Hallo Zusamen,

meinen WinXP-Rechner hat es auch leider erwischt. Mehrere Virenscans haben Nichts relevantes endeckt. Das jashla-Fenster kommt unter allen Benutzer-Accounts und im abgesicherten Modus. Deswegen konnte ich nur die Variante mit OTLPE-Bootcd durchführen. Die anonymisierte OTL-Datei ist anbei.

Ich bitte höflichst um Hilfestellung!

PS. Bei Interesse wüsste ich ziemlich genau, wo ich den Virus eingefangen habe, da ich nach einem speziellen iPhone-Thema gegoogelt habe.

Viele Grüße

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Bestätige den Disclaimer mit OK.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hallo Swiss,

der Anfang war schon mal sehr vielversprechend! Der Patient ist noch am Leben... Was soll ich als Nächstes machen?

Viele Grüße in die Schweiz

shell.txt anonymisiert

Code: Alles auswählenAufklappen

ATTFilter

WIN_XP X86

Modified HKCU shell extension. Current Shell File = 
WIN_XP X86

Modified HKLM shell extension. Current Shell File = C:\Dokumente und Einstellungen\User4\Anwendungsdaten\jashla.exe
Modified HKCU shell extension. Current Shell File = 
File C:\Dokumente und Einstellungen\User4\Anwendungsdaten\jashla.exe moved to F:\ or not found
Filemoved to F:\ or not found

HKLM\..\WInlogon, Shell = explorer.exe
HKCU\..\Winlogon, Shell = explorer.exe
         

Schritt 1

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system?
           

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Hallo Swiss,

vielen Dank für deine Anweisungen von gestern Abend. Bin grade dabei, sie auszuführen und habe nun eine Zwischenmeldung.

Der betroffene Rechner ist grundsätzlich vom Netz und somit vom Internet getrennt. Nur zum Aktualisieren von Malwarebytes (Schritt 1) habe ich ihn kurz mit dem Netz verbunden und dann wieder sofort getrennt. Nach dem Scan erfolgte ein automatischer Neustart. Danach folgte der CustomScan mit OTL (Schritt 2). Und als Der durch war wollte ich den Rechner manuell neustarten und da stand plötzlich im Herunterfahren-Dialog "Updates installieren und herunterfahren". Von dem letzten Patch-Day von Microsoft habe ich noch keine Updates installiert gehabt (Urlaub). Die Einstellung für aut. Updates ist z.Zt. seltsamerweise "Aut. Runterladen, Zeitpunkt manuell", früher hatte ich das auf komplett automatisch. Was mich nur stützig macht, ist die kurze Dauer, in der der Rechner am Netz war. Ich habe jedenfalls die Option gewällt nur "Neu starten" und mache nun mit dem Schritt 3 weiter.

Logdateien poste ich gleich alle zusammen.

Viele Grüße in die Schweiz

Hallo Swiss,

nun sind alle von Dir genannten Scans erfolgreich durchgelaufen. Ich hoffe auf eine positive Nachricht von Dir!

Schönes Wochenende!

Malwarebytes Log

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7440

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.08.2011 09:50:55
mbam-log-2011-08-12 (09-50-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 253782
Laufzeit: 5 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\8B.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
         

OTL Extras Log

Code: Alles auswählenAufklappen

ATTFilter

passte leider nicht rein, also s. bitte Anhang
         

OTL Log

Code: Alles auswählenAufklappen

ATTFilter

passte leider nicht rein, also s. bitte Anhang
         

GMER Log

[CODE]
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-12 14:55:36
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD1600AAJS-60PSA0 rev.21.12M22
Running: xd9kfq4q.exe; Driver: C:\DOKUME~1\User4\LOKALE~1\Temp\kwrcqpod.sys


---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                                         GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\Tcpip \Device\Tcp                                                                        GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\usbhub \Device\00000077                                                                  hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\00000078                                                                  hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\00000079                                                                  hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\Tcpip \Device\Udp                                                                        GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\Tcpip \Device\RawIp                                                                      GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\usbuhci \Device\USBFDO-0                                                                 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-1                                                                 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbehci \Device\USBFDO-2                                                                 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\usbuhci \Device\USBFDO-3                                                                 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-4                                                                 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbehci \Device\USBFDO-5                                                                 hcmon.sys (VMware USB monitor/VMware, Inc.)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                         fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0060573257bd                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0060573257bd@001e3a37d3f9         0x4E 0xCB 0x7C 0x67 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0060573257bd (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0060573257bd@001e3a37d3f9             0x4E 0xCB 0x7C 0x67 ...

