Hi,

wenn Du beim Pfad vom Firefox aufgepasst hast, wirst Du feststellen der liegt nicht im "Programmbereich", sondern im Datenbereich... das ist die getarnte Exe...

Und ja, er bleibt auch aktiv wenn der richtige Firefox deinstalliert/gelöscht wird (wird über Run-Key gestartet)... aber eigentlich sollte er ja von Avast erwischt worden sein...

Daher bitte:
OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

So habe ich gemacht

Hi,

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Hey,

Habe beides gemacht. Leider habe ich jetzt keine LOG dateien, also es besteht kein %systemroot%\_OLT odner!..

Und der Bericht von Malwarebytes, naja er hat nichts gefunden!

Hi,

das OLT-Log findest Du unter C:\_OTL...
Bist Du dir sicher, das Du einen Fullscan hast machen lassen...
Poste trotzdem das Log von MAM...

chris

Die datei kann ich hochladen.

Bei der anderen steht hier im fenster ungültiger Dateityp..also hier

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56502 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Mcx1-THEOHULOK-HP
->Temp folder emptied: 516 bytes
->Temporary Internet Files folder emptied: 192721 bytes
->Flash cache emptied: 41620 bytes
 
User: Public
 
User: Theo Hulok
->Temp folder emptied: 1416749 bytes
->Temporary Internet Files folder emptied: 31693376 bytes
->Java cache emptied: 55826813 bytes
->FireFox cache emptied: 57703719 bytes
->Flash cache emptied: 86973 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1618992 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 195942 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67765 bytes
RecycleBin emptied: 17309811898 bytes
 
Total Files Cleaned = 16,650.00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 02142012_193109

Files\Folders moved on Reboot...
C:\Users\Theo Hulok\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...
         

Der Keylogger ist nicht meiner, der war mal auf einem USB stick und den hatte ich alles nur rübergezogen!

Hi,

kein Keylogger sondern ein Keygen...

Noch den TDSS-Killer dann ist Schluß...
TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris