Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo Cosinus,

hier der Log von aswMBR:
ich geh dann mal schlafen und schaue morgen Abend wieder rein. Danke für deine Hilfe!!!

viele Grüße

Peregrino

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-09 01:13:14
-----------------------------
01:13:14.113 OS Version: Windows x64 6.1.7601 Service Pack 1
01:13:14.113 Number of processors: 4 586 0x170A
01:13:14.113 ComputerName: THOM-PC UserName: Thom
01:13:16.500 Initialize success
01:13:19.168 AVAST engine defs: 11090802
01:13:42.552 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
01:13:42.552 Disk 0 Vendor: ST31500341AS CC4H Size: 1430799MB BusType: 3
01:13:42.583 Disk 0 MBR read successfully
01:13:42.583 Disk 0 MBR scan
01:13:42.583 Disk 0 Windows 7 default MBR code
01:13:42.599 Service scanning
01:13:44.034 Modules scanning
01:13:44.034 Disk 0 trace - called modules:
01:13:44.034 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys
01:13:44.034 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80065ec060]
01:13:44.034 3 CLASSPNP.SYS[fffff8800107543f] -> nt!IofCallDriver -> [0xfffffa8006330580]
01:13:44.050 5 ACPI.sys[fffff88000fac7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa8006332060]
01:13:45.282 AVAST engine scan C:\Windows
01:13:51.803 AVAST engine scan C:\Windows\system32
01:15:40.223 AVAST engine scan C:\Windows\system32\drivers
01:15:53.281 AVAST engine scan C:\Users\Thom
01:18:39.577 AVAST engine scan C:\ProgramData
01:20:44.595 Scan finished successfully
01:22:18.216 Disk 0 MBR has been saved successfully to "C:\Users\Thom\Desktop\MBR.dat"
01:22:18.216 The log file has been saved successfully to "C:\Users\Thom\Desktop\aswMBR.txt"

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Cosinus,
bin mit allen drei Scans durch. SuperAntispyware hat einen Trojaner gemeldet und bei Eset unverändert 4 Funde zum ursprünglichen Problem.
Bin gespannt auf deine Einschätzung.

viele Grüße

Peregrino

Hier also Eset:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=555c4e127bea5142a11bd093649f3e36
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-02 09:43:37
# local_time=2011-09-02 11:43:37 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=4096 16777215 100 0 63023480 63023480 0 0
# compatibility_mode=5893 16776573 100 94 248802 66622250 0 0
# compatibility_mode=8192 67108863 100 0 121 121 0 0
# scanned=201514
# found=5
# cleaned=0
# scan_time=7417
C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Thom\Documents\Programme z installieren\nicht gebrannt\Setup19_FreeFlvConverter.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Thom\Documents\Programme z installieren\nicht gebrannt\Setup_FreeFlvConverter.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Windows\Installer\532f0.msi a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
${Memory} a variant of Win32/Adware.Toolbar.Dealio application 00000000000000000000000000000000 I
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-08 07:37:29
# local_time=2011-09-08 09:37:29 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=4096 16777215 100 0 63533773 63533773 0 0
# compatibility_mode=5893 16776573 100 94 152173 67132543 0 0
# compatibility_mode=8192 67108863 100 0 510414 510414 0 0
# scanned=199085
# found=5
# cleaned=0
# scan_time=7956
C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Thom\Documents\Programme z installieren\nicht gebrannt\Setup19_FreeFlvConverter.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Thom\Documents\Programme z installieren\nicht gebrannt\Setup_FreeFlvConverter.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Windows\Installer\532f0.msi a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
${Memory} a variant of Win32/Adware.Toolbar.Dealio application 00000000000000000000000000000000 I
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=555c4e127bea5142a11bd093649f3e36
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-09 08:52:04
# local_time=2011-09-09 10:52:04 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=4096 16777215 100 0 63625257 63625257 0 0
# compatibility_mode=5893 16776573 100 94 22310 67224027 0 0
# compatibility_mode=8192 67108863 100 0 601898 601898 0 0
# scanned=199397
# found=4
# cleaned=0
# scan_time=7347
C:\Users\Thom\Documents\Programme z installieren\nicht gebrannt\Setup19_FreeFlvConverter.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Thom\Documents\Programme z installieren\nicht gebrannt\Setup_FreeFlvConverter.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Windows\Installer\532f0.msi a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\09082011_225335\C_Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I

dann SuperAntispyware:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 09/09/2011 at 08:39 PM

Application Version : 5.0.1118

Core Rules Database Version : 7666
Trace Rules Database Version: 5478

Scan type : Complete Scan
Total Scan Time : 01:00:46

Operating System Information
Windows 7 Ultimate 64-bit, Service Pack 1 (Build 6.01.7601)
UAC Off - Administrator

Memory items scanned : 760
Memory threats detected : 0
Registry items scanned : 72122
Registry threats detected : 0
File items scanned : 81123
File threats detected : 12

Adware.Tracking Cookie
C:\Users\Thom\AppData\Roaming\Microsoft\Windows\Cookies\ZZX1FA2Q.txt
C:\Users\Thom\AppData\Roaming\Microsoft\Windows\Cookies\PXACUEUK.txt
C:\Users\Thom\AppData\Roaming\Microsoft\Windows\Cookies\SY89Z1V1.txt
C:\Users\Thom\AppData\Roaming\Microsoft\Windows\Cookies\TUI8M2ZY.txt
C:\Users\Thom\AppData\Roaming\Microsoft\Windows\Cookies\Z9U9MJAB.txt
C:\Users\Thom\AppData\Roaming\Microsoft\Windows\Cookies\U04GRYYO.txt
C:\Users\Thom\AppData\Roaming\Microsoft\Windows\Cookies\16SRIHLD.txt
C:\Users\Thom\AppData\Roaming\Microsoft\Windows\Cookies\OLWUI2MN.txt
C:\Users\Thom\AppData\Roaming\Microsoft\Windows\Cookies\NJ9P9O8T.txt
C:\Users\Thom\AppData\Roaming\Microsoft\Windows\Cookies\RXI6KBNU.txt
C:\Users\Thom\AppData\Roaming\Microsoft\Windows\Cookies\K46UAOK5.txt

Trojan.Agent/Gen-FraudTool[Tiny]
C:\_OTL\MOVEDFILES\09082011_225335\C_USERS\THOM\APPDATA\ROAMING\.#\MBX@B68@2427A0.###

Malwarebytes:

Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7681

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

09.09.2011 11:03:58
mbam-log-2011-09-09 (11-03-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 365538
Laufzeit: 34 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sieht ok aus, da wurden nur Cookies und (isolierte) Überreste gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Probleme habe ich nach wie vor mit der Maus, die bei einfachem Klicken Dateien oder Icons öffnet. Auch der Explorer stürzt regelmäßig ab, wenn ich etwas speichern möchte, bei verschiedensten Programmen.
Meinst du, ich sollte Ad Aware behalten oder kannst du mir etwas Besseres empfehlen?

Ansonsten bin ich sehr froh, dass der PC wieder suaber ist. Vielen Dank dafür. Ich bin echt froh, dass es euch gibt.
Weiter eine so tolle Arbeit.

Peregrino

Zitat:

Probleme habe ich nach wie vor mit der Maus, die bei einfachem Klicken Dateien oder Icons öffnet

Andere Maus probiert?

Zitat:

wenn ich etwas speichern möchte, bei verschiedensten Programmen.

Das ist jetzt nicht sehr genau...

Zitat:

Meinst du, ich sollte Ad Aware behalten oder kannst du mir etwas Besseres empfehlen?

Kannste getrost Abschied von nehmen

Hallo Cosinus,
ich versuche genauer zu sein.
das mit der Maus hat mit der Grafikoberfläche zu tun. Der IE ist z.B. transparent. Es passiert manchmal, dass ich auf etwas klicke wi bei einem Doenload unten an der Leiste bei der Auswahl ausführen oder speichern. Wenn ich normalerweise auf speichern klicke, erscheint als nächstes auf der selben Stelle abbrechen. Jetzt passiert es, dass mit dem Klick auf speichern gleichzeitig der nachfolgende Button aktiviert wird und ich nicht downloaden kann. Auch im Internet klicke ich auf etwas und die Ebene darunter wird gleichzeitig aktiviert.

Das Problem mit dem Speichern ist, dass wenn ich in Word, IE oder sonst einem Programm auf speichern unter gehe, normalerweise ein Menu mit der Auswahl der Ordner aufgeht. Das stürzt regelmäßig ab. Das Programm muss beendet und neu gestartet werden.

Wenn du einen Tipp dazu hast, bin ich sehr froh.
Ich nehme an, ich kann die ganzen Programme für die Scans wieder deinstallieren. Malwarebytes behalte ich natürlich.

viele Grüße

Peregrino

was für einen Registry Cleaner empfiehlst du für Win7 64bit? ccleaner? oder besser was anderes?

Warum will alle Welt die Registry bereinigen?

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Hallo,

am 7.9. hatte ich einen Trojaner, der mit eurer Hilfe beseitigt wurde. Jetzt ist er wieder da und ich habe keine Ahnung wie das kommt. Ich vermute, dass er noch aktiv war. Denn ich bekam von G-Data Antivir2010 Meldungen.

am 14.9.:
"Virenprüfung mit G Data AntiVirus
Version 20.2.4.2 (20.04.2010)
Virensignaturen vom 14.09.2011
Job: Lokale Festplatten
Startzeit: 14.09.2011 20:53:23
Virensignaturen:
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
RootKits prüfen: Ein

Prüfung der Systembereiche...
Prüfung auf RootKits...
Prüfung aller lokalen Festplatten...
Objekt: buildService\ClassType.class
In Archiv: C:\Users\Thom\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\28dce772-608b4af0
Status: Virus gefunden
Virus: Java:Agent-VA [Expl]
Objekt: buildService\MailAgent.class
In Archiv: C:\Users\Thom\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\28dce772-608b4af0
Status: Virus gefunden
Virus: Java:Agent-VB [Expl]
Objekt: 28dce772-608b4af0
Pfad: C:\Users\Thom\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50
Status: Virus gefunden
Virus: Java:Agent-VA [Expl], Java:Agent-VB [Expl]

Analyse vollständig durchgeführt: 14.09.2011 21:09:01
179558 Dateien überprüft
1 infizierte Dateien gefunden
0 verdächtige Dateien gefunden"

am 19.9.:
"Beim Öffnen der Datei "C:\Program Files (x86)\Z8Games\CrossFire\crossfire.exe" wurde der Virus "Win32:Malware-gen" entdeckt. Zugriff verweigert."

