Hallo Leute,

dies ist mein erster Beitrag hier im Forum und hoffe auf eure Hilfe. Ich habe schon einiges hier nachgelesen, weil sich eins meiner Probleme teilweise deckt, aber die gesamte Konstellation leider in dieser Form hier nicht vorkommt.
Auch habe ich alle Schritte die vor der Eröffnung eines neuen Themas abgearbeitet und die notwendigen Logfiles erstellt.

- Malwarebytes installiert und Scans durchgeführt
- defrogger Scan durchgeführt (ich erhielt aber nach dem Ende keine Meldung für einen Neustart (habe diesen dann selber duchgeführt)
- OTL Scan durchgeführt
- Gmer Scan durchgeführt

Problembeschreibung:
Nach dem Starten meines Lenovo T400 (das Starten dauert seit ein paar Tagen auch verdächtig lange) tauchen in folgender Reihenfolge diese Fehler auf:
1. Automatic Updates is turned off
2. Symantec Antivirus: Old virus definition file
3. Symantec Antivirus: Auto-Protect is disabled
4. Rein zufällig und ohne mein zutun startet der Firefox und will auf die Seite hxxp://strikingsearchsystem.com gehen.

zu 1. Ich habe dort nichts verändert.
zu 2. Obwohl ich die Virusefinitionen per LiveUpdate schon mehrmals runter geladen und installiert habe, steht im GUI immer noch der 01.11.2011 als letzter Stand drin.
zu 3. Trotz dieser Meldung ist das Symantec Icon nicht rot durchgekreuzt. Auch wenn man es anklickt, ist Auto-Protect eingeschaltet. Unser Workstation Security Tool meldet mir aber ständig, dass der Service nicht läuft.
zu 4. Angefangen hat das Problem vor ein paar Tagen, als ich bei Suchen über Google immer wieder bei admirablesearchsystem.com gelandet bin. Das ist jetzt nicht mehr der Fall, dafür will Firefox in unregelmässigen Abständen selbstständig auf die Seite strikingsearchsystem.com gehen. Ich habe diese Seite jetzt im Firefox Site Blocker gesperrt. Aber trotzdem versucht er es natürlich immer noch.

Als erstes habe das Tool Malwarebytes installiert und einen Scan durchgeführt. Danach alle Einträge löschen lassen. Für die meisten hat das auch funktioniert. Aber 2 tauchen beim nächsten Scan immer wieder als aktiv auf:
Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.Agent.Gen) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Bei der Suche nach den Malwarebytes Logfiles ist mir eben aufgefallen, dass ich den Ordner Application Data unter documents and settings nicht mehr gesehen habe (war gestern noch da). Habe Show hidden files and folders wieder aktivieren müssen.

Das alles zusammen ist schon mehr als merkwürdig.
Da die OLT.txt doch seeeehr lang ist, habe ich sie mit in die ZIP Datei gepackt.

Grüsse
Roland

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

danke für deine schnelle Antort. Ich hatte vergessen zu erwähnen, dass ich bereits gestern auch einen Vollscan mit Malwarebytes durchgeführt habe. Reicht es, wenn ich diese Logfiles zur Verfügung stelle? Der Scan dauert sehr lange und ich kann während dieser Zeit nichts arbeiten

Grüsse
Roland

Ja dann erstmal alle bereits vorhandenen Logs posten

Hallo Arne,

ok...hier sind alle logfiles von den bisherigen Malwarebytes Scans und auch auch von dem ETES Scan. Beim Schliessen des ESET Online Scanners habe ich nicht ausgewählt, dass das Programm beim Beenden deregistriert werden soll. Kann man es später auch noch machen?

Grüsse
Roland

Zitat:

C:\Documents and Settings\Administrator\My Documents\Download\VueScan 8.6.54 Multilanguage incl keygen.rar a variant of Win32/Keygen.AS application (unable to clean)
C:\Documents and Settings\Administrator\My Documents\Download\VueScan_v8.6.48.rar a variant of Win32/Keygen.AS application (unable to clean)

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

Hallo Arne,

du hast sicher Recht, aber ich habe die Software nur runtergeladen um sie vor dem Kauf eingehend zu testen. Das was du hier siehst, ist nur das install package in meinem download folder. Die Software selber habe ich in der Zwischenzeit ordentlich erworben und sie befindet sich auf meinem Multimedia PC und nicht auf diesem Thinkpad T400. Du kannst ja in der Sektion für die installierten Programme nachsehen, und wirst dort meine Aussage bestätigt sehen, dass hier keine illegale Software installiert ist.

Den T400 neu aufsetzen kommt überhaupt nicht in Frage, da ich diesen jeden Tag für meine Arbeit brauche. Und vielleicht kannst du mir noch meine Frage bzgl. der nachträglichen Deregistrierung von ESET beantworten?

Vielen Dank.

Grüsse
Roland

Zitat:

Den T400 neu aufsetzen kommt überhaupt nicht in Frage,

Wegen der ausgeführten Cracks/Keygens kommt hier aber eine Bereinigung nicht mehr in Frage.
Hilfe nur noch bei Neuinstallation von Windows.