Vorweg, Überschrift ist falsch, muss Firefox.exe heißen, sorry

Hallo,

vielleicht als Hilfe, wie es bei mir mit der Reinigung geklappt hat.

mein System Win7 64bit auf aktuellem Stand, Avast auf aktuellem Stand und Win-Firewall. Trotzdem fing ich mir den "Bezahlen und Runterladen-Trojaner" ein, der WIN7 mit Internetverbindung sofort lahm legt.

Ich habe dann über ein Gastkonto mich angemeldet und konnte so im www. nach Hilfe suchen und entsprechende Scanner runterladen, u.a. Malwarebytes.

Anschließend WIN 7 im abgesicherten Modus gestartet - ohne Wlan - und Malwarebytes laufen lassen mit einem Fund einer .exe im tmp Ordner auf C:.

C:\Users\....\AppData\Local\Temp\0.15956296855649832.exe (Exploit.Drop.2) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Anschließend Neustart, Trojaner kam wieder. Wieder Neustart im abgesicherten Modus. Malwarebytes fand im User-Local-Firefox-Ordner auf C: eine Firefox.exe mit dem selben Inst-Datum als Firefox.de im eigentlichen ProgOrdner. Habe meine Profile gesichert und FF gelöscht. Außerdem fand Malwarebytes einen faulen Registryeintrag. Diesen habe ich gelöscht, Neustart ohne Internetverbindung, Tuneup utilities über die Registry zur Säuberung laufen lassen, dann Neustart mit Wlan, rein ins Internet, ales ok.

Hier die logs
Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ffdwnd (Trojan.Zbot.CBCGen) -> Daten: C:\Users\....\AppData\Local\Mozilla\Firefox\firefox.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\....\AppData\Local\Mozilla\Firefox\firefox.exe (Trojan.Zbot.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Problem Gott sei Dank erledigt.

jo, da die dateien aber bei jedem anders heißen können, und ein Malwarebytes fund nicht bedeutet das tatsächlich alles an vorhandener malware weg ist, empfehle ich jedem, der hier mit liest, eine manuelle prüfung durchführen zu lassen.
und die sicherheitslücke(n) durch die die malware gekommen ist, sind auch noch offen, jederzeit ist eine neu infektion also möglich.

wenn ich Dich richtig verstehe, ist ein Port nach wie vor geöffnet ?

Kann ich die Windows Firewall daraufhin mit einer Regel zum Schließen bewegen ?

Manuell durchsuchen heißt im Hilfe-Deutsch was genau ?

Wäre eine Möglichkeit die WinFirewall zu deaktivieren und eine neue Firewall eines anderen Anbieters zu installieren ?

ne firewall hat damit nichts zu tun.
die windows firewall reicht da vollkommen.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

hier die Auswertung

Danke für den prüfenden Blick

sieht io aus.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.15.1643
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

anbei Liste aus ccleaner

alle Programme sind bekannt und es werden alle gebraucht.

deinstaliere:
7-Zip 4.65 du hast bereits ne neuere version
Adobe Flash Player10
bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok


deinstaliere:
Adobe Shockwave
Adobe - Adobe Shockwave Player
update instalieren.

deinstaliere:
Java: beide.
Download der kostenlosen Java-Software
downloade java jre, instalieren.


TuneUp : auf sowas würde ich eher verzichten, einige funktionen sind vollkommen nutzlos, außerdem kann das programm häufig das gegenteil bewirken, eine system verlangsamung, und einige funktionen können das system kaputt machen (nicht mehr bootbar zb)

öffne otl, bereinigen,
neustart.
öffne ccleaner, analysieren, bereinigen, neustart.