Das verstehe ich nicht. Ich benutze as Programm regelmäßig. Ich weiß nicht, wieso das infiziert sein soll. Ich habe es neu installieren müssen. Seitdem gab es auch keine Meldungen mehr.

und am 21.9.:
"Virenprüfung mit G Data AntiVirus
Version 20.2.4.2 (20.04.2010)
Virensignaturen vom 21.09.2011
Job: Lokale Festplatten
Startzeit: 21.09.2011 10:21:04
Virensignaturen:
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
RootKits prüfen: Ein

Prüfung der Systembereiche...
Prüfung auf RootKits...
Prüfung aller lokalen Festplatten...
Objekt: buildService\ClassType.class
In Archiv: C:\Users\Thom\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\28dce772-608b4af0
Status: Virus gefunden
Virus: Java:Agent-VA [Expl]
Objekt: buildService\MailAgent.class
In Archiv: C:\Users\Thom\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\28dce772-608b4af0
Status: Virus gefunden
Virus: Java:Agent-VB [Expl]
Objekt: 28dce772-608b4af0
Pfad: C:\Users\Thom\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50
Status: Virus gefunden
Virus: Java:Agent-VA [Expl], Java:Agent-VB [Expl]

Analyse vollständig durchgeführt: 21.09.2011 10:37:04
180493 Dateien überprüft
1 infizierte Dateien gefunden
0 verdächtige Dateien gefunden"

und:
"Beim Öffnen der Datei "C:\Users\Thom\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\28dce772-608b4af0->buildService\ClassType.class" wurde der Virus "Java:Agent-VA [Expl]" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Thom\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\28dce772-608b4af0->buildService\MailAgent.class" wurde der Virus "Java:Agent-VB [Expl]" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Thom\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\28dce772-608b4af0" wurde der Virus "Java:Agent-VA [Expl], Java:Agent-VB [Expl]" entdeckt. Zugriff verweigert."

Seltsam ist, dass zweimal bei einem Malwarebytes Scan das Antivirenprogramm meckerte und den Zugriff auf die Java-Datei verweigerte. Ich habe es dann ausgeschaltet.

habe wie beschrieben defogger angewendet und mit OTL, Malwarebytes und Eset einen Scan gemacht. Bei OTL einen Vollscan. Da gab es auch nur die OTL-Logdatei, keine zweite. Ich re-enable jetzt defogger wieder.

die Logs sind im Anhang. Ich wäre sehr froh, wenn da mal jemand drüber schauen könnte. Ich habe keine Ahnung, wo der Trojaner wieder herkommt.

vielen herzlichen Dank im voraus.

Hab die Themen mal zusammengeführt.
Warum kam kein Feedback mehr danach?

Hallo Arne,

danke fürs Zusammenführen. Ich bin mir nicht sicher zu welchem Thema du ein Feedback wolltest. Das mit der Maus hatte sich durch einen Austausch tatsächlich erledigt.
Das Problem mit dem Abspeichern von Dateien besteht immer noch. Ich habe daraufhin den PDF-Creator deinstalliert, da ich gelesen hatte,d ass der damit zusammen hängen kann. Ich habe gemerkt, dass wenn das Abspeichern problemlos funktioniert, auch der Trojaner gefunden wir. Ich habe mich schon gefragt, ob der irgend etwas mit einem Update zu tun hat und das Abspeichern reparieren soll. Aber das klingt absurd. Tatsache ist, dass nach dem Bereinigen - wie jetzt mit dem Antivirenprogramm - die Programme beim Betätigen von "Speichern unter" abstürzen.
Kannst du damit was anfangen?

viele Grüße

Peregrino

Nagut ich dachte da kommt noch was an Feedback nach dem Hinweis mit der Registry

Wann genau stürzt was beim speichern unter etwas ab bzw. was willst du da abspeichern ist das völlig egal was und mit welchem Programm?
Die neuen Logs sehen recht unauffällig aus.

also, eigentlich betrifft es alle Programme. Zumindest ist mir keines aufgefallen, dass aussen vor bleibt. Wenn ich bei z.B. bei Offceprogrammen speicerhn unter anklicke und dann das Menue aufgeht, wo ich den Pfad wählen soll, stürzt das Programm ab. Zumeist startet das Programm dann selber. Manchmal stürzt es zweimal ab, manchmal gar nicht. Bei IE, wenn ich per Rechtsklick abspeichern will, ist es genauso. Manchmal passiert es tagelang nicht. Dann wieder häufig. Für mich nicht nachvollziehbar.

Hilft das weiter?

viele Grüße

Peregrino