---- EOF - GMER 1.0.15 ----
         

--- --- ---

Schritt 1

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [Infium]  File not found
O15 - HKCU\..Trusted Domains: altova.com ([www] http in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: brabantiashop.de ([www] https in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: icq.com ([www] https in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: opel.de ([www] http in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: oracle.com ([shop] https in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: pmdwh-services ([]http in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Ranges: Range1 ([http] in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Ranges: Range2 ([http] in Vertrauenswürdige Sites)
O33 - MountPoints2\{34bc4583-b113-11df-aad4-005056c00008}\Shell\AutoRun\command - "" = H:\start.exe
:Commands
[purity]
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Bestehen noch Probleme?

Hallo Swiss,

vielen herzlichen Dank für Deine Hilfe! Super, dass es TROJANER-BOARD gibt!

Fix ist eingespielt und es sind keine weiteren Probleme bis jetzt aufgetretten.

OTL Log

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Infium deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\altova.com\www\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\brabantiashop.de\www\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\icq.com\www\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\opel.de\www\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\oracle.com\shop\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pmdwh-services\ deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1\\http deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range2\\http deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{34bc4583-b113-11df-aad4-005056c00008}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34bc4583-b113-11df-aad4-005056c00008}\ not found.
File H:\start.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 18654668 bytes
->Temporary Internet Files folder emptied: 7832714 bytes
->FireFox cache emptied: 15670655 bytes
->Flash cache emptied: 405 bytes
 
User: Superuser
->Temp folder emptied: 585706 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: User1
->Temp folder emptied: 162967 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->FireFox cache emptied: 86716312 bytes
->Flash cache emptied: 405 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: User2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: User3
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: User5
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: User6
 
User: User4
->Temp folder emptied: 2585992757 bytes
->Temporary Internet Files folder emptied: 63573160 bytes
->Java cache emptied: 10701953 bytes
->FireFox cache emptied: 55100542 bytes
->Google Chrome cache emptied: 183146082 bytes
->Apple Safari cache emptied: 11792384 bytes
->Flash cache emptied: 2696111 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 1262983 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 63283813 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 2.964,00 mb
 
 
OTL by OldTimer - Version 3.2.26.1 log created on 08152011_101452

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\User4\Lokale Einstellungen\Temp\WCESLog.log moved successfully.
C:\WINDOWS\temp\Perflib_Perfdata_3f8.dat moved successfully.
File move failed. C:\WINDOWS\temp\vmware-serverd.log scheduled to be moved on reboot.

Registry entries deleted on Reboot...
         

Dafür habe ich heute noch eine Mail bekommen mit folgendem Inhalt:

Ermittlungsverfahren Urheberrechtsverletzung

Code: Alles auswählenAufklappen

ATTFilter

Guten Tag,

in obiger Angelegenheit zeigen wir die anwaltliche Vertretung und Interessenwahrung der Universal Pictures International Germany GmbH an.

Gegenstand unserer Beauftragung ist eine von Ihrem Internetanschluss aus im sogenannten Peer-to-Peer-Netzwerk 
begangene Urheberrechtsverletzung an Werken unseres Mandanten. Unser Mandant ist Inhaber der ausschliesslichen
Nutzungs- und Verwertungsrechte im Sinne der §§ 15ff UrhG bzw. § 31 UrhG an diesen Werken, bei denen es sich um
geschutzte Werke nach § 2 Abs 1 Nr. 1 UrhG handelt.

Durch das Herunterladen urherberrechtlich geschutzer Werke haben sie sich laut § 106 Abs 1 UrhG i.V. mit
§§ 15,17,19 Abs. 2 pp UrhG nachweislich strafbar gemacht.
Bei ihrem Internetanschluss sind mehrere Downloads von musikalischen Werken dokumentiert worden.

Aufgrund dieser Daten wurde bei der zustandigen Staatsanwaltschaft am Firmensitz unseres Mandanten Strafanzeige
gegen Sie erstellt. 

