Hallo.
ich hatte gestern folgendes Problem:
1. ich konnte keinerlei Programme mehr starten. Jedesmal ging das Fenster "Öffnen mit" auf.
2. Auch die Wiederherstellung eines wesentlich älteren Wiederherstellungspunktes (15 Tage vorher) funktionierte nicht.
Das Problem existierte weiterhin.
Mein Antivirusprogramm (GData) konnte auch als Admin nicht gestartet werden.
3. Das gleiche im "abgesicherten Modus mit Netzwerk.."
Dort schaffte ich allerdings nach Googeln auf meinem Handy das Programm "Malwarebytes' Anti-Malware" zu downloaden und auch zu starten. Dieses fand dann auch 3 Viren/Trojaner oder wer was.
Nun bitte euch mir zusagen um was es sich bei den 3 "Sachen" handelt.
Hier das Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122605

Windows 6.1.7601 Service Pack 1 (Safe Mode)
Internet Explorer 9.0.8112.16421

27.12.2011 00:17:24
mbam-log-2011-12-27 (00-17-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 177145
Laufzeit: 2 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\.exe\(default) (PUM.HijackExefiles) -> Bad: (01) Good: (exefile) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Daniel\AppData\Local\Temp\kna0.003952731919305008.exe (Exploit.Drop.7) -> Quarantined and deleted successfully.

Nachdem die drei "Dinger" in Quarantäne geschickt wurden läuft das System wieder einwandfrei.
Kann ich nun ruhigen Gewissens weiter arbeiten oder kann das nun ständig passieren?
kann ich die drei aus der Quarantäne löschen - so das ich sie für immer los bin?

Hänge hier noch die Protokolldatei von meinem Virenprogramm mal mit an:


*** Prozess ***

Prozess: 5892
Dateiname: hlu.exe
Pfad: c:\users\daniel\appdata\local\hlu.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 12/26/11 22:02:24
Änderungsdatum: 12/26/11 22:02:24

Gestartet von: ~!#672e.tmp
Herausgeber: Unbekannter Herausgeber


*** Aktionen ***

Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Das Programm stellt eine Verbindung über ein Netzwerk her.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
C:\Users\Daniel\AppData\Local\Temp\~!#672E.tmp
C:\Users\Daniel\AppData\Local\hlu.exe

Folgende Registry Einträge wurden gelöscht:

\REGISTRY\USER\S-1-5-21-2076393882-3997140406-3783728938-1000_CLASSES\.exe\shell\open\command ||
\REGISTRY\USER\S-1-5-21-2076393882-3997140406-3783728938-1000_CLASSES\.exe\shell\open\command || IsolatedCommand
\REGISTRY\USER\S-1-5-21-2076393882-3997140406-3783728938-1000_CLASSES\.exe\shell\runas\command ||
\REGISTRY\USER\S-1-5-21-2076393882-3997140406-3783728938-1000_CLASSES\.exe\shell\runas\command || IsolatedCommand
\REGISTRY\USER\S-1-5-21-2076393882-3997140406-3783728938-1000_CLASSES\.exe\shell\start\command ||
\REGISTRY\USER\S-1-5-21-2076393882-3997140406-3783728938-1000_CLASSES\.exe\shell\start\command || IsolatedCommand

OjowLDAuNzEyMDgsOTY6MSwxLDM5OjIsMSwxOjMsMSw4MTo0LDEsNzo2LDEsNjo4LDEsMzk6MTQsLTEsMjoxNSwxLDI6MzUsMC43MTIwOCw4OjM3LDEsNjozOSwwLjM5LDI6NDcsMSwzOTo2NCwxLD E6MTE0LDEsNjoxMzEsMSwxOjE0NSwzNDMwNDAsMToxNDYsMSw2OjoA

"C:\Users\Daniel\AppData\Local\hlu.exe" -gav C:\Users\Daniel\AppData\Local\Temp\~!#672E.tmp
C:\Users\Daniel\AppData\Local\Temp\~!#672E.tmp

MfG
Daniel

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

• per Doppelklick starten.
• gleich mal die Datenbanken zu aktualisieren - online updaten
• Vollständiger Suchlauf wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ Sprache → Deutsch auswählen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira