Hallo an alle,

Ich habe gestern ganz normal etwas im Internet gesurft und plötzlich tauchte dieses rote Fenster über den kompletten Bildschirm auf und die Warnung,dass mein System gesperrt sei,weil ich auf illegalen bzw. pornografischen Seiten war.War ich übrigens nie,zumindest nicht das ich wüsste.Ganz unten steht dann: Bezahlen und updaten.Mehr kann man auch nicht mehr machen,man muss sogar den Akku entfernen um den Pc runter zu fahren und dann im abgesicherten Modus starten zu können. Dort habe ich dann einen Virenscan mit Antivir gemacht und mir wurden 2 Funde gemeldet:
1. JAVA/Djewers.CB
2. JS/Dldr.Agent.ghi
Diese wollte Antivir allerdings nur in Quarantäne verschieben. Da irgendwo der Name Mozilla auftauchte,habe ich das erstmal deinstalliert und habe das bei Java auch versucht,aber das ging im abgesichterten Modus irgendwie nicht.Da ich leider gar keine Ahnung von Pc's habe,hat mir jemand den Rat gegeben HijackThis durchlaufen zu lassen.Da wurde zwar auch was gefunden,aber das hatte einen völlig anderen Namen als die beiden oben genannten und habe nichts weiter unternommen,den logfile aber vorsichtshalber abgespeichert,falls ihr ihn braucht.
Ich hoffe ihr könnt mir helfen und ich schicke alles,was ihr braucht ordnungsgemäß mit. Die OTL Dateien habe ich angehängt.

Vielen Dank schonmal!!!

hiho



achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [svchoct.exe] C:\Users\Desi\AppData\Roaming\Microsoft\svchoct.exe ()
:Files
C:\Users\Desi\AppData\Roaming\Microsoft\svchoct.exe
:Commands
[purity]
[EMPTYFLASH]
[resethosts]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
start in den normalen modus sollte klappen
öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

ok. Ist erledigt!
Und danke für die schnelle Antwort!

hi, ich hab gesagt die soll im upload channel hochgeladen werden, in dem verzeichniss hätte sich malware befinden können und ein anderer user hätte sich damit infizieren können.
bitte lies daher aufmerksam!
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

so, ich habe jetzt alles versucht combofix laufen zu lassen,aber immer wenn es anfängt zu laufen und nachdem der scan losgeht kommt sofort die meldung: \MicroLab\SearchEngin\ kann syntaktisch nicht verarbeitet werden!

was mache ich nun?

und wenn du da auf ok klickst gehts bei combofix nicht weiter?

doch: dann kommt dieses blaue fenster mit: der scan wird vorbereitet, das kann einige minuten dauern,die zeit kann sich verdoppeln....und dann kommt oben genannter satz und ich habe 1 1/2 Stunden gewartet und es ist nichts weiter passiert! der satz blieb einfach da stehen. und laut dem Tutorium müsste ja dann eigentlich meine zeiteinstellung geändert werden und nach und nach die fertiggestellten stufen angezeigt werden,aber nichts!!

ja,
versuch mal, im abgesicherten modus ohne netzwerk zu starten, sollte bei pc start mit f8 gehen, drücke es ein paar mal, dort erneut combofix probieren bitte.

hab ich gemacht. kommt leider immernoch diese meldung. Tut mir leid. so ein mist aber auch!

na dafür kannst du ja nichts.
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

hier ist es:

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7879

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

05.10.2011 19:16:01
mbam-log-2011-10-05 (19-16-01).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 179446
Laufzeit: 2 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

hi,
danke.
jetzt bitte einen vollständigen scan.

hi,hier ist der vollständige scan:

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7879

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

05.10.2011 20:01:36
mbam-log-2011-10-05 (20-01-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 341241
Laufzeit: 38 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

1. welche probleme gibts im moment noch?
2. poste einen GMER log.

hi,also eigentlich gibts im moment keine weiteren Probleme,alles funktioniert wieder. Nur antivir meldet mir noch einen fund sobald ich es wieder anstelle:

In der Datei 'C:\Users\Desi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\J2Q7HZKA\calc[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.39181' [trojan] gefunden.

und GMER hat nichts gefunden,was ich hätte kopieren können.da ist scheinbar alles save.

Also schon mal vielen dank,dass ich den pc wieder vernünftig nutzen kann.damit habe ich nicht gerechnet!