Ich habe ein Dell-Notebook, 64bit, Windows 7, Firefox, Avira Antivir, Zonealarm, CCleaner.
Am 9.9., habe ich folgende Meldung von Avira erhalten: Der Zugriff auf Y:\autorun.inf ist aus Sicherheitsgründen blockiert worden. Ich habe aber gar kein Laufwerk/Wechseldatenträger Y. Die Meldung ist anschließend nicht mehr aufgetaucht.

Weiter ist mir aufgefallen, dass im Administratoren-Konto unter C: der Ordner Programme doppelt auftaucht, wobei einer der Ordner gesperrt ist und auch nicht freigegeben werden kann. Auch der Zugriff auf andere System-Ordner ist gesperrt. Hat das so seine Richtigkeit?

Vielen Dank für die Hilfe und Grüße
Jasmina

P.s.: Folgende Aktionen habe ich vom Adminstratoren-Konto als Administrator ausgeführt:
Defooger ausgeführt
Malwarebytes ausgeführt
otl ausgeführt file ausgeführt
hijackthis ausgeführt

Die files hänge ich an.

Zitat:

Ich habe ein Dell-Notebook, 64bit, Windows 7, Firefox, Avira Antivir, Zonealarm, CCleaner.

ZoneAlarm ist völlig kontraproduktiver Quatsch, du solltest es umgehend deinstallieren und die Windows-Firewall nutzen.

Zitat:

Am 9.9., habe ich folgende Meldung von Avira erhalten: Der Zugriff auf Y:\autorun.inf ist aus Sicherheitsgründen blockiert worden. Ich habe aber gar kein Laufwerk/Wechseldatenträger Y. Die Meldung ist anschließend nicht mehr aufgetaucht.

Deswegen deaktiviert man ja auch aus Sicherheitsgründen die automatische Wiedergabe auf allen Laufwerken komplett! Einstellungen für automatische Wiedergabe ändern
Kann sich jeder ausmalen wie gefährlich das sein kann, wenn man einen fremden Stick ansteckt, dieser ist infiziert und dank aktivem Autorun wird der Schädling automatisch ausgeführt!

Zitat:

Malwarebytes ausgeführt

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Zitat:

otl ausgeführt file ausgeführt
hijackthis ausgeführt

OTL war kein CustomScan. Und HijackThis ist völlig obsolete.
Bitte beachten => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html

Hallo Arne,
vielen Dank für deine Antwort! Also: Zonealarm habe ich deinstalliert, Einstellungen für automatische Wiedergabe deaktiviert.
Der otl scan ist jetzt hoffentlich auch richtig (?) und anbei auch ein neuer scan mit malwarebyte. Ich hoffe, ich habe nun alles richtig gemacht.
Viele Grüße
Jasmina
P.s.: In Malwarebytes/Logdateien ist noch ein protection log, den hänge ich sicherheitshalber auch an.

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

So, hat was gedauert, aber hier nun die log von eset,
Grüße Jasmina
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=69081a717b6703468f3d7f83e414fbb1
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-11 06:42:28
# local_time=2011-09-11 08:42:28 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775165 100 94 178930 52302693 115963 0
# compatibility_mode=5893 16776574 100 94 6693113 67395722 0 0
# compatibility_mode=8192 67108863 100 0 225 225 0 0
# scanned=7921
# found=0
# cleaned=0
# scan_time=676
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=69081a717b6703468f3d7f83e414fbb1
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-11 08:16:39
# local_time=2011-09-11 10:16:39 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775165 100 94 179678 52303441 116711 0
# compatibility_mode=5893 16776574 100 94 6693861 67396470 0 0
# compatibility_mode=8192 67108863 100 0 973 973 0 0
# scanned=203845
# found=1
# cleaned=0
# scan_time=5578
C:\Program Files (x86)\Uniblue\RegistryBooster\rb_ubm.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I

Zitat:

C:\Program Files (x86)\Uniblue\RegistryBooster\rb_ubm.exe Win32/RegistryBooster application

Finger weg von diesem Schlangenöl!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Lieber Arne,
vielen Dank für deinen Hinweis! Zum Glück habe ich das Programm nicht genutzt und ist auch wieder deinstalliert. Ist denn CCleaner okay?
Die Meldung zu Y: autorun.inf' ist nicht mehr aufgetaucht. Beim Avira bericht habe ich Folgendes gefunden:
Beginne mit der Suche in 'C:\Users\Nico\Downloads\Setup.exe'
C:\Users\Nico\Downloads\Setup.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b2e5c5.qua' verschoben!
Was soll ich nun tun?

Vielen Dank,
Jasmina

Zitat:

Ist denn CCleaner okay?

Ja, aber KEINE Registrybereinigung durchführen! Und aufpassen was man löscht, hier gab es schon verzweifelte Hilferufe, weil der CCleaner die Histroy gelöscht hat und der TO das natürlich wie immer nicht wusste danach aber an die History ranmusste...


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\URLSearchHook: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files (x86)\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://plasmoo.com
IE - HKCU\..\URLSearchHook: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files (x86)\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.)
FF - prefs.js..browser.search.defaultenginename: "Plasmoo"
FF - prefs.js..browser.search.defaultthis.engineName: "ZoneAlarm-Sicherheit Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "ZoneAlarm-Sicherheit Customized Web Search"
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..keyword.URL: "http://plasmoo.com/index.htm?SearchMashine=true&q="
[2011.05.28 14:15:21 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\Administrator\AppData\Roaming\mozilla\Firefox\Profiles\3cers2zs.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011.09.10 17:29:01 | 000,000,000 | ---D | M] (ZoneAlarm-Sicherheit Community Toolbar) -- C:\Users\Administrator\AppData\Roaming\mozilla\Firefox\Profiles\3cers2zs.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}
[2011.05.20 18:05:47 | 000,000,000 | ---D | M] (Plasmoo Search Engine) -- C:\Users\Administrator\AppData\Roaming\mozilla\Firefox\Profiles\3cers2zs.default\extensions\engine@plasmoo.com
[2011.05.18 16:07:08 | 000,000,943 | ---- | M] () -- C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\3cers2zs.default\searchplugins\conduit.xml
[2011.04.28 19:42:58 | 000,001,975 | ---- | M] () -- C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\3cers2zs.default\searchplugins\plasmoo.xml
O2 - BHO: (Bing Bar BHO) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll (Microsoft Corporation)
O2 - BHO: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files (x86)\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (@C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll,-100) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files (x86)\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
[2011.09.10 16:38:10 | 000,000,000 | ---D | C] -- C:\Windows\Internet Logs
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

okay, mache ich.

im anhang der otl logfile

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

okay, mache ich.

ja, es gibt unter dokumente einige ordner, die ich nicht öffnen kann und die mit einem Schloss Sambol versehen sind.
Den log von kapersky im Anhang.
Grüße
Jasmina

unhide habe ich durchgeführt, aber in der Aufregung wohl was missverstanden. sehen kann ich m.W. alles, aber einige Ordner sind doppelt da und jeweils einer der Ordner ist mit einem Schloss Symbol verehen und von mir nicht zu öffnen. eben einige Ordner nicht öffnen. Aber vielleicht soll das ja auch so sein.
Viele Grüße und danke für deine Geduld mit mir.
Jasmina

Ja, die Schlösser sind normal. MS hat da die Anzeige und auch das Dateisystem im Vergleich zu WinXP doch stark verändert.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.