 	10.2.152.26  
 Adobe Reader X (10.1.0) 
 Mozilla Firefox (x86 de..) 
```````````````````````````````` 
Process Check:  
objlist.exe by Laurent 
 Spybot Teatimer.exe is disabled! 
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
``````````End of Log````````````
         

Hallo deckbett,





Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code: Alles auswählenAufklappen

ATTFilter

Combofix /Uninstall
         

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.





Schritt # 2: Systembereinigung mit OTL
Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Button Bereinigung.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Schritt # 3: Programme deinstallieren/löschen

• Deinstalliere/Lösche gegebenenfalls weitere Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.

Schritt # 4: TeaTimer aktivieren

• Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein
• Klicke dann links unten auf "Werkzeuge"
• Klicke auf "Resident"
• Das Häkchen bei Resident "TeaTimer" hinzufügen(Schutz aller Systemeinstellungen)
• Spybot Search&Destroy schließen
• Rechner neu starten.
  Bebilderte Anleitung.

Schritt # 5: ESET Online Scanner

• Ich würde dir empfehlen, 1 mal pro Woche auch mit diesem Scanner dein System zu prüfen.
• Möchtest Du ESET denoch deinstallieren:
  Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.
  
  Code: Alles auswählenAufklappen

  ATTFilter

  "%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"
           

• Drücke OK.

Schritt # 6: Adobe Flash Player aktualisieren

• Lade dir die neuste Version des Flash Players von Adobe für Firefox und den Internet Explorer herunter.
• Installiere die neuste Version auf deinem Computer.

Schritt # 7: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

• Windows + R Taste drücken.
• Kopiere nun folgenden Text in die Kommandozeile:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl
           

• Klicke auf Ok.
• Stelle sicher, dass die automatischen Updates aktiviert sind.
• Downloade und installiere gegebenenfalls alle verfügbaren Updates.

Schritt # 8: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.

• Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
• Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
  • Malwarebytes' Anti-Malware
  • SuperAntiSpyware
  • Emsisoft AntiMalware
• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Eine Einführung findest du hier
• Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
• Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
• Verwende keine Keygens, Cracks oder andere illegale Software!
• Wähle bei der Installation eines Programms immer die benutzerdefinierte Variante. Somit kannst du unnötige Toolbars, etc. abwählen!
• Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!

Schritt # 9: Passwörter ändern

• Du warst mit Malware infiziert, die Passwörter ausspäht.
• Darum bitte ich dich, alle deine Passwörter (E-Mail, Ebay, Amazon, Online Banking, Facebook, etc.) zu ändern.

Schritt # 10: Deine Rückmeldung
Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.

Wow, super, dafür bedanke ich mich schonmal!

- Passwörter sind zwar nicht wenige, werden demnächst aber alle geändert,
- ComboFix ist deinstalliert,
- OTL automatisch und
- die anderen genutzten Programme manuell entfernt.

ABER:

- Unter "C:" habe ich die beiden Ordner "Boot" und "MSOCache", die mir vorher zumindest nicht aufgefallen sind.
- Ist es korrekt, dass sowohl der Ordner "Programme" UND "ProgramData" existieren?

- Unter "Benutzer" ebenfalls: "Default" und "IUSR_NMPR" sind mir irgendwie neu... (Zusätzlich zu "Benutzer1". "Benutzer2", "Gast" und "Öffentlich".)

- Außerdem bei allen Benutzern: sichtbarer "AppData"-Ordner und zwei oder mehr "NTUSER.DAT" mit unterschiedlichen Endungen und Groß-/Kleinschreibung.

Ansonsten komme ich zu allen meinen Ordnern/Dateien problemlos.

- TeaTimer: Kann es sein, dass dieser (nach Systemstart) ordentlich CPU verbraucht?!

- Ich benutze zukünftig folgende Programme:
* Malwarebytes' Anti-Malware (neu)
* SuperAntiSpyware (neu)
* SpywareBlaster
* Spybot S&D
* Avira Antivir
* ClearProg

"Fehlt" da noch irgendwas, bzw. passen von meiner Kombi manche nicht zusammen?
Generell lasse ich meine Sicherheitsprogramme regelmäßig updaten und kontrollieren.
Auch die Defragmentierung lasse ich einmal pro Monat laufen, außerdem speichere ich in diesem Intervall meine Daten auf einer externen Festplatte.

Gibt es eigtl. Programme, die einem auch das System "sauberhalten"? Z.B. fiel mir durch die Kontrolle wieder auf, dass sich unter "Programme" immer wieder Ordner ansammeln, die man nicht mehr benötigt, weil das Programm dazu gar nicht mehr existiert. Ich finde das immer ganz fürchterlich und denke mir, dass das auf Dauer ja auch nicht so gut sein kann für die Leistung des Rechners...?

Eine Frage zum "Echtzeitschutz" von SUPERAntiSpyware: Dieser ist derzeit deaktiviert - soll das so bleiben? Es läuft ja auch Antivir und nun auch Spybot.

Diese sogenannten Filesharing-Programme, Keygens und Cracks sollten bei mir eigentlich nicht "ins Haus kommen", da ich noch nicht mal weiß, was das ist. *g*

Eine Frage bzgl. Spam-E-Mails: Ich bin bei Yahoo und nutze die Filterfunktion. Dennoch kann ich im Spam-Ordner Mails öffnen (weil manchmal ja auch wichtiges darin landet, bzw. manche Mails abgemeldet werden könnten) - kann dabei was passieren? Viel bekomme ich da eh nicht.

Ja, das wäre erstmal mein Fragenkatalog. *g*

Nochmals danke und bis demnächst!

Hallo deckbett,

Zitat:

Zitat von deckbett

- Unter "C:" habe ich die beiden Ordner "Boot" und "MSOCache", die mir vorher zumindest nicht aufgefallen sind.
- Ist es korrekt, dass sowohl der Ordner "Programme" UND "ProgramData" existieren?

Die vier von dir genannten Ordner sind alle legitim. Es besteht kein Grund zur Sorge. Sie befinden sich auch auf meinem Rechner.

Zitat:

Zitat von deckbett

- Unter "Benutzer" ebenfalls: "Default" und "IUSR_NMPR" sind mir irgendwie neu... (Zusätzlich zu "Benutzer1". "Benutzer2", "Gast" und "Öffentlich".)

Zitat:

Zitat von deckbett

- Außerdem bei allen Benutzern: sichtbarer "AppData"-Ordner und zwei oder mehr "NTUSER.DAT" mit unterschiedlichen Endungen und Groß-/Kleinschreibung.

Das sind alles legale Dateien und Ordner. Bei IUSR_NMPR handelt es sich um einen Gastaccount oder einen Internetnutzungsaccount.
Vergewissere dich, dass alle versteckten Dateien und Systemdateien nicht angezeigt werden:

Gehe bitte auf Start --> Systemsteuerung --> Extras --> Ordneroptionen.
Wechsle auf den Reiter Ansicht.

• Setze den Hacken bei Geschützte Systemdateien ausblenden ( empfohlen )
• Setze den Hacken bei Erweiterungen bei bekannten Dateitypen ausblenden
• Aktiviere Alle Dateien und Ordner nicht anzeigen

Drücke auf Übernehmen und OK

Zitat:

Zitat von deckbett

- TeaTimer: Kann es sein, dass dieser (nach Systemstart) ordentlich CPU verbraucht?!

Ja, das ist möglich. Wenn du MBAM und SAS verwendest, kannst du auch auf Spybot verzichten.

Zitat:

Zitat von deckbett

- Ich benutze zukünftig folgende Programme:
* Malwarebytes' Anti-Malware (neu)
* SuperAntiSpyware (neu)
* SpywareBlaster
* Spybot S&D
* Avira Antivir
* ClearProg

"Fehlt" da noch irgendwas, bzw. passen von meiner Kombi manche nicht zusammen?

Die Programme sollten sich nicht in die Quere kommen. Wenn du deinen Computer routinemäßige auf Malware überprüfst darfst du nur nicht alle Programme gleichzeitig nach Schadsoftware suchen lassen, sondern immer nur eines.

Zitat:

Zitat von deckbett

Gibt es eigtl. Programme, die einem auch das System "sauberhalten"? Z.B. fiel mir durch die Kontrolle wieder auf, dass sich unter "Programme" immer wieder Ordner ansammeln, die man nicht mehr benötigt, weil das Programm dazu gar nicht mehr existiert. Ich finde das immer ganz fürchterlich und denke mir, dass das auf Dauer ja auch nicht so gut sein kann für die Leistung des Rechners...?

Sollte einmal ein Ordner von einer Deinstallation "übrig" sein, so kannst du diesen auch manuell löschen (sofern du sicher weißt, dass du das Programm deinstalliert hast und nicht mehr benötigst).

Zitat:

Zitat von deckbett

Eine Frage zum "Echtzeitschutz" von SUPERAntiSpyware: Dieser ist derzeit deaktiviert - soll das so bleiben? Es läuft ja auch Antivir und nun auch Spybot.

Mit SAS kannst du deinen Rechner, wie auch mit MBAM regelmäßig auf Malware überprüfen. Für den Echtzeitschutz müsstest du Geld zahlen, was aber meiner Meinung nicht notwendig ist.

Zitat:

Zitat von deckbett

Diese sogenannten Filesharing-Programme, Keygens und Cracks sollten bei mir eigentlich nicht "ins Haus kommen", da ich noch nicht mal weiß, was das ist. *g*

Umso besser....

Zitat:

Zitat von deckbett

Eine Frage bzgl. Spam-E-Mails: Ich bin bei Yahoo und nutze die Filterfunktion. Dennoch kann ich im Spam-Ordner Mails öffnen (weil manchmal ja auch wichtiges darin landet, bzw. manche Mails abgemeldet werden könnten) - kann dabei was passieren? Viel bekomme ich da eh nicht.

Mails, deren Absender ich nicht kenne, werden ohne zu öffnen in den Papierkorb verschoben und sofort gelöscht. Das ist mein Tipp. Für gewöhnlich "passiert" nur etwas, wenn du dir eine Datei auf den Rechner ladest, aber 100% sicher ist das auch nicht.

Zitat:

Zitat von deckbett

Nochmals danke und bis demnächst!

Naja, ich hoffe, dass wir uns, was Malware angeht, hier im Forum nicht mehr sehen werden; denn so kann ich hoffen, dass dein Rechner nicht nochmals infiziert wurde.

Ich bin froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.