Aktenzeichen: 309 Js 877/82 Sta Stuttgart

Ihre IP Adresse zum Tatzeitpunkt: 119.281.145.11 

Illegal heruntergeladene musikalische Stucke (mp3): 68

Illegal hochgeladene musikalische Stucke (mp3): 828 

Wie Sie vielleicht schon aus den Medien mitbekommen haben, werden heutzutage Urheberrechtverletzungen
erfolgreich vor Gerichten verteidigt, was in der Regel zu einer hohen Geldstrafe sowie Gerichtskosten fuhrt.
Genau aus diesem Grund unterbreitet unsere Kanzlei ihnen nun folgendes Angebot:
Um weiteren Ermittlungen der Staatsanwaltschaft und anderen offiziellen Unannehmlichkeiten wie Hausdurchsuchungen und Gerichtsterminen aus dem Weg zu gehen, gestatten wir ihnen den Schadensersatzanspruch 
unseres Mandanten aussergerichtlich zu lösen.
Wir bitten Sie deshalb den Schadensersatzanspruch von 100 Euro bis zum 18.08.2011 sicher und unkompliziert
mit einer UKASH-Karte zu bezahlen. Eine Ukash ist die sicherste Bezahlmethode im Internet und 
fur Jedermann anonym an Tankstellen, Kiosken etc. zu erwerben.
Weitere Informationen zum Ukash-Verfahren erhalten Sie unter: hxxp://www.ukash.com/de 

Nachdem Sie den Ukash oder Paysafecard* Voucher gekauft haben, schicken Sie die 16 oder 19 stellige Voucher Nummer an unsere email Adresse mit der eingabe ihrer Aktenzeichen.

Email: info@apw-anwaelte.info 

* alternativ konnen Sie auch mit Paysafecard zahlen
Link: hxxp://www.paysafecard.com/de

Geben Sie bei Ihrer Zahlung bitte ihr Aktenzeichen an!

Sollten sie diesen Bezahlvorgang ablehnen bzw. wir bis zur angesetzten Frist keinen 19- stelligen 
Ukash PIN-Code im Wert von 100 Euro erhalten haben(oder gleichwertiges Paysafecard Coupon), wird der Schadensersatzanspruch offiziell
aufrecht erhalten und das Ermittlungsverfahren mit allen Konsequenzen wird eingeleitet. Sie erhalten
dieses Schreiben daraufhin nochmals auf dem normalen Postweg.

Hochachtungsvoll,
Rechtsanwaltskanzlei Auffenberg, Petzold & Witte
         

Jashla lässt grüßen...

Viele Grüße in die Schweiz

Dieses Mail einfach ignorieren und löschen.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Swiss,

hier ist der ESET-Log. Ist der Rechner nun clean?

Viele Grüße in die Schweiz

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=d8b2afcd93274e4798483dda91f22bbd
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-16 12:00:30
# local_time=2011-08-16 02:00:30 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=4096 16777215 100 0 99526209 99526209 0 0
# compatibility_mode=8192 67108863 100 0 438 438 0 0
# scanned=167558
# found=0
# cleaned=0
# scan_time=9351
         

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo Swiss,

hier ist der OTL-Log. Extras wurde nicht erzeugt.

Code: Alles auswählenAufklappen

ATTFilter

passte leider nicht rein, s. bitte Anhang
         

Viele Grüße in die Schweiz

Logfile ist sauber

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Systemwiederherstellung mit OTL leeren

Lade Dir (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

Code: Alles auswählenAufklappen

ATTFilter

:Commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[reboot]
         

• und füge es hier ein:
  
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klicke auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart wird Dein Editor mit einem Textdokument geöffnet.
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

Schritt 2

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


Schritt 3

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 4

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.

• SpywareBlaster
  Eine kurze Einführung findest du Hier
  
  
• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
  Hinweis: MBAM ersetzt keine Anti- Viren- Software.
  
  
• Temp File Cleaner
  TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
  Ausserdem hilft es Deinen Computer zu beschleunigen.
  Du kannst Dir TFC ( by OldTimer ) hier downloaden.
  
  
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  
  
• Halte Dein System aktuell
  Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
  Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
  Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.
  
  
• Halte Deine Software aktuell
  Der einfachste Weg dafür ist der Secunia Online Software.

Schritt 5

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.

• NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  
  
• AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.
  
  
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hallo Swiss,

Job is Done!

Vielen herzlichen Dank für Deine Hilfe!

Viele Grüße in die Schweiz

OTL Log:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== COMMANDS ==========
Restore points cleared and new OTL Restore Point set!
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Superuser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: User1
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: User2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: User3
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: User5
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: User6
 
User: User4
->Temp folder emptied: 3793160295 bytes
->Temporary Internet Files folder emptied: 9702066 bytes
->Java cache emptied: 5624657 bytes
->FireFox cache emptied: 44049810 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 866 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 531490 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 3.675,00 mb
 
 
OTL by OldTimer - Version 3.2.26.5 log created on 08222011_111120

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\User4\Lokale Einstellungen\Temp\WCESLog.log moved successfully.
C:\WINDOWS\temp\Perflib_Perfdata_610.dat moved successfully.
File move failed. C:\WINDOWS\temp\vmware-serverd.log scheduled to be moved on reboot.

Registry entries deleted on Reboot...
         

Noch Fragen?