"mediashifting.com" Trojaner

h2a2n2

Hallo zusammen!

Leider habe ich seit einigen Tagen das Problem, dass sich immer wieder eine Seite "mediashifting.com" öffnet, wenn ich meinen Firefox-Browser nutze. Ich habe mich nun über Google so gut wie möglich informiert - anscheinend handelt es sich dabei um einen Trojaner.
Ich habe dazu vor allem auch die aktuelle Diskussion von DanyRibi und Chris4You hier im Forum angeschaut.

Ich habe nun einiges ausprobiert, aber leider existiert das Problem immer noch.
Konkret habe ich bereits:

- Einen kompletten Systemcheck mit Antivir durchgeführt und die gefundenen Viren in die Quarantäne verschoben (Genauer Report s.u.)
- Einen kompletten Systemcheck mit Malwarebytes gemacht (Log s.u.) und anschließend neu gestartet
- Mit Spybot Search and Destroy gearbeitet und Probleme behoben (dazu kann ich leider nichts zeigen, das ist ja gelöscht oder ich finde es nur einfach nicht)

Ich werde gleich auch noch ein OTL und MBR-Check versuchen und posten (hilft das?!?).

Wichtig ist mir im Moment auch: Darf ich alles machen oder sind Online-Banking/Shopping usw. eine ganz schlechte Idee...?
Außerdem habe ich mir nun als vorläufige Ersatzlösung Google Chrome geholt (hier hatte ich das Problem bislang nicht) - wahrscheinlich eine dumme Frage, aber ist der Virus inaktiv, wenn ich nicht mit Firefox arbeite?

Ich freue mich sehr, wenn mir jemand dabei helfen kann, den Virus wieder loszuwerden. Vielen vielen Dank im Voraus für eure Hilfestellungen und das tolle Angebot allgemein!!

Liebe Grüße
Hannah

__________________________________________________
Report zu Antivir:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 14. Januar 2012 11:54

Es wird nach 3069807 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HANNAH-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 10.07.2011 10:52:30
AVSCAN.DLL : 10.0.5.0 57192 Bytes 10.07.2011 10:52:30
LUKE.DLL : 10.3.0.5 45416 Bytes 10.07.2011 10:52:30
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 10.07.2011 10:52:30
AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 10:52:53
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 16:13:16
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 21:40:42
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 21:40:42
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 21:40:42
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 21:40:42
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 21:40:42
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 21:40:42
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 21:40:42
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 21:40:42
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 21:40:42
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 21:40:42
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 21:40:43
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 12:10:11
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 14:20:43
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 11:58:27
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 11:58:53
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 21:52:48
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 16:08:46
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 13:57:35
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 21:52:38
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 22:23:18
VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 10:49:07
VBASE023.VDF : 7.11.21.14 2048 Bytes 13.01.2012 10:49:07
VBASE024.VDF : 7.11.21.15 2048 Bytes 13.01.2012 10:49:07
VBASE025.VDF : 7.11.21.16 2048 Bytes 13.01.2012 10:49:07
VBASE026.VDF : 7.11.21.17 2048 Bytes 13.01.2012 10:49:07
VBASE027.VDF : 7.11.21.18 2048 Bytes 13.01.2012 10:49:07
VBASE028.VDF : 7.11.21.19 2048 Bytes 13.01.2012 10:49:07
VBASE029.VDF : 7.11.21.20 2048 Bytes 13.01.2012 10:49:07
VBASE030.VDF : 7.11.21.21 2048 Bytes 13.01.2012 10:49:07
VBASE031.VDF : 7.11.21.28 26112 Bytes 13.01.2012 10:49:08
Engineversion : 8.2.8.26
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 19:07:34
AESCRIPT.DLL : 8.1.3.97 426363 Bytes 13.01.2012 08:15:20
AESCN.DLL : 8.1.7.2 127349 Bytes 13.12.2010 07:39:16
AESBX.DLL : 8.2.4.5 434549 Bytes 05.12.2011 13:59:18
AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 10:14:04
AEPACK.DLL : 8.2.15.1 770423 Bytes 13.12.2011 20:36:01
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 12:00:04
AEHEUR.DLL : 8.1.3.18 4297079 Bytes 13.01.2012 08:15:19
AEHELP.DLL : 8.1.18.0 254327 Bytes 25.10.2011 19:06:06
AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 13:56:46
AEEMU.DLL : 8.1.3.0 393589 Bytes 13.12.2010 07:39:10
AECORE.DLL : 8.1.24.3 201079 Bytes 30.12.2011 11:59:01
AEBB.DLL : 8.1.1.0 53618 Bytes 13.12.2010 07:39:10
AVWINLL.DLL : 10.0.0.0 19304 Bytes 13.12.2010 07:39:20
AVPREF.DLL : 10.0.3.2 44904 Bytes 10.07.2011 10:52:30
AVREP.DLL : 10.0.0.10 174120 Bytes 18.05.2011 20:53:26
AVARKT.DLL : 10.0.26.1 255336 Bytes 10.07.2011 10:52:29
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 10.07.2011 10:52:29
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 13.12.2010 07:39:20
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 10.07.2011 10:52:29
RCTEXT.DLL : 10.0.64.0 98664 Bytes 10.07.2011 10:52:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Samstag, 14. Januar 2012 11:54

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'IELowutil.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'UIExec.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTGService.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'AssistantServices.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1453' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$R3NHUZS.part
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$R8YZLZ5.part
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$RC9355Y.part
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$RGA7USG.part
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$RNVOMMK.part
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$RYHB7AT.part
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$RYLYJD3.part
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\H A N N A H\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VT0BO17K\10[1].exe
[FUND] Ist das Trojanische Pferd TR/Gamarue.be.1
C:\Users\H A N N A H\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VT0BO17K\3[1].exe
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.638
C:\Users\H A N N A H\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VT0BO17K\6[1].exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen5
C:\Windows\System32\consrv.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2

Beginne mit der Desinfektion:
C:\Windows\System32\consrv.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49170921.qua' verschoben!
C:\Users\H A N N A H\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VT0BO17K\6[1].exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51bd26ab.qua' verschoben!
C:\Users\H A N N A H\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VT0BO17K\3[1].exe
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.638
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03e27c43.qua' verschoben!
C:\Users\H A N N A H\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VT0BO17K\10[1].exe
[FUND] Ist das Trojanische Pferd TR/Gamarue.be.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '65fb336a.qua' verschoben!


Ende des Suchlaufs: Samstag, 14. Januar 2012 16:58
Benötigte Zeit: 3:58:22 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

43747 Verzeichnisse wurden überprüft
2290955 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2290951 Dateien ohne Befall
16124 Archive wurden durchsucht
7 Warnungen
4 Hinweise
660200 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

__________________________________________________________

Logdatei zu Malwarebytes

Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.14.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
H A N N A H :: HANNAH-PC [Administrator]

Schutz: Aktiviert

14.01.2012 12:17:57
mbam-log-2012-01-14 (12-17-57).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 461952
Laufzeit: 2 Stunde(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\H A N N A H\AppData\Local\57af559d\X -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Program Files (x86)\Real\RealPlayer\rp11_premium.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\AutoKMS.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)